Pháp luật Việt Nam về bảo vệ dữ liệu cá nhân đã được thiết lập tương đối đầy đủ với việc ban hành Luật Bảo vệ dữ liệu cá nhân năm 2025 và các văn bản hướng dẫn thi hành. Tuy nhiên, trong quá trình áp dụng, nhiều doanh nghiệp vẫn còn nhầm lẫn giữa nghĩa vụ tuân thủ pháp luật về bảo vệ dữ liệu cá nhân và nghĩa vụ thực hiện đánh giá tác động xử lý dữ liệu cá nhân, dẫn đến cách hiểu và cách làm chưa đúng.
1. Doanh nghiệp có bắt buộc tuân thủ pháp luật về bảo vệ dữ liệu cá nhân không?
Theo quy định tại Khoản 1 Điều 2 Luật Bảo vệ dữ liệu cá nhân năm 2025: Luật này áp dụng đối với cơ quan, tổ chức, cá nhân Việt Nam; cơ quan, tổ chức, cá nhân nước ngoài có liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam. Khoản 7 Điều 2 Luật số 91/2025/QH15 giải thích xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động như: thu thập, ghi, phân tích, lưu trữ, chỉnh sửa, chia sẻ, chuyển giao, xóa dữ liệu cá nhân.
Như vậy, mọi doanh nghiệp, cá nhân có phát sinh hành vi xử lý dữ liệu cá nhân đều thuộc đối tượng điều chỉnh, không phụ thuộc vào:
- Quy mô doanh nghiệp
- Lĩnh vực hoạt động
- Doanh thu hay số lượng khách hàng
2. Nghĩa vụ tuân thủ chung về bảo vệ dữ liệu cá nhân
Theo Điều 3 và Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025, việc xử lý dữ liệu cá nhân phải tuân thủ các nguyên tắc cơ bản, bao gồm:
- Có mục đích cụ thể, hợp pháp
- Phù hợp với phạm vi đã thông báo cho chủ thể dữ liệu
- Bảo đảm an toàn, bảo mật dữ liệu
- Tôn trọng và bảo đảm quyền của chủ thể dữ liệu
Các nghĩa vụ này áp dụng cho tất cả doanh nghiệp, không có quy định miễn trừ.
3. Nghĩa vụ đánh giá tác động xử lý dữ liệu cá nhân – không áp dụng cho mọi doanh nghiệp
Một trong những điểm doanh nghiệp thường hiểu sai là cho rằng mọi doanh nghiệp đều phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Trên thực tế, pháp luật có phân loại nghĩa vụ này.
Theo đó, Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân lập, lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và gửi 01 bản chính cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời gian 60 ngày kể từ ngày đầu tiên xử lý dữ liệu cá nhân. Trách nhiệm nộp hồ sơ đánh giá tác động được miễn trừ đối với Cơ quan nhà nước có thẩm quyền.
Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện đánh giá tác động xử lý dữ liệu cá nhân trong thời gian 05 năm kể từ ngày Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành, trừ doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.
Hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện đánh giá tác động xử lý dữ liệu cá nhân, trừ hộ kinh doanh, doanh nghiệp siêu nhỏ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.
3. Doanh nghiệp nhỏ, hộ kinh doanh có được miễn trừ hoàn toàn không?
Luật Bảo vệ Dữ Liệu cá nhân không có bất kỳ điều khoản nào miễn trừ nghĩa vụ bảo vệ dữ liệu cá nhân theo tiêu chí quy mô doanh nghiệp.
Việc miễn trừ (nếu có) chỉ liên quan đến nghĩa vụ đánh giá tác động, không phải miễn trừ nghĩa vụ tuân thủ chung.
Do đó:
- Doanh nghiệp nhỏ, startup, hộ kinh doanh vẫn phải tuân thủ luật
- Chỉ được xem xét miễn nghĩa vụ đánh giá tác động nếu không thuộc trường hợp bắt buộc.
Trong thực tiễn, Luật sư thường gặp các trường hợp:
- Doanh nghiệp cho rằng “được miễn” nên không xây dựng chính sách bảo vệ dữ liệu
- Không có thông báo xử lý dữ liệu cá nhân
- Không ghi nhận sự đồng ý hợp lệ của chủ thể dữ liệu
- Không có quy trình xử lý sự cố
Những hành vi này vẫn bị xử phạt, dù doanh nghiệp không thuộc diện phải đánh giá tác động.
Việc tuân thủ không chỉ là trách nhiệm pháp lý mà còn là nền tảng để doanh nghiệp khẳng định uy tín với khách hàng. Thấu hiểu những khó khăn về quy trình kỹ thuật và thủ tục hành chính, chúng tôi cung cấp gói giải pháp tuân thủ toàn diện bao gồm:
- Rà soát và Kiểm toán dữ liệu (Data Audit): Xác định các luồng dữ liệu, phân loại dữ liệu cơ bản và nhạy cảm để xây dựng bản đồ dữ liệu chính xác cho doanh nghiệp.
- Xây dựng Hệ thống tài liệu nội bộ: Soạn thảo Chính sách bảo vệ dữ liệu (Privacy Policy), Quy chế xử lý dữ liệu, mẫu văn bản đồng ý cho khách hàng và nhân sự, cùng các thỏa thuận xử lý dữ liệu (DPA) với bên thứ ba.
- Thực hiện Hồ sơ báo cáo hành chính: Thay mặt doanh nghiệp lập và nộp Hồ sơ đánh giá tác động xử lý dữ liệu (DPIA) và chuyển dữ liệu xuyên biên giới (TIA) lên cơ quan chức năng trong thời hạn 60 ngày theo quy định.
- Đào tạo và Hỗ trợ nhân sự DPO: Tư vấn tiêu chuẩn và đào tạo chuyên môn cho nhân sự bảo vệ dữ liệu (DPO) hoặc cung cấp dịch vụ DPO thuê ngoài đáp ứng đủ điều kiện về bằng cấp và kinh nghiệm.
- Ứng phó sự cố rò rỉ dữ liệu: Tư vấn quy trình xử lý khủng hoảng và thực hiện thông báo vi phạm cho cơ quan chức năng trong vòng 72 giờ để giảm thiểu rủi ro pháp lý.
Liên hệ ngay với Luật LT VINA để được tư vấn lộ trình tuân thủ an toàn.
Lưu ý:Nội dung bài viết được xây dựng trên ý kiến tư vấn chuyên môn của Luật sư/Chuyên gia pháp lý thuộc Luật LT VINA, thông tin trong bài viết chỉ mang tính chất tham khảo và không thay thế cho ý kiến tư vấn pháp lý chính thức của Luật sư do mỗi vụ việc cụ thể có đặc thù riêng hoặc các quy định pháp luật được viện dẫn có thể đã được sửa đổi, bổ sung hoặc hết hiệu lực tại thời điểm Quý Khách hàng tiếp cận bài viết. Quý Khách hàng không nên tự ý áp dụng nội dung bài viết khi chưa có sự tư vấn chính thức của Luật sư.
Mọi thắc mắc và nhu cầu tư vấn, Quý Khách hàng vui lòng liên hệ trực tiếp với Luật sư qua số điện thoại: 0982.333.565 – 0373.424.646 hoặc Email: luatltvina@gmail.com để được tư vấn, hỗ trợ kịp thời.