DPVN

Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 được Quốc hội thông qua ngày 26/6/2025, là một văn bản pháp lý nền tảng, kiến tạo một kỷ nguyên mới về bảo vệ quyền riêng tư và an ninh dữ liệu tại Việt Nam. Văn bản quy phạm pháp luật này không chỉ là một bộ quy tắc, mà còn là một cam kết mạnh mẽ về việc bảo vệ các quyền cơ bản của con người trong bối cảnh chuyển đổi số đang diễn ra mạnh mẽ.

Tại DPVN, chúng tôi nhận thấy việc chủ động nắm bắt và áp dụng các quy định của bộ luật về bảo vệ thông tin cá nhân này là cơ hội để doanh nghiệp nâng cao uy tín, xây dựng lòng tin với khách hàng và tạo dựng lợi thế cạnh tranh bền vững. Bài viết này sẽ là một cẩm nang toàn diện, giúp Quý vị hiểu rõ các điểm cốt lõi, quyền của chủ thể dữ liệu và trách nhiệm của tổ chức, từ đó có kế hoạch tuân thủ hiệu quả trước khi luật chính thức có hiệu lực vào ngày 01/01/2026. Chúng tôi sẽ phân tích sâu sắc các quy định bảo vệ dữ liệu và nghĩa vụ của doanh nghiệp.

1. Tổng quan và những điểm nổi bật của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15

Sự ra đời của Luật Bảo vệ dữ liệu cá nhân 2025 đánh dấu một bước ngoặt lịch sử trong hệ thống pháp luật Việt Nam. Đây là lần đầu tiên, một đạo luật chuyên ngành được ban hành để điều chỉnh một cách toàn diện và thống nhất mọi hoạt động liên quan đến dữ liệu cá nhân, thay thế cho các quy định còn phân mảnh trước đây, tiêu biểu là Nghị định 13/2023/NĐ-CP.

Tải về toàn văn Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 tại đây: [Tải file PDF]

Cơ sở pháp lý

1. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XV, kỳ họp thứ 9 thông qua ngày 26/6/2025.
2. Hiệu lực thi hành bắt đầu từ ngày Ngày 01 tháng 01 năm 2026.

Các điểm mới cốt lõi của Luật Bảo vệ dữ liệu cá nhân 2025

a. Mở rộng phạm vi điều chỉnh, khẳng định chủ quyền số quốc gia

Một trong những thay đổi mang tính đột phá nhất là việc mở rộng phạm vi áp dụng của luật ra ngoài lãnh thổ Việt Nam. Theo đó, bất kỳ tổ chức, cá nhân nước ngoài nào trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam đều phải tuân thủ nghiêm ngặt các quy định này.

Nội dung chính	Ví dụ thực tế	Ý nghĩa
Mở rộng phạm vi áp dụng ra ngoài lãnh thổ Việt Nam.	Một nền tảng đặt phòng khách sạn trực tuyến có trụ sở tại Singapore, khi bán dịch vụ cho du khách Việt Nam và thu thập thông tin hộ chiếu, thẻ tín dụng của họ, sẽ phải tuân thủ Luật Bảo vệ dữ liệu cá nhân 2025.	– Thể hiện rõ quan điểm bảo vệ công dân trên không gian mạng. – Khẳng định chủ quyền số quốc gia. – Tạo sân chơi bình đẳng, yêu cầu các công ty công nghệ toàn cầu phải có trách nhiệm với người dùng Việt Nam.

b. Phân loại rành mạch dữ liệu cá nhân cơ bản và nhạy cảm

Để có cơ chế bảo vệ phù hợp, Luật lần đầu tiên phân định rõ ràng hai loại dữ liệu, một bước tiến lớn so với quy định chung chung trước đây. Việc này giúp doanh nghiệp xác định chính xác mức độ bảo vệ cần thiết cho từng loại thông tin.

Loại dữ liệu	Định nghĩa	Ví dụ thực tế	Mức độ bảo vệ
Dữ liệu cá nhân cơ bản	Dữ liệu phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong giao dịch.	Họ tên, địa chỉ email, số điện thoại, địa chỉ giao hàng của khách hàng trên một trang thương mại điện tử.	Yêu cầu các biện pháp bảo vệ tiêu chuẩn.
Dữ liệu cá nhân nhạy cảm	Dữ liệu gắn liền với quyền riêng tư sâu sắc, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp và nghiêm trọng.	Dữ liệu về nhịp tim, chất lượng giấc ngủ do một ứng dụng theo dõi sức khỏe thu thập; hoặc dữ liệu nhận dạng khuôn mặt được sử dụng trong hệ thống chấm công của một công ty.	Yêu cầu các biện pháp bảo vệ nâng cao và các điều kiện xử lý nghiêm ngặt hơn (Ví dụ: Cần có sự đồng ý rõ ràng hơn).

Danh mục chi tiết của hai loại dữ liệu này sẽ được Chính phủ quy định cụ thể, tạo sự rõ ràng và thuận lợi cho các tổ chức trong quá trình phân loại và áp dụng biện pháp bảo vệ.

2. Chủ thể dữ liệu có quyền gì theo Luật Bảo vệ dữ liệu cá nhân 2025?

Luật Bảo vệ dữ liệu cá nhân 2025 đặt chủ thể dữ liệu vào vị trí trung tâm, trao cho họ một bộ quyền mạnh mẽ để kiểm soát thông tin của chính mình. Doanh nghiệp cần hiểu rõ và xây dựng quy trình để đáp ứng các quyền này một cách hiệu quả. Các quyền cơ bản của chủ thể dữ liệu bao gồm:

• Quyền được biết: Cá nhân có quyền được thông báo một cách rõ ràng, minh bạch về hoạt động xử lý dữ liệu của mình trước khi việc thu thập diễn ra. Doanh nghiệp phải công khai mục đích xử lý, loại dữ liệu, bên xử lý, thời gian lưu trữ…
• Quyền đồng ý: Sự đồng ý phải được đưa ra một cách tự nguyện, rõ ràng cho từng mục đích cụ thể. Sự im lặng không được coi là đồng ý.
• Quyền rút lại sự đồng ý: Cá nhân có thể rút lại sự đồng ý bất kỳ lúc nào, và việc rút lại phải dễ dàng như khi họ đã đồng ý.
• Quyền truy cập: Cá nhân có quyền yêu cầu doanh nghiệp cung cấp một bản sao dữ liệu cá nhân của họ mà doanh nghiệp đang nắm giữ.
• Quyền chỉnh sửa: Nếu dữ liệu không chính xác hoặc không đầy đủ, cá nhân có quyền yêu cầu doanh nghiệp chỉnh sửa lại cho đúng.
• Quyền xóa dữ liệu: Cá nhân có quyền yêu cầu xóa dữ liệu của mình trong một số trường hợp nhất định, ví dụ như khi dữ liệu không còn cần thiết cho mục đích ban đầu hoặc khi đã rút lại sự đồng ý.
• Quyền hạn chế xử lý: Trong một số trường hợp (ví dụ: đang tranh cãi về tính chính xác của dữ liệu), cá nhân có quyền yêu cầu tạm thời ngừng xử lý dữ liệu của họ.
• Quyền phản đối xử lý: Cá nhân có quyền phản đối việc xử lý dữ liệu của họ cho các mục đích như tiếp thị trực tiếp.
• Quyền khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại: Khi quyền lợi bị xâm phạm, cá nhân có đầy đủ cơ chế pháp lý để tự bảo vệ mình.

Việc tôn trọng và đáp ứng kịp thời các quyền này không chỉ là nghĩa vụ pháp lý mà còn là cách tốt nhất để doanh nghiệp thể hiện sự tôn trọng và xây dựng mối quan hệ bền vững với khách hàng.

Doanh nghiệp của bạn đã có quy trình để xử lý yêu cầu của chủ thể dữ liệu chưa? DPVN cung cấp dịch vụ tư vấn và xây dựng bộ quy trình nội bộ, từ biểu mẫu yêu cầu, cơ chế xác minh, đến kịch bản phản hồi, đảm bảo tuân thủ đầy đủ các quy định về quyền của chủ thể dữ liệu. [Liên hệ tư vấn ngay]

3. Doanh nghiệp cần làm gì để tuân thủ Luật Bảo vệ dữ liệu cá nhân 2025?

Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đặt ra các trách nhiệm rõ ràng cho các tổ chức, doanh nghiệp (được xác định là Bên Kiểm soát hoặc Bên Xử lý dữ liệu). Việc chủ động thực hiện các nghĩa vụ này là chìa khóa để tránh các rủi ro pháp lý. Để tuân thủ hiệu quả các quy định về bảo vệ dữ liệu cá nhân, doanh nghiệp cần một lộ trình triển khai rõ ràng và toàn diện.

Dưới đây các việc doanh nghiệp cần thực hiện được phân chia theo từng giai đoạn thực thi:

Giai đoạn 1: Xây dựng Nền tảng Pháp lý & Minh bạch

Đây là những bước đầu tiên, tạo ra khung pháp lý và sự minh bạch trong cách doanh nghiệp xử lý dữ liệu.

a. Xây dựng và Công khai Chính sách Bảo vệ Dữ liệu

1. Đây là tài liệu nền tảng, cam kết của doanh nghiệp với khách hàng và pháp luật.
2. Hành động:
   • Soạn thảo chính sách mô tả rõ: cách thức thu thập, mục đích sử dụng, thời gian lưu trữ, và việc chia sẻ dữ liệu.
   • Sử dụng ngôn ngữ đơn giản, dễ hiểu, tránh các thuật ngữ pháp lý phức tạp.
   • Đảm bảo chính sách được công khai và dễ dàng truy cập (trên website, ứng dụng…).

b. Thực hiện nguyên tắc tối thiểu hóa dữ liệu

1. Chỉ thu thập những gì thực sự cần thiết.
2. Ví dụ, Một công ty tổ chức sự kiện khi bán vé trực tuyến chỉ nên yêu cầu họ tên, email, số điện thoại để gửi vé và thông báo. Việc yêu cầu thêm ngày sinh hoặc số CCCD là không cần thiết và vi phạm nguyên tắc này.
3. Loại bỏ các trường thông tin không bắt buộc hoặc không liên quan trong các biểu mẫu.

c. Lấy Sự đồng ý Hợp lệ

• Sự đồng ý phải rõ ràng, tự nguyện và cho từng mục đích cụ thể.
• Ví dụ, Một ứng dụng thương mại điện tử phải thiết kế các ô hộp kiểm (checkbox) riêng biệt, không được chọn sẵn cho các mục đích: [ ] Tôi đồng ý nhận bản tin khuyến mãi qua email và [ ] Tôi đồng ý cho phép sử dụng lịch sử mua hàng để cá nhân hóa quảng cáo.

Giai đoạn 2: Triển khai Biện pháp Bảo vệ và Quản trị

Đây là giai đoạn thực thi các biện pháp cụ thể để bảo vệ dữ liệu trong hoạt động hàng ngày.

d. Áp dụng các Biện pháp Bảo vệ Phù hợp

• Kết hợp cả công nghệ và quy trình con người để tạo ra một hàng rào bảo vệ vững chắc.
• Ví dụ: Một công ty tư vấn luật phải áp dụng mã hóa mạnh cho tất cả hồ sơ vụ việc của khách hàng lưu trữ trên máy chủ và triển khai xác thực đa yếu tố (MFA) cho toàn bộ nhân viên khi truy cập hệ thống quản lý nội bộ.

e. Chỉ định Nhân sự hoặc Bộ phận Phụ trách

1. Phải có người chịu trách nhiệm giám sát và thực thi.
2. Hành động:
   • Cử một cá nhân hoặc một bộ phận (VD: Pháp chế, An ninh thông tin) chịu trách nhiệm chính.
   • Với doanh nghiệp lớn hoặc xử lý dữ liệu nhạy cảm, cần có Chuyên gia Bảo vệ Dữ liệu (DPO – Data Protection Officer).

f. Ký kết Hợp đồng Xử lý Dữ liệu

1. Mở rộng trách nhiệm bảo vệ dữ liệu sang các đối tác.
2. Ví dụ: Một chuỗi bán lẻ khi sử dụng dịch vụ của một bên thứ ba để phân tích hành vi khách hàng, phải ký kết Phụ lục Hợp đồng Xử lý Dữ liệu (DPA), trong đó quy định rõ các nghĩa vụ bảo mật, thời hạn lưu trữ và trách nhiệm của bên thứ ba.

Giai đoạn 3: Giám sát, Đánh giá và Xử lý Sự cố

g. Lập Hồ sơ Đánh giá Tác động Xử lý Dữ liệu Cá nhân (DPIA)

1. Một nghĩa vụ pháp lý bắt buộc để phòng ngừa rủi ro từ trước.
2. Hành động:
   • Thực hiện đánh giá này mỗi khi bắt đầu một dự án, sản phẩm mới hoặc thay đổi lớn liên quan đến xử lý dữ liệu cá nhân.
   • Tài liệu này phải xác định các rủi ro và đề xuất biện pháp giảm thiểu.

h. Xây dựng Quy trình Thông báo Vi phạm

• Sẵn sàng ứng phó khi sự cố xảy ra để giảm thiểu thiệt hại.
• Hành động:
  • Xây dựng quy trình hành động chi tiết: ai báo cáo, báo cáo cho ai, các bước điều tra, và cách thức thông báo.
  • Đảm bảo quy trình có thể được thực hiện để thông báo cho cơ quan chức năng trong thời hạn quy định (thường là 72 giờ).
    Việc tuân thủ không phải là một dự án làm một lần mà là một quá trình liên tục, đòi hỏi cách tiếp cận có hệ thống và sự cam kết mạnh mẽ từ cấp lãnh đạo cao nhất của doanh nghiệp.

4. Các hành vi bị nghiêm cấm và chế tài xử phạt theo Luật Bảo vệ dữ liệu cá nhân

Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đưa ra một danh sách rõ ràng các hành vi bị cấm tuyệt đối, nhằm ngăn chặn các hoạt động xâm phạm nghiêm trọng đến quyền riêng tư và an ninh quốc gia.

07 nhóm hành vi bị nghiêm cấm chính

1. Xử lý dữ liệu nhằm chống lại Nhà nước, gây ảnh hưởng quốc phòng, an ninh.
2. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan chức năng.
3. Lợi dụng hoạt động bảo vệ dữ liệu để vi phạm pháp luật.
4. Xử lý dữ liệu cá nhân trái quy định (không có sự đồng ý, sai mục đích).
5. Sử dụng dữ liệu của người khác cho mục đích trái pháp luật.
6. Mua, bán dữ liệu cá nhân trái phép (trừ trường hợp luật có quy định khác).
7. Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Chế tài xử phạt nghiêm khắc

Đây là một trong những điểm mới mang tính răn đe cao nhất của Luật. Mức phạt không chỉ dừng lại ở một con số cố định mà còn có thể được tính dựa trên doanh thu của doanh nghiệp vi phạm.

1. Phạt tiền đối với hành vi mua, bán dữ liệu cá nhân: Tối đa 10 lần khoản thu có được từ hành vi vi phạm.
2. Phạt tiền đối với hành vi chuyển dữ liệu cá nhân xuyên biên giới trái phép: Tối đa 5% tổng doanh thu của năm tài chính trước liền kề.
3. Phạt tiền đối với các vi phạm khác: Tối đa lên đến 3 tỷ đồng.
4. Truy cứu trách nhiệm hình sự: Đối với các vi phạm có đủ yếu tố cấu thành tội phạm.
5. Bồi thường thiệt hại: Doanh nghiệp vi phạm phải bồi thường toàn bộ thiệt hại gây ra cho chủ thể dữ liệu.

Các chế tài này cho thấy sự quyết tâm của nhà nước trong việc bảo vệ dữ liệu cá nhân, buộc các tổ chức phải đầu tư nghiêm túc vào công tác tuân thủ.

5. Cơ quan chuyên trách và cơ chế thực thi Luật Bảo vệ dữ liệu cá nhân 2025

Để đảm bảo luật được thực thi hiệu quả, một cơ chế giám sát rõ ràng đã được thiết lập.

• Cơ quan chuyên trách: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an được giao nhiệm vụ là cơ quan đầu mối, giúp Chính phủ thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân.
• Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: Đây sẽ là kênh thông tin chính thức để tuyên truyền, phổ biến pháp luật, tiếp nhận các hồ sơ đăng ký, báo cáo và thông báo vi phạm từ các tổ chức, cá nhân.

6. Quy định chuyển tiếp từ Nghị định 13/2023/NĐ-CP sang Luật Bảo vệ dữ liệu cá nhân 2025

Để đảm bảo quá trình chuyển đổi từ Nghị định 13/2023/NĐ-CP sang Luật mới diễn ra thuận lợi, không gây gián đoạn hoạt động kinh doanh, Luật Bảo vệ dữ liệu cá nhân 2025 đã có những quy định chuyển tiếp cụ thể tại Điều 39. Đây là nội dung vô cùng quan trọng mà mọi doanh nghiệp cần nắm vững để xây dựng lộ trình tuân thủ hiệu quả.

Giá trị của các hoạt động tuân thủ đã thực hiện theo Nghị định 13

• Về sự đồng ý của chủ thể dữ liệu: Các hoạt động xử lý dữ liệu cá nhân đang được thực hiện mà đã có sự đồng ý hợp lệ theo Nghị định 13 trước ngày 01/01/2026 thì được phép tiếp tục, doanh nghiệp không cần phải tiến hành xin lại sự đồng ý.
• Về các Hồ sơ Đánh giá Tác động đã nộp: Các hồ sơ đã được doanh nghiệp lập và nộp cho Cục A05 theo quy định của Nghị định 13 trước ngày Luật có hiệu lực sẽ tiếp tục được công nhận giá trị pháp lý, doanh nghiệp không phải lập lại từ đầu.

Lưu ý quan trọng về nghĩa vụ cập nhật trong tương lai

• Kể từ ngày 01/01/2026, mọi hoạt động cập nhật, sửa đổi, bổ sung đối với các Hồ sơ Đánh giá Tác động đã lập trước đó đều phải tuân thủ theo quy trình và nội dung được quy định trong Luật Bảo vệ dữ liệu cá nhân 2025.
• Ví dụ: Một ngân hàng đã nộp Hồ sơ Đánh giá Tác động cho dịch vụ thẻ tín dụng theo Nghị định 13. Sang năm 2026, ngân hàng này quyết định chia sẻ dữ liệu chi tiêu của khách hàng cho một công ty bảo hiểm để bán chéo sản phẩm. Đây là một thay đổi lớn về mục đích xử lý. Do đó, ngân hàng bắt buộc phải cập nhật hồ sơ này theo quy trình và tiêu chuẩn của Luật 2025.

Bảng tổng hợp Lộ trình chuyển tiếp

STT	Hoạt động thực hiện trước 01/01/2026	Xử lý sau 01/01/2026 theo Luật mới	Hành động cần thiết của Doanh nghiệp
1	Sự đồng ý của chủ thể dữ liệu (theo NĐ13)	Tiếp tục có hiệu lực. Không cần xin lại.	Lưu trữ an toàn bằng chứng về sự đồng ý đã có.
2	Hồ sơ Đánh giá Tác động đã nộp (theo NĐ13)	Tiếp tục có hiệu lực. Không cần xin lại.	Lưu trữ hồ sơ đã nộp và các văn bản xác nhận (nếu có).
3	Cập nhật/thay đổi Hồ sơ Đánh giá Tác động	Bắt buộc thực hiện theo quy định của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.	Xây dựng quy trình cập nhật hồ sơ mới, đào tạo nhân sự phụ trách về các yêu cầu của Luật 2025.
4	Các hoạt động xử lý dữ liệu mới phát sinh	Bắt buộc tuân thủ 100% các quy định của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.	Áp dụng toàn bộ các nghĩa vụ của Luật mới (xin đồng ý, lập DPIA, v.v.) cho các hoạt động này.

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 không chỉ là một thách thức về mặt tuân thủ, mà còn là một cơ hội lớn. Doanh nghiệp nào chủ động xây dựng một chương trình bảo vệ dữ liệu cá nhân mạnh mẽ, minh bạch và tôn trọng người dùng sẽ không chỉ đáp ứng được yêu cầu của pháp luật mà còn xây dựng được một tài sản vô giá: lòng tin. Trong nền kinh tế số, lòng tin chính là đơn vị tiền tệ quan trọng nhất.

Để đảm bảo quá trình chuyển đổi và tuân thủ Luật Bảo vệ dữ liệu cá nhân 2025 diễn ra suôn sẻ và hiệu quả, việc có được sự tư vấn từ các chuyên gia là vô cùng quan trọng. DPVN cung cấp gói dịch vụ Đánh giá mức độ sẵn sàng tuân thủ Luật Bảo vệ dữ liệu cá nhân, giúp doanh nghiệp xác định các lỗ hổng, xây dựng lộ trình và triển khai các giải pháp cần thiết.