Dữ liệu cá nhân ngày càng được pháp luật chú trọng và bảo vệ. Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định 356/2025/NĐ-CP đã đặt ra nhiều yêu cầu chặt chẽ đối với hoạt động thu thập, sử dụng, lưu trữ, chia sẻ và xử lý dữ liệu cá nhân. Hiện có không ít doanh nghiệp vẫn vô tình hoặc chủ quan thực hiện các hoạt động xử lý dữ liệu cá nhân chưa phù hợp với quy định của pháp luật.
Dưới đây là 05 hành vi vi phạm mà doanh nghiệp thường gặp nhất.
1. Thu thập dữ liệu cá nhân nhưng không có căn cứ pháp lý phù hợp
Nhiều doanh nghiệp thu thập thông tin khách hàng qua website, mạng xã hội, biểu mẫu đăng ký hoặc chương trình khuyến mại nhưng không thông báo đầy đủ về mục đích xử lý dữ liệu hoặc chưa có sự đồng ý hợp lệ của chủ thể dữ liệu theo quy định.
Cần lưu ý rằng, việc khách hàng cung cấp thông tin không đồng nghĩa với việc doanh nghiệp được quyền sử dụng dữ liệu cho mọi mục đích. Việc thu thập và xử lý dữ liệu cá nhân chỉ được thực hiện khi có căn cứ pháp lý phù hợp và trong phạm vi đã được thông báo cho chủ thể dữ liệu.
2. Sử dụng dữ liệu sai mục đích đã thông báo
Một trong những sai sót phổ biến của doanh nghiệp là sử dụng dữ liệu cá nhân vượt quá phạm vi mục đích đã được chủ thể dữ liệu đồng ý trước khi thu thập. Chẳng hạn, dữ liệu được thu thập để thực hiện giao dịch mua bán hàng hóa nhưng sau đó lại được sử dụng cho hoạt động quảng cáo, tiếp thị hoặc cung cấp cho đối tác kinh doanh.
Nguyên tắc xử lý dữ liệu cá nhân yêu cầu dữ liệu phải được sử dụng đúng phạm vi, mục đích đã thông báo. Mọi hoạt động sử dụng ngoài phạm vi này đều cần có căn cứ pháp lý phù hợp theo quy định của pháp luật.
3. Chia sẻ dữ liệu cá nhân cho bên thứ ba không đúng quy định
Trong quá trình hoạt động, doanh nghiệp có thể cần chia sẻ dữ liệu cá nhân cho đơn vị quảng cáo, đối tác kinh doanh, đơn vị vận chuyển, đối tác thanh toán hoặc nhà cung cấp dịch vụ để phục vụ các mục đích kinh doanh. Tuy nhiên, việc chia sẻ dữ liệu chỉ được thực hiện khi đáp ứng các điều kiện và căn cứ pháp lý theo quy định của pháp luật.
Thực tế, nhiều doanh nghiệp vẫn chuyển giao dữ liệu cho bên thứ ba mà chưa xác định rõ mục đích sử dụng, phạm vi xử lý hoặc trách nhiệm của các bên liên quan. Đây là hành vi tiềm ẩn nhiều rủi ro pháp lý, có thể làm phát sinh trách nhiệm đối với cả bên chuyển giao và bên nhận dữ liệu.
4. Lưu trữ dữ liệu cá nhân quá thời hạn cần thiết
Không ít doanh nghiệp vẫn duy trì việc lưu trữ dữ liệu khách hàng, người lao động hoặc đối tác trong thời gian dài với tâm lý “giữ lại để dùng khi cần”. Tuy nhiên, dữ liệu cá nhân không được phép lưu trữ vô thời hạn mà phải gắn với mục đích xử lý cụ thể và thời gian lưu trữ phù hợp.
Khi mục đích xử lý đã hoàn thành hoặc không còn căn cứ để tiếp tục lưu trữ theo quy định của pháp luật, doanh nghiệp cần thực hiện việc xóa, hủy hoặc chấm dứt xử lý dữ liệu. Việc lưu trữ dữ liệu quá thời hạn cần thiết không chỉ làm gia tăng nguy cơ rò rỉ thông tin mà còn có thể dẫn đến rủi ro vi phạm quy định về bảo vệ dữ liệu cá nhân.
5. Thiếu biện pháp bảo vệ dữ liệu cá nhân
Một trong những nguyên nhân phổ biến dẫn đến vi phạm dữ liệu cá nhân là doanh nghiệp chưa thiết lập đầy đủ các biện pháp bảo vệ dữ liệu trong quá trình xử lý. Các rủi ro có thể phát sinh từ việc phân quyền truy cập chưa phù hợp, chia sẻ dữ liệu sai phạm vi hoặc thiếu cơ chế kiểm tra, giám sát hoạt động xử lý dữ liệu của nhân sự nội bộ.
Doanh nghiệp có trách nhiệm triển khai các biện pháp kỹ thuật và tổ chức cần thiết để bảo đảm dữ liệu cá nhân được bảo vệ an toàn trước nguy cơ truy cập, sử dụng, tiết lộ hoặc xử lý trái phép. Việc không thực hiện đầy đủ các biện pháp này có thể làm phát sinh trách nhiệm pháp lý và ảnh hưởng đến uy tín của doanh nghiệp.
Hình ảnh: 05 hành vi vi phạm dữ liệu cá nhân mà doanh nghiệp thường gặp nhất
Hành vi vi phạm quy định liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm, tổ chức, cá nhân vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
Để hạn chế rủi ro pháp lý liên quan đến dữ liệu cá nhân, doanh nghiệp cần:
✓ Rà soát toàn bộ hoạt động thu thập và xử lý dữ liệu cá nhân;
✓ Xây dựng chính sách, quy định, quy trình, biểu mẫu về bảo vệ dữ liệu cá nhân;
✓ Kiểm tra cơ chế lấy ý kiến đồng ý của chủ thể dữ liệu;
✓ Kiểm soát hoạt động chia sẻ dữ liệu với bên thứ ba;
✓ Đào tạo nhân sự về bảo vệ dữ liệu cá nhân và an toàn thông tin.
Bảo vệ dữ liệu cá nhân không chỉ là yêu cầu tuân thủ pháp luật mà còn là yếu tố quan trọng giúp doanh nghiệp xây dựng uy tín, thương hiệu, nâng cao niềm tin của khách hàng và tạo lợi thế cạnh tranh bền vững trong môi trường kinh doanh hiện đại.
Luật LT VINA cung cấp dịch vụ pháp lý toàn diện về bảo vệ dữ liệu cá nhân, thiết kế phù hợp với thực tiễn vận hành của từng doanh nghiệp:
- Dịch vụ Luật sư rà soát, đánh giá tuân thủ bảo vệ dữ liệu cá nhân; rà soát, xây dựng hoàn thiện bộ khung chính sách, quy định, quy trình, biểu mẫu theo Luật Bảo vệ dữ liệu cá nhân và văn bản hướng dẫn thi hành.
- Tư vấn, rà soát, hướng dẫn, hoàn thiện, nộp/đại diện nộp bộ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.
- Đào tạo nhận thức chung về bảo vệ dữ liệu cá nhân: Đào tạo, bồi dưỡng nhằm nâng cao nhận thức, trang bị kiến thức pháp luật, vận dụng pháp luật trên thực tế khi tiếp xúc, thu thập, chuyển giao, xử lý dữ liệu cá nhân, xử lý sự cố, rủi ro, công tác phòng, chống họat động xâm phạm dữ liệu cá nhân.
- Đào tạo chuyên sâu về bảo vệ dữ liệu cá nhân: Hướng dẫn triển khai, vận dụng chính sách, quy định, quy trình nội bộ; Xây dựng, điều chỉnh, bổ sung chính sách, quy trình, biểu mẫu nội bộ; Nắm bắt, chủ động thực hiện các thủ tục pháp lý theo quy định về bảo vệ dữ liệu cá nhân; Đào tạo pháp lý chuyên sâu về bảo vệ dữ liệu cá nhân theo lĩnh vực hoạt động.