← Trang chủ Góc nhìn Nguyễn Tấn Phong
GÓC NHÌN CHUYÊN GIA · BẢO VỆ DỮ LIỆU CÁ NHÂN

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 có hiệu lực: doanh nghiệp cần làm gì ngay?

Nguyễn Tấn Phong — Phó Chủ tịch Hiệp hội Thương mại điện tử Việt Nam (VECOM) · Luật gia, Trọng tài viên · Cập nhật 11/07/2026
Trả lời nhanh: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (hiệu lực từ 01/01/2026, thay thế khung Nghị định 13/2023/NĐ-CP) đặt ra 4 việc doanh nghiệp phải làm ngay: (1) rà soát cơ chế xin đồng ý theo từng mục đích — im lặng không được coi là đồng ý (Điều 9); (2) lập hồ sơ đánh giá tác động xử lý dữ liệu (DPIA) gửi cơ quan chuyên trách trong 60 ngày kể từ ngày đầu xử lý (Điều 21); (3) nếu dùng nền tảng/cloud nước ngoài — lập thêm hồ sơ chuyển dữ liệu xuyên biên giới (Điều 20); (4) chuẩn bị quy trình thông báo vi phạm trong 72 giờ (Điều 23). Mức phạt mới: tới 3 tỷ đồng, tới 5% doanh thu năm liền kề (vi phạm chuyển dữ liệu xuyên biên giới) hoặc 10 lần khoản thu (mua bán dữ liệu). Doanh nghiệp nhỏ, khởi nghiệp có cơ chế miễn trừ riêng trong 5 năm.

Bước ngoặt: từ Nghị định lên Luật

Trước đây, bảo vệ dữ liệu cá nhân được điều chỉnh chủ yếu bởi Nghị định 13/2023/NĐ-CP. Ngày 26/6/2025, Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 — nâng toàn bộ khung pháp lý lên tầm luật, với chế tài mạnh chưa từng có. Với doanh nghiệp đang thu thập số điện thoại, email khách hàng để bán hàng, chạy quảng cáo, đây không còn là chuyện "tuân thủ cho có".

01/01/2026Luật có hiệu lực (Điều 38)
60 ngàyhạn nộp hồ sơ DPIA kể từ ngày đầu xử lý dữ liệu (Điều 21)
72 giờhạn thông báo vi phạm tới cơ quan chuyên trách (Điều 23)

Chế tài mới — đọc kỹ trước khi "để sau"

Hành vi vi phạmMức phạt tối đa (tổ chức)
Mua, bán dữ liệu cá nhân10 lần khoản thu có được từ vi phạm (khoản 3 Điều 8)
Vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới5% doanh thu năm trước liền kề (khoản 4 Điều 8)
Các vi phạm khác về bảo vệ dữ liệu cá nhân3 tỷ đồng (khoản 5 Điều 8); cá nhân bằng một nửa

Ngoài phạt hành chính, còn có thể bị truy cứu trách nhiệm hình sự và bồi thường thiệt hại (khoản 1 Điều 8).

"Điểm đáng chú ý nhất của Luật 91/2025 là cách tính phạt theo phần trăm doanh thu và theo khoản thu bất chính — tư duy chế tài tiệm cận GDPR của châu Âu. Doanh nghiệp Việt Nam nên coi chi phí tuân thủ là khoản đầu tư cho niềm tin khách hàng, không phải gánh nặng." — Nguyễn Tấn Phong, Phó Chủ tịch VECOM

4 việc cần làm ngay — theo đúng điều luật

1 — Rà soát cơ chế đồng ý (Điều 9): đồng ý phải theo từng mục đích, không được gộp kiểu "đồng ý tất cả"; không được ép buộc kèm điều kiện; im lặng hoặc không phản hồi không được coi là đồng ý. Kiểm tra ngay các form thu thập, ô tick sẵn, pop-up trên website/app của bạn.

2 — Lập hồ sơ DPIA (Điều 21): gửi 01 bản chính cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong 60 ngày kể từ ngày đầu tiên xử lý dữ liệu. Hồ sơ lập một lần cho suốt thời gian hoạt động, chỉ cập nhật khi có thay đổi (Điều 22).

3 — Kiểm tra "chuyển dữ liệu xuyên biên giới" (Điều 20): lưu ý — dùng nền tảng đặt ngoài Việt Nam (cloud, CRM, email marketing quốc tế) để xử lý dữ liệu thu thập tại Việt Nam cũng thuộc trường hợp này, phải lập hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới trong 60 ngày.

4 — Chuẩn bị quy trình sự cố (Điều 23): khi phát hiện vi phạm có thể gây tổn hại, phải thông báo cơ quan chuyên trách chậm nhất 72 giờ; lập biên bản xác nhận và phối hợp xử lý. Hãy soạn sẵn kịch bản trước khi cần đến.

Tin tốt cho doanh nghiệp nhỏ: cơ chế miễn trừ (Điều 38)

Hỏi nhanh — đáp gọn

Doanh nghiệp nhỏ, hộ kinh doanh có phải lập DPIA không?

Hộ kinh doanh + siêu nhỏ: không phải. Doanh nghiệp nhỏ + khởi nghiệp: được chọn trong 5 năm. Trừ khi xử lý dữ liệu nhạy cảm, số lượng lớn, hoặc kinh doanh dịch vụ xử lý dữ liệu (Điều 38).

Đã nộp DPIA theo Nghị định 13, có phải làm lại?

Không — hồ sơ đã tiếp nhận trước 01/01/2026 tiếp tục dùng; cập nhật sau đó theo Luật mới (Điều 39).

Dùng cloud/CRM nước ngoài có phải "chuyển dữ liệu xuyên biên giới"?

Có (điểm c khoản 1 Điều 20) — phải lập hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới; vi phạm có thể bị phạt tới 5% doanh thu năm liền kề.

Mức phạt tối đa là bao nhiêu?

10 lần khoản thu (mua bán dữ liệu) · 5% doanh thu năm liền kề (vi phạm chuyển xuyên biên giới) · 3 tỷ đồng (vi phạm khác, với tổ chức) — Điều 8.

Căn cứ pháp lý:
· Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 — xem toàn văn có chú giải trên bản đồ pháp lý của website (Quốc hội khóa XV thông qua ngày 26/6/2025, hiệu lực 01/01/2026)
· Nghị định 13/2023/NĐ-CP (khung pháp lý giai đoạn trước, xem quy định chuyển tiếp tại Điều 39 của Luật)
Bài liên quan của tác giả:
· Người Lao Động: "Đừng bấm nút đồng ý chia sẻ dữ liệu cá nhân cho mạng xã hội nếu chưa đọc điều này"
Doanh nghiệp của bạn cần rà soát tuân thủ Luật Bảo vệ dữ liệu cá nhân?
Từ phân loại dữ liệu, hồ sơ DPIA đến quy trình 72 giờ — mỗi ngành hàng có đặc thù riêng.
Đăng ký tư vấn chiến lược →
hoặc gọi/Zalo: 0915 159 499