Luật gồm V chương, 39 điều, quy định về phạm vi, đối tượng điều chỉnh, nguyên tắc bảo vệ dữ liệu cá nhân; quyền và nghĩa vụ của chủ thể dữ liệu cá nhân; xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân; bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân và trong một số hoạt động; lực lượng, điều kiện bảo đảm bảo vệ dữ liệu cá nhân; trách nhiệm của cơ quan, tổ chức, cá nhân về bảo vệ dữ liệu cá nhân.
- Về đối tượng áp dụng (Điều 1)
Luật áp dụng đối với: Cơ quan, tổ chức, cá nhân Việt Nam; Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam; Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.
- Về nguyên tắc bảo vệ dữ liệu cá nhân (Điều 3)
Tuân thủ quy định của Hiến pháp, quy định của Luật này và quy định khác của pháp luật có liên quan; Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật; Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phủ hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác; Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân; Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân; Bảo vệ dữ liệu cá nhân gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
- Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân (Điều 4)
+ Quyền của chủ thể dữ liệu cá nhân bao gồm: a) Được biết về hoạt động xử lý dữ liệu cá nhân; b) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân; c) Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân; d) Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân; đ) Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật; e) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.
+ Nghĩa vụ của chủ thể dữ liệu cá nhân bao gồm: a) Tự bảo vệ dữ liệu cá nhân của mình; b) Tôn trọng, bảo vệ dữ liệu cá nhân của người khác; c) Cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý dữ liệu cá nhân của mình; d) Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân.
- Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân (Điều 8)
Tùy theo mức độ vi phạm, các hành vi vi phạm Luật sẽ bị xử lý hành chính hoặc truy cứu trách nhiệm hình sự. Các mức xử phạt cụ thể bao gồm: Phạt tiền (lên đến 3 tỷ đồng đối với tổ chức, hoặc 1,5 tỷ đồng đối với cá nhân); Phạt theo tỷ lệ phần trăm doanh thu trong trường hợp vi phạm liên quan đến chuyển dữ liệu cá nhân xuyên biên giới; Truy cứu trách nhiệm hình sự đối với hành vi nghiêm trọng; Buộc khắc phục hậu quả và bồi thường thiệt hại theo quy định của Bộ luật Dân sự.
- Luật quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân (từ Điều 9 đến Điều 23); bảo vệ dữ liệu cá nhân trong một số hoạt động (từ Điều 24 đến Điều 32); lực lượng, điều kiện bảo đảm bảo vệ dữ liệu cá nhân (từ Điều 33 đến Điều 35); trách nhiệm của cơ quan, tổ chức, cá nhân về bảo vệ dữ liệu cá nhân (Điều 36, 37).
Luật có hiệu lực thi hành từ ngày 01/01/2026.
Xem chi tiết Luật tại: https://datafiles.chinhphu.vn/cpp/files/vbpq/2025/7/91qh.signed.pdf