Tìm hiểu Luật Bảo vệ dữ liệu cá nhân 2025 - Phần 2

DOANH NGHIỆP CẦN LÀM GÌ ĐỂ TRÁNH "ÁN PHẠT" 5% DOANH THU TỪ LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN?

Phân tích chuyên sâu Luật số 91/2025/QH15: Trách nhiệm pháp lý, Thời hạn nộp hồ sơ DPIA và Chế tài xử phạt.

Ngày 01/01/2026 đã đánh dấu một cột mốc lịch sử đối với không gian số Việt Nam khi Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) chính thức có hiệu lực thi hành. Đây không chỉ là câu chuyện của các "ông lớn" công nghệ như Facebook hay Google, mà là vấn đề sống còn của mọi doanh nghiệp, tổ chức, thậm chí là các hộ kinh doanh cá thể tại Việt Nam.

Nếu bạn đang vận hành một cửa hàng, một website bán hàng, hay đơn giản là một bảng tính Excel chứa danh sách khách hàng, bài viết này dành cho bạn. Chúng ta sẽ cùng giải mã những trách nhiệm pháp lý bắt buộc và cách xác định thời hạn nộp hồ sơ để tránh rơi vào tầm ngắm của cơ quan chức năng.

Tóm tắt trọng tâm bài viết:

• Phân định rõ vai trò: Bạn là Bên Kiểm soát hay Bên Xử lý?
• Giải mã "Ngày bắt đầu xử lý dữ liệu" để tính thời hạn 60 ngày.
• Trách nhiệm lập Hồ sơ đánh giá tác động (DPIA) và bổ nhiệm DPO.
• Phân tích chế tài xử phạt lên tới 5% doanh thu.

1. Định danh vai trò: Bạn là ai trong "hệ sinh thái" dữ liệu?

Luật 91/2025/QH15 thiết lập một trật tự mới bằng cách phân chia trách nhiệm dựa trên vai trò của tổ chức đối với dữ liệu. Xác định sai vai trò sẽ dẫn đến việc thực hiện sai quy trình tuân thủ.

A. Ba chủ thể chính

• Bên Kiểm soát dữ liệu (Data Controller): Là bên có quyền lực nhất – người quyết định "Lấy dữ liệu để làm gì?" (Mục đích) và "Lấy bằng cách nào?" (Phương tiện).
  Ví dụ: Một chuỗi cửa hàng cà phê quyết định thu thập ngày sinh của khách hàng để tặng quà sinh nhật.
• Bên Xử lý dữ liệu (Data Processor): Là bên "làm thuê". Họ chỉ xử lý dữ liệu dựa trên chỉ đạo của Bên Kiểm soát chứ không được tự ý sử dụng cho mục đích riêng.
  Ví dụ: Công ty phần mềm cung cấp giải pháp quản lý bán hàng (POS) cho chuỗi cà phê trên. Họ lưu trữ dữ liệu nhưng không được phép bán dữ liệu đó.
• Bên Kiểm soát và Xử lý dữ liệu (Controller & Processor): Đây là mô hình phổ biến nhất tại Việt Nam (chiếm hơn 80%). Doanh nghiệp vừa quyết định mục đích, vừa trực tiếp thực hiện các thao tác thu thập, lưu trữ.

2. "Lá chắn" pháp lý: Hồ sơ DPIA và Thời hạn "vàng" 60 ngày

Đây là nội dung quan trọng nhất mà nhiều doanh nghiệp đang lúng túng. Theo quy định, Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (DPIA) là bắt buộc đối với tất cả các tổ chức có hoạt động xử lý dữ liệu.

2.1. Hồ sơ DPIA là gì và bao gồm những gì?

Hãy coi DPIA như một "bản cam kết bảo mật" mà doanh nghiệp phải gửi cho Bộ Công an. Trong đó, bạn phải tự đánh giá và giải trình:

• Loại dữ liệu: Bạn đang giữ những gì? (Họ tên, SĐT, hay cả định vị GPS, dữ liệu sức khỏe?).
• Mục đích: Tại sao bạn cần những dữ liệu đó?
• Rủi ro: Nếu dữ liệu này bị lộ, hậu quả là gì?
• Biện pháp: Bạn đã làm gì để bảo vệ nó? (Mã hóa, tường lửa, quy trình nội bộ...).

2.2. Giải mã thuật ngữ: "Xử lý dữ liệu" và "Ngày bắt đầu"

Luật quy định: "Hồ sơ DPIA phải được gửi về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) trong vòng 60 ngày kể từ ngày bắt đầu xử lý dữ liệu."

Rất nhiều doanh nghiệp đặt câu hỏi: "Ngày bắt đầu xử lý là ngày nào? Có phải là ngày tôi thành lập công ty hay ngày tôi mua máy tính không?"

ĐỊNH NGHĨA CHUẨN XÁC VỀ "XỬ LÝ DỮ LIỆU":
Theo Luật, "xử lý dữ liệu" là một khái niệm rất rộng, bao gồm một hoặc nhiều hành động sau: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân.

Như vậy, "Ngày bắt đầu xử lý dữ liệu" chính là thời điểm diễn ra hành động ĐẦU TIÊN trong chuỗi hành động trên. Thông thường, đó là ngày bạn THU THẬP dữ liệu đầu tiên.

Ví dụ minh họa cách tính thời hạn 60 ngày:

Giả sử bạn mở một quán trà sữa tên là "Trà Sữa Xanh".

• Ngày 01/01: Bạn nhận Giấy phép kinh doanh. (Chưa tính).
• Ngày 10/01: Bạn mua máy tính và cài phần mềm bán hàng. (Chưa tính).
• Ngày 15/01 (Khai trương): Vị khách đầu tiên bước vào. Bạn xin tên và số điện thoại của họ để làm thẻ thành viên. 👉 ĐÂY LÀ NGÀY BẮT ĐẦU XỬ LÝ DỮ LIỆU.

=> Thời hạn nộp hồ sơ DPIA sẽ được tính từ ngày 15/01 và hạn chót là 60 ngày sau đó (khoảng giữa tháng 3).

2.3. DPO - Nhân sự bảo vệ dữ liệu: Khi nào cần?

Nếu doanh nghiệp của bạn xử lý Dữ liệu cá nhân nhạy cảm (ví dụ: Phòng khám tư nhân xử lý hồ sơ bệnh án, Công ty Fintech xử lý thông tin tài khoản ngân hàng, Dịch vụ định vị...), việc chỉ định một nhân sự hoặc bộ phận chuyên trách bảo vệ dữ liệu (DPO) là bắt buộc.

3. Quyền của khách hàng là "Mệnh lệnh"

Doanh nghiệp cần nhớ nguyên tắc cốt lõi: "Dữ liệu là của khách hàng, doanh nghiệp chỉ là người được ủy quyền." Do đó, bạn phải thiết lập quy trình để phản hồi các yêu cầu sau của khách hàng trong vòng 72 giờ:

• Yêu cầu xem, chỉnh sửa dữ liệu.
• Yêu cầu cung cấp bản sao dữ liệu.
• Yêu cầu xóa dữ liệu (trừ trường hợp luật khác yêu cầu lưu trữ).
• Yêu cầu rút lại sự đồng ý.

4. Chế tài xử phạt: "Cú đấm thép" vào túi tiền doanh nghiệp

Nếu như trước đây, các mức phạt vi phạm về thông tin cá nhân chỉ mang tính "nhắc nhở", thì Luật 91/2025/QH15 đã nâng mức chế tài lên ngang tầm quốc tế (GDPR).

CẢNH BÁO MỨC PHẠT CAO NHẤT:
5% TỔNG DOANH THU
(Của năm tài chính liền kề trước đó tại Việt Nam)

Mức phạt này áp dụng cho các hành vi vi phạm quy định bảo vệ dữ liệu cá nhân gây hậu quả nghiêm trọng hoặc vi phạm nhiều lần. Ngoài ra, doanh nghiệp còn đối mặt với các hình phạt bổ sung:

• Đình chỉ hoạt động xử lý dữ liệu từ 01 đến 03 tháng (Đồng nghĩa với việc tê liệt hoạt động kinh doanh số).
• Tước quyền sử dụng giấy phép kinh doanh.
• Công khai tên doanh nghiệp vi phạm trên các phương tiện thông tin đại chúng (Thiệt hại về uy tín là không thể đong đếm).

5. Lời kết và Hành động ngay

Luật Bảo vệ dữ liệu cá nhân không sinh ra để cản trở kinh doanh, mà để tạo ra một môi trường số an toàn, văn minh. Sự tuân thủ của doanh nghiệp chính là lời cam kết uy tín nhất đối với khách hàng.

Ngay lúc này, hãy rà soát lại: Bạn đã nộp hồ sơ DPIA chưa? Bạn đã có quy trình xóa dữ liệu khi khách hàng yêu cầu chưa? Đừng để sự chậm trễ biến thành rủi ro pháp lý.

---

📝 Kiểm tra kiến thức pháp luật

Bạn đã thực sự hiểu rõ trách nhiệm của mình? Hãy thử trả lời 5 câu hỏi tình huống dưới đây.

Câu 1: Công ty A mới thành lập ngày 01/01. Ngày 01/02 công ty bắt đầu cho khách hàng đăng ký tài khoản trên App. Thời hạn 60 ngày nộp hồ sơ DPIA tính từ ngày nào?

Ngày 01/01 (Ngày thành lập). Ngày 01/02 (Ngày bắt đầu thu thập/xử lý dữ liệu). Ngày nào nộp cũng được, miễn là trong năm.

Câu 2: Một cửa hàng tạp hóa nhỏ có ghi chép sổ nợ (Họ tên, SĐT khách hàng) có phải làm hồ sơ DPIA không?

Có, bắt buộc với mọi quy mô. Không, chỉ doanh nghiệp lớn mới làm. Không, vì sổ giấy không phải dữ liệu điện tử.

Câu 3: Mức phạt tiền cao nhất đối với doanh nghiệp vi phạm nghiêm trọng là bao nhiêu?

1 tỷ đồng. 10% lợi nhuận sau thuế. 5% tổng doanh thu năm tài chính liền kề.

Câu 4: Khi khách hàng yêu cầu xóa dữ liệu, doanh nghiệp phải phản hồi trong bao lâu?

72 giờ. 24 giờ. 7 ngày làm việc.

Câu 5: Hành động nào sau đây được coi là "Xử lý dữ liệu"?

Chỉ hành động Thu thập. Chỉ hành động Lưu trữ trên máy chủ. Tất cả (Thu thập, Lưu trữ, Chỉnh sửa, Chia sẻ, Xóa...).

Kiến thức này rất quan trọng với cộng đồng doanh nghiệp. Hãy chia sẻ ngay!

✅ Đã sao chép liên kết vào bộ nhớ tạm!