Bảo vệ dữ liệu cá nhân: Doanh nghiệp cần làm gì để tuân thủ Nghị định 13 và Luật 2025?

1) Khung pháp lý & phạm vi áp dụng

• Nghị định 13/2023/NĐ-CP: văn bản đầu tiên điều chỉnh toàn diện hoạt động xử lý dữ liệu cá nhân (thu thập, sử dụng, lưu trữ, chia sẻ, chuyển giao, xóa…). Áp dụng cho mọi tổ chức, cá nhân có hoạt động xử lý dữ liệu tại Việt Nam, kể cả chủ thể nước ngoài nếu xử lý dữ liệu của cá nhân tại Việt Nam.
• Luật Bảo vệ Dữ liệu Cá nhân 2025: nâng cấp lên luật, làm rõ phạm vi với bên nước ngoài (áp dụng khi trực tiếp tham gia xử lý dữ liệu của công dân Việt Nam hoặc người gốc Việt cư trú tại VN có giấy tờ tùy thân); tăng tính ràng buộc, thống nhất và bổ sung chế tài mạnh hơn.

Nguyên tắc cốt lõi xuyên suốt hai văn bản:
(1) Xử lý đúng mục đích – đúng phạm vi – minh bạch; (2) Giảm thiểu dữ liệu và lưu trữ có thời hạn; (3) Bảo mật – an toàn kỹ thuật và tổ chức; (4) Tôn trọng quyền của chủ thể dữ liệu; (5) Gắn với lợi ích quốc gia và trật tự an toàn xã hội.

---

2) Quyền của chủ thể dữ liệu & nghĩa vụ liên quan

Quyền của cá nhân (chủ thể dữ liệu):

• Được biết về hoạt động xử lý; đồng ý hoặc rút lại đồng ý theo từng mục đích.
• Truy cập, chỉnh sửa, yêu cầu xóa hoặc hạn chế xử lý; phản đối xử lý cho mục đích nhất định (như quảng cáo).
• Yêu cầu cung cấp dữ liệu, khiếu nại/khởi kiện và yêu cầu bồi thường khi bị xâm phạm.

Nghĩa vụ của cá nhân: tự bảo vệ dữ liệu của mình, cung cấp thông tin đúng – đủ, tôn trọng dữ liệu người khác và chấp hành pháp luật.

---

3) Trách nhiệm pháp lý của doanh nghiệp

Căn cứ xử lý: phần lớn trường hợp phải có sự đồng ý rõ ràng, riêng rẽ cho từng mục đích; im lặng/để trống không được coi là đồng ý. Một số trường hợp không cần đồng ý (khẩn cấp, nghĩa vụ pháp lý, quốc phòng – an ninh, quản lý nhà nước…) nhưng vẫn phải có cơ chế kiểm soát, ghi nhận và giám sát.

Dữ liệu nhạy cảm: (sức khỏe, sinh trắc học, tài chính, vị trí, đời sống riêng tư…) cần đồng ý riêng biệt, tăng cường mã hóa, phân quyền, theo dõi truy cập và quản trị vòng đời dữ liệu chặt chẽ hơn.

Bộ phận/nhân sự phụ trách bảo vệ dữ liệu: doanh nghiệp phải chỉ định (tự bố trí hoặc thuê ngoài). Startup/DN nhỏ có một số ưu đãi giai đoạn đầu theo luật, nhưng không áp dụng nếu trực tiếp xử lý dữ liệu nhạy cảm/quy mô lớn.

Đánh giá tác động (DPIA) & hồ sơ tuân thủ: doanh nghiệp lập hồ sơ DPIA cho hoạt động xử lý/chuyển dữ liệu xuyên biên giới; gửi cơ quan chuyên trách trong thời hạn nhất định; cập nhật định kỳ/đột xuất khi có thay đổi. Hồ sơ phải mô tả mục đích, loại dữ liệu, dòng chảy dữ liệu, rủi ro và biện pháp kiểm soát.

Sự cố dữ liệu & thông báo 72 giờ: khi phát hiện vi phạm có nguy cơ gây tổn hại, phải thông báo cơ quan chuyên trách trong vòng 72 giờ, đồng thời ghi nhận, khắc phục và (khi cần) thông báo cho người bị ảnh hưởng.

---

4) Hành vi bị nghiêm cấm & chế tài

Nghiêm cấm: xử lý trái pháp luật; cản trở bảo vệ dữ liệu; lợi dụng bảo vệ dữ liệu để vi phạm; sử dụng dữ liệu gây hại an ninh quốc gia/trật tự xã hội; mua bán dữ liệu cá nhân; chiếm đoạt/cố ý làm lộ/làm mất dữ liệu.

Chế tài: phạt hành chính lên tới hàng tỷ đồng; vi phạm chuyển dữ liệu ra nước ngoài có thể bị phạt tỷ lệ phần trăm doanh thu; cá nhân vi phạm bị phạt tới 1/2 mức của tổ chức. Hành vi nghiêm trọng có thể bị truy cứu hình sự; kèm trách nhiệm bồi thường dân sự.

---

5) Lộ trình 6 bước để doanh nghiệp tuân thủ thực tiễn

Bước 1 – Kiểm kê & lập bản đồ dữ liệu (Data Mapping)

• Liệt kê nguồn dữ liệu (website/app/CRM/HRM/đối tác), loại dữ liệu (cơ bản/nhạy cảm), mục đích và căn cứ pháp lý.
• Xác định dòng chảy dữ liệu (nội bộ – đối tác – ra nước ngoài), hệ thống lưu trữ và rủi ro (rò rỉ, truy cập trái phép, mất mát).

Bước 2 – Chính sách, thông báo & đồng ý

• Ban hành Chính sách bảo vệ dữ liệu (nội bộ) và Thông báo quyền riêng tư (đối ngoại).
• Chuẩn hóa biểu mẫu xin đồng ý: ngôn ngữ rõ ràng, không gộp mục đích, có cơ chế rút lại đồng ý dễ dàng.
• Thiết lập kênh thực thi quyền (truy cập/chỉnh sửa/xóa/hạn chế/phản đối/yêu cầu cung cấp).

Bước 3 – DPIA & hồ sơ tuân thủ

• Thực hiện Đánh giá tác động xử lý dữ liệu cho từng hoạt động rủi ro và cho chuyển dữ liệu xuyên biên giới (nếu có).
• Gửi hồ sơ trong thời hạn pháp luật quy định; cập nhật khi có thay đổi (mục đích, loại dữ liệu, bên nhận, công nghệ…).
• Lưu trữ bằng chứng đồng ý, nhật ký xử lý, nhật ký truy cập, biên bản xử lý yêu cầu của chủ thể.

Bước 4 – Biện pháp kỹ thuật & vận hành an toàn

• Mã hóa dữ liệu nhạy cảm ở trạng thái nghỉ và khi truyền; phân quyền nghiêm ngặt theo nguyên tắc ít quyền nhất; MFA/SSO cho tài khoản quan trọng.
• Giám sát truy cập và cảnh báo bất thường; sao lưu định kỳ; vá lỗi hệ thống; kiểm thử thâm nhập khi cần.
• Soát xét hợp đồng với bên xử lý/bên thứ ba (ràng buộc bảo mật, mục đích xử lý, thông báo vi phạm, hoàn trả/xóa dữ liệu khi chấm dứt).

Bước 5 – Ứng phó sự cố & nghĩa vụ 72 giờ

• Lập Kế hoạch ứng phó sự cố dữ liệu (IRP): vai trò, kịch bản, kênh nội bộ – đối ngoại.
• Khi có vi phạm: cô lập – điều tra – khắc phục – ghi nhận; thông báo cơ quan chuyên trách trong 72 giờ; cân nhắc thông báo cho cá nhân bị ảnh hưởng.

Bước 6 – Tổ chức, đào tạo & văn hóa tuân thủ

• Chỉ định bộ phận/nhân sự phụ trách bảo vệ dữ liệu (có thể thuê ngoài).
• Đào tạo định kỳ cho toàn bộ nhân viên; đào tạo chuyên sâu cho IT/Marketing/HR/Sales/CS.
• Kiểm tra nội bộ, đánh giá định kỳ, cải tiến liên tục; theo dõi cập nhật pháp lý, hướng dẫn mới.

---

6) Lưu ý theo mô hình doanh nghiệp

• FDI & tập đoàn đa quốc gia: rà soát luồng chuyển dữ liệu xuyên biên giới (đi/đến công ty mẹ, nhà cung cấp toàn cầu). Cần DPIA, điều khoản chuyển giao, tiêu chuẩn bảo mật tương thích.
• Doanh nghiệp nội địa: chú trọng đồng ý chuẩn xác (website, form offline), xử lý yêu cầu quyền kịp thời, bảo mật hạ tầng phù hợp quy mô.
• Startup/Công nghệ: có thể được ưu đãi một số nghĩa vụ giai đoạn đầu, nhưng không nếu xử lý dữ liệu nhạy cảm/quy mô lớn. Ngay từ đầu nên thiết kế Privacy by Design để tiết kiệm chi phí tuân thủ về sau.

Tham khảo: Dịch vụ Tư vấn Tuân Thủ Quy Định Bảo vệ Dữ liệu Cá nhân cho Doanh Nghiệp | Công ty TNHH Kiểm toán Việt Tín

---

7) Sai sót thường gặp (và cách tránh)

1. Mặc định đồng ý hoặc “đồng ý chung” cho nhiều mục đích → Tách mục đích, cho phép lựa chọn; ghi nhận bằng chứng đồng ý.
2. Thu thập quá mức so với mục đích → Chỉ thu thập tối thiểu; đặt thời hạn lưu trữ.
3. Không có kênh thực thi quyền → Thiết lập quy trình & SLA phản hồi, biểu mẫu trực tuyến.
4. Bỏ quên bên thứ ba (cloud, marketing, call center) → Ràng buộc hợp đồng, đánh giá an ninh nhà cung cấp.
5. Chậm thông báo vi phạm → Diễn tập IRP; quy định ngưỡng/khi nào phải thông báo; chuẩn bị sẵn mẫu biểu.

---

8) Lợi ích khi tuân thủ

• Giảm rủi ro pháp lý (phạt, bồi thường, dừng xử lý).
• Tăng tín nhiệm với khách hàng, đối tác, nhà đầu tư.
• Chuẩn hóa vận hành dữ liệu, nâng chất lượng và giá trị khai thác dữ liệu.
• Thuận lợi hội nhập khi làm việc với đối tác quốc tế có tiêu chuẩn cao về quyền riêng tư.

---

Kết luận & lời khuyên hành động

Tuân thủ Nghị định 13 và Luật 2025 không chỉ để “tránh phạt”, mà là nền tảng quản trị dữ liệu hiện đại: minh bạch, an toàn và tôn trọng quyền riêng tư. Hãy bắt đầu ngay bằng kiểm kê dữ liệu – chính sách & đồng ý – DPIA – biện pháp kỹ thuật – IRP 72 giờ – đào tạo. Doanh nghiệp triển khai càng sớm, chi phí càng thấp và lợi ích càng bền vững.

VTAC sẵn sàng đồng hành cùng doanh nghiệp: đánh giá hiện trạng, lập hồ sơ tuân thủ, xây dựng chính sách/quy trình, đào tạo nhân sự và hỗ trợ kỹ thuật – pháp lý trọn gói. Liên hệ VTAC để được tư vấn lộ trình tuân thủ phù hợp, tối ưu chi phí và rủi ro, bảo vệ dữ liệu khách hàng và uy tín thương hiệu của bạn.

Công Ty TNHH Kiểm Toán Việt Tín (VTAC)

🏢Trụ sở chính: 444A-446 Cách Mạng Tháng 8, Phường 11, Quận 3, TP Hồ Chí Minh
🌐 Website: https://vtac.com.vn
📞 Hotline: 028 3990 6959
📱Phone: 0906 893 984 (Mr.Vân)
📱Phone: 0937 972 825 (Mr.Vinh)
📩 Email: info@vtac.com.vn