Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 có hiệu lực: doanh nghiệp cần làm gì ngay?
Bước ngoặt: từ Nghị định lên Luật
Trước đây, bảo vệ dữ liệu cá nhân được điều chỉnh chủ yếu bởi Nghị định 13/2023/NĐ-CP. Ngày 26/6/2025, Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 — nâng toàn bộ khung pháp lý lên tầm luật, với chế tài mạnh chưa từng có. Với doanh nghiệp đang thu thập số điện thoại, email khách hàng để bán hàng, chạy quảng cáo, đây không còn là chuyện "tuân thủ cho có".
Chế tài mới — đọc kỹ trước khi "để sau"
| Hành vi vi phạm | Mức phạt tối đa (tổ chức) |
|---|---|
| Mua, bán dữ liệu cá nhân | 10 lần khoản thu có được từ vi phạm (khoản 3 Điều 8) |
| Vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới | 5% doanh thu năm trước liền kề (khoản 4 Điều 8) |
| Các vi phạm khác về bảo vệ dữ liệu cá nhân | 3 tỷ đồng (khoản 5 Điều 8); cá nhân bằng một nửa |
Ngoài phạt hành chính, còn có thể bị truy cứu trách nhiệm hình sự và bồi thường thiệt hại (khoản 1 Điều 8).
4 việc cần làm ngay — theo đúng điều luật
1 — Rà soát cơ chế đồng ý (Điều 9): đồng ý phải theo từng mục đích, không được gộp kiểu "đồng ý tất cả"; không được ép buộc kèm điều kiện; im lặng hoặc không phản hồi không được coi là đồng ý. Kiểm tra ngay các form thu thập, ô tick sẵn, pop-up trên website/app của bạn.
2 — Lập hồ sơ DPIA (Điều 21): gửi 01 bản chính cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong 60 ngày kể từ ngày đầu tiên xử lý dữ liệu. Hồ sơ lập một lần cho suốt thời gian hoạt động, chỉ cập nhật khi có thay đổi (Điều 22).
3 — Kiểm tra "chuyển dữ liệu xuyên biên giới" (Điều 20): lưu ý — dùng nền tảng đặt ngoài Việt Nam (cloud, CRM, email marketing quốc tế) để xử lý dữ liệu thu thập tại Việt Nam cũng thuộc trường hợp này, phải lập hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới trong 60 ngày.
4 — Chuẩn bị quy trình sự cố (Điều 23): khi phát hiện vi phạm có thể gây tổn hại, phải thông báo cơ quan chuyên trách chậm nhất 72 giờ; lập biên bản xác nhận và phối hợp xử lý. Hãy soạn sẵn kịch bản trước khi cần đến.
Tin tốt cho doanh nghiệp nhỏ: cơ chế miễn trừ (Điều 38)
- Hộ kinh doanh, doanh nghiệp siêu nhỏ: không phải thực hiện quy định về DPIA (Điều 21, 22) và chuyên gia bảo vệ dữ liệu (khoản 2 Điều 33).
- Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp: được quyền lựa chọn thực hiện hoặc không các quy định trên trong 5 năm kể từ 01/01/2026.
- Ngoại lệ quan trọng: miễn trừ không áp dụng nếu bạn kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu nhạy cảm, hoặc xử lý dữ liệu của số lượng lớn chủ thể.
- Đã tuân thủ theo Nghị định 13? Điều 39 bảo lưu: hồ sơ DPIA đã nộp và sự đồng ý đã thu thập hợp lệ trước 01/01/2026 tiếp tục có giá trị, không phải làm lại.
Hỏi nhanh — đáp gọn
Doanh nghiệp nhỏ, hộ kinh doanh có phải lập DPIA không?
Hộ kinh doanh + siêu nhỏ: không phải. Doanh nghiệp nhỏ + khởi nghiệp: được chọn trong 5 năm. Trừ khi xử lý dữ liệu nhạy cảm, số lượng lớn, hoặc kinh doanh dịch vụ xử lý dữ liệu (Điều 38).
Đã nộp DPIA theo Nghị định 13, có phải làm lại?
Không — hồ sơ đã tiếp nhận trước 01/01/2026 tiếp tục dùng; cập nhật sau đó theo Luật mới (Điều 39).
Dùng cloud/CRM nước ngoài có phải "chuyển dữ liệu xuyên biên giới"?
Có (điểm c khoản 1 Điều 20) — phải lập hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới; vi phạm có thể bị phạt tới 5% doanh thu năm liền kề.
Mức phạt tối đa là bao nhiêu?
10 lần khoản thu (mua bán dữ liệu) · 5% doanh thu năm liền kề (vi phạm chuyển xuyên biên giới) · 3 tỷ đồng (vi phạm khác, với tổ chức) — Điều 8.
· Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 — xem toàn văn có chú giải trên bản đồ pháp lý của website (Quốc hội khóa XV thông qua ngày 26/6/2025, hiệu lực 01/01/2026)
· Nghị định 13/2023/NĐ-CP (khung pháp lý giai đoạn trước, xem quy định chuyển tiếp tại Điều 39 của Luật)
Bài liên quan của tác giả:
· Người Lao Động: "Đừng bấm nút đồng ý chia sẻ dữ liệu cá nhân cho mạng xã hội nếu chưa đọc điều này"
Từ phân loại dữ liệu, hồ sơ DPIA đến quy trình 72 giờ — mỗi ngành hàng có đặc thù riêng.
Đăng ký tư vấn chiến lược →
hoặc gọi/Zalo: 0915 159 499