Chính thức thi hành Luật Bảo vệ dữ liệu cá nhân: Quyền lợi công dân và mức phạt vi phạm
Từ ngày 1/1/2026, Luật Bảo vệ dữ liệu cá nhân bắt đầu có hiệu lực, xác lập các quyền dữ liệu cơ bản của công dân và quy định mức xử phạt nghiêm khắc đối với hành vi vi phạm.
Ngày 01/01/2026, Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) chính thức có hiệu lực thi hành tại Việt Nam. Đây là văn bản pháp lý quan trọng nhằm xác lập rõ các quyền dữ liệu cơ bản của công dân, đồng thời quy định trách nhiệm của các cơ quan, tổ chức trong việc xử lý và bảo vệ thông tin cá nhân trong kỷ nguyên số.
Phạm vi điều chỉnh và đối tượng áp dụng
Luật Bảo vệ dữ liệu cá nhân quy định chi tiết về dữ liệu cá nhân, các biện pháp bảo vệ và trách nhiệm của các bên liên quan. Đáng chú ý, phạm vi áp dụng của Luật không chỉ giới hạn trong nước mà còn mở rộng ra các tổ chức nước ngoài có hoạt động liên quan đến công dân Việt Nam.
Cụ thể, đối tượng áp dụng bao gồm: cơ quan, tổ chức, cá nhân Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; và các thực thể nước ngoài trực tiếp tham gia hoặc liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.
Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân
Khoản 1 Điều 4 của Luật xác lập hệ thống quyền lợi toàn diện cho chủ thể dữ liệu. Theo đó, người dân có quyền được biết về các hoạt động xử lý thông tin của mình; có quyền đồng ý, không đồng ý hoặc rút lại sự đồng ý cho phép xử lý dữ liệu.
Bên cạnh đó, chủ thể dữ liệu có quyền truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa thông tin; yêu cầu cung cấp, xóa hoặc hạn chế xử lý dữ liệu. Trong trường hợp phát hiện vi phạm, công dân có quyền khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại theo quy định pháp luật.
Song hành với quyền lợi, chủ thể dữ liệu cũng có các nghĩa vụ nhất định như: tự bảo vệ dữ liệu cá nhân của mình; tôn trọng và bảo vệ dữ liệu của người khác; cung cấp thông tin đầy đủ, chính xác khi đã đồng ý xử lý và chấp hành nghiêm các quy định pháp luật về phòng, chống xâm phạm dữ liệu cá nhân.
Các hành vi bị nghiêm cấm và chế tài xử phạt
Luật Bảo vệ dữ liệu cá nhân đưa ra danh mục các hành vi bị nghiêm cấm nhằm đảm bảo an ninh quốc gia và trật tự an toàn xã hội. Các hành vi này bao gồm: xử lý dữ liệu nhằm chống lại Nhà nước; cản trở hoạt động bảo vệ dữ liệu; mua, bán dữ liệu cá nhân (trừ trường hợp luật định) và hành vi chiếm đoạt, cố ý làm lộ thông tin.
Về chế tài, các tổ chức và cá nhân vi phạm sẽ phải đối mặt với những mức phạt hành chính nghiêm khắc hoặc truy cứu trách nhiệm hình sự tùy theo tính chất và mức độ hậu quả:
Hành vi mua, bán dữ liệu cá nhân: Mức phạt tiền tối đa bằng 10 lần khoản thu bất chính có được từ hành vi vi phạm.
Vi phạm chuyển dữ liệu xuyên biên giới: Tổ chức vi phạm có thể bị phạt tới 5% doanh thu của năm trước liền kề.
Các vi phạm khác: Mức phạt tiền tối đa lên đến 03 tỷ đồng đối với tổ chức.
Đáng lưu ý, mức phạt tiền áp dụng cho cá nhân vi phạm sẽ bằng một phần hai mức phạt tiền đối với tổ chức cho cùng một hành vi. Chính phủ sẽ quy định cụ thể phương pháp tính các khoản thu từ việc vi phạm để làm căn cứ xử phạt chính xác.
Việc Luật Bảo vệ dữ liệu cá nhân đi vào đời sống được kỳ vọng sẽ tạo ra môi trường số an toàn, minh bạch, bảo vệ tối đa quyền riêng tư của công dân trước các nguy cơ xâm phạm dữ liệu đang ngày càng phức tạp.
