Luật Bảo vệ dữ liệu cá nhân (Luật 91/2025/QH15) - Những điều doanh nghiệp nên biết

1. Luật Bảo vệ dữ liệu cá nhân là gì?

Luật Bảo vệ dữ liệu cá nhân, hay còn gọi là PDPL 2025, là Luật số 91/2025/QH15 được Quốc hội khóa XV thông qua tại kỳ họp thứ 9 ngày 26/06/2025, chính thức có hiệu lực thi hành từ ngày 01/01/2026. Đây là văn bản pháp luật đầu tiên tại Việt Nam quy định toàn diện và thống nhất về thu thập, xử lý, lưu trữ và bảo vệ dữ liệu cá nhân, thay thế cho Nghị định 13/2023/NĐ-CP vốn chỉ mang tính tạm thời. Trước đó, Luật An ninh mạng và Luật Dữ liệu 2024 đã quy định một số khía cạnh liên quan, nhưng chưa đủ để điều chỉnh toàn bộ vòng đời dữ liệu cá nhân từ thu thập đến hủy bỏ.

Phạm vi điều chỉnh của Luật rất rộng: bất kỳ hành động nào tác động đến dữ liệu cá nhân của người dùng đều thuộc phạm vi điều chỉnh, bao gồm thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai và chuyển giao dữ liệu cá nhân (Điều 1).

Để hiểu đúng phạm vi của Luật, doanh nghiệp cần nắm 4 khái niệm cốt lõi được định nghĩa tại Điều 2:

• Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác có thể xác định hoặc giúp xác định một con người cụ thể (khoản 1). Quan trọng là dữ liệu sau khi khử nhận dạng hoàn toàn thì không còn là dữ liệu cá nhân và có thể xử lý tự do hơn (khoản 11).
• Dữ liệu cá nhân chia làm hai loại: dữ liệu cơ bản là các yếu tố nhân thân phổ biến như họ tên, ngày sinh, địa chỉ, số điện thoại, số định danh (khoản 2); dữ liệu nhạy cảm là nhóm gắn với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của chủ thể, gồm thông tin sức khỏe, bí mật đời tư, dữ liệu tín dụng tài chính, dữ liệu sinh trắc học, vị trí cá nhân (khoản 3). Danh mục cụ thể của từng loại do Chính phủ ban hành.
• Về phía doanh nghiệp, Luật phân biệt rõ bên kiểm soát dữ liệu là tổ chức quyết định mục đích và phương tiện xử lý (khoản 7), bên xử lý dữ liệu là tổ chức thực hiện xử lý theo chỉ định (khoản 8). Đây là phân biệt quan trọng vì trách nhiệm pháp lý của hai bên được quy định khác nhau rõ ràng tại Điều 37 của Luật.

2. Luật Bảo vệ dữ liệu cá nhân áp dụng cho ai và dữ liệu nào?

2.1 Đối tượng phải tuân thủ

Luật áp dụng cho toàn bộ cơ quan, tổ chức và cá nhân tại Việt Nam, bao gồm cả tổ chức nước ngoài có trụ sở tại đây. Điều đặc biệt quan trọng là Luật còn ràng buộc cả tổ chức nước ngoài không có trụ sở tại Việt Nam nhưng trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam (Điều 1, khoản 2, điểm c).

Điều này có nghĩa là nếu doanh nghiệp dùng dịch vụ SaaS nước ngoài để lưu trữ thông tin khách hàng Việt Nam, hay thuê đối tác nước ngoài xử lý dữ liệu nhân sự, thì toàn bộ chuỗi xử lý đó đều nằm trong phạm vi điều chỉnh của Luật.

2.2 Phân biệt dữ liệu cá nhân cơ bản và nhạy cảm

Việc phân biệt đúng hai loại dữ liệu này là điều kiện tiên quyết để xác định đúng mức độ bảo vệ cần áp dụng. Dữ liệu nhạy cảm bị kiểm soát chặt hơn đáng kể: doanh nghiệp phải áp dụng tiêu chuẩn kỹ thuật riêng (Điều 34) và bắt buộc chỉ định bộ phận cùng nhân sự phụ trách riêng cho nhóm dữ liệu này (Điều 33, khoản 2).

3. Doanh nghiệp có những nghĩa vụ bắt buộc nào?

3.1 Phải có đồng ý hợp lệ trước khi thu thập dữ liệu

Đây là nghĩa vụ nền tảng mà rất nhiều doanh nghiệp đang thực hiện sai. Sự đồng ý chỉ có hiệu lực khi người dùng tự nguyện và biết rõ loại dữ liệu được xử lý, mục đích xử lý, bên nào sẽ nắm giữ dữ liệu, cùng với các quyền và nghĩa vụ của mình (Điều 9, khoản 2). Có bốn nguyên tắc bắt buộc của sự đồng ý mà doanh nghiệp hay bỏ qua:

• Một, đồng ý phải thể hiện riêng biệt cho từng mục đích, không được gộp chung vào một điều khoản.
• Hai, không được ép người dùng phải đồng ý các mục đích khác ngoài nội dung thỏa thuận.
• Ba, sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu thay đổi hoặc theo quy định của pháp luật.
• Bốn, quan trọng nhất: im lặng hoặc không phản hồi không được coi là sự đồng ý, đây là quy định cấm hoàn toàn checkbox mặc định tích sẵn (Điều 9, khoản 4).

Ngoài ra, sự đồng ý phải được thể hiện bằng phương thức rõ ràng, cụ thể, có thể in hoặc lưu trữ dưới dạng điện tử kiểm chứng được (Điều 9, khoản 3). Nếu bị kiểm tra, doanh nghiệp phải chứng minh được người dùng đã đồng ý, không phải ngược lại.

3.2 Phải đáp ứng quyền của khách hàng và người dùng đúng thời hạn

Luật trao cho mỗi cá nhân 6 nhóm quyền: được biết về việc xử lý dữ liệu; đồng ý hoặc rút lại sự đồng ý; xem và chỉnh sửa dữ liệu; yêu cầu xóa hoặc hạn chế xử lý; phản đối xử lý; khiếu nại và yêu cầu bồi thường (Điều 4, khoản 1). Đây không chỉ là quyền trên giấy tờ mà đi kèm với nghĩa vụ thực thi trong thời hạn cụ thể.

Dự thảo nghị định xử phạt đã lượng hóa cụ thể các mốc thời hạn bắt buộc khi doanh nghiệp nhận yêu cầu từ người dùng tại Điều 58. Bảng dưới đây tóm tắt các mốc thời hạn và mức phạt tương ứng khi vi phạm:

3.3 Phải lập hồ sơ DPIA và nộp Bộ Công an trong 60 ngày

DPIA là hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, một nghĩa vụ bắt buộc mà Luật quy định rõ tại Điều 21. Doanh nghiệp phải lập hồ sơ này và gửi 1 bản chính đến cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong 60 ngày kể từ ngày đầu tiên xử lý dữ liệu. Hồ sơ cũng cần được cập nhật định kỳ 6 tháng một lần, hoặc ngay lập tức khi có thay đổi lớn về tổ chức, nhà cung cấp dịch vụ hay ngành nghề kinh doanh mới liên quan đến dữ liệu cá nhân (Điều 22).

Nếu không lập hoặc không nộp đúng hạn, doanh nghiệp có thể bị phạt từ 100 đến 140 triệu đồng, kèm đình chỉ hoạt động xử lý dữ liệu từ 1 đến 3 tháng (Điều 67, dự thảo nghị định).

3.4 Phải thông báo vi phạm trong 72 giờ

Khi phát hiện sự cố data breach có thể gây tổn hại đến quyền lợi của chủ thể dữ liệu, doanh nghiệp phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất 72 giờ kể từ khi phát hiện; nếu bên xử lý dữ liệu phát hiện vi phạm thì phải thông báo ngay cho bên kiểm soát (Điều 23, khoản 1). Song song đó, doanh nghiệp cũng phải lập biên bản xác nhận vi phạm và phối hợp với cơ quan chức năng xử lý sự cố (khoản 2, Điều 23).

Đây chính là lý do kế hoạch ứng phó sự cố phải được xây dựng và diễn tập từ trước, không phải đợi đến khi xảy ra. Thông báo trễ hoặc thông báo không đầy đủ nội dung đều bị xử phạt, với mức từ 50 đến 100 triệu đồng đối với tổ chức (Điều 66, dự thảo nghị định).

3.5 Phải tuân thủ quy định chuyển dữ liệu xuyên biên giới

Nhiều doanh nghiệp đang dùng cloud computing nước ngoài lưu trữ dữ liệu mà chưa biết điều này có thể thuộc phạm vi điều chỉnh của Luật. Có ba trường hợp được coi là chuyển dữ liệu xuyên biên giới (Điều 20, khoản 1):

• Chuyển dữ liệu đang lưu tại Việt Nam đến hệ thống đặt ngoài lãnh thổ tổ chức tại Việt Nam.
• Chuyển dữ liệu cho tổ chức ở nước ngoài..
• Tổ chức dùng nền tảng đặt ngoài lãnh thổ để xử lý dữ liệu thu thập tại Việt Nam.

Với ba trường hợp trên, doanh nghiệp phải lập hồ sơ đánh giá tác động và nộp Bộ Công an trong 60 ngày kể từ lần đầu tiên thực hiện. Tuy nhiên, Luật cũng quy định rõ 4 trường hợp được miễn hoàn toàn thủ tục này: cơ quan nhà nước có thẩm quyền chuyển dữ liệu; tổ chức lưu trữ dữ liệu của người lao động thuộc cơ quan mình trên dịch vụ điện toán đám mây; cá nhân tự chuyển dữ liệu của chính mình; và các trường hợp khác theo quy định của Chính phủ (Điều 20, khoản 6). Tức là dùng cloud nước ngoài để lưu trữ dữ liệu nhân viên nội bộ thì được miễn, nhưng dùng cloud nước ngoài để xử lý dữ liệu khách hàng thì không.

4. Doanh nghiệp ngành nào cần lưu ý thêm?

4.1 Tài chính, ngân hàng, tín dụng

Ngoài nghĩa vụ chung, doanh nghiệp trong lĩnh vực tài chính và tín dụng phải tuân thủ thêm 2 quy định đặc thù:

• Thứ nhất, không được dùng thông tin tín dụng của khách hàng để chấm điểm, xếp hạng hay đánh giá tín nhiệm khi chưa có sự đồng ý rõ ràng (Điều 27, khoản 1, điểm b).
• Thứ hai, khi phát hiện lộ hoặc mất thông tin tài khoản ngân hàng hay thông tin tín dụng, doanh nghiệp có nghĩa vụ thông báo ngay cho khách hàng, không thể chờ đợi hay trì hoãn (Điều 27, khoản 1, điểm d).

4.2 Tuyển dụng và quản lý lao động

Khi ứng viên không được tuyển dụng, doanh nghiệp phải xóa và hủy toàn bộ thông tin cá nhân họ đã cung cấp trong quá trình tuyển dụng, trừ khi có thỏa thuận riêng với ứng viên (Điều 25, khoản 1, điểm c). Đây là nghĩa vụ mà hầu hết phòng nhân sự hiện nay chưa thực hiện đúng, vì thói quen lưu hồ sơ ứng viên không rõ thời hạn rất phổ biến.

Ngoài ra, với dữ liệu nhân viên thu thập qua công nghệ giám sát như camera, thiết bị định vị hay phần mềm theo dõi, doanh nghiệp chỉ được áp dụng khi người lao động biết rõ biện pháp đó, và không được xử lý dữ liệu thu thập trái quy định của pháp luật (Điều 25, khoản 3).

4.3 Quảng cáo và mạng xã hội

Sự im lặng của khách hàng không phải là đồng ý nhận quảng cáo. Việc xử lý dữ liệu cá nhân để kinh doanh dịch vụ quảng cáo phải được sự đồng ý rõ ràng, trên cơ sở khách hàng biết rõ nội dung, phương thức và tần suất giới thiệu sản phẩm (Điều 28, khoản 3). Doanh nghiệp cũng phải cung cấp cơ chế cho khách hàng từ chối nhận quảng cáo bất kỳ lúc nào và thực hiện ngay khi có yêu cầu (khoản 5, Điều 28).

Với nền tảng mạng xã hội và dịch vụ trực tuyến, có một số quy định cụ thể cần lưu ý: không được yêu cầu người dùng cung cấp hình ảnh CMND hay giấy tờ tùy thân làm điều kiện xác thực tài khoản (Điều 29, khoản 2); phải cung cấp tùy chọn từ chối thu thập cookies (khoản 3); phải cung cấp tùy chọn không theo dõi hành vi người dùng và chỉ theo dõi khi có đồng ý (khoản 4).

4.5 AI, big data và điện toán đám mây

Đây là nhóm chịu tác động lớn nhất từ Luật Bảo vệ dữ liệu cá nhân. Dữ liệu cá nhân trong môi trường AI, big data, blockchain, vũ trụ ảo và bảo mật điện toán đám mây phải được xử lý đúng mục đích và giới hạn trong phạm vi cần thiết (Điều 30, khoản 1). Hệ thống xử lý dữ liệu bằng AI phải phân loại theo mức độ rủi ro để có biện pháp bảo vệ phù hợp (khoản 4, Điều 30). Cấm sử dụng hoặc phát triển hệ thống AI có dùng dữ liệu cá nhân nhằm gây tổn hại đến quốc phòng, an ninh hay xâm phạm quyền lợi hợp pháp của người khác (Điều 30, khoản 5).

Riêng với dữ liệu sinh trắc học như vân tay và nhận diện khuôn mặt, doanh nghiệp phải có bảo mật vật lý đối với thiết bị lưu trữ, hạn chế quyền truy cập và duy trì hệ thống phát hiện xâm phạm; không được tái nhận dạng dữ liệu sinh trắc học sau khi đã khử nhận dạng, trừ khi pháp luật có quy định khác (Điều 31, khoản 4). Đây là điểm quan trọng với doanh nghiệp dùng chấm công bằng sinh trắc học hoặc camera nhận diện khuôn mặt tại nơi làm việc.

5. Vi phạm Luật Bảo vệ dữ liệu cá nhân bị phạt bao nhiêu?

5.1 Bảng mức phạt theo từng hành vi cụ thể

Luật xác định mức phạt tiền tối đa cho các vi phạm thông thường là 3 tỷ đồng đối với tổ chức (Điều 8, khoản 5). Các mức phạt cụ thể theo từng hành vi được lượng hóa chi tiết tại Điều 57 đến Điều 69 của dự thảo nghị định xử phạt hành chính. Lưu ý quan trọng: tổ chức vi phạm bị phạt gấp đôi cá nhân (Điều 6, dự thảo nghị định).

5.2 Thang phạt leo thang theo quy mô rò rỉ

Một trong những điểm đặc biệt nhất của hệ thống chế tài là mức phạt tăng theo số lượng công dân Việt Nam bị ảnh hưởng khi xảy ra sự cố để lộ, mất dữ liệu, được quy định tại Điều 67 và Điều 68 của dự thảo nghị định. Đây là cơ chế chưa từng có trong các quy định xử phạt hành chính trước đây tại Việt Nam.

5.3 Hình phạt bổ sung còn đáng sợ hơn tiền phạt

Ngoài tiền phạt, doanh nghiệp vi phạm còn có thể bị áp dụng các hình thức xử phạt bổ sung có tác động nghiêm trọng hơn đến hoạt động kinh doanh (Điều 4, dự thảo nghị định):

• Đình chỉ hoạt động xử lý dữ liệu cá nhân từ 1 đến 3 tháng được áp dụng cho hầu hết các hành vi vi phạm từ Điều 57 đến Điều 69, đặc biệt khi vi phạm lần 2 trở lên. Với doanh nghiệp mà toàn bộ dịch vụ phụ thuộc vào dữ liệu khách hàng, hình phạt này tương đương đình chỉ kinh doanh.
• Tước quyền sử dụng giấy phép kinh doanh ngành nghề có vi phạm từ 1 đến 3 tháng, được quy định cụ thể tại Điều 59, 64, 65, 67, 68 và 69 của dự thảo nghị định.
• Buộc công khai xin lỗi trên các phương tiện thông tin đại chúng khi vi phạm các Điều 57, 59, 62, 64 và một số điều khác.
• Tịch thu toàn bộ thiết bị và phương tiện xử lý dữ liệu cá nhân, áp dụng tại hầu hết các điều từ 57 đến 69.

Tái phạm lần 2 tại một số nhóm hành vi như quảng cáo (Điều 64) và mua bán dữ liệu (Điều 65) sẽ bị phạt thêm đến 5% tổng doanh thu năm tài chính liền trước tại Việt Nam.

6. Doanh nghiệp nhỏ và startup được miễn những gì?

Luật có quy định ưu đãi riêng dành cho doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp. Trong 5 năm kể từ ngày 01/01/2026, nhóm này được lựa chọn chưa thực hiện 3 nghĩa vụ: lập hồ sơ DPIA, cập nhật định kỳ hồ sơ và chỉ định bộ phận nhân sự bảo vệ dữ liệu cá nhân (Điều 38, khoản 2).

Tuy nhiên, có một ngoại lệ quan trọng được quy định ngay trong cùng khoản đó: ưu đãi này không áp dụng nếu doanh nghiệp nhỏ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm, hoặc xử lý dữ liệu của số lượng lớn chủ thể dữ liệu. Như vậy một startup fintech, healthtech hay edtech dù quy mô nhỏ vẫn phải tuân thủ đầy đủ ngay từ ngày đầu tiên. Hộ kinh doanh và doanh nghiệp siêu nhỏ cũng được áp dụng ưu đãi tương tự với cùng ngoại lệ trên (Điều 38, khoản 3).

Ngoài 3 nghĩa vụ được miễn tạm thời, tất cả doanh nghiệp thuộc mọi quy mô đều phải thực hiện đầy đủ từ ngày 01/01/2026: lấy đồng ý hợp lệ (Điều 9), đáp ứng quyền của người dùng đúng thời hạn (Điều 4 và 10), thông báo vi phạm trong 72 giờ (Điều 23), và tuân thủ quy định chuyển dữ liệu xuyên biên giới (Điều 20). Một điểm thuận lợi cần lưu ý: doanh nghiệp đang xử lý dữ liệu theo Nghị định 13/2023 và đã được chủ thể đồng ý thì tiếp tục thực hiện mà không cần xin đồng ý lại (Điều 39).

7. Lộ trình tuân thủ Luật Bảo vệ dữ liệu cá nhân ngay hôm nay

Luật Bảo vệ dữ liệu cá nhân đã chính thức có hiệu lực từ ngày 01/01/2026. Mọi doanh nghiệp đang xử lý dữ liệu cá nhân đều đã thuộc phạm vi điều chỉnh từ thời điểm đó. Nếu chưa chuẩn bị, đây là 5 bước cần thực hiện ngay:

1. Kiểm kê và phân loại dữ liệu: Lập danh sách toàn bộ dữ liệu cá nhân đang thu thập, xử lý, lưu trữ. Xác định rõ loại nào là cơ bản, loại nào là nhạy cảm theo Điều 2; ai là bên kiểm soát, ai là bên xử lý trong từng quy trình.
2. Rà soát và chuẩn hóa đồng ý: Kiểm tra lại toàn bộ form thu thập, điều khoản sử dụng và chính sách bảo mật. Đảm bảo đồng ý đáp ứng đủ 4 nguyên tắc tại Điều 9, khoản 4. Đặc biệt cần bỏ hết checkbox mặc định tích sẵn và tách riêng đồng ý cho từng mục đích.
3. Lập hồ sơ DPIA và đăng ký với Bộ Công an: Xây dựng hồ sơ theo mẫu và nộp trong 60 ngày theo Điều 21. Doanh nghiệp đang xử lý dữ liệu cá nhân từ trước ngày 01/01/2026 cần nộp ngay lập tức vì thời hạn 60 ngày đã bắt đầu tính từ khi Luật có hiệu lực.
4. Xây dựng hạ tầng bảo mật và quy trình nội bộ: Triển khai mã hóa dữ liệu, kiểm soát truy cập theo nguyên tắc zero trust và giám sát xâm nhập, đảm bảo đáp ứng yêu cầu kỹ thuật tại Điều 3, khoản 4 và Điều 37. Song song đó, ban hành quy trình tiếp nhận và xử lý yêu cầu từ người dùng sao cho đáp ứng đúng các mốc thời hạn tại Điều 58 của nghị định.
5. Kiểm thử và diễn tập ứng phó sự cố: Chạy thử kịch bản data breach, kiểm tra toàn bộ quy trình từ phát hiện đến thông báo trong 72 giờ theo Điều 23. Đảm bảo đội ngũ biết rõ vai trò, trách nhiệm và luồng liên hệ cơ quan chức năng khi xảy ra sự cố thực tế.

8. Kết luận

Luật Bảo vệ dữ liệu cá nhân (Luật 91/2025/QH15) không chỉ là yêu cầu pháp lý mà còn là tiêu chuẩn mới trong cách doanh nghiệp xây dựng niềm tin với khách hàng trong kỷ nguyên chuyển đổi số. Với hệ thống chế tài chi tiết theo từng điều khoản cụ thể và thang phạt leo thang theo quy mô sự cố, rủi ro pháp lý là rất thực và rất gần. Doanh nghiệp cần bắt đầu chuẩn bị ngay từ hôm nay, không đợi đến khi Luật có hiệu lực mới hành động.

VNETWORK sẵn sàng đồng hành cùng doanh nghiệp xây dựng hệ thống bảo mật dữ liệu toàn diện, từ hạ tầng kỹ thuật đến giám sát và ứng phó sự cố, đảm bảo tuân thủ PDPL 2025 một cách chắc chắn và bền vững. Đăng ký tư vấn miễn phí: Tại đây 

9. Tuyên bố miễn trừ trách nhiệm & Nguồn tham khảo

Bài viết này được biên soạn nhằm mục đích cung cấp thông tin tổng quát và không cấu thành tư vấn pháp lý. Các nội dung phân tích, diễn giải và ví dụ trong bài là quan điểm của VNETWORK dựa trên quá trình nghiên cứu tài liệu pháp lý, không thay thế cho ý kiến tư vấn của luật sư hoặc chuyên gia pháp lý có thẩm quyền. Doanh nghiệp cần tham khảo ý kiến pháp lý chuyên sâu trước khi đưa ra bất kỳ quyết định tuân thủ nào.

Lưu ý riêng về dự thảo nghị định: tại thời điểm bài viết được công bố, nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân vẫn đang trong giai đoạn lấy ý kiến, chưa được ban hành chính thức. Các mức phạt cụ thể và quy định chi tiết có thể thay đổi so với nội dung dự thảo. VNETWORK sẽ cập nhật bài viết khi nghị định chính thức có hiệu lực.

Nguồn tài liệu tham khảo:

• Luật số 91/2025/QH15 — Luật Bảo vệ dữ liệu cá nhân, Quốc hội khóa XV thông qua ngày 26/06/2025, Chủ tịch Quốc hội Trần Thanh Mẫn ký. Tra cứu toàn văn tại Cổng Thông tin điện tử Chính phủ: Tại đây
• Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân, Bộ Công an chủ trì soạn thảo, đang trong giai đoạn lấy ý kiến. Tra cứu tại Cổng thông tin Bộ Công an: Tại đây

FAQ - Những câu hỏi thường gặp về Luật Bảo vệ dữ liệu cá nhân

1. Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ ngày nào?

Luật số 91/2025/QH15 được Quốc hội thông qua ngày 26/06/2025 và chính thức có hiệu lực thi hành từ ngày 01/01/2026. Doanh nghiệp đang xử lý dữ liệu theo Nghị định 13/2023 không cần xin lại đồng ý từ khách hàng, nhưng phải cập nhật quy trình để tuân thủ các nghĩa vụ mới của Luật ngay khi có hiệu lực (Điều 39).

2. Doanh nghiệp nước ngoài có phải tuân thủ Luật Bảo vệ dữ liệu cá nhân Việt Nam không?

Có. Luật áp dụng cho cả tổ chức nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam, kể cả khi không có trụ sở tại Việt Nam (Điều 1, khoản 2, điểm c). Điều này bao gồm các nền tảng SaaS, ứng dụng di động hoặc dịch vụ trực tuyến nước ngoài cung cấp cho người dùng tại Việt Nam.

3. Vi phạm Luật Bảo vệ dữ liệu cá nhân bị phạt tối đa bao nhiêu?

Mức phạt tiền tối đa đối với tổ chức là 3 tỷ đồng cho các hành vi vi phạm thông thường (Điều 8, khoản 5). Riêng hành vi mua bán dữ liệu cá nhân có thể bị phạt đến 10 lần khoản thu bất hợp pháp (khoản 3, Điều 8). Với vi phạm để lộ dữ liệu từ 5 triệu người trở lên, mức phạt lên đến 5% tổng doanh thu năm tài chính liền trước (Điều 8, khoản 4).

4. Doanh nghiệp phải trả lời yêu cầu xóa dữ liệu của khách hàng trong bao lâu?

Doanh nghiệp phải phản hồi xác nhận về thủ tục trong 2 ngày làm việc kể từ khi nhận yêu cầu, và hoàn tất xóa dữ liệu trong 20 ngày (Điều 58, dự thảo nghị định). Nếu không thể xóa vì lý do chính đáng thì phải thông báo ngay cho người dùng. Không đáp ứng đúng thời hạn có thể bị phạt từ 140 đến 200 triệu đồng đối với tổ chức.

5. Doanh nghiệp nhỏ có phải lập hồ sơ DPIA không?

Doanh nghiệp nhỏ và startup được miễn nghĩa vụ lập hồ sơ DPIA trong 5 năm đầu kể từ 01/01/2026 (Điều 38, khoản 2). Tuy nhiên, ngoại lệ quan trọng là nếu doanh nghiệp nhỏ kinh doanh dịch vụ xử lý dữ liệu, xử lý dữ liệu nhạy cảm hoặc xử lý dữ liệu số lượng lớn thì vẫn phải thực hiện đầy đủ ngay từ đầu.

6. Dùng dịch vụ cloud nước ngoài lưu dữ liệu nhân viên có vi phạm Luật không?

Không. Tổ chức lưu trữ dữ liệu của người lao động thuộc cơ quan mình trên dịch vụ điện toán đám mây đặt ngoài lãnh thổ không phải thực hiện thủ tục đánh giá tác động chuyển dữ liệu xuyên biên giới (Điều 20, khoản 6, điểm b). Tuy nhiên, doanh nghiệp vẫn phải đảm bảo nhà cung cấp cloud có các tiêu chuẩn bảo mật tương đương.

7. Nếu bị rò rỉ dữ liệu, doanh nghiệp phải thông báo trong bao lâu và thông báo cho ai?

Khi phát hiện vi phạm dữ liệu cá nhân có thể gây tổn hại, doanh nghiệp phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an trong vòng 72 giờ; nếu bên xử lý phát hiện thì phải thông báo ngay cho bên kiểm soát (Điều 23, khoản 1). Doanh nghiệp còn phải lập biên bản xác nhận vi phạm và phối hợp với cơ quan chức năng (khoản 2, Điều 23). Không thông báo đúng hạn có thể bị phạt từ 50 đến 100 triệu đồng đối với tổ chức (Điều 66, dự thảo nghị định).