Bảo vệ dữ liệu cá nhân trong một số hoạt động

Hãng Luật Bạch Tuyết xin giới thiệu bạn đọc bài viết chủ đề “Bảo vệ dữ liệu cá nhân trong một số hoạt động”. Bài viết được chia ra làm 2 phần, ở phần 1 này tác giả sẽ trình bày quy định về bảo vệ dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi; Bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý, sử dụng người lao động; Và bảo mật dữ liệu cá nhân đối với thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm, trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng.

1. Bảo vệ dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi

Bảo vệ dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi được quy định tại Điều 24 Luật bảo vệ dữ liệu cá nhân năm 2025 như sau:

(1) Bảo vệ dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi thực hiện theo quy định của Luật này.

(2) Đối với trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự hoặc người có khó khăn trong nhận thức, làm chủ hành vi thì người đại diện theo pháp luật thay mặt thực hiện các quyền của chủ thể dữ liệu cá nhân, trừ các trường hợp quy định tại khoản 1 Điều 19 của Luật này. Việc xử lý dữ liệu cá nhân của trẻ em nhằm công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em từ đủ 07 tuổi trở lên thì phải có sự đồng ý của trẻ em và người đại diện theo pháp luật.

(3) Ngừng xử lý dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi trong trường hợp sau đây:

Người đã đồng ý quy định tại khoản 2 Điều 24 Luật bảo vệ dữ liệu cá nhân 2025 rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi, trừ trường hợp pháp luật có quy định khác;
Theo yêu cầu của cơ quan có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý dữ liệu cá nhân có thể xâm phạm đến quyền, lợi ích hợp pháp của trẻ em, người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi, trừ trường hợp pháp luật có quy định khác.

Tham khảo bài viết: Xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân

2. Bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý, sử dụng người lao động

Điều 25 Luật bảo vệ dữ liệu cá nhân quy định về bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý, sử dụng lao động như sau:

Trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong tuyển dụng lao động được quy định như sau:

(1) Chỉ được yêu cầu cung cấp các thông tin phục vụ cho mục đích tuyển dụng của cơ quan, tổ chức, cá nhân tuyển dụng phù hợp với quy định của pháp luật; thông tin được cung cấp chỉ được sử dụng vào mục đích tuyển dụng và mục đích khác theo thỏa thuận phù hợp với quy định của pháp luật;

(2) Thông tin cung cấp phải được xử lý theo quy định của pháp luật và phải được sự đồng ý của người dự tuyển;

(3) Phải xóa, hủy thông tin đã cung cấp của người dự tuyển trong trường hợp không tuyển dụng, trừ trường hợp có thỏa thuận khác với người đã dự tuyển.

Trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong quản lý, sử dụng người lao động được quy định như sau:

(1) Tuân thủ quy định của Luật bảo vệ dữ liệu cá nhân, pháp luật về lao động, việc làm, pháp luật về dữ liệu và quy định khác của pháp luật có liên quan;

(2) Dữ liệu cá nhân của người lao động phải lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận;

(3) Phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.

Việc xử lý dữ liệu cá nhân của người lao động được thu thập bằng biện pháp công nghệ, kỹ thuật trong quản lý người lao động được quy định như sau:

(1) Chỉ được áp dụng các biện pháp công nghệ, kỹ thuật phù hợp với quy định của pháp luật và bảo đảm quyền, lợi ích của chủ thể dữ liệu cá nhân, trên cơ sở người lao động biết rõ biện pháp đó;

(2) Không được xử lý, sử dụng dữ liệu cá nhân thu thập từ các biện pháp công nghệ, kỹ thuật trái quy định của pháp luật.

3. Bảo vệ dữ liệu cá nhân đối với thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm

Điều 26 Luật bảo vệ dữ liệu cá nhân năm 2025 quy định về bảo vệ dữ liệu cá nhân đối với thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm như sau:

(1) Việc bảo vệ dữ liệu cá nhân đối với các thông tin sức khỏe và trong hoạt động kinh doanh bảo hiểm được quy định như sau:

Phải có sự đồng ý của chủ thể dữ liệu cá nhân trong quá trình thu thập, xử lý dữ liệu cá nhân, trừ trường hợp quy định tại khoản 1 Điều 19 của Luật này;
Áp dụng đầy đủ quy định về bảo vệ dữ liệu cá nhân, quy định khác của pháp luật có liên quan.

(2)Cơ quan, tổ chức, cá nhân hoạt động trong lĩnh vực sức khỏe không cung cấp dữ liệu cá nhân cho bên thứ ba là tổ chức cung cấp dịch vụ chăm sóc sức khỏe hoặc dịch vụ bảo hiểm sức khỏe, bảo hiểm nhân thọ, trừ trường hợp có yêu cầu bằng văn bản của chủ thể dữ liệu cá nhân hoặc trường hợp quy định tại khoản 1 Điều 19 của Luật này.

(3)Tổ chức, cá nhân phát triển ứng dụng về y tế, ứng dụng về kinh doanh bảo hiểm phải tuân thủ đầy đủ quy định về bảo vệ dữ liệu cá nhân.

(4) Trường hợp doanh nghiệp kinh doanh tái bảo hiểm, nhượng tái bảo hiểm và có chuyển dữ liệu cá nhân cho đối tác cần được nêu rõ trong hợp đồng với khách hàng.

4. Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng

Điều 27 Luật bảo vệ dữ liệu cá nhân quy định về bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng như sau:

(1) Tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng có trách nhiệm sau đây:

Thực hiện đầy đủ quy định về bảo vệ dữ liệu cá nhân nhạy cảm, các tiêu chuẩn an toàn, bảo mật trong hoạt động tài chính, ngân hàng theo quy định của pháp luật;
Không sử dụng thông tin tín dụng của chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể dữ liệu cá nhân;
Chỉ thu thập những dữ liệu cá nhân cần thiết phục vụ cho hoạt động thông tin tín dụng từ các nguồn phù hợp với quy định của Luật này và các quy định khác của pháp luật có liên quan;
Thông báo cho chủ thể dữ liệu cá nhân trong trường hợp lộ, mất thông tin về tài khoản ngân hàng, tài chính, tín dụng, thông tin tín dụng.

(2) Tổ chức, cá nhân thực hiện hoạt động thông tin tín dụng có trách nhiệm tuân thủ quy định của Luật này; áp dụng các biện pháp phòng, chống truy cập, sử dụng, tiết lộ, chỉnh sửa trái phép dữ liệu cá nhân của khách hàng; có giải pháp khôi phục dữ liệu cá nhân của khách hàng trong trường hợp bị mất; bảo mật trong quá trình thu thập, cung cấp, xử lý dữ liệu cá nhân của khách hàng phục vụ đánh giá thông tin tín dụng.

Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng được hướng dẫn chi tiết theo quy định tại Điều 8 Nghị định 356/2025/NĐ-CP, như sau:

(1) Tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng có trách nhiệm áp dụng tiêu chuẩn, quy chuẩn kỹ thuật bảo vệ dữ liệu cá nhân; quy chuẩn kỹ thuật khử nhận dạng dữ liệu cá nhân, ẩn danh dữ liệu cá nhân được ban hành và áp dụng tại Việt Nam; thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần; ghi lại nhật ký toàn bộ hoạt động xử lý dữ liệu cá nhân.

(2) Tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng là bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân khi xin sự đồng ý của chủ thể dữ liệu cá nhân phải đảm bảo nêu rõ:

Các mục đích xử lý dữ liệu cá nhân, bao gồm hoạt động chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng nếu có;
Nguồn thu thập dữ liệu cá nhân và các bên thu thập, chia sẻ dữ liệu cá nhân liên quan;
Thời gian lưu trữ dữ liệu cá nhân;
Cơ chế, cách thức rút lại sự đồng ý và chính sách xóa, hủy dữ liệu cá nhân theo quy định.

(3) Trong thời hạn không quá 72 giờ sau khi phát hiện lộ, mất dữ liệu nhạy cảm của chủ thể dữ liệu cá nhân trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng, tổ chức, cá nhân trực tiếp thu thập dữ liệu cá nhân của chủ thể dữ liệu có trách nhiệm thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân và chủ thể dữ liệu cá nhân. Nội dung thông báo cần đảm bảo tối thiểu các nội dung quy định tại khoản 1 Điều 28 Nghị định này.

Trên đây là bài viết của Hãng Luật Bạch Tuyết về chủ đề “Bảo vệ dữ liệu cá nhân trong một số hoạt động (phần 1)” dựa trên quy định pháp luật hiện hành. Nội dung không phải là ý kiến tư vấn pháp lý cho một trường hợp cụ thể. Các quy định pháp luật được trích dẫn có hiệu lực tại thời điểm đăng tải, tuy nhiên có thể đã được sửa đổi, bổ sung hoặc thay thế sau đó. Vì vậy, Quý khách hàng nên tham khảo ý kiến chuyên gia trước khi áp dụng vào tình huống thực tế.

Nếu Quý khách hàng có thắc mắc liên quan đến chủ đề trên hoặc cần tư vấn pháp lý trong các lĩnh vực khác, vui lòng liên hệ với Hãng Luật Bạch Tuyết theo thông tin sau:

THÔNG TIN LIÊN HỆ:

Trụ sở chính: 1132 Lê Đức Thọ, phường An Hội Đông, Thành phố Hồ Chí Minh.

Fanpage: Hãng Luật Bạch Tuyết

Tel: 0986 797 648

Chi nhánh 1: 529/122 Huỳnh Văn Bánh, phường Phú Nhuận, Thành phố Hồ Chí Minh.

Fanpage: Hãng Luật Bạch Tuyết – Chi nhánh Phú Nhuận

Tel: 0376 019 226

Chi nhánh 2: Tầng 3, 56 Bùi Thiện Ngộ, phường Nam Nha Trang, tỉnh Khánh Hòa.

Fanpage: Hãng Luật Bạch Tuyết – Chi nhánh Nha Trang

Tel: 0971 926 781

Mail: luatbachtuyet@gmail.com

Website: https://hangluatbachtuyet.com/