English

MỘT SỐ VẤN ĐỀ CẦN BIẾT VỀ DỮ LIỆU CÁ NHÂN

by | Mar 30, 2026 | Doanh nghiệp, Hướng dẫn pháp lý, VN

MỘT SỐ VẤN ĐỀ CẦN BIẾT
VỀ DỮ LIỆU CÁ NHÂN

1. TỔNG QUAN

  • Thời điểm ban hành và hiệu lực: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 được Quốc hội ban hành ngày 26/06/2025, Nghị định 356/2025/NĐ-CP được Chính phủ ban hành ngày 31/12/2025 quy định chi tiết Luật này. Cả hai văn bản chính thức có hiệu lực thi hành kể từ ngày 01/01/2026. Nghị định 13/2023/NĐ-CP hết hiệu lực từ ngày này.
  • Phạm vi điều chỉnh: Áp dụng đối với cơ quan, tổ chức, cá nhân Việt Nam; tổ chức, cá nhân nước ngoài tại Việt Nam; và tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến xử lý DLCN của công dân Việt Nam, người gốc Việt Nam chưa xác định quốc tịch đang sinh sống tại Việt Nam đã có giấy chứng nhận căn cước.
  • Điều khoản chuyển tiếp: Các hoạt động xử lý DLCN đã được chủ thể đồng ý theo Nghị định 13/2023/NĐ-CP trước ngày 01/01/2026 thì được tiếp tục thực hiện mà không phải xin đồng ý lại. Các hồ sơ đánh giá tác động đã nộp trước đây tiếp tục được sử dụng và việc cập nhật sẽ thực hiện theo Luật mới. Đặc biệt, doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được miễn thực hiện quy định lập hồ sơ đánh giá tác động và chỉ định nhân sự bảo vệ DLCN trong 5 năm (trừ khi kinh doanh dịch vụ xử lý DLCN, xử lý DLCN nhạy cảm hoặc đạt quy mô từ 100.000 chủ thể dữ liệu); hộ kinh doanh, doanh nghiệp siêu nhỏ cũng được áp dụng ngoại lệ này.

2. MỘT SỐ VẤN ĐỀ CẦN BIẾT

Một là, Phân loại và nguyên tắc xử lý dữ liệu cá nhân:

  • Nội dung chính: DLCN được chia thành hai nhóm là DLCN cơ bản (họ tên, ngày sinh, nơi ở, SĐT, hình ảnh…) và DLCN nhạy cảm (quan điểm tôn giáo, tình trạng sức khỏe, dữ liệu sinh trắc học, thông tin tài chính/ngân hàng, vị trí định vị…). Việc thu thập, xử lý DLCN bắt buộc phải có sự đồng ý của chủ thể dữ liệu, trừ các trường hợp ngoại lệ để bảo vệ tính mạng, sức khỏe hoặc giải quyết tình trạng khẩn cấp.
  • Căn cứ pháp lý: Điều 2, Điều 9, Điều 19 Luật Bảo vệ dữ liệu cá nhân 2025; Điều 3, Điều 4, Điều 5 Nghị định 356/2025/NĐ-CP.
  • Điều kiện, thủ tục, nghĩa vụ: Trong quá trình xử lý DLCN nhạy cảm, cơ quan/tổ chức phải thiết lập quy định phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật. Doanh nghiệp phải xây dựng quy trình, biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu (như quyền rút lại sự đồng ý, quyền xóa dữ liệu), với thời hạn phản hồi quy định nghiêm ngặt từ 02 ngày làm việc và thực hiện từ 10 – 30 ngày tùy yêu cầu.
  • Đối tượng liên quan: Tất cả các cá nhân, doanh nghiệp, tổ chức có hoạt động thu thập, lưu trữ thông tin khách hàng, người lao động.

Hai là, Lập hồ sơ đánh giá tác động xử lý và chuyển dữ liệu cá nhân xuyên biên giới:

    • Nội dung chính: Bên kiểm soát, bên xử lý DLCN bắt buộc phải lập hồ sơ đánh giá tác động khi xử lý DLCN hoặc chuyển DLCN ra nước ngoài (chẳng hạn như lưu trữ trên máy chủ hoặc dịch vụ điện toán đám mây đặt ngoài lãnh thổ Việt Nam).
    • Căn cứ pháp lý: Điều 20, Điều 21, Điều 22 Luật Bảo vệ DLCN 2025; Điều 17 đến Điều 20 Nghị định 356/2025/NĐ-CP.
    • Điều kiện, thủ tục, nghĩa vụ: Doanh nghiệp phải lập và gửi 01 bản chính hồ sơ cho cơ quan chuyên trách (Bộ Công an) trong thời gian 60 ngày kể từ ngày đầu tiên xử lý hoặc chuyển DLCN. Hồ sơ phải được cập nhật định kỳ 06 tháng/lần, hoặc cập nhật ngay trong vòng 10 ngày nếu có thay đổi về tổ chức, dịch vụ kinh doanh.
    • Đối tượng liên quan: Các bên kiểm soát và xử lý DLCN, đặc biệt là các doanh nghiệp có yếu tố nước ngoài, các tổ chức sử dụng giải pháp phần mềm/đám mây quốc tế.

Ba là, Bố trí Lực lượng, bộ phận, nhân sự bảo vệ dữ liệu cá nhân:

  • Nội dung chính: Các cơ quan, tổ chức có trách nhiệm chỉ định bộ phận, nhân sự chuyên trách đủ điều kiện năng lực, hoặc tiến hành thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN độc lập.
  • Căn cứ pháp lý: Điều 33 Luật Bảo vệ DLCN 2025; Điều 13 đến Điều 16 Nghị định 356/2025/NĐ-CP.
  • Điều kiện, thủ tục, nghĩa vụ: Nhân sự được chỉ định phải có trình độ từ cao đẳng trở lên, có ít nhất 02 năm kinh nghiệm (hoặc 03 năm đối với dịch vụ thuê ngoài) liên quan đến pháp chế, CNTT, quản trị rủi ro hoặc kiểm soát tuân thủ, và đã được đào tạo kiến thức pháp luật chuyên môn. Việc phân công, chỉ định nhân sự/bộ phận này phải được thực hiện bằng văn bản chính thức.
  • Đối tượng liên quan: Mọi cơ quan, tổ chức, doanh nghiệp (trừ một số doanh nghiệp nhỏ/khởi nghiệp, hộ kinh doanh được miễn trừ trong 5 năm đầu theo quy định tại Điều 41 Nghị định 356/2025/NĐ-CP).

Bốn là, Thông báo sự cố và vi phạm bảo vệ dữ liệu cá nhân:

  • Nội dung chính: Bất cứ khi nào phát hiện vi phạm quy định về bảo vệ DLCN có nguy cơ gây tổn hại đến an ninh, trật tự xã hội hoặc quyền, lợi ích, tài sản của cá nhân, doanh nghiệp phải lập tức báo cáo cơ quan chuyên trách.
  • Căn cứ pháp lý: Điều 23 Luật Bảo vệ DLCN 2025; Điều 8, Điều 28, Điều 29 Nghị định 356/2025/NĐ-CP.
  • Điều kiện, thủ tục, nghĩa vụ: Việc thông báo cho Bộ Công an phải thực hiện chậm nhất là 72 giờ kể từ khi phát hiện hành vi vi phạm, đồng thời phải lập biên bản xác nhận vi phạm và khắc phục hậu quả. Đặc biệt lưu ý, đối với lĩnh vực tài chính, ngân hàng, hoặc khi xảy ra sự cố liên quan đến dữ liệu vị trí, sinh trắc học, tổ chức bắt buộc phải thông báo cho cả chủ thể dữ liệu bị ảnh hưởng trong thời hạn tối đa 72 giờ.
  • Đối tượng liên quan: Các công ty thu thập DLCN lớn, ứng dụng định vị, các ngân hàng, tổ chức tín dụng, công ty chứng khoán, bảo hiểm.

Năm là, Kinh doanh dịch vụ xử lý dữ liệu cá nhân:

  • Nội dung chính: Các hoạt động như phân tích, khai thác dữ liệu; chấm điểm, xếp hạng tín nhiệm; cung cấp hệ thống lưu trữ/xử lý tự động thay mặt bên kiểm soát (SaaS, cloud) chính thức trở thành ngành, nghề kinh doanh dịch vụ xử lý DLCN.
  • Căn cứ pháp lý: Điều 21 đến Điều 27 Nghị định 356/2025/NĐ-CP.
  • Điều kiện, thủ tục, nghĩa vụ: Tổ chức muốn kinh doanh mảng này bắt buộc phải xin “Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý DLCN” do Bộ Công an cấp. Điều kiện kinh doanh bao gồm: Người đứng đầu phụ trách chuyên môn phải là công dân Việt Nam, thường trú tại Việt Nam; có tối thiểu 03 nhân sự chuyên trách về DLCN; đáp ứng tiêu chuẩn hạ tầng, cơ sở vật chất,. Hồ sơ đề nghị cấp phép bao gồm Đơn đề nghị, Đề án kinh doanh và hồ sơ nhân sự liên quan.
  • Đối tượng liên quan: Doanh nghiệp IT, công ty công nghệ (AI, Big Data, Blockchain, Cloud), các trung tâm phân tích dữ liệu và các tổ chức cung cấp dịch vụ phần mềm doanh nghiệp, marketing hành vi.

Tóm lại, để đảm bảo tuân thủ, các cá nhân tổ chức liên quan có thể cần thực hiện:

  • Rà soát, phân loại DLCN: Phân tách rõ DLCN cơ bản và nhạy cảm trong hệ thống lưu trữ hiện tại.
  • Chuẩn hóa quy trình, biểu mẫu: Cập nhật quy chế nội bộ, hợp đồng, thiết lập phương thức hợp pháp để xin ý kiến “đồng ý” từ chủ thể và xây dựng cơ chế đáp ứng các quyền của họ.
  • Ra quyết định bổ nhiệm nhân sự chuyên trách/bộ phận bảo vệ DLCN đủ tiêu chuẩn theo luật định, hoặc tiến hành ký hợp đồng thuê dịch vụ ngoài.
  • Hoàn thiện Hồ sơ Đánh giá tác động (DPIA/TIA): Lập và gửi các hồ sơ đánh giá tác động xử lý/chuyển dữ liệu xuyên biên giới lên cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất là 60 ngày kể từ ngày bắt đầu xử lý.
  • Thiết lập quy trình phản ứng sự cố, đảm bảo khả năng báo cáo cơ quan chức năng trong vòng 72 giờ khi xảy ra lộ lọt dữ liệu.
  • Xin cấp Giấy chứng nhận đủ điều kiện: Nếu hoạt động trong lĩnh vực kinh doanh dịch vụ xử lý DLCN, cần chuẩn bị nhân lực, hạ tầng và xây dựng Đề án để xin cấp Giấy chứng nhận tại Bộ Công an.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Translate »