Doanh nghiệp cần làm gì để tuân thủ nguyên tắc tính hợp pháp khi xử lý dữ liệu cá nhân 2025

Ngày đăng - 24/05/2024

Luật sư Nguyễn Lâm Sơn Tư vấn Nghị định 13/2023/NĐ-CP, Tư vấn Luật bảo vệ dữ liệu cá nhân

Để tuân thủ nguyên tắc tính hợp pháp, doanh nghiệp phải đảm bảo mọi hoạt động xử lý dữ liệu đều dựa trên một cơ sở pháp lý vững chắc và hợp lệ. Tại DPVN, chúng tôi sẽ cung cấp một lộ trình chi tiết giúp doanh nghiệp xác định đúng cơ sở pháp lý, từ đó xử lý thông tin cá nhân một cách an toàn, minh bạch và đúng luật.

Định nghĩa và bản chất của nguyên tắc tính hợp pháp trong bảo vệ dữ liệu cá nhân là gì?

Nguyên tắc tính hợp pháp, được quy định tại Khoản 1, Điều 3 Nghị định 13/2023/NĐ-CP, là nguyên tắc nền tảng và bao trùm nhất. Nó yêu cầu rằng mọi hoạt động xử lý dữ liệu cá nhân phải được thực hiện theo đúng quy định của pháp luật, không được tùy tiện. Về bản chất, đây là yêu cầu phải có một “lý do chính đáng” được pháp luật công nhận trước khi chạm vào dữ liệu của người khác.

Nguyên tắc này là “cánh cổng” đầu tiên mà mọi hoạt động xử lý dữ liệu phải đi qua. Nếu không hợp pháp, tất cả các nguyên tắc khác như minh bạch hay bảo mật đều trở nên vô nghĩa. Điều này có nghĩa là, trước khi thu thập, lưu trữ hay sử dụng bất kỳ thông tin cá nhân nào, doanh nghiệp phải trả lời được câu hỏi: “Chúng ta có quyền làm điều này theo quy định nào của pháp luật?”.

Về chuyên môn sâu, tính hợp pháp không chỉ dừng lại ở việc tuân thủ Nghị định 13. Nó còn đòi hỏi sự tuân thủ các luật chuyên ngành khác có liên quan. Ví dụ, việc một ngân hàng xử lý dữ liệu khách hàng phải vừa tuân thủ Nghị định 13, vừa tuân thủ Luật Các tổ chức tín dụng và Luật Phòng, chống rửa tiền. Nguyên tắc này sẽ tiếp tục là trụ cột trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, thể hiện tầm quan trọng không thể thay thế của nó.

Doanh nghiệp có thể dựa vào những cơ sở pháp lý nào để xử lý dữ liệu cá nhân một cách hợp pháp?

Để đảm bảo tính hợp pháp, doanh nghiệp phải xác định và dựa vào một trong các cơ sở pháp lý được pháp luật cho phép. Cơ sở pháp lý phổ biến và quan trọng nhất là “sự đồng ý của chủ thể dữ liệu”. Tuy nhiên, trong một số trường hợp cụ thể được quy định tại Điều 17 Nghị định 13, doanh nghiệp có thể xử lý dữ liệu dựa trên các cơ sở pháp lý khác như “thực hiện hợp đồng” hoặc “nghĩa vụ theo luật”.

Việc xác định đúng cơ sở pháp lý cho từng hoạt động xử lý là trách nhiệm cốt lõi của Bên Kiểm soát Dữ liệu. Dưới đây là các cơ sở pháp lý chính mà doanh nghiệp có thể áp dụng:

Cơ sở pháp lý 1: Sự đồng ý của Chủ thể dữ liệu

Đây là cơ sở pháp lý mặc định và an toàn nhất cho hầu hết các hoạt động kinh doanh, đặc biệt là các hoạt động marketing, phân tích dữ liệu. Tuy nhiên, một sự đồng ý hợp lệ phải đáp ứng các tiêu chí rất nghiêm ngặt.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Trong suốt quá trình tư vấn, chúng tôi nhận thấy sai lầm lớn nhất của các doanh nghiệp là xem nhẹ việc thu thập sự đồng ý. Một “sự đồng ý hợp lệ” theo Nghị định 13 phải là một hành động tự nguyện, rõ ràng và cho từng mục đích cụ thể. Việc gộp chung tất cả vào một nút “Tôi đồng ý với điều khoản dịch vụ” là một thực hành có rủi ro pháp lý rất cao. Cách làm đúng là phải tách bạch các lựa chọn, ví dụ: một checkbox cho việc xử lý đơn hàng, một checkbox khác cho việc nhận tin quảng cáo.”

Cơ sở pháp lý 2: Thực hiện Hợp đồng

Doanh nghiệp được phép xử lý dữ liệu cá nhân mà không cần sự đồng ý riêng nếu việc xử lý đó là cần thiết để thực hiện một hợp đồng mà chủ thể dữ liệu là một bên.

Ví dụ Hợp lệ Ví dụ Không Hợp lệ
Một công ty thương mại điện tử xử lý địa chỉ và số điện thoại của khách hàng để giao sản phẩm họ đã đặt mua. Công ty đó sau đó chia sẻ lịch sử mua hàng của khách cho một bên thứ ba để phân tích xu hướng thị trường.
Một công ty xử lý thông tin tài khoản ngân hàng của nhân viên để trả lương theo hợp đồng lao động. Công ty đó sử dụng hình ảnh của nhân viên (thu thập khi làm thẻ) để đăng lên các ấn phẩm quảng cáo của công ty.

Cơ sở pháp lý 3: Thực hiện Nghĩa vụ theo Luật định

Doanh nghiệp có thể và có nghĩa vụ phải xử lý dữ liệu cá nhân khi một văn bản luật chuyên ngành yêu cầu.

  • Ví dụ: Một doanh nghiệp xử lý dữ liệu của nhân viên để kê khai và nộp thuế Thu nhập cá nhân theo yêu cầu của Luật Quản lý thuế. Một ngân hàng thực hiện quy trình định danh khách hàng (KYC) theo yêu cầu của Luật Phòng, chống rửa tiền.

Các cơ sở pháp lý khác

Ngoài ra, Điều 17 Nghị định 13 còn quy định các trường hợp ngoại lệ khác như trong tình trạng khẩn cấp để bảo vệ tính mạng, sức khỏe hoặc để phục vụ hoạt động của cơ quan nhà nước vì lý do an ninh, quốc phòng.

Doanh nghiệp cần thực hiện những bước nào để đảm bảo tuân thủ nguyên tắc tính hợp pháp?

Để đảm bảo tuân thủ, doanh nghiệp cần triển khai một quy trình 4 bước: (1) Lập bản đồ các hoạt động xử lý dữ liệu; (2) Xác định cơ sở pháp lý phù hợp cho từng hoạt động; (3) Triển khai các cơ chế cần thiết (như thu thập sự đồng ý); và (4) Ghi nhận và lập tài liệu để chứng minh.

Việc tuân thủ nguyên tắc tính hợp pháp không phải là một công việc làm một lần mà là một quy trình liên tục.

  1. Bước 1: Lập bản đồ và Rà soát (Data Mapping): Lập một danh sách tất cả các hoạt động xử lý dữ liệu cá nhân trong công ty. Với mỗi hoạt động, hãy ghi rõ: loại dữ liệu, mục đích, nguồn thu thập.
  2. Bước 2: Xác định và Ghi nhận Cơ sở pháp lý: Đối với mỗi hoạt động đã liệt kê, hãy xác định cơ sở pháp lý tương ứng. Ví dụ: hoạt động A – sự đồng ý; hoạt động B – thực hiện hợp đồng. Việc này nên được ghi lại trong một tài liệu nội bộ (thường gọi là Sổ đăng ký hoạt động xử lý – Record of Processing Activities).
  3. Bước 3: Triển khai các Cơ chế Tuân thủ:
    • Nếu dựa vào sự đồng ý, hãy rà soát và thiết kế lại các biểu mẫu, checkbox, quy trình để đảm bảo sự đồng ý là hợp lệ.
    • Nếu dựa vào hợp đồng, hãy đảm bảo các điều khoản trong hợp đồng rõ ràng về việc xử lý dữ liệu cần thiết.
    • Nếu dựa vào nghĩa vụ pháp lý, hãy trích dẫn rõ điều luật chuyên ngành tương ứng.
  4. Bước 4: Lưu trữ Bằng chứng: Doanh nghiệp phải có khả năng chứng minh rằng mình đã có cơ sở pháp lý hợp lệ. Điều này bao gồm việc lưu trữ an toàn các bản ghi về sự đồng ý, các hợp đồng đã ký…

DPVN: Tư Vấn Rà Soát và Xác Lập Tính Hợp Pháp

Việc xác định sai cơ sở pháp lý là một trong những vi phạm nền tảng và nghiêm trọng nhất, có thể khiến toàn bộ hoạt động xử lý dữ liệu của bạn trở nên bất hợp pháp.

Đội ngũ chuyên gia pháp lý của DPVN, với kinh nghiệm thực tiễn từ Luật sư Nguyễn Lâm Sơn, sẽ giúp doanh nghiệp của bạn rà soát toàn diện các hoạt động, xác định chính xác cơ sở pháp lý và xây dựng các quy trình tuân thủ vững chắc. Hãy liên hệ với chúng tôi:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Câu hỏi thường gặp về Nguyên tắc Tính hợp pháp

1. Nguyên tắc tính hợp pháp có khác gì so với các nguyên tắc khác như minh bạch hay giới hạn mục đích?

Nguyên tắc tính hợp pháp là điều kiện cần đầu tiên. Nếu một hoạt động xử lý không hợp pháp ngay từ đầu (không có cơ sở pháp lý), thì dù nó có minh bạch hay đúng mục đích đến đâu cũng vẫn là vi phạm. Các nguyên tắc khác là điều kiện đủ để đảm bảo việc xử lý, sau khi đã hợp pháp, được thực hiện một cách công bằng và có trách nhiệm.

2. Lịch sử hình thành của nguyên tắc này trong pháp luật Việt Nam như thế nào?

Trước Nghị định 13, nguyên tắc này đã tồn tại manh nha trong các quy định về quyền riêng tư của Bộ luật Dân sự và các luật chuyên ngành. Tuy nhiên, Nghị định 13 và sau này là Luật 91/2025/QH15 là những văn bản đầu tiên hệ thống hóa và đặt nó làm nguyên tắc số một trong 8 nguyên tắc bảo vệ dữ liệu cá nhân.

3. “Lợi ích chính đáng” có phải là một cơ sở pháp lý hợp lệ tại Việt Nam không?

Không. Khác với GDPR của Châu Âu, pháp luật Việt Nam hiện tại không công nhận “lợi ích chính đáng của Bên Kiểm soát là một cơ sở pháp lý độc lập để xử lý dữ liệu mà không cần sự đồng ý. Doanh nghiệp chỉ được dựa vào các cơ sở pháp lý đã được liệt kê rõ ràng.

4. Nếu chúng tôi đã có sự đồng ý của khách hàng, điều đó có luôn đảm bảo tính hợp pháp không?

Không hoàn toàn. Sự đồng ý đó phải là một sự đồng ý hợp lệ (tự nguyện, rõ ràng, cụ thể). Hơn nữa, nếu mục đích xử lý dữ liệu của bạn vốn dĩ là bất hợp pháp (ví dụ: thu thập dữ liệu để bán lại trái phép), thì dù có sự đồng ý, hoạt động đó vẫn vi phạm nguyên tắc tính hợp pháp.

5. Ai có trách nhiệm chứng minh tính hợp pháp của việc xử lý dữ liệu?

Trách nhiệm chứng minh thuộc về Bên Kiểm soát dữ liệu. Khi có tranh chấp hoặc thanh tra, doanh nghiệp phải có khả năng đưa ra các bằng chứng (hợp đồng, bản ghi sự đồng ý, trích dẫn luật…) để chứng minh rằng hoạt động xử lý của mình là hợp pháp.

Nguồn tham khảo:

  1. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  2. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
  3. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  4. Bộ luật Dân sự 2015: https://thuvienphapluat.vn/van-ban/Quyen-dan-su/Bo-luat-dan-su-2015-296249.aspx
  5. Article 6 of GDPR – Lawfulness of processing: https://gdpr-info.eu/art-6-gdpr/
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486