Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP có hiệu lực từ ngày 01/01/2026, đánh dấu bước chuyển quan trọng trong khung pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam. Từ năm 2026, doanh nghiệp phải đối diện với một hệ thống nghĩa vụ cụ thể hơn, chặt chẽ hơn và có chế tài nghiêm khắc hơn. Các quy định mới tác động trực tiếp đến hầu hết doanh nghiệp có thu thập, lưu trữ, phân tích, chia sẻ hoặc chuyển dữ liệu cá nhân, đặc biệt là doanh nghiệp thương mại điện tử, công nghệ, tài chính, giáo dục, y tế, tuyển dụng, marketing, logistics, cloud và SaaS. Trong bài viết này, FIRST COUNSEL tổng hợp các điểm trọng yếu mà doanh nghiệp cần lưu ý khi rà soát hệ thống tuân thủ dữ liệu cá nhân.
Bối cảnh pháp lý mới về bảo vệ dữ liệu cá nhân tại Việt Nam
Luật Bảo vệ dữ liệu cá nhân 2025 tạo ra khung pháp lý ở cấp luật về quyền, nghĩa vụ và trách nhiệm của cơ quan, tổ chức, cá nhân trong quá trình xử lý dữ liệu cá nhân. Cùng với đó, Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật, bao gồm điều kiện bảo vệ dữ liệu cá nhân, nhân sự bảo vệ dữ liệu cá nhân, dịch vụ xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động, thông báo vi phạm và trách nhiệm của các cơ quan quản lý nhà nước.
Đối với doanh nghiệp, đây không chỉ là vấn đề pháp lý riêng lẻ, mà là một yêu cầu quản trị tổng thể, liên quan đến pháp chế, công nghệ thông tin, an ninh mạng, nhân sự, marketing, chăm sóc khách hàng, bán hàng, vận hành và quản trị rủi ro.
Siết chặt cơ chế đồng ý và quyền của chủ thể dữ liệu
Trong nhiều trường hợp, doanh nghiệp cần có sự đồng ý hợp lệ của chủ thể dữ liệu trước khi thu thập, sử dụng, chia sẻ hoặc chuyển dữ liệu cá nhân. Sự đồng ý phải được thể hiện rõ ràng, tự nguyện, có thể kiểm chứng và gắn với mục đích xử lý cụ thể. Các cơ chế như ô tích sẵn, mặc định đồng ý, thiết kế gây nhầm lẫn hoặc suy đoán sự đồng ý từ sự im lặng của khách hàng đều tiềm ẩn rủi ro pháp lý cao.
Bên cạnh đó, doanh nghiệp phải thiết lập quy trình để tiếp nhận và xử lý yêu cầu của chủ thể dữ liệu, bao gồm yêu cầu được biết, truy cập, chỉnh sửa, xóa dữ liệu, hạn chế xử lý, phản đối xử lý, rút lại sự đồng ý hoặc các quyền khác theo quy định.
Điểm khó trong thực tiễn không nằm ở việc ghi nhận quyền trên chính sách bảo mật, mà nằm ở khả năng vận hành. Doanh nghiệp cần có quy trình nội bộ, đầu mối phụ trách, biểu mẫu xử lý yêu cầu, cơ chế xác minh danh tính và thời hạn phản hồi rõ ràng để bảo đảm quyền của chủ thể dữ liệu được thực hiện thực chất.
Chuẩn hóa bộ phận và nhân sự bảo vệ dữ liệu cá nhân
Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356 đặt ra yêu cầu rõ hơn về bộ phận và nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức. Nhân sự bảo vệ dữ liệu cá nhân không chỉ thực hiện vai trò tư vấn pháp lý, mà còn tham gia xây dựng chính sách, quy trình, biểu mẫu tuân thủ, triển khai quyền của chủ thể dữ liệu, lập hồ sơ đánh giá tác động, tiếp nhận và báo cáo vi phạm, tổ chức đào tạo nội bộ và phối hợp triển khai các biện pháp kỹ thuật bảo vệ dữ liệu.
Nghị định 356 cũng quy định điều kiện đối với cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân, trong đó có yêu cầu về trình độ chuyên môn và kinh nghiệm. Điều này cho thấy vai trò bảo vệ dữ liệu cá nhân đang được chuyên nghiệp hóa, thay vì chỉ giao kiêm nhiệm hình thức cho một nhân sự hành chính hoặc pháp chế.
Đối với doanh nghiệp, việc chỉ định nhân sự hoặc bộ phận phụ trách bảo vệ dữ liệu cá nhân cần được thực hiện trên cơ sở đánh giá quy mô xử lý dữ liệu, loại dữ liệu đang xử lý, mức độ rủi ro và khả năng đáp ứng yêu cầu vận hành hằng ngày.
Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân
Một điểm mới đáng chú ý của Nghị định 356 là cơ chế cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân. Quy định này có tác động trực tiếp đến các tổ chức cung cấp dịch vụ xử lý dữ liệu cá nhân cho bên khác, chẳng hạn các đơn vị cung cấp giải pháp công nghệ, phân tích dữ liệu, dịch vụ cloud, SaaS, marketing automation, CRM, chấm điểm tín dụng, xử lý dữ liệu thuê ngoài hoặc các mô hình dịch vụ có hoạt động xử lý dữ liệu cá nhân theo yêu cầu của khách hàng.
Tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân phải đáp ứng điều kiện nhất định và thực hiện thủ tục đề nghị cấp giấy chứng nhận. Cơ quan chuyên trách bảo vệ dữ liệu cá nhân sẽ thẩm định, xem xét và quyết định việc cấp giấy chứng nhận trong thời hạn luật định.
Đây là điểm doanh nghiệp công nghệ, đơn vị cung cấp dịch vụ thuê ngoài và các nhà cung cấp giải pháp xử lý dữ liệu cần đặc biệt rà soát, vì việc bị xác định là “kinh doanh dịch vụ xử lý dữ liệu cá nhân” có thể kéo theo yêu cầu về điều kiện kinh doanh, nhân sự, quy trình bảo mật và trách nhiệm pháp lý cao hơn.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và chuyển dữ liệu xuyên biên giới
Luật Bảo vệ dữ liệu cá nhân 2025 tiếp tục nhấn mạnh nghĩa vụ lập và cập nhật hồ sơ đánh giá tác động trong hoạt động xử lý dữ liệu cá nhân. Doanh nghiệp cần lưu ý hai nhóm hồ sơ quan trọng: DPIA (hồ sơ đánh giá tác động xử lý dữ liệu cá nhân) giúp nhận diện hoạt động xử lý dữ liệu, mục đích xử lý, loại dữ liệu, chủ thể dữ liệu, rủi ro và biện pháp kiểm soát rủi ro; và TIA (hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới) đặc biệt quan trọng với doanh nghiệp sử dụng hệ thống cloud, phần mềm quản trị nước ngoài, công ty mẹ ở nước ngoài hoặc có hoạt động chia sẻ dữ liệu ra ngoài lãnh thổ Việt Nam.
Theo Nghị định 356, các hồ sơ đánh giá tác động phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của cơ quan chuyên trách và được nộp theo thời hạn, phương thức quy định.
Doanh nghiệp không nên xem DPIA và TIA là một bộ hồ sơ hành chính lập một lần cho xong, mà cần coi đây là công cụ quản trị rủi ro dữ liệu. Khi có thay đổi về mục đích xử lý, công nghệ, nhà cung cấp, địa điểm lưu trữ hoặc cấu trúc doanh nghiệp, hồ sơ cần được rà soát và cập nhật kịp thời.
Chuyển dữ liệu cá nhân ra nước ngoài và xử lý xung đột với Luật Dữ liệu
Chuyển dữ liệu cá nhân ra nước ngoài là một trong những hoạt động có rủi ro tuân thủ cao nhất theo pháp luật bảo vệ dữ liệu cá nhân. Hoạt động này có thể phát sinh trong nhiều tình huống quen thuộc như sử dụng hệ thống email, cloud, CRM, HRM, ERP đặt máy chủ ở nước ngoài; chia sẻ dữ liệu khách hàng cho công ty mẹ, công ty liên kết ở nước ngoài; hoặc thuê nhà cung cấp marketing, phân tích dữ liệu, chăm sóc khách hàng, IT support tại nước ngoài.
Nghị định 356 cũng có ý nghĩa trong việc phối hợp áp dụng giữa Luật Bảo vệ dữ liệu cá nhân và Luật Dữ liệu. Trường hợp một hoạt động chuyển dữ liệu ra nước ngoài vừa liên quan đến dữ liệu cá nhân, vừa có thể liên quan đến nhóm dữ liệu thuộc phạm vi quản lý của Luật Dữ liệu, doanh nghiệp cần đánh giá cẩn trọng để xác định loại hồ sơ, nghĩa vụ đánh giá tác động và cơ quan tiếp nhận phù hợp.
Khuyến nghị thực tiễn là cần lập danh mục các luồng chuyển dữ liệu ra nước ngoài, xác định bên nhận dữ liệu, quốc gia tiếp nhận, mục đích chuyển, loại dữ liệu, biện pháp bảo vệ và căn cứ pháp lý của việc chuyển dữ liệu trước khi lập hồ sơ đánh giá tác động.
Chế tài xử phạt dựa trên doanh thu và rủi ro tài chính lớn hơn
Luật Bảo vệ dữ liệu cá nhân 2025 thiết lập mức xử phạt có tính răn đe cao hơn so với nhiều lĩnh vực tuân thủ thông thường. Đáng chú ý, hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới có thể bị phạt hành chính tối đa đến 5% doanh thu của năm trước liền kề. Hành vi mua, bán dữ liệu cá nhân có thể bị xử phạt theo cơ chế gấp nhiều lần khoản thu từ hành vi vi phạm.
Điều này cho thấy rủi ro bảo vệ dữ liệu cá nhân không còn là rủi ro tuân thủ có chi phí thấp. Đối với các doanh nghiệp xử lý dữ liệu quy mô lớn, doanh nghiệp nền tảng, thương mại điện tử, tài chính, bảo hiểm, giáo dục, y tế, bán lẻ hoặc công nghệ, vi phạm dữ liệu cá nhân có thể dẫn đến thiệt hại tài chính, trách nhiệm pháp lý, mất niềm tin khách hàng và ảnh hưởng nghiêm trọng đến uy tín doanh nghiệp.
AI, Big Data và yêu cầu minh bạch trong xử lý dữ liệu cá nhân
Việc sử dụng dữ liệu cá nhân trong các hệ thống trí tuệ nhân tạo, phân tích dữ liệu lớn, chấm điểm, cá nhân hóa quảng cáo, gợi ý nội dung, đánh giá hành vi người dùng hoặc tự động hóa quyết định đang trở thành xu hướng phổ biến trong kinh doanh số. Tuy nhiên, các hoạt động này cũng làm gia tăng rủi ro đối với quyền riêng tư và quyền tự quyết của chủ thể dữ liệu.
Doanh nghiệp cần bảo đảm việc sử dụng dữ liệu cá nhân cho AI và Big Data tuân thủ các nguyên tắc cơ bản như minh bạch, đúng mục đích, giới hạn phạm vi xử lý, bảo mật, giảm thiểu dữ liệu và bảo đảm quyền của chủ thể dữ liệu. Trong trường hợp sử dụng dữ liệu đã khử nhận dạng hoặc ẩn danh, doanh nghiệp vẫn cần đánh giá rủi ro tái nhận dạng.
Các dự án AI và phân tích dữ liệu lớn nên được đánh giá rủi ro dữ liệu cá nhân ngay từ giai đoạn thiết kế, thay vì chỉ xử lý vấn đề tuân thủ sau khi hệ thống đã vận hành.
Điện toán đám mây và hợp đồng với nhà cung cấp dịch vụ
Việc sử dụng điện toán đám mây là nhu cầu phổ biến của doanh nghiệp, nhưng cũng là một trong những nguồn phát sinh rủi ro chuyển dữ liệu cá nhân ra nước ngoài. Doanh nghiệp sử dụng dịch vụ cloud, đặc biệt là cloud nước ngoài, cần rà soát kỹ hợp đồng với nhà cung cấp dịch vụ. Hợp đồng nên quy định rõ vai trò của các bên, phạm vi xử lý, mục đích xử lý, địa điểm lưu trữ, tiêu chuẩn bảo mật, phân quyền truy cập, mã hóa dữ liệu, xử lý sự cố, hỗ trợ chủ thể dữ liệu, xóa hoặc trả lại dữ liệu khi chấm dứt hợp đồng và trách nhiệm khi có vi phạm.
Về mặt kỹ thuật, doanh nghiệp cần bảo đảm dữ liệu cá nhân được bảo vệ trong quá trình lưu trữ, truyền tải và truy cập thông qua các biện pháp như mã hóa dữ liệu, quản lý quyền truy cập, ghi nhận nhật ký truy cập, phân tách môi trường dữ liệu và đánh giá định kỳ nhà cung cấp.
Đối với các hoạt động sử dụng cloud có yếu tố nước ngoài, doanh nghiệp cần đánh giá liệu hoạt động đó có làm phát sinh nghĩa vụ lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới hay không.
Doanh nghiệp cần chuẩn bị gì từ năm 2026?
- 01Rà soát toàn bộ luồng dữ liệu cá nhân trong doanh nghiệp, bao gồm dữ liệu khách hàng, nhân viên, ứng viên, nhà cung cấp, đối tác, người dùng website, người dùng ứng dụng và người tham gia chương trình marketing.
- 02Phân loại dữ liệu cá nhân, xác định dữ liệu cá nhân nhạy cảm, dữ liệu trẻ em và các nhóm dữ liệu có rủi ro cao cần áp dụng biện pháp bảo vệ tăng cường.
- 03Rà soát cơ chế đồng ý, chính sách bảo mật, biểu mẫu thu thập dữ liệu và giao diện người dùng để loại bỏ các cơ chế mặc định đồng ý hoặc gây nhầm lẫn.
- 04Bổ nhiệm hoặc thuê ngoài nhân sự, bộ phận hoặc tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân phù hợp với quy mô và mức độ rủi ro của doanh nghiệp.
- 05Lập và cập nhật hồ sơ DPIA và TIA đối với các hoạt động xử lý dữ liệu và chuyển dữ liệu cá nhân ra nước ngoài thuộc diện phải thực hiện.
- 06Rà soát hợp đồng với các nhà cung cấp dịch vụ IT, cloud, marketing, CRM, HRM, payroll, logistics, call center và các bên xử lý dữ liệu cá nhân khác để bổ sung điều khoản xử lý dữ liệu cá nhân.
- 07Xây dựng quy trình phản hồi yêu cầu của chủ thể dữ liệu, quy trình xử lý vi phạm dữ liệu cá nhân và quy trình thông báo cho cơ quan chuyên trách khi phát sinh sự cố.
- 08Đào tạo nhân sự nội bộ, đặc biệt là các bộ phận thường xuyên xử lý dữ liệu cá nhân như nhân sự, marketing, sales, chăm sóc khách hàng, IT, pháp chế và vận hành.
Tuân thủ dữ liệu cá nhân — Yêu cầu quản trị, không chỉ là giấy tờ
Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP đặt ra tiêu chuẩn tuân thủ cao hơn cho doanh nghiệp tại Việt Nam. Các yêu cầu mới về đồng ý, quyền của chủ thể dữ liệu, nhân sự bảo vệ dữ liệu, dịch vụ xử lý dữ liệu cá nhân, DPIA, chuyển dữ liệu xuyên biên giới, AI, Big Data, cloud và chế tài xử phạt theo doanh thu sẽ tác động trực tiếp đến hoạt động kinh doanh số trong thời gian tới.
Đối với doanh nghiệp, tuân thủ bảo vệ dữ liệu cá nhân không nên được xem là một công việc giấy tờ, mà cần được tích hợp vào hệ thống quản trị rủi ro, thiết kế sản phẩm, vận hành công nghệ, marketing, chăm sóc khách hàng và quản trị nhân sự.
FIRST COUNSEL hỗ trợ doanh nghiệp rà soát tuân thủ bảo vệ dữ liệu cá nhân, xây dựng chính sách bảo vệ dữ liệu cá nhân, lập hồ sơ DPIA/TIA, rà soát hợp đồng xử lý dữ liệu, tư vấn chuyển dữ liệu cá nhân xuyên biên giới, đào tạo nội bộ và thiết kế chương trình tuân thủ dữ liệu cá nhân phù hợp với hoạt động thực tế của doanh nghiệp.
Liên hệ tư vấn →
Cần Luật Sư tư vấn trực tiếp?.