Theo pháp luật bảo vệ dữ liệu cá nhân, doanh nghiệp cần làm gì?

Bản tin pháp luật

Theo pháp luật bảo vệ dữ liệu cá nhân, doanh nghiệp cần làm gì?

LexNovum Lawyers

LexNovum Lawyers

23/04/2026

Hiện nay, pháp luật bảo vệ dữ liệu cá nhân (“DLCN”) đang ngày càng được hoàn thiện theo hướng chi tiết và nghiêm ngặt hơn. Bên cạnh Luật Bảo vệ dữ liệu cá nhân (“Luật BVDLCN”) và Nghị định 356/2025/NĐ-CP (“Nghị định 356”) đã có hiệu lực, dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực này cũng đã hoàn tất giai đoạn lấy ý kiến và đang được trình Chính phủ phê duyệt, dự kiến ban hành trong năm 2026. Các diễn biến này cho thấy xu hướng quản lý đối với hoạt động xử lý DLCN không chỉ dừng lại ở việc thiết lập nghĩa vụ, mà còn gắn liền với các cơ chế kiểm soát và chế tài cụ thể. Đồng nghĩa, doanh nghiệp không chỉ cần “thực hiện đầy đủ các nghĩa vụ” theo quy định, mà còn phải “sẵn sàng chứng minh việc tuân thủ” trong thực tế. Nếu vi phạm, doanh nghiệp có thể phải đối mặt với các rủi ro pháp lý đáng kể, bao gồm xử phạt hành chính, nghĩa vụ bồi thường thiệt hại, thậm chí là bị truy trách nhiệm hình sự tùy theo tính chất và mức độ vi phạm.

Theo kinh nghiệm, LNV nhận thấy rằng tùy thuộc vào từng luồng xử lý dữ liệu cụ thể, doanh nghiệp có thể đảm nhận các vai trò khác nhau và tương ứng với đó là các trách nhiệm pháp lý khác nhau. Việc không nhận diện đúng vai trò là một trong những nguyên nhân phổ biến dẫn đến việc doanh nghiệp thực hiện chưa đầy đủ hoặc chưa chính xác các nghĩa vụ theo quy định.

Trên cơ sở đó, nhằm hỗ trợ doanh nghiệp nhận diện đúng vai trò của mình trong hoạt động xử lý DLCN, từ đó xác định và thực hiện đầy đủ các trách nhiệm pháp lý tương ứng, hạn chế rủi ro trong quá trình hoạt động, bài viết này sẽ tập trung phân tích: (i) vai trò của doanh nghiệp trong hoạt động xử lý DLCN; và (ii) các trách nhiệm của doanh nghiệp theo pháp luật bảo vệ DLCN.

1. Vai trò của doanh nghiệp trong hoạt động xử lý DLCN

Như đã đề cập, việc xác định chính xác vai trò của doanh nghiệp trong hoạt động xử lý DLCN có ý nghĩa then chốt, bởi đây là cơ sở để xác định đúng và đầy đủ các nghĩa vụ pháp lý mà doanh nghiệp phải tuân thủ. Tùy theo mức độ phức tạp, đa dạng của các “luồng xử lý DLCN”, doanh nghiệp có thể đảm nhận một trong các vai trò khác nhau như Bên kiểm soát; Bên xử lý; Bên kiểm soát và xử lý hoặc đồng thời tất cả các vai trò đó.

Ví dụ như, trên thực tế, để tiến hành hoạt động kinh doanh, sản xuất, doanh nghiệp sẽ phát sinh nhu cầu “sử dụng lao động”. Theo đó, trong quá trình sử dụng lao động, doanh nghiệp sẽ (i) quyết định mục đích, phương tiện, đồng thời (ii) trực tiếp xử lý (như thu thập, lưu trữ…) DLCN của người lao động. Do đó, trong mọi trường hợp, với luồng xử lý DLCN của người lao động, doanh nghiệp đóng vai trò là Bên kiểm soát và xử lý. Song, nếu cũng doanh nghiệp đó, bên cạnh việc xử lý DLCN của người lao động mình, họ còn cung cấp dịch vụ tuyển dụng (head hunter), dịch vụ chi trả lương và đóng BHXH hoặc bất kỳ dịch vụ nào mang tính chất của hoạt động “xử lý dữ liệu cá nhân” thay cho một bên khác thì khi đó, ngoài vai trò Bên kiểm soát (hoặc Bên kiểm soát và xử lý) nêu trên, doanh nghiệp đó đồng thời cũng mang vai trò Bên xử lý cho các doanh nghiệp mà họ cung ứng dịch vụ.

Đó chính là lý do mà LNV cho rằng, trước khi xác định những trách nhiệm mà doanh nghiệp cần làm là gì, doanh nghiệp cần xác định mình hiện đang có những luồng xử lý dữ liệu nào, mình đang giữ những vai trò nào tại mỗi luồng xử lý dữ liệu đó.

2. Trách nhiệm của doanh nghiệp theo pháp luật bảo vệ DLCN

Theo kinh nghiệm của LNV, hầu hết doanh nghiệp đều mang vai trò của Bên kiểm soát, ít nhất là đối với DLCN của người lao động mà họ đang sử dụng. Do đó, đối với những trách nhiệm phát sinh từ vai trò này, chúng tôi tạm gọi đây là những trách nhiệm chung. Đối với những vai trò phát sinh theo dịch vụ mà doanh nghiệp cung ứng, họ có thể phát sinh thêm trách nhiệm riêng. Cụ thể như sau:

2.1. Các trách nhiệm chung

a. Thu thập sự đồng ý của chủ thể dữ liệu trước khi xử lý DLCN

Trước khi xử lý DLCN, doanh nghiệp có trách nhiệm thu thập sự đồng ý của chủ thể dữ liệu về việc cho phép doanh nghiệp xử lý DLCN của mình. Theo đó, sự đồng ý chỉ có hiệu lực khi và chỉ khi đáp ứng đầy đủ quy định về hình thức lẫn nội dung theo Điều 9 Luật BVDLCN, Điều 6 Nghị định 356.

b. Xây dựng và thông tin về quy trình thực hiện quyền của chủ thể dữ liệu

Đây là trách nhiệm mới của doanh nghiệp được quy định tại Điều 5.1 Nghị định 356, cụ thể: doanh nghiệp có trách nhiệm xây dựng quy trình, thủ tục, biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu phù hợp với hoạt động xử lý DLCN và trách nhiệm các bộ phận có liên quan; đảm bảo chủ thể dữ liệu được biết về thủ tục thực hiện các quyền theo luật định.

c. Chỉ định nhân sự/bộ phận bảo vệ DLCN trong nội bộ hoặc thuê tổ chức/cá nhân cung cấp dịch vụ bảo vệ DLCN.

Theo Điều 33.2 Luật BVDLCN, doanh nghiệp có trách nhiệm chỉ định:

(i) Nhân sự/bộ phận bảo vệ DLCN trong nội bộ; hoặc

(ii) Thuê và ký hợp đồng với tổ chức/cá nhân cung cấp dịch vụ bảo vệ DLCN.

Theo đó, pháp luật hiện hành đã đặt ra các quy định cụ thể về điều kiện năng lực tương ứng với từng chủ thể nêu trên từ Điều 13 – Điều 16 Nghị định 356. Do đó, trong quá trình thực hiện, doanh nghiệp cần lưu ý rà soát nội dung quy định để chỉ định/lựa chọn chủ thể đáp ứng phù hợp theo yêu cầu pháp luật.

d. Giao kết thỏa thuận, hợp đồng xử lý DLCN với Bên xử lý (nếu có)

Nếu doanh nghiệp thuê một đơn vị hỗ trợ xử lý DLCN, ví dụ như các phần mềm quản trị nhân sự, hệ thống lưu trữ dữ liệu,… thì những bên này được xác định có vai trò là Bên xử lý của doanh nghiệp (theo Điều 2.8 Luật BVDLCN). Theo đó, doanh nghiệp sẽ cần giao kết thỏa thuận, hợp đồng xử lý DLCN với bên xử lý, trong đó, quy định cụ thể trách nhiệm, quyền và nghĩa vụ phải tuân thủ của mỗi bên trong quá trình xử lý DLCN (theo Điều 37.1.a và 37.2.a Luật BVDLCN và yêu cầu của Hồ sơ đánh giá tác động xử lý DLCN).

e. Thực hiện thủ tục đánh giá tác động (bắt buộc, mặc nhiên) và cập nhật hồ sơ (nếu có sự thay đổi)

Doanh nghiệp có trách nhiệm thực hiện các thủ tục đánh giá tác động sau:

(i) Hồ sơ đánh giá tác động xử lý DLCN

Theo Điều 21 Luật BVDLCN, doanh nghiệp có trách nhiệm lập, lưu trữ hồ sơ đánh giá tác động xử lý DLCN và gửi 01 bản chính cho Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an (“Cục ANM”) trong thời hạn 60 ngày kể từ ngày đầu tiên xử lý DLCN.

Như đã phân tích, hầu hết các doanh nghiệp đều đóng vai trò là Bên kiểm soát và xử lý đối với luồng xử lý DLCN của người lao động nên đều phải thực hiện nghĩa vụ này.

(ii) Hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới (nếu có)

Việc xác định như thế nào là hoạt động chuyển DLCN xuyên biên giới đã được Luật BVDLCN quy định tại Điều 20.1 Luật BVDLCN. Nhưng, không phải mọi trường hợp chuyển DLCN xuyên biên giới đều cần lập hồ sơ đánh giá tác động. Để tham khảo các trường hợp loại trừ, doanh nghiệp có thể tham khảo quy định tại Điều 20.6 Luật BVDLCN, có thể kể đến như trường hợp doanh nghiệp CHỈ thực hiện việc chuyển DLCN xuyên biên giới của DUY NHẤT người lao động, thông qua hình thức DUY NHẤT là trên các hệ thống lưu trữ đám mây. Theo đó, trường hợp phát sinh trách nhiệm, doanh nghiệp phải lập hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới và gửi 01 bản chính cho Cục ANM trong thời gian 60 ngày kể từ ngày đầu tiên chuyển DLCN xuyên biên giới.

Sau khi hoàn tất thủ tục đánh giá tác động, doanh nghiệp có thể phát sinh trách nhiệm cập nhật hồ sơ đánh giá tác động xử lý DLCN và hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới định kỳ 06 tháng kể từ lần đầu nộp hồ sơ hoặc trong thời hạn 10 ngày, nếu phát sinh các sự kiện như thay đổi nhân sự bảo vệ DLCN, phát sinh mục đích xử lý DLCN… theo Điều 20 Nghị định 356.

f. Thông báo vi phạm (nếu có)

Theo Điều 23 Luật BVDLCN, trong quá trình xử lý DLCN, nếu phát hiện vi phạm quy định về bảo vệ DLCN có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của chủ thể dữ liệu, doanh nghiệp phải thông báo cho Cục ANM chậm nhất là 72 giờ kể từ khi phát hiện hành vi vi phạm.

g. Áp dụng các biện pháp kỹ thuật theo quy định để bảo vệ DLCN

Theo Điều 37 Luật BVDLCN, doanh nghiệp phải thực hiện biện pháp quản lý, kỹ thuật phù hợp để bảo vệ DLCN theo quy định của pháp luật, rà soát và cập nhật các biện pháp này khi cần thiết. Nhiều doanh nghiệp khá bối rối khi tiếp cận trách nhiệm này vì không biết “biện pháp kỹ thuật theo quy định” ở đây là những biện pháp gì. Về phương diện này, theo LNV, không phải mọi doanh nghiệp đều phải áp dụng những biện pháp kỹ thuật phức tạp trong việc bảo vệ DLCN và trên thực tế, pháp luật về bảo vệ DLCN cũng chưa gọi tên bất kỳ biện pháp kỹ thuật nào mà theo đó yêu cầu mọi doanh nghiệp đáp ứng. Trên thực tế, tùy vào loại dữ liệu mà doanh nghiệp thu thập, quy mô dữ liệu được xử lý, mục đích xử lý dữ liệu và cách thức xử lý mà mức độ tuân thủ của quy định này sẽ khác nhau. Thông thường, với những doanh nghiệp phổ biến chỉ chủ yếu xử lý DLCN của người lao động hoặc một số đối tác là cá nhân như chuyên gia, người tư vấn, người quảng bá (như nghệ sĩ, influencer nói chung), với quy mô vừa phải (khoảng vài chục đến vài trăm) và cách thức xử lý chủ yếu là để thực hiện các hợp đồng lao động/hợp tác, kinh doanh, tư vấn thông thường cùng hình thức lưu trữ là bản cứng tại trụ sở thì biện pháp kỹ thuật đôi khi chỉ cần dừng lại ở việc “thiết lập hệ thống khóa sinh trắc học/cơ học/mật khẩu để hạn chế đối tượng tiếp cận tại khu vực lưu trữ”. Còn nếu doanh nghiệp này tiến hành lưu trữ thêm bản mềm trong ổ cứng/máy tính, biện pháp kỹ thuật có thể chỉ là “hệ thống tường lửa/diệt virus được cài đặt tại máy chủ”.

Thực tế thì vẫn có một số trường hợp đặc biệt mà theo đó, doanh nghiệp cần phải tuân thủ biện pháp kỹ thuật theo quy định pháp luật. Đó là khi thông qua các tiêu chí kể trên, doanh nghiệp thuộc đối tượng phải áp dụng các biện pháp bảo vệ mang tính kỹ thuật theo quy chuẩn riêng. Về vấn đề này, Quý Khách hàng có thể tham khảo bài viết của LNV TẠI ĐÂY.

2.2. Trách nhiệm phát sinh khác

a. Đáp ứng điều kiện luật định nếu kinh doanh dịch vụ xử lý DLCN

Nghị định 356 là văn bản pháp luật đầu tiên liệt kê các dịch vụ xử lý DLCN. Theo đó, nếu cung cấp dịch vụ xử lý DLCN, doanh nghiệp cần lưu ý phải (i) đáp ứng đầy đủ điều kiện về hình thức hoạt động, nhân sự, cơ sở hạ tầng và yêu cầu về thủ tục hành chính… theo Điều 22, Điều 23 Nghị định 356 và (ii) thực hiện nộp hồ sơ xin cấp Chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý DLCN theo Điều 25 Nghị định 356.

b. Các trách nhiệm phát sinh khi doanh nghiệp hoạt động trong lĩnh vực đặc thù

Nếu hoạt động trong các lĩnh vực đặc thù như: quản lý lao động, tài chính – ngân hàng, bảo hiểm, dịch vụ quảng cáo, dịch vụ truyền thông trực tuyến, xử lý dữ liệu lớn, hệ thống trí tuệ nhân tạo, vũ trụ ảo, công nghệ chuỗi khối và điện toán đám mây… doanh nghiệp nên rà soát thêm quy định tại Điều 25 – Điều 31 Luật BVDLCN và Điều 8 – Điều 12 Nghị định 356 để bảo đảm tuân thủ đầy đủ các nghĩa vụ pháp lý chuyên biệt liên quan đến lĩnh vực hoạt động của mình. 

c. Thực hiện thủ tục đánh giá tác động xử lý DLCN với vai trò là Bên xử lý

Nếu cung cấp dịch vụ như tính lương, tuyển dụng… doanh nghiệp có thể phát sinh thêm vai trò là Bên xử lý theo Điều 2.8 Luật BVDLCN. Theo Điều 21.3 Luật BVDLCN, doanh nghiệp có trách nhiệm lập, lưu trữ Hồ sơ đánh giá tác động xử lý DLCN và nộp 01 bản chính cho Cục ANM.

Như đã bình luận ở trên, hầu hết doanh nghiệp đều mang vai trò của Bên kiểm soát nên có trách nhiệm thực hiện thủ tục đánh giá tác động theo Mục 2.2.e của bài viết này. Theo đó, trong trường hợp vừa là Bên kiểm soát vừa là Bên xử lý, doanh nghiệp có thể có thể tích hợp việc kê khai các hoạt động xử lý tương ứng với từng vai trò trong cùng một bộ Hồ sơ đánh giá tác động xử lý DLCN.

Trên đây là cập nhật ngắn gọn nhằm liệt kê các trách nhiệm cơ bản của doanh nghiệp theo pháp luật bảo vệ DLCN. LNV hy vọng những thông tin trong bài viết sẽ hữu ích đối với Quý Khách hàng. Nếu có bất kỳ câu hỏi hay băn khoăn nào liên quan, vui lòng liên hệ với LNV để được tư vấn chi tiết.

Người thực hiện: Luật sư Phan Nhi, Cộng sự Ngọc Mai

Lưu ý: Bài viết này được thực hiện dựa trên quy định của pháp luật và kinh nghiệm thực tế. Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý Khách hàng vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.

LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage