Quy định về sự đồng ý của chủ thể dữ liệu cá nhân từ 01/01/2026 (Hình từ internet)
Ngày 26/6/2025, Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân 2025 (Luật số 91/2025/QH15).
Luật Bảo vệ dữ liệu cá nhân 2025 quy định về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan.
Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm:
- Dữ liệu cá nhân cơ bản: Là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
- Dữ liệu cá nhân nhạy cảm: Là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
Trong đó, Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025 đã đưa ra quy định rõ về sự đồng ý của chủ thể dữ liệu cá nhân (là người được dữ liệu cá nhân phản ánh) như sau:
(1) Sự đồng ý của chủ thể dữ liệu cá nhân là việc chủ thể dữ liệu cá nhân cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.
(2) Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin sau đây:
- Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân;
- Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân;
- Các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân.
(3) Sự đồng ý của chủ thể dữ liệu cá nhân được thể hiện bằng phương thức rõ ràng, cụ thể, có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
(4) Sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm các nguyên tắc sau đây:
- Thể hiện sự đồng ý đối với từng mục đích;
- Không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận;
- Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu cá nhân thay đổi sự đồng ý đó hoặc theo quy định của pháp luật;
- Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.
Luật Bảo vệ dữ liệu cá nhân 2025 giao Chính phủ quy định chi tiết nội dung tại (3).
- Chủ thể dữ liệu cá nhân có quyền yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, yêu cầu hạn chế xử lý dữ liệu cá nhân của mình khi có nghi ngờ phạm vi, mục đích xử lý dữ liệu cá nhân hoặc tính chính xác của dữ liệu cá nhân, trừ trường hợp quy định tại Điều 19 Luật Bảo vệ dữ liệu cá nhân 2025 hoặc trường hợp pháp luật có quy định khác.
- Yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân phải được thể hiện bằng văn bản, bao gồm cả dạng điện tử hoặc định dạng kiểm chứng được và được gửi cho bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân. Yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân được thực hiện theo quy định của pháp luật và theo thỏa thuận giữa các bên.
- Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân tiếp nhận, thực hiện và yêu cầu bên xử lý dữ liệu cá nhân thực hiện yêu cầu rút lại sự đồng ý, hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân trong thời gian theo quy định của pháp luật.
- Việc thực hiện yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân không áp dụng đối với hoạt động xử lý dữ liệu cá nhân trước thời điểm chủ thể dữ liệu cá nhân yêu cầu rút lại sự đồng ý hoặc yêu cầu hạn chế xử lý dữ liệu cá nhân.
(Điều 10 Luật Bảo vệ dữ liệu cá nhân 2025)
Theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 thì việc xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân như sau:
- Tổ chức, cá nhân có hành vi vi phạm quy định của Luật Bảo vệ dữ liệu cá nhân 2025 và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
- Việc xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân thực hiện theo quy định tại các khoản 3, 4, 5, 6 và 7 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 và pháp luật về xử lý vi phạm hành chính.
- Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vì mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025.
- Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025.
- Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.
- Mức phạt tiền tối đa quy định tại các khoản 3, 4 và 5 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.
- Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Xem thêm tại Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực từ ngày 01/01/2026.
1,480
(028) 3930 3279
Hỗ trợ trực tuyến
0906 22 99 66
