Quy định chuyển tiếp từ Nghị định 13 sang Luật Bảo vệ dữ liệu cá nhân 2025 là nội dung quan trọng, giúp doanh nghiệp có lộ trình áp dụng luật bảo vệ dữ liệu hiệu quả. Tại DPVN, chúng tôi sẽ cung cấp hướng dẫn thi hành chi tiết, giúp bạn hiểu rõ hiệu lực của hồ sơ đã nộp và các công việc cần chuẩn bị.
Quy định chuyển tiếp từ Nghị định 13 sang Luật Bảo vệ Dữ liệu Cá nhân có hiệu lực từ ngày nào và tại sao nó lại quan trọng?
Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 sẽ chính thức có hiệu lực từ ngày 01/01/2026. Các quy định chuyển tiếp, được nêu tại Điều 39 của Luật, đóng vai trò là một “cây cầu pháp lý”, giúp đảm bảo sự chuyển đổi suôn sẻ, công nhận các nỗ lực tuân thủ đã có của doanh nghiệp theo Nghị định 13 và đưa ra một lộ trình rõ ràng cho các nghĩa vụ trong tương lai.
Sự ra đời của một văn bản luật mới luôn đặt ra câu hỏi lớn cho cộng đồng doanh nghiệp: “Những gì chúng tôi đã làm theo quy định cũ có còn giá trị không?”. Điều 39 của Luật 91/2025/QH15 đã được xây dựng để trả lời chính xác câu hỏi này. Tầm quan trọng của các quy định chuyển tiếp là rất lớn, bởi nó giúp:
- Bảo vệ khoản đầu tư tuân thủ: Công nhận giá trị của các hoạt động mà doanh nghiệp đã tốn kém nguồn lực để thực hiện theo Nghị định 13.
- Giảm gánh nặng hành chính: Tránh việc doanh nghiệp phải thực hiện lại từ đầu các thủ tục phức tạp như xin lại sự đồng ý hàng loạt hoặc lập lại các bộ hồ sơ đã nộp.
- Tạo ra lộ trình rõ ràng: Giúp doanh nghiệp biết chính xác cần làm gì tiếp theo để đáp ứng các yêu cầu cao hơn của Luật mới.
Về chuyên môn sâu, việc có các quy định chuyển tiếp rõ ràng thể hiện sự trưởng thành và tính thực tiễn của hệ thống pháp luật, ghi nhận sự nỗ lực của cộng đồng doanh nghiệp và đảm bảo tính liên tục, không gây xáo trộn đột ngột cho hoạt động kinh doanh.
Sự đồng ý của khách hàng và các Hồ sơ đánh giá tác động đã thực hiện theo Nghị định 13 sẽ được xử lý như thế nào khi Luật mới có hiệu lực?
Đây là tin tốt cho các doanh nghiệp đã chủ động tuân thủ. Theo Điều 39 Luật 91/2025/QH15, cả sự đồng ý đã thu thập hợp lệ và các Hồ sơ đánh giá tác động đã nộp cho Cục A05 theo Nghị định 13 đều được công nhận và tiếp tục có hiệu lực. Doanh nghiệp sẽ không phải làm lại các thủ tục này từ đầu.
Đây là hai điểm quan trọng nhất trong quy định chuyển tiếp, giúp giảm bớt đáng kể gánh nặng tuân thủ cho doanh nghiệp.
Đối với Sự đồng ý của chủ thể dữ liệu
Khoản 1, Điều 39 của Luật quy định rõ: các hoạt động xử lý dữ liệu đang thực hiện mà đã có sự đồng ý hợp lệ theo quy định của Nghị định 13 trước ngày 01/01/2026 thì được phép tiếp tục mà không phải xin lại sự đồng ý.
Ví dụ thực tế: Một công ty thương mại điện tử đã thu thập được 1 triệu sự đồng ý từ khách hàng cho việc nhận bản tin marketing theo đúng quy trình của Nghị định 13. Khi Luật mới có hiệu lực, công ty này có thể tiếp tục gửi bản tin cho 1 triệu khách hàng đó mà không cần yêu cầu họ đồng ý lại.
Đối với Hồ sơ Đánh giá Tác động đã nộp
Khoản 2, Điều 39 của Luật quy định: các Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài đã được Cục A05 tiếp nhận trước ngày 01/01/2026 sẽ tiếp tục được sử dụng và có giá trị pháp lý.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Đây là một sự ghi nhận rất quan trọng cho những doanh nghiệp tiên phong. Chúng tôi đã hỗ trợ nhiều khách hàng hoàn thành và nộp các bộ hồ sơ này theo Nghị định 13. Quy định chuyển tiếp này đảm bảo rằng công sức và sự đầu tư của họ được pháp luật công nhận, giúp họ yên tâm tập trung vào các nghĩa vụ mới của Luật 2025 thay vì phải làm lại những việc đã hoàn thành.”
Nghĩa vụ quan trọng: Cập nhật hồ sơ theo quy định mới
Mặc dù các hồ sơ cũ được công nhận, Khoản 2, Điều 39 cũng đặt ra một yêu cầu quan trọng: **việc cập nhật các hồ sơ đã lập nêu trên sau ngày 01/01/2026 phải được thực hiện theo quy định của Luật mới**.
Điều này có nghĩa là, nếu doanh nghiệp có bất kỳ thay đổi nào trong hoạt động xử lý dữ liệu (ví dụ: thay đổi mục đích, áp dụng công nghệ mới), việc cập nhật hồ sơ đánh giá tác động sẽ phải tuân thủ theo các tiêu chuẩn và quy trình của Luật 2025.
Doanh nghiệp cần chuẩn bị những gì cho lộ trình áp dụng Luật Bảo vệ dữ liệu 2025?
Doanh nghiệp cần xây dựng một lộ trình chuyển đổi thông minh. Lộ trình này bao gồm việc rà soát lại toàn bộ chương trình tuân thủ hiện tại theo Nghị định 13, so sánh với các yêu cầu cao hơn của Luật 2025 để xác định các lỗ hổng, và xây dựng kế hoạch hành động để lấp đầy các lỗ hổng đó trước ngày 01/01/2026.
Dưới đây là bảng so sánh một số điểm khác biệt chính và hành động doanh nghiệp cần làm:
| Hạng mục | Nghị định 13/2023/NĐ-CP | Luật 91/2025/QH15 & Hành động cần chuẩn bị |
|---|---|---|
| Chế tài xử phạt | Chưa quy định mức phạt cụ thể, áp dụng theo các nghị định khác. | Mức phạt rất cao, lên tới 5% tổng doanh thu. Hành động: Nâng cao nhận thức của ban lãnh đạo về rủi ro tài chính, tăng cường đầu tư cho tuân thủ. |
| Miễn trừ cho Doanh nghiệp nhỏ | Chỉ miễn trừ việc chỉ định nhân sự trong 2 năm đầu. | Miễn trừ nhiều nghĩa vụ hơn (bao gồm cả lập hồ sơ ĐGTĐ) cho doanh nghiệp nhỏ, siêu nhỏ (trừ các trường hợp rủi ro cao). Hành động: Xác định quy mô doanh nghiệp theo Luật Doanh nghiệp để biết mình có thuộc diện được miễn trừ hay không. |
| Khái niệm | Đưa ra các khái niệm nền tảng. | Làm rõ và bổ sung các khái niệm quan trọng như khử nhận dạng dữ liệu cá nhân. Hành động: Đào tạo lại đội ngũ về các thuật ngữ và khái niệm mới. |
DPVN: Dịch Vụ Tư Vấn Lộ Trình Chuyển Đổi và Tuân Thủ Luật 2025
Quá trình chuyển đổi từ Nghị định sang Luật sẽ mang đến nhiều thách thức nhưng cũng là cơ hội để doanh nghiệp kiện toàn hệ thống quản trị dữ liệu của mình.
DPVN cung cấp gói dịch vụ “Đánh giá mức độ sẵn sàng tuân thủ Luật 2025”, giúp doanh nghiệp xác định các lỗ hổng và xây dựng một kế hoạch hành động chi tiết. Hãy liên hệ với Luật sư Nguyễn Lâm Sơn để bắt đầu ngay hôm nay:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp về quy định chuyển tiếp
1. Trách nhiệm pháp lý khi vi phạm quy định chuyển tiếp là gì?
Nếu một doanh nghiệp không cập nhật hồ sơ theo Luật mới khi có thay đổi, hoặc tiếp tục các hoạt động không còn phù hợp với tiêu chuẩn cao hơn của Luật, họ sẽ bị xem là vi phạm quy định của Luật 91/2025/QH15 và có thể đối mặt với các chế tài tương ứng.
2. Doanh nghiệp có cần tham gia khóa đào tạo, hội thảo về quy định chuyển tiếp không?
Rất nên. Việc tham gia các buổi đào tạo chuyên sâu sẽ giúp đội ngũ pháp chế và nhân sự của bạn nắm vững các điểm khác biệt, các yêu cầu mới và có được một kế hoạch hành động rõ ràng, tránh được các sai sót không đáng có.
3. Các hồ sơ ĐGTĐ đã nộp có bị Cục A05 thẩm định lại theo tiêu chuẩn của Luật mới không?
Luật không quy định về việc “hồi tố” hay thẩm định lại các hồ sơ đã được tiếp nhận. Các hồ sơ này tiếp tục có hiệu lực. Tuy nhiên, khi có hoạt động thanh tra, kiểm tra trong tương lai, cơ quan chức năng có thể sẽ xem xét các hoạt động hiện tại của bạn dựa trên tiêu chuẩn của Luật mới đang có hiệu lực tại thời điểm đó.
4. Nếu sự đồng ý cũ của chúng tôi không đáp ứng tiêu chuẩn của Luật mới thì sao?
Điều 39 chỉ bảo vệ các “sự đồng ý hợp lệ theo Nghị định 13”. Nếu sự đồng ý mà bạn đã thu thập trước đây vốn dĩ đã không tuân thủ đúng các yêu cầu của Nghị định 13 (ví dụ: gộp chung, không rõ ràng), thì nó không được bảo vệ và bạn nên có kế hoạch thu thập lại sự đồng ý đó cho phù hợp.
5. Doanh nghiệp cần làm gì ngay bây giờ để chuẩn bị cho quá trình chuyển tiếp?
Hành động quan trọng nhất ngay bây giờ là đảm bảo rằng bạn đang tuân thủ 100% các quy định của Nghị định 13. Một nền tảng tuân thủ vững chắc theo Nghị định 13 sẽ là bước đệm hoàn hảo để bạn dễ dàng nâng cấp và đáp ứng các yêu cầu của Luật 91/2025/QH15 khi nó có hiệu lực.
Nguồn tham khảo:
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- Dự thảo Luật Bảo vệ dữ liệu cá nhân (để tham khảo quá trình xây dựng): Cổng thông tin điện tử Quốc hội Việt Nam
- Transitioning to the GDPR – Information Commissioner’s Office (UK): https://ico.org.uk/for-organisations/gdpr-and-the-dpa-2018-the-essentials/the-transition-period/