Doanh Nghiệp Cần Thông Báo Trước Khi Xử Lý Dữ Liệu cá nhân như thế nào?

Doanh nghiệp cần thông báo trước khi xử lý dữ liệu cá nhân là nghĩa vụ pháp lý bắt buộc nhằm đảm bảo tính minh bạch và tôn trọng quyền của chủ thể dữ liệu. Để thực hiện đúng và đầy đủ quy trình này, giải pháp từ DPO.VN sẽ cung cấp hướng dẫn chi tiết, giúp doanh nghiệp xây dựng nội dung thông báo chuẩn xác, lựa chọn phương thức phù hợp và tránh các rủi ro pháp lý theo quy định hiện hành.

Tại sao doanh nghiệp bắt buộc phải thông báo trước khi xử lý dữ liệu cá nhân?

Việc thông báo trước là yêu cầu cốt lõi của nguyên tắc minh bạch, giúp chủ thể dữ liệu hiểu rõ thông tin của họ được sử dụng như thế nào để đưa ra quyết định đồng ý một cách tự nguyện và sáng suốt, đồng thời giúp doanh nghiệp tuân thủ Điều 13 Nghị định 13/2023/NĐ-CP.

Thông báo xử lý dữ liệu không chỉ là một thủ tục hành chính mà là nền tảng của sự tin cậy giữa doanh nghiệp và khách hàng. Theo Điều 13 của Nghị định 13/2023/NĐ-CP và tinh thần của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, quyền được biết là quyền cơ bản nhất của chủ thể dữ liệu. Doanh nghiệp không thể thu thập hay xử lý dữ liệu một cách “lén lút”.

Khi thực hiện thông báo đầy đủ và rõ ràng, doanh nghiệp không chỉ tuân thủ pháp luật mà còn thể hiện sự chuyên nghiệp và tôn trọng quyền riêng tư của khách hàng. Ngược lại, việc bỏ qua bước này có thể dẫn đến việc sự đồng ý của chủ thể dữ liệu bị coi là vô hiệu, kéo theo các rủi ro pháp lý nghiêm trọng như bị xử phạt vi phạm hành chính hoặc bị yêu cầu ngừng xử lý dữ liệu.

Nội dung thông báo xử lý dữ liệu cá nhân cần bao gồm những gì?

Một thông báo hợp lệ phải bao gồm ít nhất 6 nội dung chính: mục đích xử lý, loại dữ liệu sử dụng, cách thức xử lý, thông tin về các bên liên quan, hậu quả/thiệt hại có thể xảy ra, và thời gian bắt đầu, kết thúc xử lý dữ liệu.

Để đảm bảo chủ thể dữ liệu có đủ thông tin để ra quyết định, khoản 2 Điều 13 Nghị định 13/2023/NĐ-CP quy định cụ thể các nội dung bắt buộc phải có trong thông báo. Doanh nghiệp cần xây dựng bản thông báo (thường được tích hợp trong Chính sách bảo mật hoặc Thông báo quyền riêng tư) bao gồm:

• 1. Mục đích xử lý: Phải nêu rõ ràng, cụ thể lý do tại sao doanh nghiệp cần thu thập dữ liệu (ví dụ: để giao hàng, để gửi tin nhắn quảng cáo, để tạo tài khoản…). Tránh dùng các cụm từ chung chung như “để cải thiện dịch vụ” mà không giải thích thêm.
• 2. Loại dữ liệu cá nhân được sử dụng: Liệt kê chi tiết các loại dữ liệu cá nhân là gì sẽ được thu thập tương ứng với từng mục đích (ví dụ: họ tên, số điện thoại, địa chỉ email, dữ liệu vị trí…).
• 3. Cách thức xử lý: Mô tả quy trình dữ liệu đi qua, từ thu thập, ghi, phân tích, lưu trữ đến chia sẻ, xóa hủy.
• 4. Thông tin về các tổ chức, cá nhân khác có liên quan: Nếu doanh nghiệp chia sẻ dữ liệu với bên thứ ba (đối tác vận chuyển, cổng thanh toán, đơn vị marketing), cần thông báo rõ danh tính hoặc loại hình của các bên này.
• 5. Hậu quả, thiệt hại không mong muốn có khả năng xảy ra: Cảnh báo về các rủi ro tiềm ẩn (ví dụ: rò rỉ dữ liệu do tấn công mạng) để chủ thể dữ liệu cân nhắc.
• 6. Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu: Nêu rõ dữ liệu sẽ được lưu trữ và xử lý trong bao lâu (ví dụ: cho đến khi hoàn thành đơn hàng, hoặc 2 năm kể từ lần tương tác cuối cùng).

Thời điểm và phương thức thông báo như thế nào là hợp lệ?

Thông báo phải được thực hiện một lần trước khi tiến hành bất kỳ hoạt động xử lý dữ liệu nào. Phương thức thông báo phải được thể hiện ở định dạng có thể in, sao chép bằng văn bản, bao gồm cả định dạng điện tử hoặc các hình thức kiểm chứng được.

Về thời điểm: Nguyên tắc “trước khi” là bất di bất dịch. Doanh nghiệp không thể thu thập dữ liệu xong rồi mới gửi thông báo. Thông báo phải được gửi đến chủ thể dữ liệu tại thời điểm họ được yêu cầu cung cấp thông tin hoặc trước khi doanh nghiệp bắt đầu thu thập dữ liệu từ các nguồn khác.

Về phương thức: Pháp luật không giới hạn cứng nhắc một hình thức cụ thể nhưng yêu cầu tính minh bạch và khả năng lưu trữ, kiểm chứng. Các hình thức phổ biến bao gồm:

• Hiển thị pop-up hoặc bảng thông báo trên website/ứng dụng ngay khi người dùng truy cập hoặc đăng ký.
• Gửi email thông báo chi tiết.
• Gửi tin nhắn SMS có chứa đường dẫn đến nội dung thông báo đầy đủ.
• In trực tiếp trên các biểu mẫu, hợp đồng giấy tờ khi giao dịch trực tiếp.

💡 DPO.VN lưu ý: Dù sử dụng hình thức nào, doanh nghiệp cũng cần đảm bảo chủ thể dữ liệu có thể dễ dàng đọc, hiểu và lưu lại nội dung thông báo.

Có trường hợp nào doanh nghiệp được miễn trừ nghĩa vụ thông báo không?

Có, doanh nghiệp không cần thực hiện thông báo lại nếu chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ nội dung quy định trước khi đồng ý cho thu thập, hoặc khi dữ liệu được xử lý bởi cơ quan nhà nước có thẩm quyền phục vụ hoạt động theo quy định pháp luật.

Khoản 4 Điều 13 Nghị định 13/2023/NĐ-CP quy định các trường hợp ngoại lệ giúp giảm bớt gánh nặng hành chính cho doanh nghiệp:

• Đã biết và đồng ý trước: Nếu trong quá trình xin sự đồng ý (ví dụ: qua một bản hợp đồng dịch vụ hoặc biểu mẫu đăng ký), doanh nghiệp đã cung cấp đầy đủ 6 nội dung thông báo nêu trên và chủ thể dữ liệu đã đồng ý, thì doanh nghiệp không cần gửi thêm một văn bản thông báo riêng biệt nữa. Điều này nhấn mạnh tầm quan trọng của việc tích hợp nội dung thông báo vào quy trình xin sự đồng ý ngay từ đầu.
• Xử lý bởi cơ quan nhà nước: Trường hợp dữ liệu được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật thì không cần thực hiện thủ tục thông báo này.

Chế tài xử phạt khi không thực hiện thông báo trước khi xử lý dữ liệu là gì?

Hành vi không thông báo cho chủ thể dữ liệu có thể bị xử phạt vi phạm hành chính với mức phạt tiền đáng kể, đồng thời có thể bị áp dụng các biện pháp khắc phục hậu quả như buộc hủy bỏ dữ liệu đã thu thập trái quy định.

Vi phạm quy định về thông báo xử lý dữ liệu cá nhân được xem là vi phạm quyền được biết của chủ thể dữ liệu. Theo quy định tại Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và các quy định hiện hành về xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng:

• Doanh nghiệp có thể bị phạt tiền lên đến hàng chục, thậm chí hàng trăm triệu đồng tùy theo mức độ và quy mô vi phạm (đối với hành vi vi phạm các quy định khác về bảo vệ dữ liệu, mức phạt tối đa có thể lên tới 3 tỷ đồng hoặc 5% tổng doanh thu).
• Ngoài phạt tiền, doanh nghiệp còn đối mặt với rủi ro bị buộc phải hủy bỏ toàn bộ dữ liệu đã thu thập mà không có thông báo hợp lệ, gây thiệt hại lớn về tài nguyên và gián đoạn hoạt động kinh doanh.
• Uy tín thương hiệu bị ảnh hưởng nghiêm trọng khi bị cơ quan chức năng công bố vi phạm hoặc bị khách hàng khiếu nại, tẩy chay.

Các Câu Hỏi Thường Gặp Về Thông Báo Xử Lý Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Chính phủ (2023), Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 về bảo vệ dữ liệu cá nhân.
• Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, Cổng Thông tin điện tử Quốc hội.
• Bộ Công an, Cổng Dịch vụ công Bộ Công an. Có tại: https://dichvucong.bocongan.gov.vn/
• Thư viện Pháp luật, Toàn văn Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân.
• GDPR.eu, Right to be informed. Có tại: https://gdpr.eu/right-to-be-informed/