Từ Nghị định 13/2023 đến Luật Bảo vệ dữ liệu cá nhân: Doanh nghiệp cần chuẩn bị gì trong năm 2026?

Trong ba năm qua, khung pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam đã thay đổi nhanh hơn bất kỳ lĩnh vực pháp lý công nghệ nào khác. Nghị định 13/2023/NĐ-CP (hiệu lực từ 01/07/2023) lần đầu tiên đặt ra nghĩa vụ toàn diện cho mọi tổ chức xử lý dữ liệu cá nhân. Và từ 01/01/2026, Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực — nâng các nghĩa vụ này lên tầm luật, với chế tài đủ nặng để mọi ban lãnh đạo phải đưa chủ đề này vào chương trình nghị sự.

Bài viết này tổng hợp những thay đổi quan trọng nhất, các nghĩa vụ trọng tâm và một lộ trình tuân thủ 5 bước thực tế — dựa trên kinh nghiệm của chúng tôi khi đồng hành cùng các doanh nghiệp Việt Nam trong những dự án rà soát dữ liệu cá nhân.

Khung pháp lý mới: những gì thay đổi từ 01/01/2026

Luật Bảo vệ dữ liệu cá nhân không thay thế hoàn toàn cách tiếp cận của Nghị định 13 — phần lớn các khái niệm nền tảng được kế thừa: định nghĩa dữ liệu cá nhân cơ bản và nhạy cảm, nguyên tắc xử lý dựa trên sự đồng ý, quyền của chủ thể dữ liệu, nghĩa vụ lập hồ sơ đánh giá tác động. Điểm khác biệt lớn nhất nằm ở ba chỗ:

• Hiệu lực pháp lý cao hơn. Từ nghị định lên luật, nghĩa vụ bảo vệ dữ liệu cá nhân trở thành nền tảng pháp lý ổn định, lâu dài — không còn là quy định 'tạm thời chờ luật' như giai đoạn 2023–2025.
• Chế tài nặng hơn đáng kể. Luật mở đường cho mức phạt tính theo tỷ lệ phần trăm doanh thu đối với một số nhóm vi phạm nghiêm trọng (ví dụ vi phạm về chuyển dữ liệu xuyên biên giới, mua bán dữ liệu cá nhân), thay vì chỉ phạt hành chính cố định.
• Cấm tuyệt đối mua bán dữ liệu cá nhân. Đây là lằn ranh đỏ rõ ràng nhất của luật mới — mọi hình thức mua bán dữ liệu cá nhân đều bị nghiêm cấm, kể cả khi 'đóng gói' dưới dạng trao đổi, tặng cho kèm điều kiện thương mại.

Với doanh nghiệp đã tuân thủ tốt Nghị định 13, phần lớn nền móng vẫn dùng được. Với doanh nghiệp chưa bắt đầu, khoảng cách cần lấp giờ đây lớn hơn — và chi phí của việc chậm trễ cũng vậy.

Sáu nghĩa vụ trọng tâm doanh nghiệp phải nắm

1. Sự đồng ý của chủ thể dữ liệu

Sự đồng ý phải tự nguyện, rõ ràng, cụ thể theo mục đích và có thể chứng minh được. Checkbox đánh dấu sẵn, điều khoản gộp chung 'đồng ý với mọi mục đích xử lý', hay suy đoán đồng ý từ sự im lặng — đều không đạt yêu cầu. Doanh nghiệp cần rà soát lại toàn bộ các điểm thu thập dữ liệu: form đăng ký, hợp đồng, ứng dụng di động, tổng đài, camera.

2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA)

Tổ chức xử lý dữ liệu cá nhân phải lập và lưu giữ hồ sơ đánh giá tác động, sẵn sàng cung cấp cho cơ quan quản lý (Bộ Công an — A05). Hồ sơ này mô tả loại dữ liệu được xử lý, mục đích, biện pháp bảo vệ, các bên liên quan và đánh giá rủi ro. Theo kinh nghiệm của chúng tôi, đây là nghĩa vụ mà doanh nghiệp hay làm hình thức nhất — một bộ hồ sơ sao chép mẫu trên mạng sẽ không phản ánh đúng thực tế xử lý dữ liệu, và sẽ lộ ra ngay khi bị kiểm tra hoặc khi sự cố xảy ra.

3. Chuyển dữ liệu cá nhân ra nước ngoài

Sử dụng dịch vụ cloud có máy chủ ở nước ngoài, CRM/email marketing của nhà cung cấp quốc tế, hay chia sẻ dữ liệu với công ty mẹ ở nước ngoài — tất cả đều là chuyển dữ liệu xuyên biên giới và cần hồ sơ đánh giá tác động riêng. Rất nhiều doanh nghiệp Việt Nam đang chuyển dữ liệu xuyên biên giới hằng ngày mà không nhận ra.

4. Quyền của chủ thể dữ liệu

Khách hàng, nhân viên, đối tác có quyền được biết, truy cập, chỉnh sửa, xóa dữ liệu, rút lại sự đồng ý, phản đối xử lý... Câu hỏi thực tế cho doanh nghiệp: nếu ngày mai một khách hàng yêu cầu xóa toàn bộ dữ liệu của họ, đội ngũ của bạn có biết dữ liệu đó nằm ở những hệ thống nào và quy trình xử lý yêu cầu là gì không? Nếu câu trả lời là không, bạn chưa sẵn sàng.

5. Bộ phận và nhân sự chuyên trách

Tổ chức xử lý dữ liệu cá nhân nhạy cảm phải chỉ định bộ phận và nhân sự chuyên trách bảo vệ dữ liệu cá nhân. Vai trò này không nhất thiết phải là một vị trí toàn thời gian ở doanh nghiệp nhỏ, nhưng phải có thực quyền: được tham gia các quyết định liên quan đến dữ liệu, có kênh báo cáo trực tiếp lên lãnh đạo, và chịu trách nhiệm làm đầu mối với cơ quan quản lý.

6. Thông báo khi xảy ra vi phạm

Khi phát hiện vi phạm quy định bảo vệ dữ liệu cá nhân (bao gồm sự cố rò rỉ dữ liệu), doanh nghiệp phải thông báo cho cơ quan chuyên trách trong vòng 72 giờ. Điều này có nghĩa là quy trình ứng phó sự cố của doanh nghiệp phải được thiết kế sẵn để xác định nhanh phạm vi ảnh hưởng đến dữ liệu cá nhân — chúng tôi phân tích chi tiết trong bài viết về 72 giờ đầu sau sự cố bảo mật.

Chế tài: rủi ro tài chính và uy tín

Dưới Nghị định 13, chế tài chủ yếu là phạt hành chính với mức trần cố định — đủ thấp để một số doanh nghiệp xem như 'chi phí kinh doanh'. Luật mới thay đổi phép tính này: với các vi phạm nghiêm trọng, mức phạt có thể được tính theo tỷ lệ phần trăm doanh thu của năm liền trước hoặc theo bội số của khoản thu lợi bất chính. Với một doanh nghiệp doanh thu vài trăm tỷ đồng, đây không còn là con số có thể bỏ qua.

Nhưng rủi ro tài chính trực tiếp chưa phải là phần lớn nhất. Một sự cố rò rỉ dữ liệu kèm theo kết luận 'doanh nghiệp không tuân thủ nghĩa vụ bảo vệ dữ liệu' sẽ ảnh hưởng đến niềm tin của khách hàng, đối tác và cả khả năng thắng thầu các hợp đồng lớn — nơi đánh giá an ninh thông tin của bên thứ ba ngày càng trở thành điều kiện bắt buộc.

Lộ trình tuân thủ 5 bước

Tuân thủ bảo vệ dữ liệu cá nhân là một chương trình, không phải một dự án mua sắm. Dưới đây là lộ trình 5 bước chúng tôi khuyến nghị, theo đúng thứ tự:

1. Data mapping — lập bản đồ dữ liệu. Liệt kê mọi loại dữ liệu cá nhân doanh nghiệp đang thu thập: của khách hàng, nhân viên, đối tác. Với mỗi loại, xác định: thu thập ở đâu, lưu ở hệ thống nào, ai có quyền truy cập, chia sẻ cho bên thứ ba nào, có chuyển ra nước ngoài không, lưu trong bao lâu. Đây là bước nền móng — mọi bước sau đều dựa trên nó.
2. Gap analysis — đánh giá khoảng cách. Đối chiếu hiện trạng với từng nghĩa vụ của luật: cơ chế thu thập sự đồng ý đã đạt chưa, hồ sơ DPIA đã có chưa, quy trình xử lý yêu cầu của chủ thể dữ liệu đã tồn tại chưa. Kết quả là một danh sách việc cần làm có thứ tự ưu tiên theo rủi ro.
3. Chính sách và quy trình. Xây dựng hoặc cập nhật: chính sách bảo vệ dữ liệu cá nhân, thông báo xử lý dữ liệu (privacy notice), quy trình xử lý yêu cầu của chủ thể dữ liệu, quy trình ứng phó sự cố rò rỉ, điều khoản bảo vệ dữ liệu trong hợp đồng với bên xử lý thuê ngoài.
4. Biện pháp kỹ thuật. Mã hóa dữ liệu nhạy cảm khi lưu trữ và truyền tải, phân quyền truy cập theo nguyên tắc tối thiểu, ghi log truy cập vào dữ liệu cá nhân, xóa hoặc ẩn danh hóa dữ liệu hết thời hạn lưu trữ. Đánh giá bảo mật định kỳ (penetration testing) giúp xác minh các biện pháp này thực sự hoạt động chứ không chỉ tồn tại trên giấy.
5. Đào tạo và duy trì. Nhân viên tiếp xúc dữ liệu cá nhân hằng ngày — từ kinh doanh, chăm sóc khách hàng đến nhân sự — cần hiểu quy tắc cơ bản. Hồ sơ DPIA cần cập nhật khi có hệ thống mới hoặc mục đích xử lý mới. Tuân thủ là trạng thái phải duy trì, không phải cột mốc đạt một lần.

Năm sai lầm thường gặp

• Giao toàn bộ cho phòng IT. Bảo vệ dữ liệu cá nhân là vấn đề quản trị — liên quan đến pháp chế, nhân sự, kinh doanh, marketing. IT chỉ nắm phần biện pháp kỹ thuật.
• Sao chép chính sách mẫu. Một privacy policy sao chép từ doanh nghiệp khác gần như chắc chắn mô tả sai thực tế xử lý dữ liệu của bạn — và một tài liệu sai còn rủi ro hơn không có tài liệu.
• Quên dữ liệu nhân viên. Dữ liệu cá nhân không chỉ là dữ liệu khách hàng. Hồ sơ nhân sự, dữ liệu chấm công, camera văn phòng đều thuộc phạm vi điều chỉnh.
• Bỏ qua các bên xử lý thuê ngoài. Đơn vị vận hành tổng đài, agency chạy quảng cáo, nhà cung cấp phần mềm — nếu họ xử lý dữ liệu cá nhân thay bạn, bạn cần ràng buộc nghĩa vụ bảo vệ dữ liệu trong hợp đồng.
• Chờ 'có hướng dẫn chi tiết rồi làm'. Các nghĩa vụ cốt lõi đã đủ rõ từ Nghị định 13. Doanh nghiệp bắt đầu sớm có thời gian làm đúng; doanh nghiệp chờ đợi sẽ phải làm gấp — và làm gấp trong lĩnh vực này hầu như đồng nghĩa với làm hình thức.

Kết luận: làm sớm rẻ hơn làm muộn

Kinh nghiệm từ các thị trường đi trước (GDPR ở châu Âu, PDPA ở Singapore) cho thấy một quy luật nhất quán: chi phí tuân thủ chủ động luôn thấp hơn nhiều lần chi phí khắc phục sau sự cố hoặc sau thanh tra. Quan trọng hơn, các doanh nghiệp xem bảo vệ dữ liệu là lợi thế cạnh tranh — thay vì gánh nặng chi phí — đang thắng các hợp đồng mà đối thủ của họ không qua nổi vòng đánh giá an ninh.