Nghĩa vụ bảo vệ dữ liệu cá nhân của doanh nghiệp
Ngày 07/5/2026
Từ ngày 01/01/2026, Luật Bảo vệ dữ liệu cá nhân (“DLCN”) 2025 và Nghị định số 356/2025/NĐ-CP hướng dẫn Luật Bảo vệ DLCN chính thức có hiệu lực, thiết lập khung pháp lý hoàn thiện hơn về bảo vệ DLCN trong bối cảnh chuyển đổi số tại Việt Nam. Các văn bản này đồng thời củng cố và đặt ra những quy định nghiêm ngặt hơn đối với nghĩa vụ bảo vệ DLCN của doanh nghiệp. Theo đó, doanh nghiệp cần lưu ý những nội dung chính sau đây trong quá trình triển khai thực hiện quy định:
1. Sự cần thiết của việc bảo vệ DLCN trong doanh nghiệp
· Sự gia tăng hoạt động xử lý DLCN và yêu cầu tất yếu ban hành cơ chế bảo vệ DLCN: Hiện nay, hầu hết doanh nghiệp đều là chủ thể tham gia vào một hoặc nhiều giai đoạn trong vòng đời của DLCN, từ thu thập, phân tích, mã hóa cho đến việc xóa, hủy,… DLCN. Trong bối cảnh chuyển đổi số, khi quy mô và phạm vi xử lý dữ liệu không ngừng mở rộng, việc thiết lập một cơ chế pháp lý bảo vệ DLCN đã trở thành yêu cầu tất yếu. Điều này không chỉ giúp đảm bảo an toàn thông tin mà còn giảm thiểu tối đa các rủi ro pháp lý và vận hành cho cả doanh nghiệp lẫn chủ thể dữ liệu.
· Bảo vệ DLCN là “khiên chắn” bảo mật và tạo ra lợi thế cạnh tranh của doanh nghiệp: DLCN là tài sản chiến lược của doanh nghiệp nhưng cũng là mục tiêu hàng đầu của các hành vi xâm phạm và trục lợi từ DLCN trong kỷ nguyên số. Do đó, việc tuân thủ quy định về bảo vệ DLCN không chỉ là nghĩa vụ pháp lý mà còn là “khiên chắn” vững chắc trước các rủi ro trong không gian mạng. Bằng cách bảo vệ DLCN, doanh nghiệp có thể tạo lập được lợi thế cạnh tranh nhất định thông qua việc bảo vệ tốt quyền lợi hợp pháp của khách hàng, người lao động, hạn chế rủi ro rò rỉ thông tin DLCN làm ảnh hưởng đến uy tín, danh tiếng và tài chính của doanh nghiệp.
2. Các nghĩa vụ của doanh nghiệp trong việc bảo vệ DLCN
04 nhóm nghĩa vụ cơ bản mà doanh nghiệp cần lưu ý tuân thủ như sau:
2.1. Xây dựng khung quản trị bảo vệ DLCN trong doanh nghiệp:
(1) Xác định vai trò trong xử lý DLCN: Tùy thuộc vào phạm vi tiếp cận và xử lý DLCN, doanh nghiệp cần xác định vai trò của mình là (i) Bên Kiểm soát DLCN, (ii) Bên Xử lý DLCN, hay Bên Kiểm soát và xử lý DLCN, làm cơ sở ban hành chính sách nội bộ hoặc thành lập các bộ phận chuyên trách phù hợp với quy định pháp luật;
(2) Phân loại DLCN: gồm (i) DLCN cơ bản và (ii) DLCN nhạy cảm. Đối với DLCN nhạy cảm, bên cạnh việc áp dụng các biện pháp bảo vệ chung như đối với DLCN cơ bản, doanh nghiệp phải áp dụng thêm các biện pháp như thiết lập quy định phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật,… theo quy định;
(3) Chỉ định bộ phận/nhân sự phụ trách bảo vệ DLCN và/hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN;
(4) Thiết lập cơ chế giám sát khi xử lý DLCN trong trường hợp không cần sự đồng ý của chủ thể DLCN.
2.2. Bảo mật và vận hành:
(1) Thu thập sự đồng ý của chủ thể DLCN trước khi xử lý DLCN;
(2) Lưu trữ DLCN theo hình thức phù hợp với hoạt động của doanh nghiệp và có biện pháp bảo vệ DLCN trong quá trình lưu trữ theo quy định của pháp luật;
(3) Các nghĩa vụ khác trong một số hoạt động bảo vệ DLCN đặc thù.
2.3. Đánh giá, báo cáo và tuân thủ:
(1) Thông báo vi phạm quy định về bảo vệ DLCN;
(2) Đánh giá tác động xử lý DLCN;
(3) Đánh giá tác động chuyển DLCN xuyên biên giới;
(4) Cập nhật các hồ sơ 2.3.(2) và 2.3.(3) nêu trên.
2.4. Các nghĩa vụ khác:
Ngoài các nhóm nghĩa vụ cơ bản trên, doanh nghiệp cần đảm bảo tuân thủ các nghĩa vụ liên quan khác theo pháp luật về bảo vệ DLCN như các nghĩa vụ đối với chủ thể DLCN trong quá trình xử lý DLCN; nghĩa vụ ngăn chặn hoạt động thu thập DLCN trái phép từ hệ thống, trang thiết bị, dịch vụ của mình; nghĩa vụ phối hợp với cơ quan nhà nước có thẩm quyền trong bảo vệ DLCN, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ DLCN;…
Lưu ý: Trừ trường hợp kinh doanh dịch vụ xử lý DLCN, trực tiếp xử lý DLCN nhạy cảm hoặc xử lý DLCN kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể DLCN trở lên dựa trên kết quả tích lũy tổng lượng DLCN đã xử lý, đối với các nghĩa vụ 2.1.(3), 2.3.(2), 2.3.(4):
· Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện các nghĩa vụ 2.1.(3), 2.3.(2), 2.3.(4) trong thời gian 05 năm kể từ ngày 01/01/2026.
· Hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện.
3. Các loại tài liệu doanh nghiệp phải triển khai thực hiện và nộp cho cơ quan nhà nước
a) Tài liệu nội bộ: Chính sách, quy trình, quy định, biểu mẫu nội bộ; báo cáo đánh giá mức độ thực hiện các nghĩa vụ theo quy định pháp luật; kế hoạch đào tạo, bồi dưỡng định kỳ về bảo vệ DLCN; tiêu chuẩn, quy chuẩn bảo vệ DLCN và kế hoạch ứng cứu khẩn cấp sự cố về bảo vệ DLCN.
b) Tài liệu nộp cho cơ quan nhà nước:
(i) Đối với hoạt động xử lý DLCN theo quy định: Lập Hồ sơ Đánh giá tác động xử lý DLCN gửi đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an.
(ii) Đối với hoạt động chuyển DLCN xuyên biên giới theo quy định: Lập Hồ sơ Đánh giá tác động chuyển DLCN xuyên biên giới gửi đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an.
(iii) Đối với việc cập nhật hồ sơ (i) và (ii) nêu trên: Lập hồ sơ cập nhật theo mẫu gửi đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an.
(iv) Đối với doanh nghiệp phát hiện vi phạm quy định về bảo vệ DLCN có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của chủ thể DLCN: Gửi Thông báo vi phạm quy định về DLCN theo mẫu đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an.
4. Chế tài đối với doanh nghiệp khi vi phạm nghĩa vụ bảo vệ DLCN
a) Trách nhiệm hành chính: Hiện nay, văn bản hướng dẫn chi tiết về xử phạt vi phạm hành chính đối với vi phạm về bảo vệ DLCN (hành vi tương ứng với hình thức/mức xử phạt, thẩm quyền xử phạt,…) chưa được chính thức ban hành mà chỉ dừng ở giai đoạn dự thảo lấy ý kiến. Tuy nhiên, theo quy định tại Luật Bảo vệ DLCN 2025 thì về cơ bản, việc vi phạm trong lĩnh vực bảo vệ DLCN có thể phải chịu trách nhiệm hành chính như sau:
| STT | Hành vi vi phạm | Hình thức và mức xử phạt vi phạm hành chính |
| 1 | Mua, bán DLCN |
· Phạt tiền tối đa 10 lần khoản thu có được từ hành vi vi phạm. · Trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền tối đa là 03 tỷ đồng. |
| 2 | Vi phạm quy định chuyển DLCN xuyên biên giới | · Phạt tiền tối đa là 05% doanh thu của năm trước liền kề của doanh nghiệp. · Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức 03 tỷ đồng thì áp dụng mức phạt tiền tối đa là 03 tỷ đồng. |
| 3 | Hành vi vi phạm khác trong lĩnh vực bảo vệ DLCN | Phạt tiền tối đa 03 tỷ đồng. |
b) Trách nhiệm dân sự: Nếu hành vi vi phạm của doanh nghiệp gây thiệt hại cho chủ thể dữ liệu, doanh nghiệp phải bồi thường thiệt hại theo quy định của pháp luật dân sự.
c) Trách nhiệm hình sự: Tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm mà doanh nghiệp có thể bị truy cứu trách nhiệm hình sự về các tội liên quan.
---------------------
Tuân thủ bảo vệ DLCN không chỉ là nghĩa vụ bắt buộc mà còn mang đến cho doanh nghiệp lợi thế canh tranh và giảm thiểu rủi ro trong quá trình vận hành. Việc bảo vệ DLCN theo đúng quy định pháp luật, hạn chế các rủi ro pháp lý về dân sự, hành chính và cả hình sự đòi hỏi doanh nghiệp phải thiết lập hệ thống quy trình quản lý nội bộ chặt chẽ, thực hiện nghiêm túc nghĩa vụ báo cáo với cơ quan có thẩm quyền và các nghĩa vụ khác theo quy định pháp luật.
Để nhận được sự hỗ trợ pháp lý trong việc tuân thủ các quy định về bảo vệ DLCN, Quý doanh nghiệp có thể liên hệ với chúng tôi theo thông tin bên dưới:
CÔNG TY LUẬT HỢP DANH LA
Địa chỉ: Phòng D14, Lầu 2, 40 Bà Huyện Thanh Quan, Phường Xuân Hòa, TP. Hồ Chí Minh
Điện thoại: 028 3930 6949
Email: thaianh.luong@la-vn.com