Ngày 26/6, Quốc hội biểu quyết thông qua Luật Bảo vệ dữ liệu cá nhân với 433/435 đại biểu Quốc hội tham gia biểu quyết tán thành, chiếm 90,59% tổng số đại biểu.
Luật cấm các hành vi: Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; Cản trở hoạt động bảo vệ dữ liệu cá nhân; Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; Xử lý dữ liệu cá nhân trái quy định của pháp luật; Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật; Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác; Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Bên cạnh đó, Luật quy định tổ chức, cá nhân có hành vi vi phạm quy định của Luật này và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật. Việc xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân thực hiện theo quy định tại các khoản 3, 4, 5, 6 và 7 Điều này và pháp luật về xử lý vi phạm hành chính.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 3 tỷ đồng. Mức phạt tiền tối đa quy định tại các khoản 3, 4 và 5 Điều này được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức. Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Trước đó, Chủ nhiệm Ủy ban Quốc phòng, An ninh và Đối ngoại của Quốc hội Lê Tấn Tới đã báo cáo giải trình, tiếp thu, chỉnh lý dự thảo Luật Bảo vệ dữ liệu cá nhân.
Trong đó, về đánh giá tác động khi xử lý dữ liệu cá nhân và khi chuyển dữ liệu cá nhân xuyên biên giới cơ bản kế thừa các nội dung do Chính phủ trình. Theo đó cơ quan, tổ chức chỉ cần lập hồ sơ này một lần cho suốt quá trình hoạt động và cập nhật khi có thay đổi và cơ quan chức năng sẽ thực hiện kiểm tra hồ sơ khi xét thấy cần thiết. Đối với cả hai loại đánh giá tác động này, nếu đã thực hiện theo quy định của Luật này thì không phải thực hiện việc đánh giá rủi ro tương tự theo quy định của Luật Dữ liệu. Bổ sung bảo vệ dữ liệu cá nhân đối với các đối tượng là người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi để bảo đảm đầy đủ, bao quát…
