Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành từ ngày 1/1/2026. Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các quy định về lập hồ sơ đánh giá tác động, chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong thời hạn 5 năm kể từ ngày Luật này có hiệu lực thi hành và miễn thực hiện đối với các hộ kinh doanh, doanh nghiệp siêu nhỏ.
Trước đó, trình bày Báo cáo giải trình, tiếp thu, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới cho biết, dự thảo Luật quy định rõ về phân cấp trong quản lý nhà nước; trách nhiệm của các bên kiểm soát, xử lý dữ liệu cá nhân, bên thứ ba, lực lượng bảo vệ dữ liệu cá nhân; cắt giảm 4 dịch vụ trong tổng số 5 dịch vụ do Chính phủ trình xuống còn 1 dịch vụ là dịch vụ xử lý dữ liệu cá nhân.
Dự thảo Luật không còn quy định về thủ tục hành chính, trình tự, hồ sơ mà giao Chính phủ quy định; bỏ quy định về điều kiện kinh doanh dịch vụ tổ chức bảo vệ dữ liệu cá nhân, dịch vụ chuyên gia bảo vệ dữ liệu cá nhân; bỏ quy định về Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân; bỏ các trình tự, thủ tục cung cấp dữ liệu cá nhân, xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân và cấp chứng nhận đủ điều kiện kinh doanh dịch vụ xếp hạng tín nhiệm bảo vệ dữ liệu cá nhân.
Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới trình bày Báo cáo tóm tắt giải trình, tiếp thu, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân. (Ảnh: quochoi.vn)
Theo Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại Lê Tấn Tới, nhiều ý kiến góp ý về việc cơ chế bảo đảm thực hiện các yêu cầu của chủ thể dữ liệu cá nhân, các hoạt động xử lý dữ liệu cá nhân cụ thể, các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu, chuyển dữ liệu cá nhân ra nước ngoài, đánh giá tác động xử lý dữ liệu cá nhân, bảo vệ dữ liệu cá nhân trong một số lĩnh vực, hoạt động cụ thể.
Ủy ban Thường vụ Quốc hội đã chỉ đạo nghiên cứu, tiếp thu ý kiến của đại biểu Quốc hội. Trong đó, quy định chặt chẽ cơ chế thực hiện các quyền của chủ thể dữ liệu, những hoạt động xử lý dữ liệu cá nhân cụ thể như thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân, các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu.
Thống nhất thuật ngữ “chuyển dữ liệu cá nhân xuyên biên giới” cho phù hợp với quy định của Luật Dữ liệu và áp dụng cơ chế hậu kiểm thông qua hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và chỉ kiểm tra khi cần thiết thay vì yêu cầu xin phép trước trong đa số trường hợp, tạo thuận lợi cho doanh nghiệp.
Về đánh giá tác động khi xử lý dữ liệu cá nhân và khi chuyển dữ liệu cá nhân xuyên biên giới, dự thảo Luật cơ bản kế thừa các nội dung do Chính phủ trình. Theo đó, cơ quan, tổ chức chỉ cần lập hồ sơ này một lần cho suốt quá trình hoạt động, cập nhật khi có thay đổi và cơ quan chức năng sẽ thực hiện kiểm tra hồ sơ khi xét thấy cần thiết. Đối với cả hai loại đánh giá tác động này, nếu đã thực hiện theo quy định của Luật Bảo vệ dữ liệu cá nhân thì không phải thực hiện việc đánh giá rủi ro tương tự theo quy định của Luật Dữ liệu.
Bổ sung bảo vệ dữ liệu cá nhân đối với các đối tượng là người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi để bảo đảm đầy đủ, bao quát.