Trong quá trình vận hành hàng ngày, hầu hết doanh nghiệp đều đã và đang thu thập và xử lý dữ liệu cá nhân (“DLCN”) mà đôi khi không nhận ra. Từ việc lưu thông tin khách hàng để chăm sóc sau bán hàng, tiếp nhận và quản lý hồ sơ người lao động, thu thập dữ liệu khi triển khai các chiến dịch marketing, đến việc sử dụng cookies hoặc công cụ phân tích hành vi trên website – tất cả đều liên quan trực tiếp đến DLCN.

Bài viết này của chúng tôi sẽ tổng hợp 04 nhóm công việc chính mà doanh nghiệp cần nắm bắt và tuân thủ liên quan đến hoạt động bảo vệ DLCN theo quy định của pháp luật hiện hành và được minh họa như dưới đây.

DLCN bao gồm những thông tin quen thuộc như: (i) Họ tên, ngày sinh, giới tính, số điện thoại, địa chỉ, hình ảnh cá nhân, quốc tịch, tình trạng hôn nhân; thông tin gia đình; thông tin tài khoản số cá nhân; và thông tin khác gắn với và giúp xác định con người cụ thể (“DLCN Cơ Bản”)[1]; hay (ii) Dữ liệu nguồn gốc chủng tộc, dân tộc; quan điểm chính trị, tôn giáo; tình trạng sức khỏe; dữ liệu sinh trắc học, đặc điểm di truyền; dữ liệu về tài chính; dữ liệu đời sống tình dục, xu hướng tính dục; dữ liệu vi phạm pháp luật; vị trí được xác định qua định vị; thẻ CCCD, tên đăng nhập, mật khẩu định danh; và các dữ liệu khác cần giữ bí mật hoặc cần biện pháp bảo mật khác (“DLCN Nhạy Cảm”)[2].

Những dữ liệu này không chỉ là “nguyên liệu” phục vụ hoạt động kinh doanh của doanh nghiệp mà còn gắn liền với quyền riêng tư của từng cá nhân là chủ thể dữ liệu (“CTDL”). Tuy nhiên, tình hình phổ biến trên thực tế là nhiều doanh nghiệp vẫn đang: (i) Thu thập dữ liệu vượt quá nhu cầu cần thiết; (ii) Chưa xác lập đầy đủ cơ sở pháp lý (đặc biệt là sự đồng ý hợp lệ của CTDL); (iii) Chưa thiết lập quy trình nội bộ để kiểm soát việc truy cập, sử dụng và chia sẻ dữ liệu; hoặc (iv) Chưa có cơ chế xử lý khi xảy ra sự cố rò rỉ, lộ lọt dữ liệu.

Những hoạt động tưởng chừng “bình thường” này lại tiềm ẩn rủi ro pháp lý đáng kể trong bối cảnh khung pháp luật về bảo vệ DLCN tại Việt Nam đang ngày càng hoàn thiện và được xây dựng theo hướng đến bảo vệ các quyền và lợi ích hợp pháp của CTDL.

Các văn bản pháp luật hiện hành liên quan trực tiếp đến vấn đề này có thể kể đến như:

a. Luật Bảo vệ dữ liệu cá nhân 2025 số 91/2025/QH15 được Quốc hội ban hành ngày 26/06/2025 và có hiệu lực từ ngày 01/01/2026 (“Luật Bảo Vệ DLCN”); và

b. Nghị định 356/2025/NĐ-CP của Chính phủ ban hành ngày 31/12/2025 và có hiệu lực từ ngày 01/01/2026 (“Nghị Định 356”).

Theo đánh giá của chúng tôi, nghĩa vụ bảo vệ DLCN hiện không còn là vấn đề tuân thủ mang tính hình thức, mà đã trở thành một yêu cầu bắt buộc gắn liền với quản trị rủi ro và bảo vệ uy tín của doanh nghiệp. Doanh nghiệp, với tư cách là bên kiểm soát và/hoặc xử lý DLCN, phải chịu trách nhiệm xuyên suốt vòng đời của dữ liệu – từ thu thập, lưu trữ, sử dụng, chia sẻ cho đến xóa hoặc hủy dữ liệu – và phải đảm bảo rằng mọi hoạt động xử lý đều có cơ sở pháp lý hợp lệ, minh bạch và an toàn. Chúng tôi đã tổng hợp thành 04 nhóm công việc chính được mô tả chi tiết như dưới đây:

1. Xây dựng và ban hành các quy định nội bộ về bảo vệ DLCN

Doanh nghiệp có thể là bên kiểm soát DLCN hoặc bên xử lý DLCN hoặc đồng thời là cả bên kiểm soát DLCN lẫn bên xử lý DLCN nếu có thể quyết định mục đích, phương tiện và trực tiếp xử lý một phần hoặc toàn bộ DLCN. Để tuân thủ các trách nhiệm tương ứng với các vai trò nêu trên, doanh nghiệp trước hết cần phải xây dựng quy trình tuân thủ pháp luật bảo về DLCN nội bộ. Xây dựng quy trình tuân thủ nội bộ có thể được hiểu là việc doanh nghiệp chủ động tổ chức xây dựng các chính sách, quy trình, quy định, biểu mẫu để tuân thủ các quy định pháp luật về bảo vệ DLCN, bảo vệ quyền hợp pháp của CTDL và tính bảo mật của DLCN được thu thập bởi doanh nghiệp. Dưới đây là gợi ý của chúng tôi trong việc xây dựng (i) Quy trình bảo vệ DLCN; và (ii) Quy trình phản hồi và thực hiện yêu cầu của CTLD.

1.1. Quy trình bảo vệ DLCN

Khi xây dựng quy trình bảo vệ DLCN, doanh nghiệp cần có quy định về các vấn đề sau:

a. Phân định cụ thể các thông tin được coi là DLCN dựa trên quy định của pháp luật;

b. Quy trình, phương thức thu thập và lưu trữ sự đồng ý của CTDL về việc sử dụng DLCN;

c Quyền hạn và trách nhiệm của các nhân sự, bộ phận, phòng ban trong việc bảo vệ DLCN trong đó có phân quyền tiếp cận, giới hạn truy cập đối với từng loại DLCN bao gồm DLCN Cơ Bản và DLCN Nhạy Cảm;

d. Quy trình xóa, hủy, khử nhận dạng DLCN đối với các trường hợp: CTDL yêu cầu; hoàn thành mục đích xử lý hoặc hết thời hạn lưu trữ DLCN; theo quyết định của cơ quan nhà nước hoặc thỏa thuận giữa các bên[3];

e. Quy trình thu thập và thông báo về biện pháp và phạm vi thu thập thông tin DLCN của người lao động qua các biện pháp công nghệ, kỹ thuật (như camera giám sát, phần mềm quản lý tác nghiệp)[4].

1.2. Quy trình giải quyết yêu cầu của CTDL

Khi nhận được yêu cầu của CTDL đúng quy định pháp luật, doanh nghiệp phải phản hồi, giải quyết các yêu cầu của CTDL và phải tạo điều kiện để CTDL thực hiện quyền của mình. Quy trình giải quyết yêu cầu cần tuân thủ theo các thời hạn của pháp luật được tóm tắt trong bảng dưới đây[5]:

2. Xây dựng các thỏa thuận về DLCN với các bên liên quan

2.1. Xây dựng bản Điều khoản và điều kiện chung về bảo vệ DLCN (“Bản ĐKĐK”)

Bản ĐKĐK được doanh nghiệp xây dựng, ban hành và cung cấp cho CTDL được biết về các điều khoản và điều kiện chung trong việc việc sử dụng và bảo vệ DLCN, với những nội dung chính như sau:

a. Mục đích xử lý DLCN (cần phù hợp với các mục đích thu thập sự đồng ý của CTDL);

b. Loại DLCN được xử lý gồm DLCN Cơ Bản và DLCN Nhạy Cảm, nếu có;

c. Quy trình xử lý DLCN (bao gồm các khâu chính như thu thập, lưu trữ, sử dụng, chuyển giao, chia sẻ, xóa, bảo vệ DLCN);

d. Quyền và nghĩa vụ của CTDL;

e. Bên kiểm soát DLCN hoặc bên kiểm soát và xử lý DLCN;

f. Quyền hạn và trách nhiệm của từng bộ phận của doanh nghiệp trong việc bảo vệ DLCN. Ở điểm này, doanh nghiệp có thể dẫn chiếu các chính sách quy định nội bộ mà doanh nghiệp đã xây dựng tại mục 1.

Doanh nghiệp lưu ý là cần thu thập và lưu trữ sự đồng ý của CTDL đối với bản ĐKĐK này theo quy định tại Mục 2.3 dưới đây.

2.2. Xây dựng điều khoản bảo vệ DLCN trong các thỏa thuận cụ thể:

Dưới đây là một số gợi ý của chúng tôi liên quan đến các hợp đồng/thỏa thuận thông dụng trong hoạt động của doanh nghiệp:

a. Đối với hợp đồng lao động, ngoài các nội dung tiêu chuẩn, doanh nghiệp lưu ý cần bổ sung điều khoản riêng biệt về bảo vệ và xử lý DLCN phù hợp với thực tế và nhu cầu vận hành của doanh nghiệp, trong đó có quy định về mục đích sử dụng, loại DLCN thu thập, việc chia sẻ, khai thác, lưu trữ và xóa hủy DLCN của người lao động. Nếu không có thỏa thuận chi tiết thì theo quy định sau khi chấm dứt hợp đồng lao động, doanh nghiệp phải xóa, hủy thông tin đã cung cấp của người lao động[6].

b. Đối với hợp đồng trong lĩnh vực tín dụng, theo quy định, tổ chức tín dụng cần xây dựng điều khoản liên quan đến DLCN bao gồm: mục đích xử lý (bao gồm cả hoạt động chấm điểm, xếp hạng tín dụng nếu có); nguồn thu thập DLCN; các bên được phép chia sẻ DLCN; thời gian lưu trữ; và cơ chế để khách hàng thực hiện quyền rút lại sự đồng ý hoặc xóa DLCN. Nếu không có thỏa thuận chi tiết thì theo quy định tổ chức tín dụng không được sử dụng thông tin tín dụng của CTDL để chấm điểm, xếp hạng hoặc đánh giá mức độ tín nhiệm khi chưa đạt được sự đồng ý xác nhận của khách hàng đó[7].

c. Đối với thỏa thuận chuyển giao DLCN, thỏa thuận này được xác lập giữa doanh nghiệp và bên xử lý DLCN hoặc bên thứ ba. Thỏa thuận cũng được ký kết khi doanh nghiệp thuê đơn vị cung cấp dịch vụ chuyên biệt như điện toán đám mây hoặc dịch vụ DPO (được định nghĩa tại mục 3) bên ngoài. Một thỏa thuận chuyển giao DLCN phải bao gồm các nội dung trọng tâm sau[8]: Mục đích chuyển giao, đối tượng và loại DLCN được chuyển giao, thời hạn xử lý và yêu cầu xóa/hủy DLCN, cơ sở pháp lý, trách nhiệm bảo vệ DLCN, thực hiện quyền của CTDL, phối hợp xử lý vi phạm.

Một số lưu ý trong việc bảo vệ DLCN đặc thù đối với trường hợp này, bao gồm như: (a) Đối với chuyển giao DLCN Nhạy Cảm, doanh nghiệp phải áp dụng các biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải, đồng thời thực hiện mã hóa hoặc ẩn danh DLCN[9]; (b) Đối với hoạt động chuyển giao có thu phí, doanh nghiệp phải thiết lập hệ thống kỹ thuật để CTDL đồng ý chính xác theo từng lần chuyển giao[10]. Bên nhận không được phép tự ý thu thập, lưu trữ để hình thành kho dữ liệu riêng từ nguồn này cho các mục đích khác ngoài thỏa thuận[11]; và (c) Doanh nghiệp với vai trò bên kiểm soát phải có trách nhiệm đánh giá và lựa chọn bên xử lý DLCN phù hợp, đảm bảo họ có đủ năng lực thực hiện các biện pháp bảo vệ.

2.3. Thu thập và lưu trữ sự đồng ý của CTDL

Về nguyên tắc, mọi hoạt động xử lý DLCN đều phải có sự đồng ý của CTDL trước khi tiến hành thu thập, phân tích hoặc chuyển giao. Doanh nghiệp chỉ được phép xử lý DLCN mà không cần sự đồng ý trong một số trường hợp đặc biệt mang tính khẩn cấp hoặc phục vụ lợi ích công cộng[12], tuy nhiên, vẫn phải thiết lập quy định xử lý DLCN và xác định trách nhiệm của các bên cũng như xây dựng cơ chế tiếp nhận và xử lý phản ánh từ các bên liên quan[13].

Sự đồng ý của CTDL chỉ có giá trị pháp lý khi được xác lập trên tinh thần tự nguyện và CTDL phải được thông báo đầy đủ về: loại DLCN được xử lý; mục đích xử lý; các tổ chức, cá nhân tham gia xử lý; và các quyền, nghĩa vụ liên quan[14]. Sự đồng ý phải được thể hiện bằng phương thức rõ ràng, cụ thể, có thể in hoặc sao chép được bằng văn bản, bao gồm cả định dạng điện tử hoặc định dạng kiểm chứng được. Các hình thức thu thập hợp lệ theo gồm [15]: (i) Văn bản giấy có chữ ký trực tiếp; (ii) Bản ghi âm cuộc gọi đồng ý của khách hàng; (iii) Cú pháp tin nhắn xác nhận qua điện thoại; (iii) Qua thư điện tử, trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý (ví dụ như ô tích “đồng ý”); hoặc (iv) Phương thức khác có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

Khi thu thập sự đồng ý của CTDL, doanh nghiệp cần lưu ý:

• Không được coi sự im lặng hoặc không phản hồi của CTDL là sự đồng ý^[16].
• Trong trường hợp có nhiều mục đích xử lý DLCN, CTDL phải được cho phép đồng ý với từng mục đích mà không phải đồng ý toàn bộ[17].
• Không thiết lập các phương thức mặc định đồng ý hoặc tạo các chỉ dẫn không rõ ràng gây hiểu lầm giữa đồng ý và không đồng ý cho CTDL[18].
• Đối với việc xin sự đồng ý xử lý DLCN nhạy cảm, CTDL phải được thông báo rằng dữ liệu cần xử lý là DLCN nhạy cảm[19].

Doanh nghiệp cần lưu trữ sự đồng ý của CTDL để làm bằng chứng trong trường hợp có tranh chấp do trách nhiệm chứng minh sự đồng ý của CTDL sẽ thuộc về doanh nghiệp[20].

3. Phân công và chỉ định nhân sự phụ trách bảo vệ DLCN

Các doanh nghiệp phải thành lập, chỉ định bộ phận hoặc nhân sự bảo vệ DLCN (Data Protection Officer – “DPO”) hoặc thuê đơn vị cung cấp dịch vụ bảo vệ dữ liệu cá nhân đáp ứng các yêu cầu dưới đây.

a. Nhân sự nội bộ: Có trình độ từ cao đẳng trở lên; có ít nhất 02 năm kinh nghiệm công tác trong các lĩnh vực: pháp chế, công nghệ thông tin, an ninh mạng, quản trị rủi ro hoặc quản lý nhân sự; và phải được đào tạo, bồi dưỡng kiến thức pháp luật chuyên môn về bảo vệ DLCN[21].

b. Cá nhân cung cấp dịch vụ: Có ít nhất 03 năm kinh nghiệm công tác trong các lĩnh vực tương ứng và phải qua đào tạo chuyên sâu về bảo vệ DLCN[22].

c. Tổ chức cung cấp dịch vụ DPO: Phải có chức năng cung cấp dịch vụ DPO; có tối thiểu 03 nhân sự đáp ứng đủ điều kiện của cá nhân cung cấp dịch vụ nêu trên và đã cung cấp sản phẩm, dịch vụ liên quan đến bảo mât, an ninh mạng, công nghệ thông tin, đánh giá, tư vấn về bảo vệ DLCN[23].

Doanh nghiệp cần ban hành quyết định bổ nhiệm hoặc thành lập bộ phận DPO bằng văn bản trong đó quy định rõ phạm vi công việc, quyền hạn và trách nhiệm của DPO như đã nêu trên[24]. Trường hợp sử dụng dịch vụ bên ngoài, doanh nghiệp phải công khai thông tin DPO cho CTDL được biết[25].

Tuy nhiên đối với doanh nghiệp nhỏ, siêu nhỏ và khởi nghiệp được miễn nghĩa vụ chỉ định DPO trong thời gian 05 năm kể từ ngày 01/01/2026. Quyền miễn trừ này không áp dụng nếu doanh nghiệp thuộc một trong hai trường hợp: (i) Trực tiếp xử lý DLCN nhạy cảm; hoặc (ii) Xử lý dữ liệu của từ 100.000 CTDL trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu đã xử lý[26].

4. Thực hiện các thủ tục liên quan đến DLCN

4.1. Lập và gửi hồ sơ đánh giá tác động xử lý DLCN

Doanh nghiệp với tư cách là bên kiểm soát dữ liệu và bên xử lý DLCN có trách nhiệm lập, lưu trữ và gửi 01 bản chính hồ sơ đánh giá tác động xử lý DLCN cho cơ quan chuyên trách bảo vệ DLCN (Cục An ninh mạng phòng, chống tội phạm sử dụng công nghệ cao) trong vòng 60 ngày kể từ ngày bắt đầu hoạt động xử lý DLCN[27]. Trong vòng 15 ngày sau khi nộp hồ sơ, cơ quan trên sẽ trả kết quả cho doanh nghiệp[28].

Hồ sơ này được thực hiện một lần cho suốt thời gian hoạt động của doanh nghiệp và bao gồm các tài liệu[29]:

a. Báo cáo đánh giá tác động xử lý DLCN;

b. Bản sao hợp đồng hoặc thỏa thuận về việc xử lý DLCN;

c. Chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan về bảo vệ DLCN.

4.2. Lập hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới

Doanh nghiệp phải thực hiện nghĩa vụ này khi chuyển DLCN của công dân Việt Nam ra nước ngoài, bao gồm cả việc lưu trữ dữ liệu tại hệ thống đặt ngoài lãnh thổ Việt Nam hoặc sử dụng các nền tảng ngoài lãnh thổ để xử lý. Tương tự như hồ sơ đánh giá tác động xử lý DLCN, doanh nghiệp cần lập hồ sơ và gửi bản chính cho cơ quan chuyên trách trong vòng 60 ngày kể từ ngày bắt đầu hoạt động chuyển dữ liệu[30] và phải hoàn thiện, nộp lại nếu không đạt. Hồ sơ bao gồm[31]:

a. Báo cáo đánh giá tác động chuyển DLCN xuyên biên giới;

b. Bản sao hợp đồng hoặc văn bản chuyển giao DLCN;

c. Chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan đến bảo vệ DLCN của cơ quan, tổ chức, cá nhân thực hiện hoạt động chuyển DLCN.

4.3. Cập nhật hồ sơ

Doanh nghiệp phải cập nhật các hồ sơ nêu trên (qua Cổng thông tin quốc gia về bảo vệ DLCN)[32] trong các trường hợp:

a. Cập nhật định kỳ 06 tháng kể từ lần đầu nộp hồ sơ khi[33]: (i) phát sinh mục đích chuyển DLCN mới, mục đích xử lý DLCN mới; hoặc (ii) phát sinh hoặc thay đổi bên kiểm soát DLCN, bên kiểm soát và xử lý DLCN, bên xử lý DLCN, bên thứ ba.

b. Cập nhật hồ sơ trong vòng 10 ngày trong các trường hợp[34]: (i) tổ chức lại bộ máy, chấm dứt hoạt động, giải thể hoặc phá sản; (ii) thay đổi đơn vị cung cấp dịch vụ bảo vệ DLCN; hoặc (iii) phát sinh thay đổi về ngành nghề, dịch vụ kinh doanh liên quan đến xử lý DLCN đã đăng ký.

[1] Điều 3 Nghị Định 356.

[2] Điều 4.1 Nghị Định 356.

[3] Điều 14.1 Luật Bảo Vệ DLCN.

[4] Điều 25.3 Luật Bảo Vệ DLCN.

[5] Điều 5 Nghị Định 356.

[6] Điều 25.2(c) Luật Bảo Vệ DLCN.

[7] Điều 27.1 Luật Bảo Vệ DLCN.

[8] Điều 7.1 Nghị Định 356.

[9] Điều 7.2 Nghị Định 356.

[10] Điều 7.3 (a) Nghị Định 356.

[11] Điều 7.3(d) Nghị Định 356.

[12] Các trường hợp đặc biệt theo quy định tại Điều 19.1 Luật Bảo Vệ DLCN.

[13] Điều 19.2 Luật Bảo Vệ DLCN.

[14] Điều 9.2 Luật Bảo Vệ DLCN.

[15] Điều 6.1 Nghị Định 356.

[16] Điều 9.4(d) Luật Bảo Vệ DLCN.

[17] Điều 9.4(a) Luật Bảo Vệ DLCN.

[18] Điều 6.3 Nghị Định 356.

[19] Điều 6.4 Nghị Định 356.

[20] Điều 6 Nghị Định 356.

[21] Điều 13.2 Nghị Định 356.

[22] Điều 15.2 Nghị Định 356.

[23] Điều 16.1 Nghị Định 356.

[24] Điều 13.1 Nghị Định 356.

[25] Điều 15.3, 16.3 Nghị Định 356.

[26] Điều 38.2 Luật Bảo Vệ DLCN và Điều 41.1 Nghị Định 356.

[27] Điều 21.1 Luật Bảo Vệ DLCN.

[28] Điều 19.5, 19.6 Nghị Định 356.

[29] Điều 19.2 Nghị Định 356.

[30] Điều 20.2 Luật Bảo Vệ DLCN.

[31] Điều 18.2 Nghị Định 356.

[32] Điều 22.3 Luật Bảo Vệ DLCN.

[33] Điều 20.1 Nghị Định 356.

[34] Điều 20.2 Nghị Định 356.

Quyền miễn trừ trách nhiệm: Bài viết này được chuẩn bị bởi Công ty Luật TNHH PTN (“PTN Legal”) chỉ nhằm mục đích cung cấp thông tin tham khảo cho người đọc. PTN Legal không cam kết hay đảm bảo về tính chính xác hay đầy đủ của các thông tin này. Nội dung của bài viết có thể được thay đổi, điều chỉnh, hoặc cập nhật mà không cần báo trước. PTN Legal không chịu trách nhiệm về bất kỳ lỗi hoặc thiếu sót nào trong bài viết này hoặc thiệt hại phát sinh từ việc sử dụng bài viết này trong bất kỳ trường hợp nào.