• English

Tư vấn đầu tư

S

BẢO VỆ DỮ LIỆU CÁ NHÂN VÀ TRÁCH NHIỆM CỦA DOANH NGHIỆP

04/03/2026

Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (“LBVDLCN”), được Quốc hội thông qua ngày 26 tháng 6 năm 2025 và có hiệu lực từ ngày 01 tháng 01 năm 2026, đại diện cho một khung pháp lý tiên tiến nhằm bảo vệ dữ liệu cá nhân (“DLCN”) trong bối cảnh môi trường số hóa ngày càng trở nên quen thuộc với các hoạt động sản xuất kinh doanh của doanh nghiệp. Qua bài viết này, hãy cùng Nacilaw tìm hiểu cụ thể về trách nhiệm của doanh nghiệp trong việc bảo vệ DLCN.

1. NGHĨA VỤ CỦA DOANH NGHIỆP TRONG VIỆC BẢO VỆ DLCN

Trong quá trình sản xuất kinh doanh, các doanh nghiệp thường xuyên tiếp cận với DLCN từ các khách hàng, đối tác hoặc người lao động của mình. Khi đó, pháp luật yêu cầu doanh nghiệp phải bảo vệ DLCN của các chủ thể nói trên. Doanh nghiệp có thể tham gia bảo vệ DLCN với 03 vai trò khác nhau, bao gồm: Bên kiểm soát DLCN (quyết định mục đích và phương tiện xử lý DLCN), Bên xử lý DLCN (thực hiện xử lý DLCN thông qua hợp đồng hoặc theo yêu cầu của Bên kiểm soát DLCN hoặc Bên kiểm soát và xử lý DLCN), Bên kiểm soát và xử lý DLCN (thực hiện đồng thời cả hai vai trò nói trên). Nghĩa vụ của các doanh nghiệp trong việc bảo vệ DLCN bao gồm:

1.1. Thu thập sự đồng ý của chủ thể DLCN trước khi thu thập và xử lý DLCN:

Doanh nghiệp chỉ được thu thập và xử lý DLCN dựa trên sự đồng ý của chủ thể DLCN một cách tự nguyện và biết rõ các loại DLCN được xử lý, mục đích xử lý, Bên kiểm soát DLCN hoặc Bên kiểm soát và xử lý DLCN, các quyền, nghĩa vụ của chủ thể DLCN. Doanh nghiệp bị nghiêm cấm tự ý xử lý DLCN mà không có sự đồng ý, trừ một số trường hợp đặc biệt như để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền, lợi ích hợp pháp của chủ thể DLCN hoặc người khác trong trường hợp cấp bách; bảo vệ quyền hoặc lợi ích chính đáng của mình, của người khác một cách cần thiết trước hành vi xâm phạm lợi ích nói trên,... (Điều 19 của LBVDLCN).

1.2. Đảm bảo quyền của chủ thể DLCN:

Doanh nghiệp phải đảm bảo rằng các quyền lợi của chủ thể DLCN được thực thi đầy đủ, bao gồm quyền được biết, đồng ý hoặc rút lại đồng ý, truy cập, chỉnh sửa, xóa dữ liệu, cũng như khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại khi DLCN bị xâm phạm (Điều 4 của LBVDLCN)

1.3. Bảo vệ và lưu trữ DLCN:

Doanh nghiệp phải triển khai các biện pháp quản lý và kỹ thuật cần thiết để bảo vệ DLCN khỏi nguy cơ mất mát, lộ lọt hoặc bị truy cập trái phép và cập nhật các biện pháp nói trên khi cần thiết (Điểm c, Khoản 1, Điều 37 của LBVDLCN). Bên cạnh đó, doanh nghiệp phải lưu trữ DLCN trong khoảng thời gian phù hợp với mục đích xử lý hoặc theo quy định cụ thể khác của pháp luật (Khoản 3, Điều 3 của LBVDLCN).

1.4. Đánh giá tác động xử lý DLCN, cập nhật hồ sơ đánh giá tác động xử lý DLCN và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới:

Doanh nghiệp với vai trò là Bên kiểm soát dữ liệu cá nhân hoặc Bên xử lý dữ liệu cá nhân phải lập, lưu trữ hồ sơ đánh giá tác động xử lý DLCN và gửi một bản chính cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong vòng 60 ngày kể từ ngày đầu tiên xử lý dữ liệu. Hồ sơ này được thực hiện một lần cho toàn bộ thời gian hoạt động và phải được cập nhật định kỳ 06 tháng hoặc ngay lập tức trong các trường hợp thay đổi như tổ chức lại doanh nghiệp, thay đổi nhà cung cấp dịch vụ bảo vệ dữ liệu DLCN, hoặc phát sinh ngành nghề kinh doanh mới liên quan đến xử lý dữ liệu (Điều 21 và Điều 22 của LBVDLCN).

1.5. Tổ chức lực lượng bảo vệ DLCN:

Doanh nghiệp phải chỉ định (bằng văn bản chính thức) bộ phận hoặc nhân sự có đủ năng lực để bảo vệ DLCN, hoặc thuê tổ chức, cá nhân có đủ năng lực cung cấp dịch vụ này (Điều 33 của LBVDLCN). Việc chỉ định nhân sự bảo vệ DLCN hoặc bộ phận bảo vệ DLCN phải thể hiện việc phân công, chức năng nhiệm vụ, quyền hạn và các yêu cầu khác đối với công tác bảo vệ DLCN trong doanh nghiệp đó.

Nhân sự bảo vệ DLCN phải đáp ứng đủ các điều kiện năng lực như sau:

  • Có trình độ cao đẳng trở lên;
  • Có ít nhất 02 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ; và
  • Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.

1.6. Xóa, hủy, khử nhận dạng DLCN:

Doanh nghiệp phải xóa, hủy DLCN trong các trường hợp (Điều 14 của LBVDLCN):

  • Thực hiện theo yêu cầu của chủ thể DLCN. Trường hợp không thể xóa, hủy DLCN vì lý do chính đáng, doanh nghiệp phải thông báo để chủ thể DLCN được biết;
  • Doanh nghiệp đã hoàn thành mục đích xử lý DLCN;
  • Hết thời hạn lưu trữ DLCN theo quy định của pháp luật;
  • Theo thỏa thuận, theo quyết định của cơ quan nhà nước có thẩm quyền hoặc theo quy định của pháp luật.

Về việc khử nhận dạng DLCN (quá trình thay đổi hoặc xóa thông tin để tạo ra dữ liệu mới không thể xác định hoặc không thể giúp xác định được một con người cụ thể), doanh nghiệp phải bảo đảm DLCN được khử nhận dạng trước khi được giao dịch trên sàn dữ liệu.

1.7. Thông báo vi phạm:

Trong trường hợp phát hiện hành vi vi phạm DLCN có nguy cơ gây hại đến an ninh quốc gia, trật tự xã hội hoặc quyền lợi của chủ thể DLCN, doanh nghiệp phải thông báo cho cơ quan chuyên trách trong vòng 72 giờ kể từ khi phát hiện hành vi vi phạm, lập biên bản xác nhận và phối hợp xử lý với cơ quan chuyên trách (Điều 23 của LBVDLCN).

2. MỘT SỐ QUY ĐỊNH ĐẶC THÙ TRONG QUẢN LÝ VÀ SỬ DỤNG LAO ĐỘNG

2.1. Trong giai đoạn tuyển dụng:

Doanh nghiệp chỉ được yêu cầu người dự tuyển cung cấp DLCN phục vụ cho mục đích tuyển dụng phù hợp với quy định của pháp luật. Việc sử dụng, xử lý DLCN phải đảm bảo phù hợp mục đích tuyển dụng, mục đích khác theo thỏa thuận hợp pháp và phải được sự đồng ý của người dự tuyển. Trường hợp doanh nghiệp không tuyển dụng và các bên không có thỏa thuận khác, doanh nghiệp phải xóa, hủy DLCN mà người dự tuyển đã cung cấp (Khoản 1, Điều 25 của LBVDLCN).

2.2. Trong quản lý, sử dụng lao động:

Doanh nghiệp phải đảm bảo lưu trữ DLCN của người lao động trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận và xóa, hủy khi chấm dứt hợp đồng lao động. Trường hợp DLCN của người lao động được thu thập bằng biện pháp công nghệ, kỹ thuật, doanh nghiệp chỉ được áp dụng biện pháp công nghệ, kỹ thuật phù hợp với quy định của pháp luật và bảo đảm quyền, lợi ích của chủ thể DLCN, trên cơ sở người lao động biết rõ biện pháp đó (Khoản 2, 3, Điều 25 của LBVDLCN).

3. MỘT SỐ LƯU Ý ĐỐI VỚI DOANH NGHIỆP

  1. Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện đánh giá tác động, cập nhật hồ sơ đánh giá tác động xử lý DLCN và tổ chức lực lượng bảo vệ DLCN trong thời gian 05 năm kể từ ngày 01 tháng 01 năm 2026, trừ các doanh nghiệp kinh doanh dịch vụ xử lý DLCN, trực tiếp xử lý DLCN nhạy cảm hoặc xử lý DLCN kể từ thời điểm có quy mô đạt từ 100.000 chủ thể DLCN trở lên dựa trên kết quả tích lũy tổng lượng DLCN đã xử lý (Khoản 2, Điều 38 của LBVDLCN).
  2. Doanh nghiệp siêu nhỏ không phải thực hiện đánh giá tác động, cập nhật hồ sơ đánh giá tác động xử lý DLCN và tổ chức lực lượng bảo vệ DLCN, trừ hộ kinh doanh, doanh nghiệp siêu nhỏ kinh doanh dịch vụ xử lý DLCN, trực tiếp xử lý DLCN nhạy cảm hoặc xử lý DLCN kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể DLCN trở lên dựa trên kết quả tích lũy tổng lượng DLCN đã xử lý (Khoản 3, Điều 38 của LBVDLCN).
  3. Mặc dù có cơ chế linh hoạt nhằm hỗ trợ doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp trong giai đoạn chuyển tiếp của các quy định pháp luật, các tổ chức này vẫn phải tuân thủ nghiêm ngặt các nghĩa vụ bảo vệ DLCN khác như đã phân tích ở Mục II nêu trên. Việc pháp luật miễn trừ một phần trách nhiệm của các doanh nghiệp không đồng nghĩa với việc loại bỏ trách nhiệm pháp lý cơ bản trong việc bảo vệ DLCN của các chủ thể.

Kết luận: Việc tuân thủ các quy định của LBVDLCN không chỉ giúp các doanh nghiệp tránh khỏi các chế tài pháp lý mà còn đảm bảo uy tín của chính doanh nghiệp đó. Các doanh nghiệp nên tiến hành rà soát nội bộ, xây dựng chính sách bảo mật và tìm kiếm các ý kiến tư vấn chuyên sâu từ các chuyên gia pháp lý và kỹ thuật để đảm bảo tuân thủ các quy định pháp luật. Trường hợp các doanh nghiệp cần tư vấn hay giải đáp các vấn đề pháp lý có liên quan, vui lòng liên hệ Nacilaw để được hỗ trợ kịp thời.

Tin liên quan

Wmi

MẪU ĐƠN THUẬN TÌNH LY HÔN VÀ NUÔI CON MỚI NHẤT 2026

1. Khái quát về thuận tình ly hôn Thuận tình ly hôn là trường hợp vợ chồng cùng tự nguyện chấm dứt quan hệ hôn nhân và đã đạt được thỏa thuận về các vấn đề liên quan như: quyền nuôi con, nghĩa vụ cấp dưỡng, phân chia tài sản chung và các nghĩa vụ […]

28/04/2026
Mau di chuc dat dai

Mẫu viết di chúc thừa kế đất đai chuẩn theo pháp luật năm 2026

Mẫu viết di chúc thừa kế đất đai chuẩn giúp người lập di chúc phân định tài sản rõ ràng, tránh các tranh chấp pháp lý sau này. Để di chúc có hiệu lực, nội dung cần tuân thủ nghiêm ngặt quy định tại Bộ luật Dân sự 2015 và Luật Đất đai 2024 về […]

24/04/2026

Dịch vụ của Nacilaw

    Liên hệ

    Khách hàng vui lòng để lại thông tin của mình để đội ngũ tư vấn của
    công ty có thể liên hệ và tư vấn cho khách hàng một cách tốt nhất.

    Facebook messengerWhatsAppFacebook messenger
    Call Now Button