Trước khi xử lý dữ liệu cá nhân doanh nghiệp phải làm gì?

Trước khi xử lý dữ liệu cá nhân doanh nghiệp phải làm gì là câu hỏi quan trọng, đòi hỏi sự chuẩn bị kỹ lưỡng về pháp lý, kỹ thuật và tổ chức để đảm bảo tuân thủ pháp luật. Để hoạt động an toàn và hiệu quả, doanh nghiệp cần thực hiện đầy đủ 5 bước cốt lõi theo hướng dẫn từ DPO.VN, từ việc xác định mục đích, xin chấp thuận hợp lệ đến việc lập hồ sơ đánh giá tác động. Các bước chuẩn bị ban đầu, nghĩa vụ doanh nghiệp, tuân thủ pháp luật.

Doanh nghiệp cần xác định mục đích và vai trò xử lý dữ liệu cá nhân như thế nào?

Doanh nghiệp phải xác định rõ ràng, cụ thể mục đích xử lý dữ liệu cá nhân phải hợp pháp và xác định chính xác vai trò của mình là Bên Kiểm soát, Bên Xử lý hay đồng thời cả hai, vì điều này quyết định toàn bộ phạm vi trách nhiệm pháp lý.

Đây là bước nền tảng và mang tính chiến lược nhất. Việc xác định sai mục đích hoặc vai trò có thể dẫn đến toàn bộ quy trình tuân thủ sau đó bị chệch hướng, gây ra rủi ro pháp lý nghiêm trọng.

1. Xác định mục đích xử lý: Mục đích phải được nêu rõ ràng, cụ thể và hợp pháp, phù hợp với hoạt động kinh doanh của doanh nghiệp. Ví dụ, một công ty thương mại điện tử thu thập dữ liệu khách hàng với mục đích: (1) xử lý đơn hàng, (2) giao nhận, (3) chăm sóc khách hàng, và (4) gửi thông tin tiếp thị. Mỗi mục đích này phải được xác định riêng biệt. Nguyên tắc giới hạn mục đích tại Điều 3 Nghị định 13/2023/NĐ-CP (sau đây gọi là Nghị định 13) và Điều 3 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (sau đây gọi là Luật BV-DLCN) yêu cầu dữ liệu chỉ được sử dụng cho các mục đích đã được chủ thể dữ liệu đồng ý.

2. Phân định vai trò: Điều 2 Nghị định 13 định nghĩa rõ các vai trò sau:

• Bên Kiểm soát dữ liệu cá nhân (Data Controller): Là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu. Họ là người chịu trách nhiệm cao nhất trước chủ thể dữ liệu và pháp luật. Ví dụ: Công ty A bán lẻ trực tuyến, quyết định thu thập thông tin gì của khách hàng và dùng để làm gì.
• Bên Xử lý dữ liệu cá nhân (Data Processor): Là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát, thông qua một hợp đồng. Ví dụ: Công ty B cung cấp dịch vụ giao hàng cho công ty A, chỉ xử lý dữ liệu (tên, địa chỉ, số điện thoại) theo đúng yêu cầu của hợp đồng.
• Bên Kiểm soát và xử lý dữ liệu cá nhân: Là trường hợp tổ chức, cá nhân đồng thời quyết định mục đích và trực tiếp xử lý dữ liệu.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Việc phân định rõ ràng vai trò ngay từ đầu là yếu tố sống còn. Bên Kiểm soát dữ liệu cá nhân chịu trách nhiệm toàn diện, bao gồm cả các vi phạm do Bên Xử lý gây ra nếu không có các biện pháp giám sát phù hợp. Doanh nghiệp cần thể hiện rõ vai trò này trong các hợp đồng dịch vụ để phân định trách nhiệm một cách minh bạch.

Làm thế nào để thiết lập cơ sở pháp lý và minh bạch hóa hoạt động xử lý dữ liệu cá nhân?

Doanh nghiệp phải thực hiện hai hành động song song: Thông báo đầy đủ về hoạt động xử lý dữ liệu cho chủ thể dữ liệu (theo Điều 13 Nghị định 13) và nhận được sự đồng ý hợp lệ từ họ (theo Điều 11 Nghị định 13) trước khi tiến hành thu thập.

Đây là bước tương tác trực tiếp và quan trọng nhất với chủ thể dữ liệu. Việc thực hiện đúng đắn sẽ tạo dựng lòng tin và là nền tảng cho mọi hoạt động xử lý về sau.

Các yêu cầu về thông báo xử lý dữ liệu cá nhân là gì?

Việc thông báo phải được thực hiện một lần trước khi xử lý, bao gồm 6 nội dung chính: mục đích, loại dữ liệu, cách thức xử lý, thông tin các bên liên quan, hậu quả có thể xảy ra, và thời gian xử lý.

Theo Điều 13 Nghị định 13, trước khi xử lý dữ liệu, doanh nghiệp phải thông báo cho chủ thể dữ liệu các nội dung sau:

1. Mục đích xử lý: Nêu rõ ràng từng mục đích cụ thể.
2. Loại dữ liệu cá nhân được sử dụng: Liệt kê các loại dữ liệu sẽ được thu thập và xử lý.
3. Cách thức xử lý: Mô tả các hoạt động như thu thập, lưu trữ, chia sẻ…
4. Thông tin về các tổ chức, cá nhân khác có liên quan: Công khai danh tính Bên Xử lý, Bên thứ ba (nếu có).
5. Hậu quả, thiệt hại không mong muốn có khả năng xảy ra: Giúp chủ thể dữ liệu nhận thức được rủi ro.
6. Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu: Cung cấp khung thời gian rõ ràng.

Thông báo này thường được tích hợp trong Chính sách Quyền riêng tư (Privacy Policy) và phải được trình bày ở định dạng có thể in, sao chép được.

Thế nào là sự đồng ý hợp lệ của chủ thể dữ liệu?

Sự đồng ý hợp lệ phải dựa trên sự tự nguyện, chủ thể dữ liệu phải biết rõ thông tin, và được thể hiện bằng một hành động rõ ràng. Sự im lặng hoặc không phản hồi không được coi là đồng ý.

Điều 11 Nghị định 13 và Điều 9 Luật BV-DLCN đặt ra các tiêu chuẩn rất cao cho sự đồng ý của chủ thể dữ liệu. Để hợp lệ, sự đồng ý phải đáp ứng:

• Tự nguyện: Không có sự ép buộc hay áp đặt.
• Biết rõ thông tin: Chủ thể dữ liệu phải được cung cấp đầy đủ thông tin về loại dữ liệu, mục đích, bên kiểm soát và các quyền của mình.
• Rõ ràng và cụ thể: Phải được thể hiện bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp tin nhắn hoặc hành động khẳng định khác. Các ô đồng ý không được đánh dấu sẵn.
• Tách bạch cho từng mục đích: Nếu có nhiều mục đích xử lý, doanh nghiệp phải liệt kê để chủ thể dữ liệu có thể đồng ý với từng mục đích riêng lẻ.

💡 Kinh nghiệm từ DPO.VN: Một sai lầm phổ biến là gộp chung sự đồng ý xử lý dữ liệu với việc chấp nhận điều khoản dịch vụ. Theo quy định mới, doanh nghiệp cần tách riêng phần này, sử dụng các hộp kiểm (checkbox) riêng cho từng mục đích (ví dụ: một hộp cho xử lý đơn hàng, một hộp riêng cho nhận email quảng cáo) để đảm bảo tính hợp lệ.

Doanh nghiệp cần xây dựng các biện pháp bảo vệ và chính sách nội bộ ra sao?

Doanh nghiệp phải áp dụng đồng bộ các biện pháp quản lý và kỹ thuật phù hợp ngay từ khi bắt đầu và trong suốt quá trình xử lý để bảo vệ dữ liệu cá nhân một cách hiệu quả.

Xây dựng hàng rào bảo vệ trước khi dữ liệu được thu thập là một yêu cầu bắt buộc. Điều 26 Nghị định 13 quy định các biện pháp bảo vệ dữ liệu phải được áp dụng ngay từ đầu.

Đặc biệt, đối với dữ liệu cá nhân nhạy cảm, Điều 28 Nghị định 13 yêu cầu các biện pháp bảo vệ nghiêm ngặt hơn, bao gồm cả việc chỉ định bộ phận và nhân sự phụ trách. Việc chuẩn bị sẵn sàng các biện pháp này không chỉ là nghĩa vụ pháp lý mà còn là cách tốt nhất để giảm thiểu thiệt hại khi có sự cố xảy ra.

Khi nào doanh nghiệp bắt buộc phải thực hiện Đánh giá Tác động xử lý dữ liệu cá nhân?

Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập, lưu trữ Hồ sơ đánh giá tác động ngay từ khi bắt đầu xử lý và gửi 01 bản chính cho Cục An ninh mạng (A05) trong vòng 60 ngày.

Việc lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) là một trong những nghĩa vụ cốt lõi và mới mẻ theo quy định của Việt Nam, được quy định tại Điều 24 Nghị định 13 và Điều 21 Luật BV-DLCN.

Trách nhiệm lập và nộp hồ sơ:

• Đối tượng: Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân. Bên Xử lý dữ liệu cá nhân cũng phải lập và lưu giữ hồ sơ này theo hợp đồng với Bên Kiểm soát.
• Thời điểm: Lập và lưu giữ kể từ thời điểm bắt đầu xử lý dữ liệu.
• Thủ tục: Gửi 01 bản chính Hồ sơ đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an trong vòng 60 ngày kể từ ngày tiến hành xử lý.

Nội dung hồ sơ được quy định chi tiết trong các mẫu biểu như Mẫu Đ24-DLCN-01 (dành cho Bên Kiểm soát/Kiểm soát và xử lý), Mẫu Đ24-DLCN-02 (dành cho Bên Xử lý), và Mẫu Đ24-DLCN-03 (dành cho Bên thứ ba). Doanh nghiệp cần điền đầy đủ các thông tin về mục đích, loại dữ liệu, các bên liên quan, biện pháp bảo vệ và đánh giá chi tiết các tác động có thể xảy ra.

Luật BV-DLCN (Điều 38) và Nghị định 13 (Điều 43) có quy định miễn trừ nghĩa vụ này cho doanh nghiệp siêu nhỏ, nhỏ, vừa và khởi nghiệp trong 02-05 năm đầu thành lập, trừ khi họ kinh doanh dịch vụ xử lý dữ liệu, xử lý dữ liệu nhạy cảm hoặc xử lý dữ liệu quy mô lớn.

Có bắt buộc phải chỉ định nhân sự hoặc bộ phận chuyên trách bảo vệ dữ liệu không?

Có, việc chỉ định bộ phận và nhân sự phụ trách bảo vệ dữ liệu cá nhân là bắt buộc đối với các doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm, theo quy định tại Điều 28 Nghị định 13.

Để đảm bảo tính tuân thủ được thực thi một cách bài bản và có hệ thống, việc phân công trách nhiệm rõ ràng là vô cùng cần thiết.

Theo Điều 28 Nghị định 13, khi xử lý dữ liệu cá nhân nhạy cảm, doanh nghiệp phải:

• Chỉ định một bộ phận có chức năng bảo vệ dữ liệu cá nhân.
• Chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân (thường được gọi là DPO – Data Protection Officer).
• Trao đổi thông tin về bộ phận và cá nhân này với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Cục A05).

Mặc dù quy định này chỉ bắt buộc đối với việc xử lý dữ liệu nhạy cảm, DPO.VN khuyến nghị tất cả các doanh nghiệp, đặc biệt là những doanh nghiệp xử lý dữ liệu quy mô lớn, nên chủ động chỉ định nhân sự hoặc bộ phận phụ trách. Vai trò này sẽ giúp doanh nghiệp giám sát tuân thủ, tư vấn cho ban lãnh đạo, xử lý các yêu cầu từ chủ thể dữ liệu và làm đầu mối liên lạc với cơ quan chức năng, từ đó giảm thiểu đáng kể rủi ro pháp lý.

Các Câu Hỏi Thường Gặp Trước Khi Xử Lý Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Thủ tục hành chính liên quan đến bảo vệ dữ liệu cá nhân.
• Báo cáo về tình hình an toàn thông tin tại Việt Nam.