Doanh nghiệp thực hiện Luật bảo vệ dữ liệu cá nhân như thế nào?

Doanh nghiệp thực hiện Luật bảo vệ dữ liệu cá nhân như thế nào để tuân thủ quy định và giảm thiểu rủi ro pháp lý là vấn đề cấp thiết, đòi hỏi một lộ trình bài bản và chuyên nghiệp. Giải pháp toàn diện từ DPO.VN sẽ giúp doanh nghiệp hoàn thành mọi nghĩa vụ pháp lý một cách chính xác. Lộ trình tuân thủ, chính sách nội bộ, quy trình xử lý.

Doanh nghiệp cần bắt đầu từ đâu để tuân thủ Luật Bảo vệ dữ liệu cá nhân?

Doanh nghiệp nên bắt đầu bằng việc xây dựng một lộ trình tuân thủ gồm 5 bước cốt lõi: Nâng cao nhận thức và phân công trách nhiệm; Rà soát và lập bản đồ dữ liệu; Xây dựng khung pháp lý nội bộ; Triển khai các biện pháp bảo vệ phù hợp; và Thực hiện các thủ tục hành chính bắt buộc với cơ quan nhà nước.

Việc tuân thủ pháp luật về bảo vệ dữ liệu cá nhân, cụ thể là Nghị định 13/2023/NĐ-CP (Nghị định 13) và sắp tới là Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (có hiệu lực từ 01/01/2026), là một hành trình có hệ thống chứ không phải một công việc đơn lẻ. Để tránh các rủi ro pháp lý và xây dựng niềm tin nơi khách hàng, DPO.VN đề xuất một lộ trình triển khai chi tiết qua 5 giai đoạn chiến lược sau:

• Giai đoạn 1: Nâng cao nhận thức và phân công trách nhiệm. Ban lãnh đạo cần hiểu rõ tầm quan trọng và các yêu cầu pháp lý. Bước đầu tiên là chỉ định một cá nhân hoặc một bộ phận chuyên trách (Data Protection Officer – DPO) để dẫn dắt toàn bộ quá trình tuân thủ, đặc biệt là khi xử lý dữ liệu cá nhân nhạy cảm hoặc quy mô lớn theo Điều 28 Nghị định 13.
• Giai đoạn 2: Rà soát và lập bản đồ luồng dữ liệu (Data Mapping). Doanh nghiệp phải xác định được toàn bộ dữ liệu cá nhân đang thu thập, xử lý và lưu trữ. Quá trình này bao gồm việc trả lời các câu hỏi: Dữ liệu gì được thu thập (cơ bản hay nhạy cảm)? Thu thập từ đâu? Với mục đích gì? Lưu trữ ở đâu và trong bao lâu? Ai có quyền truy cập? Có chuyển dữ liệu ra nước ngoài không?
• Giai đoạn 3: Xây dựng khung pháp lý và chính sách nội bộ. Dựa trên kết quả rà soát, doanh nghiệp cần xây dựng hoặc cập nhật các tài liệu quan trọng như: Chính sách bảo vệ dữ liệu cá nhân, quy trình xử lý yêu cầu của chủ thể dữ liệu (quyền truy cập, chỉnh sửa, xóa), và các biểu mẫu đồng ý (consent forms) đảm bảo tính hợp lệ theo Điều 11 Nghị định 13.
• Giai đoạn 4: Triển khai các biện pháp bảo vệ kỹ thuật và tổ chức. Áp dụng các biện pháp bảo vệ dữ liệu cá nhân theo Điều 26, 27, 28 của Nghị định 13. Về mặt kỹ thuật, có thể bao gồm mã hóa dữ liệu, tường lửa, kiểm soát truy cập. Về mặt tổ chức, cần đào tạo nhân viên về các chính sách mới và quy định về bảo mật thông tin.
• Giai đoạn 5: Hoàn thành các nghĩa vụ báo cáo và đăng ký. Đây là bước cuối cùng để chính thức hóa việc tuân thủ. Doanh nghiệp cần lập và nộp Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và, nếu có, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an theo quy định tại Điều 24 và 25 của Nghị định 13.

Làm thế nào để xây dựng nền tảng pháp lý và phân công nhân sự nội bộ?

Doanh nghiệp cần xây dựng một Chính sách Bảo vệ Dữ liệu Cá nhân toàn diện, chỉ định nhân sự hoặc bộ phận chuyên trách, và lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân để làm nền tảng cho mọi hoạt động tuân thủ.

Xây dựng một nền tảng pháp lý vững chắc là bước không thể thiếu để đảm bảo tuân thủ bền vững. Điều này không chỉ giúp doanh nghiệp đáp ứng các yêu cầu của pháp luật mà còn tạo ra một khuôn khổ vận hành an toàn và minh bạch.

Cần xây dựng chính sách bảo vệ dữ liệu cá nhân nội bộ như thế nào?

Một chính sách hiệu quả cần bao gồm các quy định rõ ràng về mục đích xử lý, các nguyên tắc tuân thủ, quyền của chủ thể dữ liệu, biện pháp bảo mật, và quy trình ứng phó sự cố, được truyền đạt và đào tạo cho toàn bộ nhân viên.

Chính sách bảo vệ dữ liệu cá nhân là tài liệu xương sống, định hướng cho toàn bộ nhân viên về cách thức xử lý dữ liệu. DPO.VN khuyến nghị chính sách này cần bao quát các nội dung sau:

• Phạm vi và đối tượng áp dụng: Xác định rõ chính sách áp dụng cho ai và cho những loại dữ liệu cá nhân nào.
• Các nguyên tắc cốt lõi: Tích hợp 8 nguyên tắc từ Điều 3 Nghị định 13 (hoặc 6 nguyên tắc từ Điều 3 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15) vào chính sách, biến chúng thành quy tắc hoạt động cụ thể.
• Quy trình thu thập và sử dụng dữ liệu: Hướng dẫn chi tiết cách thức thu thập sự đồng ý hợp lệ, cách thông báo cho chủ thể dữ liệu và cách đảm bảo dữ liệu chỉ được dùng đúng mục đích.
• Quyền của chủ thể dữ liệu: Thiết lập một quy trình rõ ràng để tiếp nhận và xử lý các yêu cầu của chủ thể dữ liệu (yêu cầu xem, sửa, xóa dữ liệu…) theo Điều 9 Nghị định 13.
• Biện pháp bảo mật: Quy định các biện pháp bảo mật bắt buộc, phân loại mức độ bảo vệ cho dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
• Quy trình xử lý vi phạm: Xây dựng kế hoạch ứng phó sự cố, bao gồm các bước phát hiện, báo cáo nội bộ, và thông báo cho cơ quan chức năng theo Điều 23 Nghị định 13.

Khi nào doanh nghiệp phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Theo Điều 24 Nghị định 13, Bên Kiểm soát và Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập và lưu giữ Hồ sơ đánh giá tác động kể từ khi bắt đầu xử lý dữ liệu, và phải nộp cho Cục A05 trong vòng 60 ngày.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một nghĩa vụ pháp lý quan trọng, thể hiện trách nhiệm giải trình của doanh nghiệp. Đây không chỉ là một thủ tục hành chính mà còn là một công cụ quản trị rủi ro hiệu quả.

Luật sư Nguyễn Tiến Hảo chia sẻ: Việc lập hồ sơ này giúp doanh nghiệp tự đánh giá được các rủi ro tiềm ẩn đối với quyền riêng tư của khách hàng và nhân viên, từ đó chủ động đưa ra các biện pháp giảm thiểu trước khi sự cố xảy ra. Hồ sơ này phải được lập bằng các mẫu biểu do pháp luật quy định. Cụ thể, doanh nghiệp cần sử dụng Mẫu Đ24-DLCN-01 (dành cho Bên Kiểm soát/Kiểm soát và xử lý), Mẫu Đ24-DLCN-02 (dành cho Bên Xử lý), hoặc Mẫu Đ24-DLCN-03 (dành cho Bên thứ ba). Sau khi hoàn thiện, doanh nghiệp nộp Thông báo gửi hồ sơ theo Mẫu số 04a (tổ chức) hoặc 04b (cá nhân) kèm theo hồ sơ chính tới Cục A05 – Bộ Công an.

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 tại Điều 21 và 22 cũng kế thừa và phát triển quy định này, yêu cầu việc đánh giá phải được thực hiện một lần cho suốt vòng đời hoạt động và cập nhật định kỳ 6 tháng hoặc khi có thay đổi lớn.

Làm sao để tích hợp các quy định bảo vệ dữ liệu vào hoạt động kinh doanh hàng ngày?

Doanh nghiệp cần rà soát và điều chỉnh lại các quy trình kinh doanh cốt lõi, từ tuyển dụng, quản lý nhân sự đến marketing và bán hàng, đảm bảo mọi điểm chạm với dữ liệu cá nhân đều tuân thủ nguyên tắc bảo vệ ngay từ khâu thiết kế (Privacy by Design).

Tuân thủ không chỉ dừng lại ở chính sách trên giấy tờ mà phải được thể hiện trong mọi hoạt động thực tế của doanh nghiệp.

Cần điều chỉnh quy trình tuyển dụng và quản lý nhân sự như thế nào?

Chỉ thu thập thông tin ứng viên cần thiết cho vị trí tuyển dụng, thông báo rõ mục đích xử lý, và phải xóa dữ liệu của ứng viên không trúng tuyển sau khi kết thúc đợt tuyển dụng, trừ khi có thỏa thuận khác. Đối với nhân viên, cần có sự đồng ý rõ ràng cho các hoạt động xử lý dữ liệu ngoài hợp đồng lao động.

Điều 25 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã đưa ra những quy định rất cụ thể cho hoạt động này. DPO.VN lưu ý các doanh nghiệp cần:

• Trong tuyển dụng: Rà soát lại các mẫu đơn ứng tuyển để loại bỏ các trường thông tin không cần thiết. Cung cấp thông báo về xử lý dữ liệu cá nhân cho ứng viên và có cơ chế xóa dữ liệu an toàn.
• Trong quản lý nhân sự: Cần có phụ lục hoặc thỏa thuận riêng về xử lý dữ liệu cá nhân ngoài các mục đích cơ bản của hợp đồng lao động, ví dụ như sử dụng hình ảnh cho mục đích truyền thông nội bộ, hoặc theo dõi hiệu suất làm việc bằng công nghệ.
• Khi chấm dứt hợp đồng: Xây dựng chính sách lưu trữ hồ sơ nhân sự với thời hạn rõ ràng và quy trình hủy bỏ an toàn khi hết thời hạn theo quy định pháp luật.

Làm sao để thu thập sự đồng ý hợp lệ trong hoạt động marketing và bán hàng?

Sự đồng ý phải rõ ràng, tự nguyện, và cho từng mục đích cụ thể. Doanh nghiệp không được dùng các ô đánh dấu sẵn (pre-ticked boxes) và phải cung cấp cho khách hàng lựa chọn từ chối dễ dàng.

Điều 11 và 21 của Nghị định 13, cùng với Điều 9 và 28 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, đặt ra yêu cầu cao về sự đồng ý. Để tuân thủ, DPO.VN đề xuất:

• Tách bạch các mục đích: Nếu doanh nghiệp muốn sử dụng dữ liệu cho cả việc thực hiện đơn hàng và gửi email quảng cáo, cần có hai lựa chọn đồng ý riêng biệt. Khách hàng có thể đồng ý với việc xử lý dữ liệu cho đơn hàng nhưng từ chối nhận quảng cáo.
• Sử dụng ngôn ngữ đơn giản: Các điều khoản về sự đồng ý cần được viết bằng ngôn ngữ dễ hiểu, tránh các thuật ngữ pháp lý phức tạp.
• Lưu trữ bằng chứng đồng ý: Doanh nghiệp phải có khả năng chứng minh rằng khách hàng đã đồng ý, ví dụ như lưu lại log hệ thống về thời gian, địa chỉ IP và nội dung mà khách hàng đã đồng ý.
• Quyền rút lại sự đồng ý: Cung cấp một cơ chế đơn giản để khách hàng có thể rút lại sự đồng ý bất cứ lúc nào, ví dụ như nút hủy đăng ký (unsubscribe) ở cuối mỗi email marketing.

Doanh nghiệp cần chuẩn bị gì cho các sự cố vi phạm và các cuộc thanh tra?

Doanh nghiệp cần xây dựng một Kế hoạch ứng phó sự cố vi phạm dữ liệu chi tiết và duy trì, cập nhật thường xuyên các hồ sơ pháp lý (Hồ sơ đánh giá tác động, chính sách, nhật ký xử lý) để sẵn sàng cho việc kiểm tra của cơ quan chức năng.

Quản trị rủi ro là một phần không thể thiếu của việc tuân thủ. Việc chuẩn bị trước sẽ giúp doanh nghiệp phản ứng nhanh chóng, giảm thiểu thiệt hại và thể hiện thiện chí hợp tác với cơ quan quản lý.

Quy trình ứng phó khi xảy ra vi phạm dữ liệu là gì?

Khi phát hiện vi phạm, doanh nghiệp phải hành động ngay lập tức: ngăn chặn, đánh giá mức độ ảnh hưởng, và thông báo cho Cục A05 – Bộ Công an trong vòng 72 giờ theo Mẫu số 03a (đối với tổ chức) hoặc Mẫu số 03b (đối với cá nhân).

Điều 23 Nghị định 13 quy định rất rõ về nghĩa vụ thông báo vi phạm. Một quy trình ứng phó hiệu quả nên bao gồm các bước:

1. Phát hiện và xác nhận: Kích hoạt đội ứng phó sự cố để xác minh bản chất và phạm vi của vụ vi phạm.
2. Ngăn chặn và khắc phục: Thực hiện ngay các biện pháp kỹ thuật để cô lập hệ thống bị ảnh hưởng, ngăn chặn thiệt hại lan rộng và bắt đầu quá trình khôi phục.
3. Đánh giá rủi ro: Phân tích mức độ ảnh hưởng đến chủ thể dữ liệu (loại dữ liệu bị lộ, số lượng người bị ảnh hưởng).
4. Thông báo cho cơ quan chức năng: Hoàn thiện Mẫu số 03a và gửi đến Cục A05 trong vòng 72 giờ kể từ khi phát hiện. Nếu gửi muộn, cần nêu rõ lý do.
5. Thông báo cho chủ thể dữ liệu (nếu cần): Cân nhắc thông báo cho các chủ thể dữ liệu bị ảnh hưởng nếu vi phạm có nguy cơ gây rủi ro cao cho họ.
6. Rút kinh nghiệm: Sau khi sự cố được giải quyết, cần rà soát lại toàn bộ quy trình và biện pháp bảo mật để ngăn ngừa các sự cố tương tự trong tương lai.

Các Câu Hỏi Thường Gặp Về Việc Thực Hiện Luật Bảo Vệ Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15
• Luật An ninh mạng 2018 số 24/2018/QH14.
• IBM (2023): Cost of a Data Breach Report 2023.
• Thủ tục hành chính liên quan đến bảo vệ dữ liệu cá nhân.