Luật Bảo vệ dữ liệu cá nhân: Doanh nghiệp cần tuân thủ những gì?

Bảo vệ dữ liệu cá nhân – Nghĩa vụ pháp lý bắt buộc, không còn là lựa chọn

Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, dữ liệu cá nhân đã trở thành tài sản có giá trị đặc biệt đối với mọi doanh nghiệp. Tuy nhiên, việc thu thập, xử lý và lưu trữ dữ liệu cá nhân không còn là hoạt động tự do mà đã được điều chỉnh bởi khung pháp lý chặt chẽ tại Việt Nam.

Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân (có hiệu lực từ ngày 01/7/2023) là văn bản pháp lý nền tảng, đánh dấu bước ngoặt quan trọng trong hệ thống pháp luật Việt Nam về quyền riêng tư và bảo mật thông tin. Với hơn 15 năm hành nghề luật sư, tôi nhận thấy rằng phần lớn doanh nghiệp Việt Nam hiện nay vẫn chưa thực sự nắm rõ các nghĩa vụ tuân thủ theo Nghị định này – và đó là rủi ro pháp lý rất lớn.

---

Dữ liệu cá nhân theo pháp luật Việt Nam: Phân loại và phạm vi

Dữ liệu cá nhân là gì?

Theo Điều 2 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.

Nghị định phân chia thành hai nhóm quan trọng:

Loại dữ liệu	Ví dụ cụ thể	Mức độ bảo vệ
Dữ liệu cá nhân cơ bản	Họ tên, ngày sinh, số điện thoại, email, địa chỉ, CCCD/CMND	Bảo vệ tiêu chuẩn
Dữ liệu cá nhân nhạy cảm	Quan điểm chính trị, tôn giáo, tình trạng sức khỏe, dữ liệu sinh trắc học, đời sống tình dục, dữ liệu tài chính, dữ liệu vị trí	Bảo vệ nâng cao, yêu cầu nghiêm ngặt hơn

Lưu ý thực tiễn: Rất nhiều doanh nghiệp thương mại điện tử, fintech, y tế đang thu thập dữ liệu nhạy cảm (lịch sử giao dịch tài chính, dữ liệu sức khỏe, vị trí GPS) mà không nhận thức được mình đang xử lý dữ liệu thuộc nhóm "nhạy cảm" – nhóm đòi hỏi các biện pháp bảo vệ đặc biệt theo Điều 3 Nghị định 13.

---

Các nghĩa vụ cốt lõi doanh nghiệp phải tuân thủ

1. Nghĩa vụ thông báo và lấy sự đồng ý

Theo Điều 11 và Điều 13 Nghị định 13/2023/NĐ-CP, trước khi xử lý dữ liệu cá nhân, doanh nghiệp bắt buộc phải:

• Thông báo rõ ràng cho chủ thể dữ liệu về mục đích xử lý, loại dữ liệu thu thập, tổ chức/cá nhân được chia sẻ dữ liệu
• Có được sự đồng ý hợp lệ của chủ thể dữ liệu – đồng ý phải tự nguyện, rõ ràng, có thể rút lại bất kỳ lúc nào
• Sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp kỹ thuật hoặc hành động xác nhận khác

Ví dụ thực tế: Một công ty thương mại điện tử tại TP.HCM từng bị xử lý vì sử dụng cơ chế "đồng ý mặc định" – tức ô checkbox đã được tích sẵn. Theo Nghị định 13, đây không phải là sự đồng ý hợp lệ vì thiếu tính chủ động từ phía người dùng.

2. Nghĩa vụ đánh giá tác động xử lý dữ liệu cá nhân

Đây là nghĩa vụ mà nhiều doanh nghiệp hay bỏ qua nhất. Theo Điều 24 Nghị định 13/2023/NĐ-CP:

• Doanh nghiệp xử lý dữ liệu cá nhân phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
• Hồ sơ phải được gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong vòng 60 ngày kể từ ngày tiến hành xử lý
• Nội dung bao gồm: loại dữ liệu, mục đích, phạm vi xử lý, rủi ro và biện pháp bảo vệ

3. Nghĩa vụ đối với chuyển dữ liệu ra nước ngoài

Theo Điều 25, 26 Nghị định 13/2023/NĐ-CP, khi chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, doanh nghiệp phải:

• Lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
• Gửi hồ sơ cho Bộ Công an theo quy định
• Đảm bảo quốc gia nhận dữ liệu có mức độ bảo vệ tương đương hoặc cao hơn Việt Nam

Tình huống phổ biến: Doanh nghiệp sử dụng dịch vụ đám mây (AWS, Google Cloud, Azure) với máy chủ đặt tại nước ngoài, hoặc sử dụng phần mềm CRM/HRM quốc tế – tất cả đều có thể cấu thành hành vi "chuyển dữ liệu ra nước ngoài" và phải tuân thủ quy trình trên.

4. Nghĩa vụ bảo đảm an ninh dữ liệu

Doanh nghiệp phải áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân theo Điều 26 Nghị định 13, bao gồm:

• Mã hóa dữ liệu trong quá trình lưu trữ và truyền tải
• Kiểm soát quyền truy cập theo nguyên tắc "cần biết mới được truy cập"
• Thiết lập quy trình phát hiện, ngăn chặn và xử lý sự cố vi phạm dữ liệu
• Bổ nhiệm bộ phận/nhân sự chuyên trách bảo vệ dữ liệu cá nhân

5. Nghĩa vụ thông báo vi phạm

Khi xảy ra sự cố vi phạm quy định về bảo vệ dữ liệu cá nhân, theo Điều 23 Nghị định 13, doanh nghiệp phải:

• Thông báo cho Bộ Công an trong vòng 72 giờ kể từ khi phát hiện vi phạm
• Thông báo cho chủ thể dữ liệu bị ảnh hưởng
• Mô tả chi tiết: phạm vi, mức độ, nguyên nhân và biện pháp khắc phục

---

Chế tài xử phạt: Không chỉ là tiền

Hiện tại, ngoài Nghị định 13/2023/NĐ-CP, các chế tài liên quan được quy định tại nhiều văn bản:

• Nghị định 15/2020/NĐ-CP (sửa đổi bởi Nghị định 14/2022/NĐ-CP): Phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, CNTT – mức phạt lên đến 70-100 triệu đồng cho hành vi vi phạm về bảo mật thông tin cá nhân
• Bộ luật Hình sự 2015 (sửa đổi 2017), Điều 288: Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính – có thể bị phạt tù đến 7 năm
• Luật An ninh mạng 2018, Điều 26: Yêu cầu lưu trữ dữ liệu tại Việt Nam đối với một số loại hình doanh nghiệp

Cảnh báo: Ngoài chế tài hành chính và hình sự, doanh nghiệp vi phạm còn đối diện rủi ro bồi thường thiệt hại dân sự theo Bộ luật Dân sự 2015 khi chủ thể dữ liệu khởi kiện, cũng như tổn hại uy tín thương hiệu nghiêm trọng trên thị trường.

---

Lộ trình tuân thủ thực tiễn cho doanh nghiệp

Dựa trên kinh nghiệm tư vấn cho hàng trăm doanh nghiệp, tôi khuyến nghị lộ trình 5 bước sau:

Bước 1: Kiểm kê và phân loại dữ liệu (Data Mapping)

Rà soát toàn bộ dữ liệu cá nhân mà doanh nghiệp đang thu thập, lưu trữ, xử lý. Phân loại thành dữ liệu cơ bản và nhạy cảm.

Bước 2: Rà soát và cập nhật chính sách

• Cập nhật Chính sách bảo mật (Privacy Policy) trên website và ứng dụng
• Soạn thảo Biểu mẫu đồng ý xử lý dữ liệu phù hợp với Nghị định 13
• Xây dựng Quy trình nội bộ về xử lý, lưu trữ và tiêu hủy dữ liệu

Bước 3: Đánh giá tác động và nộp hồ sơ

Thực hiện đánh giá tác động xử lý dữ liệu theo Điều 24 và gửi hồ sơ cho Bộ Công an đúng thời hạn.

Bước 4: Triển khai biện pháp kỹ thuật

• Áp dụng mã hóa, kiểm soát truy cập, hệ thống phát hiện xâm nhập
• Thiết lập cơ chế sao lưu và phục hồi dữ liệu
• Đào tạo nhân viên về bảo vệ dữ liệu cá nhân

Bước 5: Giám sát và duy trì tuân thủ

Xây dựng cơ chế kiểm tra định kỳ, cập nhật chính sách theo thay đổi pháp luật, duy trì nhật ký xử lý dữ liệu.

---

Những sai lầm phổ biến doanh nghiệp thường mắc phải

1. Sao chép Privacy Policy mẫu từ internet – không phản ánh đúng thực tế hoạt động của doanh nghiệp, không đáp ứng yêu cầu cụ thể của Nghị định 13
2. Không phân biệt vai trò "Bên kiểm soát dữ liệu" và "Bên xử lý dữ liệu" theo Điều 2 Nghị định 13 – dẫn đến xác định sai nghĩa vụ pháp lý
3. Bỏ qua dữ liệu nhân viên – dữ liệu HR (hồ sơ nhân sự, bảng lương, thông tin sức khỏe) cũng là dữ liệu cá nhân cần bảo vệ
4. Không có quy trình xử lý yêu cầu từ chủ thể dữ liệu – quyền truy cập, chỉnh sửa, xóa dữ liệu theo Điều 9 Nghị định 13
5. Lưu trữ dữ liệu vô thời hạn – vi phạm nguyên tắc chỉ lưu trữ trong thời gian cần thiết theo Điều 3

---

Xu hướng và triển vọng pháp lý

Việt Nam đang trong quá trình hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân. Dự kiến trong giai đoạn 2025-2027, Luật Bảo vệ dữ liệu cá nhân (cấp luật, thay vì nghị định) sẽ được Quốc hội xem xét thông qua, với các yêu cầu tuân thủ chặt chẽ hơn và chế tài nghiêm khắc hơn, có thể bao gồm phạt theo phần trăm doanh thu tương tự mô hình GDPR của EU.

Doanh nghiệp nào chủ động tuân thủ từ bây giờ sẽ có lợi thế cạnh tranh rõ rệt, vừa tránh rủi ro pháp lý vừa xây dựng uy tín với khách hàng và đối tác.

---

Luật Taga – Đồng hành cùng doanh nghiệp bảo vệ dữ liệu cá nhân

Với đội ngũ luật sư giàu kinh nghiệm trong lĩnh vực công nghệ thông tin, an ninh mạng và bảo vệ dữ liệu cá nhân, Luật Taga cung cấp trọn gói dịch vụ tư vấn tuân thủ Nghị định 13/2023/NĐ-CP:

• Kiểm kê và phân loại dữ liệu cá nhân toàn diện
• Soạn thảo chính sách bảo mật, biểu mẫu đồng ý và quy trình nội bộ
• Lập hồ sơ đánh giá tác động và hỗ trợ nộp Bộ Công an
• Đào tạo nhân sự về nghĩa vụ bảo vệ dữ liệu cá nhân
• Tư vấn xử lý sự cố vi phạm dữ liệu và đại diện pháp lý

Đừng để vi phạm xảy ra rồi mới hành động. Liên hệ ngay Luật Taga qua hotline 0968.856.464 hoặc truy cập luattaga.vn để được tư vấn miễn phí và xây dựng lộ trình tuân thủ phù hợp cho doanh nghiệp của bạn.