(Luật số 91/2025/QH15)

VÀ GỢI Ý TRIỂN KHAI THỰC HIỆN TẠI ĐẠI HỌC KINH TẾ QUỐC DÂN

Luật Bảo vệ dữ liệu cá nhân năm 2025 (Luật số 91/2025/QH15), được Quốc hội thông qua ngày 26/6/2025 và có hiệu lực từ ngày 01/01/2026, là văn bản pháp luật lần đầu tiên thiết lập khung pháp lý đầy đủ, thống nhất và có hiệu lực cao về bảo vệ dữ liệu cá nhân tại Việt Nam. Luật đánh dấu bước chuyển quan trọng từ cơ chế điều chỉnh bằng nghị định sang luật hóa quyền riêng tư và quản trị dữ liệu, tiệm cận với các chuẩn mực quốc tế tiên tiến.

Trong bối cảnh chuyển đổi số sâu rộng của giáo dục đại học, Đại học Kinh tế Quốc dân (NEU) là một chủ thể xử lý dữ liệu cá nhân với quy mô lớn, đa dạng và nhạy cảm. Việc nắm vững nội dung Luật và chủ động triển khai tuân thủ là yêu cầu pháp lý bắt buộc, đồng thời là điều kiện để nâng cao uy tín, năng lực quản trị và hội nhập quốc tế của Nhà trường.

I. KHÁI QUÁT CHUNG VỀ LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025

1. Cấu trúc của Luật

Luật Bảo vệ dữ liệu cá nhân năm 2025 gồm 05 chương, 39 điều, quy định một cách hệ thống về:

– Phạm vi điều chỉnh và đối tượng áp dụng;

– Nguyên tắc xử lý dữ liệu cá nhân;

– Quyền và nghĩa vụ của chủ thể dữ liệu;

– Trách nhiệm của bên kiểm soát, bên xử lý dữ liệu;

– Biện pháp bảo vệ, chế tài xử lý vi phạm và cơ chế bảo đảm thực thi.

2. Phạm vi điều chỉnh, đối tượng áp dụng và hiệu lực

Luật điều chỉnh toàn bộ các hoạt động liên quan đến thu thập, lưu trữ, sử dụng, chia sẻ, phân tích, xóa và hủy dữ liệu cá nhân; xác định rõ quyền, nghĩa vụ và trách nhiệm của cơ quan, tổ chức, cá nhân trong quá trình xử lý dữ liệu cá nhân.

Luật áp dụng đối với:

– Cơ quan, tổ chức, cá nhân trong nước;

– Tổ chức, cá nhân nước ngoài có hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam trên lãnh thổ Việt Nam.

Luật có hiệu lực từ 01/01/2026, đồng thời có các quy định chuyển tiếp đối với các hoạt động đã và đang thực hiện theo Nghị định số 13/2023/NĐ-CP.

II. NHỮNG NỘI DUNG TRỌNG TÂM CỦA LUẬT

1. Khái niệm và phân loại dữ liệu cá nhân

Luật xác lập hệ thống khái niệm pháp lý thống nhất, trong đó đáng chú ý là:

– Dữ liệu cá nhân: Thông tin dưới dạng ký hiệu, chữ viết, hình ảnh, âm thanh hoặc dạng tương tự gắn với một con người cụ thể hoặc có thể xác định được một con người cụ thể.

– Dữ liệu cá nhân cơ bản: Các thông tin nhân thân phổ biến như họ tên, ngày sinh, giới tính, quốc tịch, địa chỉ liên hệ, thông tin học tập, nghề nghiệp.

– Dữ liệu cá nhân nhạy cảm: Dữ liệu liên quan trực tiếp đến đời sống riêng tư, khi bị xâm phạm có thể gây ảnh hưởng nghiêm trọng đến quyền, lợi ích hợp pháp của cá nhân, như dữ liệu sức khỏe, sinh trắc học, tài chính, vị trí, quan hệ gia đình, đánh giá cá nhân.

Luật đồng thời phân biệt rõ:

– Bên kiểm soát dữ liệu;

– Bên xử lý dữ liệu;

– Bên kiểm soát và xử lý dữ liệu

nhằm xác định chính xác trách nhiệm pháp lý trong từng hoạt động xử lý dữ liệu.

Khái niệm khử nhận dạng dữ liệu được luật hóa, tạo cơ sở pháp lý cho các biện pháp kỹ thuật bảo mật và khai thác dữ liệu trong môi trường số.

2. Nguyên tắc xử lý và bảo vệ dữ liệu cá nhân

Luật xác lập các nguyên tắc nền tảng, mang tính xuyên suốt:

– Việc xử lý dữ liệu phải có mục đích cụ thể, rõ ràng, hợp pháp và phù hợp với chức năng, nhiệm vụ của tổ chức;

– Dữ liệu cá nhân phải được bảo đảm tính chính xác, đầy đủ, cập nhật và chỉ lưu trữ trong thời gian cần thiết;

– Phải áp dụng đồng bộ biện pháp kỹ thuật và biện pháp tổ chức để bảo đảm an toàn, bảo mật dữ liệu;

– Có trách nhiệm phòng ngừa, phát hiện và xử lý kịp thời các hành vi vi phạm.

Các nguyên tắc này thể hiện sự chuyển dịch từ cách tiếp cận thuần túy kỹ thuật sang mô hình quản trị dữ liệu dựa trên quyền con người, tương đồng với các chuẩn mực quốc tế như GDPR của Liên minh châu Âu.

3. Quyền và nghĩa vụ của chủ thể dữ liệu

Chủ thể dữ liệu (bao gồm viên chức, người lao động, sinh viên, học viên) được Luật bảo đảm các quyền cơ bản:

– Quyền được biết về hoạt động xử lý dữ liệu;

– Quyền đồng ý hoặc rút lại sự đồng ý;

– Quyền truy cập, chỉnh sửa, yêu cầu xóa hoặc hạn chế xử lý dữ liệu;

– Quyền khiếu nại, tố cáo và yêu cầu bồi thường thiệt hại.

Song song với đó, chủ thể dữ liệu có nghĩa vụ:

– Tự bảo vệ dữ liệu của mình;

– Tôn trọng dữ liệu cá nhân của người khác;

– Cung cấp thông tin chính xác theo quy định pháp luật.

4. Trách nhiệm pháp lý và chế tài xử lý vi phạm

Luật quy định nghiêm cấm các hành vi:

– Xử lý dữ liệu trái pháp luật;

– Mua bán, trao đổi dữ liệu cá nhân trái phép;

– Chiếm đoạt, làm lộ, làm mất dữ liệu cá nhân.

Chế tài xử lý vi phạm được thiết kế với mức độ răn đe cao:

– Phạt tiền tối đa đến 03 tỷ đồng đối với tổ chức;

– Phạt đến 10 lần khoản thu bất hợp pháp đối với hành vi mua bán dữ liệu;

– Phạt đến 5% doanh thu năm liền kề đối với một số hành vi nghiêm trọng;

– Truy cứu trách nhiệm hình sự và buộc bồi thường thiệt hại khi có hậu quả.

III. Ý NGHĨA CHIẾN LƯỢC ĐỐI VỚI ĐẠI HỌC KINH TẾ QUỐC DÂN

Trong môi trường đại học số hóa, hầu hết dữ liệu liên quan đến:

– Tuyển sinh, đào tạo, khảo thí;

– Quản lý sinh viên, giảng viên, viên chức;

– Nghiên cứu khoa học, hợp tác quốc tế;

– Hệ thống LMS, ERP, CRM đều thuộc phạm vi dữ liệu cá nhân, trong đó có nhiều dữ liệu nhạy cảm.

Việc tuân thủ Luật là điều kiện để:

– Bảo vệ quyền và lợi ích hợp pháp của người học và người lao động;

– Nâng cao uy tín, trách nhiệm và năng lực quản trị của NEU;

– Đáp ứng yêu cầu của các đối tác quốc tế về tiêu chuẩn quản trị dữ liệu.

IV. GỢI Ý CÁC NHIỆM VỤ NEU CẦN TRIỂN KHAI

1. Kiện toàn tổ chức và nhân sự

– Chỉ định bộ phận và nhân sự chuyên trách bảo vệ dữ liệu cá nhân;

– Phát huy vai trò nòng cốt của Phòng Thanh tra – Pháp chế phối hợp với Trung tâm ƯDCNTT.

2. Hoàn thiện hệ thống văn bản nội bộ

– Ban hành Quy chế bảo vệ dữ liệu cá nhân của NEU;

– Rà soát, bổ sung điều khoản về xử lý dữ liệu trong hợp đồng lao động, hợp đồng đào tạo;

– Chuẩn hóa mẫu biểu đồng ý xử lý dữ liệu.

3. Thực hiện đánh giá tác động xử lý dữ liệu (DPIA)

– Lập hồ sơ DPIA đối với các hệ thống xử lý dữ liệu lớn;

– Đánh giá tác động chuyển dữ liệu xuyên biên giới trong hoạt động hợp tác quốc tế.

4. Tăng cường biện pháp kỹ thuật và an ninh

– Áp dụng mã hóa, kiểm soát truy cập, sao lưu và phục hồi dữ liệu;

– Xây dựng hệ thống tiếp nhận và xử lý yêu cầu của chủ thể dữ liệu.

5. Thiết lập quy trình ứng phó sự cố

– Ban hành quy trình phát hiện, xử lý và thông báo sự cố lộ, mất dữ liệu;

– Bảo đảm nghĩa vụ thông báo cho cơ quan chức năng trong thời hạn luật định.

6. Đào tạo và truyền thông nội bộ

– Tổ chức tập huấn chuyên sâu cho các đơn vị xử lý dữ liệu nhạy cảm;

– Đưa nội dung bảo vệ dữ liệu cá nhân thành nội dung đào tạo thường xuyên.

KẾT LUẬN

Luật Bảo vệ dữ liệu cá nhân 2025 không chỉ là nghĩa vụ tuân thủ pháp luật mà còn là công cụ quản trị hiện đại, góp phần nâng cao chất lượng quản lý, bảo vệ quyền con người và thúc đẩy chuyển đổi số bền vững trong giáo dục đại học. Việc NEU chủ động, bài bản và sớm triển khai thực hiện Luật sẽ tạo nền tảng vững chắc cho sự phát triển lâu dài, uy tín và hội nhập quốc tế của Đại học.