18/08/2025
🔰Pháp luật về bảo vệ dữ liệu cá nhân Việt Nam (PDPA): Hướng dẫn tuân thủ cho doanh nghiệp.
1) Tổng quan & các khái niệm cốt lõi tại Việt Nam
✅Khung pháp lý hiện hành & sắp tới:
• Nghị định 13/2023/NĐ-CP (“NĐ13”) đang điều chỉnh trực tiếp hoạt động xử lý dữ liệu cá nhân ở Việt Nam.
• “Luật Bảo vệ dữ liệu cá nhân 2025” (“Luật 2025”) đã được ban hành và có hiệu lực từ 01/01/2026; doanh nghiệp cần chuẩn bị lộ trình chuyển tiếp ngay từ bây giờ.
✅Định nghĩa & phân loại dữ liệu:
• Dữ liệu cá nhân là thông tin gắn với một con người cụ thể giúp xác định hoặc có thể xác định được người đó; dữ liệu cá nhân nhạy cảm có tính riêng tư cao (như sức khỏe, tài chính, vị trí, sinh trắc…).
• Vai trò trong xử lý dữ liệu: Bên Kiểm soát dữ liệu cá nhân (quyết định mục đích/phương tiện), Bên Xử lý (xử lý thay mặt kiểm soát), Bên Kiểm soát & Xử lý, và Bên thứ ba.
✅Nguyên tắc xử lý:
Việc xử lý phải hợp pháp, vì mục đích rõ ràng, tối thiểu hóa dữ liệu, bảo mật phù hợp, và gắn với bảo vệ lợi ích quốc gia – xã hội; cơ quan, tổ chức, cá nhân phải có biện pháp thể chế, kỹ thuật, nhân sự để bảo vệ dữ liệu.
✅Quyền của chủ thể dữ liệu (DSR):
NĐ13 ghi nhận các quyền: được biết; đồng ý/không đồng ý; truy cập, chỉnh sửa; rút lại đồng ý; xóa; hạn chế xử lý (doanh nghiệp phải thực hiện trong 72 giờ); yêu cầu cung cấp dữ liệu (thực hiện trong 72 giờ); phản đối (đặc biệt với quảng cáo/tiếp thị – cũng 72 giờ); khiếu nại/khởi kiện; bồi thường; tự bảo vệ.
✅Sự đồng ý (consent):
• Phải rõ ràng, cụ thể, cho từng mục đích; có thể in/sao chép được (kể cả điện tử); im lặng không phải là đồng ý. Đối với dữ liệu nhạy cảm phải thông báo rõ tính nhạy cảm trước khi xin đồng ý. Trách nhiệm chứng minh đồng ý thuộc về bên xử lý/kểm soát.
• NĐ13 có các trường hợp xử lý không cần đồng ý (ví dụ theo quy định pháp luật chuyên ngành…); song doanh nghiệp vẫn phải đảm bảo nguyên tắc xử lý hợp pháp và bảo vệ quyền của chủ thể.
✅Dữ liệu trẻ em:
Xử lý dữ liệu trẻ em phải vì lợi ích tốt nhất của trẻ; với trẻ từ đủ 7 tuổi trở lên cần đồng ý của trẻ và đồng ý của cha/mẹ/người giám hộ (trừ ngoại lệ theo NĐ13).
✅Chuyển dữ liệu ra nước ngoài
• Định nghĩa: chuyển dữ liệu công dân Việt Nam tới địa điểm ngoài lãnh thổ Việt Nam, bằng phương tiện điện tử hoặc hình thức khác.
• Doanh nghiệp phải lập Hồ sơ đánh giá tác động chuyển dữ liệu; nộp bản gốc đến Bộ Công an (cơ quan chuyên trách) trong vòng 60 ngày kể từ khi xử lý lần đầu; đồng thời xây dựng Hồ sơ đánh giá tác động xử lý dữ liệu theo mẫu.
✅Một số quy định theo ngữ cảnh:
• Ghi âm/ghi hình nơi công cộng: có trường hợp không cần đồng ý nhưng phải thông báo để người dân biết; chỉ sử dụng đúng mục đích.
• Nền tảng mạng xã hội/dịch vụ trực tuyến: phải công khai chính sách, cho phép từ chối cookies/“không theo dõi”, không yêu cầu ảnh/video giấy tờ tùy thân để xác thực tài khoản.
✅Chế tài xử phạt (điểm mới đáng chú ý của Luật 2025):
• Vi phạm chuyển dữ liệu ra nước ngoài: phạt đến 5% doanh thu toàn cầu của tổ chức vi phạm.
• Mua bán dữ liệu cá nhân: phạt tới 10 lần doanh thu thu được từ hành vi vi phạm.
• Các mức phạt hành chính khác có thể tới 3 tỷ đồng; hành vi nghiêm trọng có thể bị truy cứu trách nhiệm hình sự theo Bộ luật Hình sự.
✅Phạm vi áp dụng (ngoài lãnh thổ):
Luật 2025 áp dụng cho tổ chức, cá nhân nước ngoài nếu hành vi xử lý dữ liệu cá nhân xảy ra trên lãnh thổ Việt Nam hoặc có liên quan đến dữ liệu cá nhân của cá nhân tại Việt Nam.
2) Doanh nghiệp cần làm gì để tuân thủ? (Roadmap thực thi)
A. Khởi tạo & quản trị
1. Chỉ đạo cấp cao + thiết lập đầu mối: giao một đầu mối bảo vệ dữ liệu (privacy lead) chịu trách nhiệm nội bộ; ban hành chính sách, quy chế; lập kế hoạch chuyển tiếp sang Luật 2025 (mốc 01/01/2026).
2. Lập danh mục xử lý (data mapping/ROPA): phân loại dữ liệu thường/nhạy cảm; xác định vai trò (kiểm soát/xử lý/kiểm soát & xử lý/ bên thứ ba).
3. Cơ sở pháp lý: ưu tiên đồng ý chủ thể cho từng mục đích; rà soát ngoại lệ không cần đồng ý theo NĐ13 nếu áp dụng.
B. Đối mặt khách hàng/người dùng
4. Thông báo quyền riêng tư (privacy notice): nêu loại dữ liệu, mục đích, bên nhận, quyền DSR và cách thực hiện (SLA 72 giờ cho hạn chế/xóa/cung cấp/phản đối).
5. Cơ chế đồng ý “opt-in” đa mục đích: giao diện xin consent tách bạch; im lặng không là đồng ý; đánh dấu dữ liệu nhạy cảm; lưu bằng chứng. (Gợi ý dòng consent mẫu ngay bên dưới).
6. Quy trình DSAR: cổng yêu cầu & chuẩn phản hồi trong 72 giờ cho các quyền nêu trên; sổ theo dõi yêu cầu, từ chối có căn cứ.
7. Trẻ em: module xác minh tuổi; với trẻ ≥7 tuổi, thu đồng ý kép (trẻ + cha/mẹ).
C. Vận hành & kỹ thuật
8. Đánh giá tác động: lập Hồ sơ Đánh giá tác động xử lý dữ liệu; nếu chuyển ra nước ngoài thì lập Hồ sơ ĐG tác động chuyển dữ liệu, nộp Bộ Công an trong 60 ngày kể từ khi xử lý lần đầu.
9. Bảo mật (TOMs): kiểm soát truy cập, mã hóa, phân tách dữ liệu, nhật ký, kiểm thử; cảnh báo xâm nhập; quy trình ứng phó & thông báo vi phạm theo Điều 23 (chính phủ sẽ/đã quy định chi tiết nội dung thông báo).
10. Hợp đồng xử lý: ký thỏa thuận xử lý dữ liệu với nhà cung cấp (processor), ràng buộc mục đích, bảo mật, xóa trả sau khi hoàn tất; trách nhiệm tương ứng của bên kiểm soát/xử lý.
11. Theo ngữ cảnh:
• Website/app: cookie banner cho phép từ chối; cung cấp lựa chọn “không theo dõi”.
• Mạng xã hội/dịch vụ trực tuyến: công khai chính sách, cơ chế truy cập/chỉnh sửa/xóa; không yêu cầu ảnh/clip giấy tờ tùy thân để xác thực.
• Ghi hình nơi công cộng: thông báo là đang ghi âm/ghi hình; dùng đúng mục đích.
✅Gợi ý câu chữ xin đồng ý (tham khảo):
“Tôi đã đọc hiểu Chính sách quyền riêng tư và đồng ý để [Tên DN] xử lý các loại dữ liệu: [liệt kê] cho mục đích: [liệt kê]. Tôi hiểu quyền của mình (truy cập/chỉnh sửa/xóa/hạn chế/phản đối/yêu cầu cung cấp), có thể rút lại đồng ý bất cứ lúc nào, và biết thêm chi tiết tại [liên kết].”
(Thêm nhãn “Dữ liệu nhạy cảm” ngay cạnh trường thu thập nếu có).
✅Nhận xét thực tiễn:
• Việt Nam nhấn mạnh quản trị nhà nước với đánh giá tác động & nộp hồ sơ, đặc biệt khi chuyển dữ liệu ra nước ngoài. GDPR thiên về cơ chế hợp đồng/chuẩn mực (SCC, BCR).
• Chế tài Luật 2025 có tính răn đe mạnh cho chuyển dữ liệu/bán dữ liệu; doanh nghiệp nên coi tuân thủ cross-border là ưu tiên.
✅Phụ lục thực thi (tóm tắt thao tác):
1. Data Mapping → bảng luồng dữ liệu (nguồn, mục đích, loại dữ liệu, vai trò, điểm đến/cross-border).
2. Consent & Notices → biểu mẫu/UX xin đồng ý theo từng mục đích; tagging “dữ liệu nhạy cảm”; chính sách minh bạch.
3. DSAR Playbook → tiếp nhận – xác minh – phản hồi ≤72h cho hạn chế/xóa/cung cấp/phản đối.
4. DPIA nội bộ & Cross-border PIA → theo mẫu NĐ13; nộp Bộ Công an trong 60 ngày nếu có chuyển dữ liệu ra nước ngoài.
5. Hợp đồng với Processor → phạm vi/mục đích, bảo mật, phụ lục kỹ thuật, xóa/trả dữ liệu, quyền audit; phân định trách nhiệm.
6. Bảo mật & Ứng phó sự cố → mã hóa, phân quyền, nhật ký, giám sát; thông báo vi phạm theo Điều 23.
7. Ngữ cảnh đặc thù → cookie/“không theo dõi”, trẻ em (đồng ý kép), ghi hình nơi công cộng (thông báo).
![[CẬP NHẬT]https://thuvienphapluat.vn/chinh-sach-phap-luat-moi/vn/bieu-mau/88989/mau-don-dang-ky-lai-mau-con-dau-do-thay-...](https://img4.juridipedia.com/607/742/1421926686077421.jpg)
