Doanh nghiệp cần chuẩn bị gì trước yêu cầu mới về bảo vệ dữ liệu cá nhân tại Việt Nam?

Ngày 26/6/2025, Quốc hội Việt Nam đã thông qua Luật Bảo vệ dữ liệu cá nhân 2025 (PDPL 2025), có hiệu lực từ ngày 1/1/2026, đánh dấu một bước tiến quan trọng trong việc hoàn thiện khung pháp lý bảo vệ dữ liệu cá nhân tại Việt Nam. Cùng với Nghị định 13/2023/NĐ-CP (PDPD 2023) đã có hiệu lực từ ngày 1/7/2023, các quy định này đặt ra nhiều yêu cầu mới, nghiêm ngặt hơn cho các doanh nghiệp xử lý dữ liệu cá nhân. Trong bối cảnh chuyển đổi số mạnh mẽ, dữ liệu cá nhân trở thành tài sản quý giá nhưng cũng là mục tiêu của các hành vi lạm dụng, từ rò rỉ thông tin đến mua bán trái phép. Vậy doanh nghiệp cần làm gì để tuân thủ các yêu cầu pháp lý mới, giảm thiểu rủi ro và duy trì lợi thế cạnh tranh? Bài viết này sẽ phân tích các bước chuẩn bị cần thiết, từ rà soát quy trình nội bộ đến triển khai các biện pháp kỹ thuật, pháp lý và quản trị.

 

 

1. Hiểu rõ các yêu cầu pháp lý mới

1.1. Tổng quan về PDPL 2025 và PDPD 2023

PDPD 2023 là văn bản pháp lý đầu tiên tại Việt Nam quy định toàn diện về bảo vệ dữ liệu cá nhân, đặt nền móng cho việc quản lý dữ liệu trong các lĩnh vực như tài chính, viễn thông, y tế và thương mại điện tử. Tuy nhiên, với tính chất là nghị định, PDPD 2023 còn nhiều hạn chế về phạm vi và tính thực thi. PDPL 2025 ra đời để khắc phục những thiếu sót này, mở rộng phạm vi điều chỉnh, chi tiết hóa quyền của chủ thể dữ liệu và áp dụng chế tài nghiêm khắc hơn.

PDPL 2025 áp dụng cho mọi tổ chức, cá nhân trong và ngoài nước có hoạt động xử lý dữ liệu cá nhân tại Việt Nam, bao gồm cả dữ liệu của công dân Việt Nam được xử lý ở nước ngoài. Luật định nghĩa rõ ràng dữ liệu cá nhân cơ bản (họ tên, ngày sinh, số điện thoại, v.v.) và dữ liệu nhạy cảm (thông tin tài chính, sinh trắc học, y tế, v.v.), đồng thời quy định các hành vi bị cấm, như mua bán dữ liệu trái phép, cản trở bảo vệ dữ liệu, với mức phạt lên đến 3 tỷ đồng hoặc 5% doanh thu năm trước đối với vi phạm chuyển dữ liệu xuyên biên giới.

1.2. Các yêu cầu chính đối với doanh nghiệp

1. Thu thập sự đồng ý

Doanh nghiệp phải thu thập sự đồng ý tự nguyện, rõ ràng từ chủ thể dữ liệu trước khi xử lý, trừ một số trường hợp ngoại lệ như bảo vệ tính mạng, thực hiện hợp đồng hoặc phục vụ an ninh quốc gia.

2. Đánh giá tác động xử lý dữ liệu (DPIA)

Doanh nghiệp phải lập hồ sơ DPIA, nộp cho Bộ Công an trong vòng 60 ngày kể từ khi xử lý dữ liệu, và luôn có sẵn để phục vụ kiểm tra.

3. Chuyển dữ liệu xuyên biên giới

Yêu cầu DPIA và thỏa thuận bằng văn bản với bên nhận dữ liệu ở nước ngoài, kèm theo các biện pháp bảo vệ phù hợp.

4. Quyền của chủ thể dữ liệu

Doanh nghiệp phải đảm bảo các quyền như truy cập, chỉnh sửa, xóa, rút lại đồng ý và bồi thường thiệt hại, với quy trình xử lý minh bạch.

5. Bảo mật và xóa dữ liệu

Dữ liệu phải được mã hóa, bảo vệ bằng các biện pháp kỹ thuật, và xóa hoặc khử nhận dạng khi không còn cần thiết.

6. Chế tài xử phạt

Vi phạm có thể bị phạt hành chính, truy cứu trách nhiệm hình sự hoặc yêu cầu bồi thường thiệt hại.

2. Các bước chuẩn bị cụ thể cho doanh nghiệp

Để tuân thủ PDPL 2025 và PDPD 2023, doanh nghiệp cần triển khai các biện pháp pháp lý, kỹ thuật và tổ chức. Dưới đây là một số giải pháp gợi ý để doanh nghiệp xem xét và thực hiện.

2.1. Rà soát và cập nhật quy trình nội bộ

Doanh nghiệp cần đánh giá toàn diện các quy trình liên quan đến thu thập, lưu trữ, xử lý và chuyển giao dữ liệu cá nhân. Các bước thực hiện bao gồm:

• Xác định loại dữ liệu: Phân loại dữ liệu đang xử lý (cơ bản hay nhạy cảm) và xác định mục đích xử lý. Ví dụ, dữ liệu tài chính hoặc sinh trắc học đòi hỏi biện pháp bảo vệ nghiêm ngặt hơn. Trường hợp cần thiết doanh nghiệp có thể loại bỏ dữ liệu sinh trắc học nếu chưa thật sự cần thiết. Đặc biệt là dữ liệu sinh trắc học được thu thập trong việc chấm công người lao động.
• Rà soát hợp đồng và chính sách: Cập nhật hợp đồng lao động, hợp đồng với đối tác, hợp đồng thuê phần mềm, và chính sách nội bộ để đảm bảo tuân thủ các yêu cầu về bảo vệ dữ liệu. Chẳng hạn như trong hợp đồng cần nêu rõ mục đích xử lý, biện pháp bảo mật và trách nhiệm của các bên.
• Xây dựng quy trình thông báo: Thiết lập cơ chế thông báo cho chủ thể dữ liệu trước khi xử lý, bao gồm mục đích, loại dữ liệu, thời gian xử lý và quyền của họ. Thông báo phải được trình bày bằng văn bản hoặc định dạng điện tử có thể kiểm chứng.
• Chuẩn bị hồ sơ DPIA: Lập và lưu giữ hồ sơ DPIA, bao gồm mục đích xử lý, biện pháp bảo vệ, và đánh giá rủi ro. Một bản chính phải được gửi đến Bộ Công an (Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao).

2.2. Triển khai các biện pháp kỹ thuật

Bảo mật dữ liệu là yêu cầu cốt lõi của PDPL 2025 và PDPD 2023. Doanh nghiệp cần áp dụng các biện pháp kỹ thuật hiện đại để ngăn chặn rò rỉ và lạm dụng dữ liệu:

Thứ nhất, doanh nghiệp nên mã hóa dữ liệu

Việc sử dụng các công nghệ mã hóa (encryption) cho dữ liệu nhạy cảm, cả khi lưu trữ và truyền tải.

Thứ hai, cần thực hiện việc xác thực hai yếu tố (2FA)

Áp dụng 2FA để hạn chế truy cập trái phép vào hệ thống dữ liệu.

Thứ ba, thiết lập cơ chế tường lửa và giám sát

Thiết lập tường lửa, hệ thống phát hiện xâm nhập (IDS) và giám sát liên tục để phát hiện và ngăn chặn các cuộc tấn công mạng.

Thứ tư, tiến hành xóa và khử nhận dạng dữ liệu

Đảm bảo dữ liệu được xóa an toàn hoặc khử nhận dạng khi không còn cần thiết, tuân thủ Điều 14 của PDPL 2025.

Thứ năm, kiểm tra an ninh mạng định kỳ

Thực hiện kiểm tra an ninh mạng đối với hệ thống và thiết bị trước khi xử lý dữ liệu.

Có thể nói, các biện pháp kỹ thuật trên đây là các biện pháp được nhiều khách hàng của chúng tôi sử dụng hiệu quả trong thực tiễn. Tuy nhiên, tùy thuộc vào hệ thống và nhân lực cũng như tài chính mà mỗi doanh nghiệp sẽ áp dụng tùy chỉnh cho phù hợp với doanh nghiệp mình.

 

Nguồn: Tuổi trẻ

 

2.3. Đào tạo nhân sự và bổ nhiệm đội ngũ chuyên trách

Ngoài việc thực hiện các biện pháp kỹ thuật như gợi ý bên trên, doanh nghiệp cần bổ sung các hoạt động sau để đảm bảo tốt sự tuân thủ đối với lĩnh vực này.

Đào tạo kiến thức dữ liệu cá nhân. Tổ chức các chương trình đào tạo cho nhân viên về các quy định pháp lý, kỹ năng xử lý dữ liệu cá nhân và cách ứng phó với sự cố vi phạm dữ liệu. Điều này là hết sức quan trọng, vì đội ngũ nhân sự công ty chỉ tuân thủ tốt khi có nhận thức đầy đủ và đúng đắn về tầm quan trọng của việc bảo vệ dữ liệu cá nhân.

Bổ nhiệm nhân sự phụ trách. Việc chỉ định một bộ phận hoặc cá nhân chuyên trách bảo vệ dữ liệu cá nhân (Data Protection Officer - DPO) để giám sát việc tuân thủ và xử lý yêu cầu từ chủ thể dữ liệu không chỉ là việc nên làm mà là một yêu cầu bắt buộc của doanh nghiệp. Đối với vị trí này doanh nghiệp có thể tuyển dụng, hoặc bổ nhiệm từ đội ngũ nhân sự hiện có hoặc có thể thuê ngoài từ các công ty luật có cung cấp dịch vụ này.

Xây dựng quy trình xử lý yêu cầu. Doanh nghiệp nên thiết lập quy trình tiếp nhận và xử lý các yêu cầu từ chủ thể dữ liệu, như yêu cầu truy cập, chỉnh sửa hoặc xóa dữ liệu, đảm bảo phản hồi trong thời hạn quy định được đặt ra bởi luật hoặc nghị định. Việc này sẽ giúp doanh nghiệp tuân thủ tốt hơn trong quá trình thực thi pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam.

2.4. Chuẩn bị cho chuyển dữ liệu xuyên biên giới

Đối với doanh nghiệp, đặc biệt doanh nghiệp có vốn đầu tư nước ngoài (doanh nghiệp FDI) có hoạt động chuyển dữ liệu ra nước ngoài, cần tuân thủ các yêu cầu nghiêm ngặt về bảo vệ dữ liệu cá nhân đã được pháp luật Việt Nam quy định.

Thứ nhất, doanh nghiệp phải lập hồ sơ DPIA về việc chuyển dữ liệu cá nhân xuyên biên giới

Hồ sơ phải được soạn thảo theo mẫu với các nội dung rõ ràng, chi tiết mô tả lý do, mục đích chuyển dữ liệu, sự đồng ý của chủ thể, và các biện pháp bảo vệ dữ liệu trong quá trình chuyển dữ liệu này. Doanh nghiệp cũng cần phải nộp một bản chính đến Bộ Công an trong 60 ngày kể từ ngày đầu tiên chuyển dữ liệu cá nhân ra nước ngoài.

Thứ hai, tiến hành thỏa thuận với bên nhận dữ liệu

Ký kết thỏa thuận bằng văn bản với tổ chức nhận dữ liệu ở nước ngoài, quy định rõ trách nhiệm đối với việc bảo vệ dữ liệu cá nhân được chuyển. Điều này sẽ giúp doanh nghiệp hiểu rõ trách nhiệm của mình và có hướng tuân thủ phù hợp với từng vụ việc xảy ra tại doanh nghiệp mình.

Các bên cũng cần lưu ý rằng PDPL 2025 cho phép ngoại lệ trong các trường hợp như lưu trữ dữ liệu nhân viên trên điện toán đám mây hoặc chủ thể tự chuyển dữ liệu, nhưng vẫn cần đảm bảo các biện pháp bảo mật.

2.5. Chuẩn bị cho các lĩnh vực đặc thù

PDPL 2025 đưa ra quy định chi tiết cho các lĩnh vực như trẻ em, tài chính, quảng cáo, mạng xã hội, AI và dữ liệu sinh trắc học. Các lĩnh vực đặc thù là các lĩnh vực rất dễ xảy ra hành vi vi phạm về bảo vệ dữ liệu cá nhân, hoặc đối tượng cần bảo vệ đặc biệt, hoặc các lĩnh vực quan trọng, nhạy cảm của đất nước. Vì vậy, các quy định đối với lĩnh vực đặc thù này yêu cầu cao và khắt khe hơn trong việc tuân thủ cũng, đặc biệt là trong việc ứng phó khi xảy ra sự cố lộ, lọt dữ liệu cá nhân.

2.6. Xây dựng cơ chế ứng phó sự cố

Doanh nghiệp cần chuẩn bị kế hoạch ứng phó khi xảy ra sự cố vi phạm trong việc thu thập, lưu trữ, xử lý và chuyển dữ liệu cá nhân ra nước ngoài. Một kế hoạch ứng phó chi tiết, cụ thể và dễ thực hiện sẽ giúp cho doanh nghiệp an tâm và đảm bảo ứng phó tốt mà không bị bất ngờ khi có sự cố xảy ra.

3. Nhiều lợi ích của doanh nghiệp khi tuân thủ tốt pháp luật bảo vệ dữ liệu cá nhân

Việc tuân thủ PDPL 2025 và PDPD 2023 có thể hiểu rằng là cả một quá trình tốn kém và nhiều chông gai đối với doanh nghiệp. Và khó hơn nữa, khi đây là một lĩnh vực mới và một yêu cầu mới của pháp luật Việt Nam trong giai đoạn hội nhập sâu với thế giới. Tuy nhiên, việc tuân thủ pháp luật bảo vệ dữ liệu cá nhân không chỉ giúp doanh nghiệp tránh các chế tài pháp lý mà còn mang lại nhiều lợi ích như tăng cường niềm tin của khách hàng vào doanh nghiệp. Việc minh bạch trong xử lý dữ liệu giúp xây dựng uy tín và lòng tin từ khách hàng, đối tác. Bên cạnh đó, việc tuân thủ cũng giúp doanh nghiệp nâng cao lợi thế cạnh tranh và giảm thiểu rủi ro đối với nguy cơ rò rỉ thông tin, vốn có thể gây thiệt hại lớn về tài chính và danh tiếng.

Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 13/2023/NĐ-CP đánh dấu sự chuyển mình của Việt Nam trong việc xây dựng một môi trường số an toàn và minh bạch. Để tuân thủ các yêu cầu mới, doanh nghiệp cần chủ động rà soát quy trình, triển khai biện pháp kỹ thuật, đào tạo nhân sự và chuẩn bị hồ sơ pháp lý. Dù đối mặt với nhiều thách thức, việc tuân thủ không chỉ là nghĩa vụ pháp lý mà còn là cơ hội để doanh nghiệp khẳng định uy tín và cạnh tranh trong kỷ nguyên số. Với sự hỗ trợ từ các cơ quan quản lý và đối tác chuyên môn, các doanh nghiệp tại Việt Nam hoàn toàn có thể đáp ứng tốt các yêu cầu này, góp phần xây dựng một nền kinh tế số bền vững.