Luật số 91/2025/QH15 (“Luật Bảo vệ Dữ liệu Cá nhân”) và Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 Quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ Dữ liệu Cá nhân (“Nghị định 356”) chính thức có hiệu lực kể từ ngày 1/1/2026 đã đặt ra một hành lang pháp lý mới. Theo đó, việc doanh nghiệp tuân thủ quy định về bảo vệ dữ liệu cá nhân không chỉ dừng lại ở khuyến nghị nữa mà đã đặt ra những “lằn ranh đỏ” với chế tài xử phạt vi phạm hành chính lên tới 5% doanh thu, buộc doanh nghiệp phải tái cấu trúc toàn diện chiến lược dữ liệu.
Kỷ nguyên “hậu” Nghị định 13/2023/NĐ-CP: Từ khuyến nghị đến xử phạt
Ngày 01/01/2026 là thời điểm có hiệu lực của cả Luật Bảo vệ Dữ liệu Cá nhân và Nghị định 356, thay thế hoàn toàn Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã được ban hành trước đó (“Nghị định 13/2023”). Nếu trước đây, nhiều doanh nghiệp còn tâm lý “chờ đợi” hướng dẫn thi hành đối với một nội dung còn chưa rõ ràng của Nghị định 13/2023, thì với sự ra đời của Luật Bảo vệ Dữ liệu Cá nhân và Nghị định 356, doanh nghiệp không còn trong thế chờ đợi nữa, mà bắt buộc phải hành động ngay.
Điểm thay đổi lớn nhất nằm ở Điều 8 Luật Bảo vệ Dữ liệu Cá nhân. Theo đó, tổ chức, cá nhân có hành vi vi phạm quy định của Luật Bảo vệ Dữ liệu Cá nhân và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật. Trong đó, mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm, và mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó. Đây là mức chế tài tiệm cận với tiêu chuẩn GDPR của Châu Âu, biến rủi ro pháp lý trở thành rủi ro tài chính trọng yếu, có thể “thổi bay” lợi nhuận năm tài chính của doanh nghiệp vi phạm.
Bên cạnh đó, Nghị định 356 đã mở rộng khái niệm “Dữ liệu nhạy cảm” bao gồm cả thông tin tài khoản số, dữ liệu vị trí, lịch sử giao dịch ngân hàng, dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông. Điều này đồng nghĩa với việc từ các tổ chức tín dụng, mạng xã hội, doanh nghiệp cung cấp dịch vụ viễn thông, truyền thông, sàn thương mại điện tử cho đến các doanh nghiệp bán lẻ đều đang nắm giữ các dữ liệu cá nhân nhạy cảm và nếu vi phạm, sẽ phải gánh chịu chế tài xử phạt vi phạm nêu trên.
Rủi ro pháp lý: Không chỉ xử phạt bằng tiền
Nghị định 356 quy định phản hồi yêu cầu của chủ thể dữ liệu trong vòng 02 ngày làm việc. Đây là một thách thức không nhỏ về mặt quy trình, đòi hỏi hệ thống cần phải tự động nhận diện yêu cầu, xác thực danh tính người yêu cầu (để tránh rò rỉ dữ liệu cho kẻ mạo danh), và gửi phản hồi tự động. Nếu xử lý thủ công qua email, rủi ro trễ hạn là rất lớn. Còn trong trường hợp chủ thể yêu cầu xóa dữ liệu, Bên kiểm soát dữ liệu cá nhân có trách nhiệm yêu cầu Bên xử lý dữ liệu cá nhân và Bên thứ ba thực hiện xóa trong vòng 30 ngày kể từ ngày nhận được yêu cầu xoá dữ liệu đó. Vấn đề nằm ở chỗ quy định “30 ngày” cho cả chuỗi quy trình này đòi hỏi sự tích hợp hệ thống hoặc các cam kết hợp đồng cực kỳ chặt chẽ. Sự chậm trễ của bất cứ một bên nào trong chu trình nêu trên có thể khiến doanh nghiệp vi phạm luật.
Tuy nhiên, rủi ro đối với doanh nghiệp vi phạm Luật Bảo vệ Dữ liệu Cá nhân và Nghị định 356, ví dụ như trong trường hợp nêu trên, không chỉ nằm ở chế tài xử phạt hành chính. Điều 20 Luật Bảo vệ Dữ liệu Cá nhân còn trao quyền cho Bộ Công an yêu cầu ngừng chuyển dữ liệu ra nước ngoài khi phát hiện dữ liệu cá nhân được chuyển để sử dụng vào hoạt động có thể gây tổn hại đến quốc phòng, an ninh quốc gia. Đối với các tập đoàn đa quốc gia hoặc doanh nghiệp sử dụng máy chủ đám mây (Cloud) đặt tại nước ngoài, việc bị chặn dòng chảy dữ liệu giống như chặn dòng máu đang chảy tới các bộ phận, cơ quan để nuôi sống “cơ thể” doanh nghiệp vậy.
Khi ngoại lệ không thực sự là ngoại lệ:
Điều 41, Nghị định 356 có quy định “ân hạn” cho doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp trong thời gian 05 năm kể từ ngày Luật Bảo vệ Dữ liệu Cá nhân có hiệu lực thi hành (1/1/2026). Cụ thể, doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện việc Đánh giá tác động xử lý dữ liệu cá nhân (Điều 21 Luật Bảo vệ Dữ liệu Cá nhân), Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (Điều 22 Luật Bảo vệ Dữ liệu Cá nhân) và chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (khoản 2 Điều 33 Luật Bảo vệ Dữ liệu Cá nhân). Trong khi, hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện quy định nêu trên.
Tuy nhiên, ngoại lệ này không áp dụng trong trường hợp doanh nghiệp nhỏ, siêu nhỏ, doanh nghiệp khởi nghiệp và hộ kinh doanh kinh doanh dịch vụ xử lý dữ liệu cá nhân, hoăc trực tiếp xử lý dữ liệu cá nhân nhạy cảm, hoặc xử lý dữ liệu quy mô từ 100.000 chủ thể trở lên. Quy định này đặt các doanh nghiệp ngành Fintech, E-commerce, và Digital Marketing, bao gồm cả các doanh nghiệp nhỏ, siêu nhỏ, doanh nghiệp khởi nghiệp công nghệ vào nhóm đối tượng phải xử lý dữ liệu nhạy cảm, buộc họ phải tuân thủ các quy trình bảo mật cao nhất ngay từ đầu.
Bảo vệ dữ liệu cá nhân trong một số lĩnh vực đặc thù: Doanh nghiệp phải hành động ngay
Luật Bảo vệ Dữ liệu Cá nhân đưa ra các yêu cầu tuân thủ đặc biệt nghiêm ngặt đối với một số lĩnh vực đặc thù, có kiểm soát hoặc kiểm soát và xử lý số lượng lớn dữ liệu cá nhân như lĩnh vực tài chính – ngân hàng, tiếp thị & quảng cáo, y tế & bảo hiểm, mạng xã hội & truyền thông trực tuyến, xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo, điện toán đám mây…
Đơn cử như trong lĩnh vực tài chính – ngân hàng, Điều 27 Luật Bảo vệ Dữ liệu Cá nhân cấm tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng sử dụng thông tin tín dụng của chủ thể dữ liệu cá nhân để chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng của chủ thể dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể dữ liệu cá nhân. Các tổ chức tài chính – ngân hàng có trách nhiệm áp dụng tiêu chuẩn, quy chuẩn kỹ thuật bảo vệ dữ liệu cá nhân; quy chuẩn kỹ thuật khử nhận dạng dữ liệu cá nhân, ẩn danh dữ liệu cá nhân được ban hành và áp dụng tại Việt Nam; thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần; ghi lại nhật ký toàn bộ hoạt động xử lý dữ liệu cá nhân (Điều 8 Nghị định 356).
Tương tự, trong trường hợp xử lý dữ liệu lớn có chứa dữ liệu cá nhân, một trong những trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan là tuân thủ các quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu ngay từ thời điểm bắt đầu xử lý, và phải xây dựng chính sách lưu trữ, xóa, hủy dữ liệu cá nhân phù hợp, đúng quy định pháp luật, đồng thời phải áp dụng nhiều biện pháp bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu lớn như được quy định chi tiết tại Điều 9.3 Nghị định 356.
Như vậy, ngay sau khi Luật Bảo vệ Dữ liệu Cá nhân và Nghị định 356 có hiệu lực thi hành, các cơ quan, tổ chức, cá nhân hoạt động trong một số lĩnh vực đặc thù như trên buộc phải có chiến lược, kế hoạch hành động ngay để tránh các rủi ro pháp lý và chế tài xử phạt vi phạm hành chính nếu vi phạm.
Giờ “G” chuyển đổi và khuyến nghị các bước triển khai
Ngoại trừ một số trường hợp ngoại lệ áp dụng riêng cho doanh nghiệp nhỏ, siêu nhỏ, doanh nghiệp khởi nghiệp và hộ kinh doanh như được quy định tại Điều 38 của Luật Bảo vệ Dữ liệu Cá nhân và được quy định chi tiết theo Điều 41 của Nghị định 356, tất cả các trường hợp còn lại đều phải thực hiện ngay các bước tuân thủ quy định bảo vệ dữ liệu cá nhân kể từ thời điểm 1/1/2026, thời điểm có hiệu lực đồng thời của Luật Bảo vệ Dữ liệu Cá nhân và Nghị định 356.
Dựa trên kinh nghiệm đã triển khai và tư vấn thành công cho nhiều doanh nghiệp tại Việt Nam về tuân thủ quy định bảo vệ dữ liệu cá nhân, chúng tôi khuyến nghị doanh nghiệp phải triển khai ngay các bước như sau:
Đây là bước đầu tiên nhưng cũng là bước rất quan trọng giúp doanh nghiệp xác định được doanh nghiệp của mình đang ở đâu trong bản đồ tuân thủ pháp luật bảo vệ dữ liệu cá nhân. Để làm được việc này, doanh nghiệp cần xây dựng Danh mục/Checklist tuân thủ, xác định luồng dữ liệu cá nhân đầu vào và đầu ra, loại dữ liệu cá nhân (dữ liệu cá nhân cơ bản hay dữ liệu cá nhân nhạy cảm), xác định vai trò của doanh nghiệp là bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân hay bên thứ ba, quy trình xử lý dữ liệu cá nhân (bao gồm thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân…).
Dựa trên kết quá đánh giá hiện trạng tuân thủ pháp luật về bảo vệ dữ liệu cá nhân ở Bước 1 nêu trên, doanh nghiệp cần xây dựng khung chính sách và quy trình tuân thủ pháp luật bảo vệ dữ liệu cá nhân, trong đó tập trung vào việc rà soát và cập nhật lại các chính sách quyền riêng tư, để đảm bảo minh bạch, rõ ràng, và có sự tách biệt các mục đích xử lý, sửa đổi lại các hợp đồng/ thoả thuận hoặc ký phụ lục sửa đổi, bổ sung để quy định thêm về quy trình xử lý dữ liệu cá nhân, mục đích xử lý dữ liệu cá nhân cũng như các phương thức, phương tiện về việc xử lý dữ liệu cá nhân, quy trình phản hồi yêu cầu chủ thể… Bên cạnh đó, trong Bước này, doanh nghiệp cũng cần xác định việc chỉ định bộ phận, hoặc nhân sự bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân và cần lưu ý về điều kiện của nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức như được quy định tại Điều 13 của Nghị định 356.
Việc đào tạo nội bộ trong thời gian này cũng là việc làm cần thiết để đảm bảo toàn bộ nhân sự trong công ty có cách hiểu chung, thống nhất về chính sách và quy trình xử lý dữ liệu cá nhân của doanh nghiệp, giúp việc triển khai ở Bước tiếp theo hiệu quả và thuận lợi.
Doanh nghiệp cần xác định được các giải pháp công nghệ và các công cụ quản lý sự đồng ý, mã hoá dữ liệu cá nhân nhạy cảm và thiết lập hệ thống phòng chống rò rỉ dữ liệu. Bên cạnh đó, doanh nghiệp phải hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, như được quy định tại Điều 19 Nghị định 356, và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (nếu có), được quy định tại Điều 18, Nghị định 356, để trình nộp cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Theo kinh nghiệm của chúng tôi, đây là Bước tốn kém thời gian nhất của doanh nghiệp, đặc biệt là các doanh nghiệp đặc thù có xử lý số lượng lớn dữ liệu cá nhân như lĩnh vực tài chính – ngân hàng, tiếp thị & quảng cáo, y tế & bảo hiểm, mạng xã hội & truyền thông trực tuyến, sàn giao dịch thương mại điện tử…
Sau khi hoàn tất các công việc ở Bước 3 nêu trên, doanh nghiệp cần duy trì việc đào tạo định kỳ nâng cao nhận thức cho toàn bộ nhân sự trong doanh nghiệp, đảm bảo các nhân sự hiểu được nguyên tắc cơ bản của việc bảo vệ dữ liệu cá nhân, bảo mật dữ liệu cá nhân, quy trình báo cáo, phản hồi đối với các hành vi vi phạm pháp luật bảo vệ dữ liệu cá nhân.
Lời kết:
Trong kỷ nguyên số, dữ liệu nói chung và dữ liệu cá nhân nói riêng sẽ trở thành một loại tài sản vô hình có giá trị. Nhận thức được việc này, Việt Nam đã ban hành nhiều văn bản quy phạm pháp luật điều chỉnh. Trong đó, 02 văn bản quy phạm pháp luật điều chỉnh trực tiếp vấn đề bảo vệ dữ liệu cá nhân (Luật Bảo vệ Dữ liệu Cá nhân và Nghị định 356) không chỉ tạo ra hành lang pháp lý mà còn là tiền đề để các doanh nghiệp tái cấu trúc hệ thống quản trị thông tin của mình. Các doanh nghiệp cần hành động ngay hôm nay, không chỉ cho mục đích tuân thủ, mà còn để tạo dựng được lợi thế cạnh tranh bền vững trước các đối thủ chậm chân.
GIỚI THIỆU VỀ ASIA LEGAL
Asia Legal là một trong những công ty luật kinh doanh uy tín hàng đầu tại Việt Nam, nổi bật với sự am hiểu sâu sắc về văn hóa, chính trị và sự phát triển pháp lý trong nước kết hợp với các tiêu chuẩn chuyên môn quốc tế. Được dẫn dắt bởi Luật sư điều hành Lưu Xuân Vĩnh – một trong các Luật sư hàng đầu Việt Nam trong mảng kinh doanh, thương mại, đầu tư và giải quyết tranh chấp, Asia Legal đã khẳng định vị thế vững chắc trong các lĩnh vực Mua bán & Sáp nhập (M&A), Năng lượng & Khoáng sản, Giải quyết Tranh chấp Trọng tài và đặc biệt là Bảo vệ Dữ liệu & Quyền riêng tư.
Là một trong những đơn vị tiên phong tại Việt Nam tư vấn pháp lý chuyên sâu về Bảo vệ Dữ liệu & Quyền riêng tư, Asia Legal đã xây dựng riêng một chuyên trang pháp luật về bảo vệ dữ liệu cá nhân (dataprivacy.vn), đồng thời đã và đang tổ chức và phối hợp tổ chức với các đối tác khác nhiều chuyên đề bảo vệ dữ liệu cá nhân.
Với phương châm “A Business Approach to Legal Services” (Tiếp cận pháp lý từ góc độ kinh doanh), Asia Legal không chỉ cung cấp tư vấn pháp lý thuần túy mà còn mang đến các giải pháp chiến lược phù hợp với bối cảnh thương mại của từng khách hàng. Đội ngũ của Asia Legal, bao gồm các luật sư và chuyên gia trong các lĩnh vực khác nhau, thường xuyên đóng góp ý kiến cho các dự thảo luật quan trọng, đảm bảo khách hàng luôn nhận được sự tư vấn tiên phong và thực tiễn nhất trước những thay đổi phức tạp của hệ thống pháp luật về kinh doanh, thương mại và đầu tư tại Việt Nam. Với mảng Bảo vệ Dữ liệu & Quyền riêng tư, Asia Legal cung cấp các dịch vụ toàn diện từ rà soát và đánh giá tuân thủ pháp luật bảo vệ dữ liệu cá nhân, xây dựng khung chính sách & quy trình tuân thủ pháp luật bảo vệ dữ liệu cá nhân, lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, đến tư vấn và đào tạo nội bộ doanh nghiệp về pháp lý đối với vấn đề bảo vệ dữ liệu cá nhân.
Thông tin liên hệ:
- Công ty Luật Asia Legal
- Tầng 15, Toà nhà HT, số 80 Duy Tân, Cầu Giấy, Hà Nội
- Hotline: (+84)84 400 8484 (Zalo/ WhatsApp)
- Email: info@asialegal.vn