BẢN TIN PHÁP LÝ – THÁNG 3, 2026 – VIỆT NAM BAN HÀNH LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN VÀ NGHỊ ĐỊNH QUY ĐỊNH CHI TIẾT: NHỮNG NGHĨA VỤ TUÂN THỦ MỚI ĐỐI VỚI DOANH NGHIỆP

Phát hành Tháng 03/2026

Nguyễn Thu Huyền
Luật sư Thành viên

Nguyễn Đức Anh
Trợ lý Luật sư

MỞ ĐẦU

Tiếp nối xu thế toàn cầu về bảo vệ dữ liệu cá nhân thông qua việc ban hành các văn bản quy phạm pháp luật trực tiếp điều chỉnh lĩnh vực này, khung pháp lý về bảo vệ dữ liệu cá nhân của Việt Nam đã có những bước tiến đáng kể trong những năm gần đây. Năm 2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”), qua đó lần đầu tiên thiết lập một khuôn khổ pháp lý tương đối toàn diện về bảo vệ dữ liệu cá nhân tại Việt Nam. Trên cơ sở của Nghị định 13, ngày 26/06/2025, Quốc hội đã chính thức thông qua Luật Bảo Vệ Dữ Liệu Cá Nhân (“Luật BVDLCN”). Tiếp theo đó, Chính phủ đã ban hành Nghị định số 356/2025/ND-CP (“Nghị định 356”) ngày 31/12/2025 quy định chi tiết một số điều và biện pháp thi hành của Luật BVDLCN. Luật BVDLCN và Nghị định 356 đã có hiệu lực thi hành từ ngày 01/01/2026.

Luật BVDLCN được xây dựng trên cơ sở kế thừa gần như toàn bộ các quy định hiện hành của Nghị định 13, đồng thời bổ sung và sửa đổi một số nội dung nhằm điều chỉnh một số vấn đề phát sinh trong thực tiễn. Cùng với các quy định của Nghị định 356, khung pháp lý về bảo vệ dữ liệu cá nhân của Việt Nam đã và đang đặt ra nhiều thách thức về tuân thủ mới cho doanh nghiệp, đặc biệt là việc bổ sung các chế tài xử phạt mới, việc ban hành các quy định đặc thù cho một số lĩnh vực cụ thể, cũng như các yêu cầu liên quan tới việc bổ nhiệm nhân sự và thiết lập bộ phận chuyên trách về bảo vệ dữ liệu cá nhân.

Dưới đây là những điểm sửa đổi, bổ sung đáng chú ý của Luật BVDLCN và Nghị định 356.

1. CÁC CHẾ TÀI XỬ PHẠT NGHIÊM KHẮC ĐỐI VỚI NHỮNG VI PHẠM VỀ QUY ĐỊNH BẢO VỆ DỮ LIỆU

Luật BVDLCN đã thiết lập cơ chế xử phạt toàn diện đối với các hành vi vi phạm nghĩa vụ bảo vệ dữ liệu cá nhân. Bên cạnh các khoản phạt tiền đáng kể, cả cá nhân và tổ chức vi phạm đều có thể phải đối mặt với trách nhiệm dân sự và hình sự theo quy định của pháp luật có liên quan khác.

Về xử phạt vi phạm hành chính, hành vi mua, bán trái phép dữ liệu cá nhân có thể bị áp dụng mức phạt lên tới 10 lần khoản lợi bất chính từ hành vi vi phạm, hoặc 3 tỷ đồng, tùy theo mức nào cao hơn. Đối với các vi phạm liên quan đến chuyển dữ liệu cá nhân xuyên biên giới, mức phạt có thể lên tới 5% doanh thu của năm trước liền kề của bên vi phạm, hoặc 3 tỷ đồng, tùy theo mức nào cao hơn. Các vi phạm khác chịu mức phạt tối đa là 3 tỷ đồng, với các chi tiết cụ thể về mức phạt dự kiến sẽ được Chính phủ ban hành trong các văn bản hướng dẫn tiếp theo.

Một điểm đáng lưu ý đối với các tập đoàn đa quốc gia là Luật BVDLCN hiện chưa làm rõ liệu mức phạt dựa trên doanh thu sẽ được tính trên doanh thu tại Việt Nam hay tổng doanh thu toàn cầu. Sự thiếu rõ ràng này có thể làm gia tăng đáng kể nghĩa vụ tài chính đối với doanh nghiệp trong trường hợp không tuân thủ các quy định về bảo vệ dữ liệu cá nhân.

2. SIẾT CHẶT QUY ĐỊNH VỀ SỰ ĐỒNG Ý CỦA CHỦ THỂ DỮ LIỆU

Luật BVDLCN đặt ra các tiêu chuẩn cao hơn để đảm bảo sự đồng ý của chủ thể dữ liệu là hợp lệ. Cụ thể, sự đồng ý chỉ có hiệu lực khi đáp ứng các điều kiện sau:

  • Tự nguyện và được thông tin đầy đủ: Sự đồng ý chỉ có giá trị nếu được đưa ra hoàn toàn tự nguyện và chủ thể dữ liệu biết rõ về: (i) loại dữ liệu và mục đích xử lý; (ii) danh tính của Bên Kiểm soát dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân; và (iii) các quyền, nghĩa vụ của mình;
  • Rõ ràng và cụ thể: Sự đồng ý phải được thể hiện một cách minh bạch, cụ thể và có thể in, sao chép dưới dạng văn bản (bao gồm cả định dạng điện tử hoặc các hình thức xác thực kiểm chứng được); và
  • Tách biệt và theo mục đích cụ thể: Sự đồng ý phải tuân thủ 04 nguyên tắc: (i) được đưa ra cụ thể cho từng mục đích xử lý; (ii) không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận; (iii) có hiệu lực cho đến khi bị rút lại hoặc theo quy định pháp luật; và (iv) sự im lặng hoặc không phản hồi không được coi là sự đồng ý.

Ngoài ra, Luật BVDLCN cho phép xử lý dữ liệu mà không cần sự đồng ý trong một số trường hợp đặc biệt như: tình huống khẩn cấp; phục vụ hoạt động của cơ quan nhà nước có thẩm quyền; hoặc để bảo vệ “quyền hoặc lợi ích chính đáng” của Bên Kiểm soát, Bên Xử lý hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân trước các hành vi vi phạm. Tuy nhiên, các trường hợp này buộc phải đi kèm với các cơ chế giám sát chặt chẽ.

Nghị định 356 tiếp tục đặt ra các quy định chặt chẽ hơn rằng Bên Kiểm soát hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm chứng minh đã có được sự đồng ý của chủ thể dữ liệu và không được thiết lập phương thức mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý.

Nghị định 356 cũng quy định cụ thể một số thời hạn để thực hiện các yêu cầu của chủ thể dữ liệu, bao gồm:

  • Yêu cầu rút lại sự đồng ý hoặc hạn chế xử lý: cần phải phản hồi trong vòng 02 ngày làm việc và hoàn thành việc ngừng xử lý trong thời hạn 15 ngày (có thể kéo dài lên 20 ngày).
  • Yêu cầu xem, chỉnh sửa hoặc cung cấp dữ liệu: cần phải phản hồi trong 02 ngày làm việc và thực hiện trong thời hạn 10 ngày.
  • Yêu cầu xóa dữ liệu: cần phải phản hồi trong 02 ngày làm việc và thực hiện trong thời hạn 20 ngày.

3. CÁC QUY ĐỊNH MỚI ĐẶC THÙ THEO NGÀNH VÀ LOẠI DỮ LIỆU

Luật BVDLCN bổ sung các quy định chuyên biệt áp dụng đối với một số lĩnh vực cụ thể, bao gồm: (i) tuyển dụng, quản lý và giám sát nhân sự, (ii) y tế và bảo hiểm, (iii) tài chính và ngân hàng, (iv) tiếp thị và quảng cáo, (v) mạng xã hội và dịch vụ phát thanh, truyền hình trên mạng Internet, và (vi) các công nghệ mới như dữ liệu lớn (big data), trí tuệ nhân tạo, chuỗi khối (blockchain), vũ trụ ảo (metaverse) và điện toán đám mây. Các quy định chuyên biệt này được đưa ra nhằm bổ trợ và làm rõ các nghĩa vụ chung theo Luật BVDLCN, đồng thời dự kiến sẽ làm gia tăng đáng kể yêu cầu và nghĩa vụ tuân thủ đối với các doanh nghiệp hoạt động trong các lĩnh vực nêu trên.

Trong đó, đối với lĩnh vực tuyển dụng, quản lý và giám sát nhân sự, Luật BVDLCN quy định một số nội dung đáng lưu ý như sau:

  • Mục đích cụ thể: Người sử dụng lao động chỉ được phép yêu cầu và xử lý những dữ liệu thực sự cần thiết và phục vụ trực tiếp cho mục đích tuyển dụng.
  • Xóa dữ liệu: Dữ liệu của ứng viên không trúng tuyển phải được xóa hoặc tiêu hủy sau khi kết thúc quá trình tuyển dụng, trừ khi có thỏa thuận khác. Tương tự, khi chấm dứt hợp đồng lao động, dữ liệu của nhân viên phải được xóa hoặc tiêu hủy, trừ khi có thỏa thuận khác hoặc pháp luật có quy định khác.

Ngoài ra, Luật BVDLCN cũng xác định các loại dữ liệu cá nhân chịu sự quản lý chặt chẽ hơn, bao gồm: (i) dữ liệu của các đối tượng dễ bị tổn thương; (ii) dữ liệu từ các bản ghi công cộng; và (iii) dữ liệu vị trí và dữ liệu sinh trắc học.

4. YÊU CẦU VỀ BỘ PHẬN VÀ NHÂN SỰ BẢO VỆ DỮ LIỆU CÁ NHÂN

Khác với Nghị định 13 chỉ yêu cầu chỉ định nhân sự trong một số trường hợp hẹp, Luật BVDLCN yêu cầu tất cả các tổ chức xử lý dữ liệu cá nhân phải thực hiện một trong hai phương án: (i) chỉ định nhân sự bảo vệ dữ liệu cá nhân và/hoặc thành lập bộ phận bảo vệ dữ liệu nội bộ và/hoặc; hoặc (ii) thuê một tổ chức hoặc cá nhân bên ngoài cung cấp dịch vụ bảo vệ dữ liệu cá nhân.

Nghị định 356 đã quy định rõ các tiêu chuẩn năng lực đối với các vị trí này. Cụ thể:

  • Nhân sự bảo vệ dữ liệu cá nhân phải có trình độ từ cao đẳng trở lên; hoàn thành đào tạo chuyên môn về bảo vệ dữ liệu; và có tối thiểu 02 năm kinh nghiệm làm việc sau khi tốt nghiệp trong các lĩnh pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, hoặc tổ chức cán bộ. Trong trường hợp cơ quan, tổ chức thành lập bộ phận bảo vệ dữ liệu cá nhân thì các nhân sự trong bộ phận cũng phải đáp ứng các điều kiện nêu trên.
  • Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân phải phải có trình độ từ cao đẳng trở lên; hoàn thành đào tạo chuyên môn về bảo vệ dữ liệu; và có tối thiểu 03 năm kinh nghiệm làm việc trong các lĩnh vực nêu trên. Các tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân phải có ít nhất 03 nhân sự là cá nhân có đủ năng lực nêu trên.

Ngoài ra, Nghị định 356 cũng quy định rằng tổ chức cung cấp dịch vụ xử lý dữ liệu cá nhân phải đáp ứng các điều kiện được quy định tại Nghị định, được thể hiện tại giấy chứng nhận đủ điều kiện cung cấp dịch vụ xử lý dữ liệu cá nhân do Bộ Công an cấp theo quy trình được quy định trong Nghị định 356.

5. LÀM RÕ CÁC TRƯỜNG HỢP CHUYỂN DỮ LIỆU XUYÊN BIÊN GIỚI

Luật BVDLCN định nghĩa cụ thể các trường hợp được coi là “Chuyển dữ liệu cá nhân xuyên biên giới”, bao gồm:

  • Chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam tới hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ Việt Nam;
  • Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho chủ thể ở nước ngoài (cơ quan, tổ chức, và cá nhân); và
  • Các chủ thể trong nước hoặc nước ngoài (cơ quan, tổ chức, và cá nhân) sử dụng nền tảng ở ngoài lãnh thổ Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam.

6. YÊU CẦU VỀ ĐÁNH GIÁ TÁC ĐỘNG

Luật BVDLCN yêu cầu doanh nghiệp thực hiện và nộp hồ sơ Đánh giá tác động xử lý dữ liệu (“DPIA”) và Đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (“TIA”) một lần trong suốt quá trình hoạt động. Tuy nhiên, hồ sơ phải được cập nhật định kỳ (i) 06 tháng một lần nếu có sự thay đổi; hoặc (ii) trong vòng 10 ngày kể từ thời điểm xảy ra các sự kiện: tổ chức lại, chấm dứt hoạt động, giải thể, phá sản, thay đổi về đơn vị cung cấp dịch vụ bảo vệ dữ liệu cá nhân, hoặc bổ sung ngành nghề có liên quan đến xử lý dữ liệu.

Quy định trên không áp dụng đối với: (i) dữ liệu nhân viên lưu trên dịch vụ điện toán đám mây phục vụ quản trị nội bộ; (ii) việc chuyển dữ liệu do chính chủ thể dữ liệu chủ động thực hiện; và (iii) việc chuyển dữ liệu bởi cơ quan nhà nước có thẩm quyền.

7. QUÁ TRÌNH CHUYỂN TIẾP

Luật BDVLCN đã có hiệu lực thi hành từ ngày 01/01/2026, với 02 ngoại lệ được áp dụng đối với: (i) doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp không kinh doanh trong lĩnh vực xử lý dữ liệu có thể lựa chọn không thực hiện  một số yêu cầu về đánh giá tác động và chỉ định Bộ phận/Nhân sự bảo vệ dữ liệu trong vòng 05 năm kể từ ngày Luật BVLDCN có hiệu lực trên đây; và (ii) hộ kinh doanh, doanh nghiệp siêu nhỏ không kinh doanh trong lĩnh vực xử lý dữ liệu, xử lý dữ liệu cá nhân nhạy cảm, hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu được miễn hoàn toàn một số nghĩa vụ này.

Nghị định 356 quy định rõ hơn rằng các ngoại lệ nêu trên không được áp dụng trong trường hợp doanh nghiệp (i) xử lý dữ liệu cá nhân nhạy cảm; (ii) kinh doanh dịch vụ xử lý dữ liệu cá nhân; hoặc (iii) có quy mô đạt từ 100.000 chủ thể dữ liệu trở lên “dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.”

KẾT LUẬN

Luật BVDLCN và các quy định hướng dẫn của Nghị định 356 đã làm rõ và nâng cao đáng kể các yêu cầu về bảo vệ dữ liệu cá nhân so với khuôn khổ trước đây, qua đó đặt ra những nghĩa vụ tuân thủ mới và nghiêm ngặt hơn đối với doanh nghiệp. Với việc Luật đã chính thức có hiệu lực từ ngày 01/01/2026, các doanh nghiệp cần tiến hành rà soát hoạt động xử lý dữ liệu cá nhân, đánh giá mức độ tuân thủ hiện tại và xây dựng lộ trình điều chỉnh phù hợp nhằm hạn chế rủi ro pháp lý và tài chính.

Download pdf version