[Recap] Webinar: Luật Bảo vệ dữ liệu cá nhân - Doanh nghiệp cần làm gì để tuân thủ quy định mới?

1. Giới thiệu Webinar: Luật Bảo vệ dữ liệu cá nhân - Doanh nghiệp cần làm gì để tuân thủ quy định mới?

"Luật Bảo vệ dữ liệu cá nhân: Doanh nghiệp cần làm gì để tuân thủ quy định mới?" là số đầu tiên trong chuỗi chương trình hội thảo tuyến định kỳ hàng tháng của LuatVietnam.vn năm 2026.

Chủ đề chương trình đặt ra trong bối cảnh Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP chính thức có hiệu lực từ ngày 01/01/2026, đã thu hút sự quan tâm đặc biệt của hơn 2.000 người tham gia qua nền tảng zoom meeting.

- Luật Sư Lưu Xuân Vĩnh - Giám đốc điều hành Asia Legal, Trọng tài viên và hòa giải viên thương mại, Giảng viên Học viện Tư pháp.

- Ông Nguyễn Minh Đức - Giám đốc điều hành Công ty cổ phần an toàn thông tin Cyradar, 20 năm kinh nghiệm trong lĩnh vực an toàn thông tin, an ninh mạng.

- Luật sư Nguyễn Trọng Hiếu - Luật sư tại Asia Legal.

 

2. Nội dung đáng chú ý của chương trình

2.1. Khung pháp lý về bảo vệ dữ liệu cá nhân

Luật sư Lưu Xuân Vĩnh cho biết, Luật Bảo vệ dữ liệu cá nhân 2025 là khung pháp lý chuyên ngành cao nhất tại Việt Nam điều chỉnh trực tiếp về dữ liệu cá nhân, có hiệu lực từ ngày 01/01/2026. 

Bên cạnh đó là Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân, tập trung vào quy trình, kỹ thuật và điều kiện kinh doanh.

2.2. Các vấn đề pháp lý quan trọng về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân

Bằng kinh nghiệm dày dặn và kiến thức chuyên môn sâu sắc, Luật sư Lưu Xuân Vĩnh cùng Luật sư Nguyễn Trọng Hiếu đã tổng hợp, đúc kết 10 vấn đề pháp lý quan trọng về bảo vệ dữ liệu cá nhân bao gồm:

Vấn đề 1: Phạm vi điều chỉnh có sự mở rộng đáng kể về đối tượng.

Vấn đề 2: Danh mục dữ liệu cá nhân cơ bản đã được rà soát và thay đổi trong việc liệt kê các trường dữ liệu, đảm bảo tính phù hợp và cập nhật với thực tiễn phát triển công nghệ và các loại thông tin nhận dạng cá nhân hiện nay.

Vấn đề 3: Nghị định 356/2025/NĐ-CP đã làm rõ và liệt kê cụ thể các loại dữ liệu cá nhân nhạy cảm. Đây là những loại dữ liệu mang tính riêng tư cao, mà nếu bị lộ, bị đánh cắp hoặc bị xử lý sai mục đích sẽ gây ảnh hưởng nghiêm trọng đến quyền và lợi ích hợp pháp của chủ thể dữ liệu.

Vấn đề 4: Các văn bản pháp luật mới có sự điều chỉnh về thời hạn xử lý các yêu cầu (truy cập, chỉnh sửa, xóa...) của chủ thể dữ liệu. Việc thay đổi này hướng đến mục tiêu tăng tính khả thi trong việc thực hiện nghĩa vụ phản hồi của bên kiểm soát và bên xử lý dữ liệu.

Vấn đề 5: Nguyên tắc "sự đồng ý rõ ràng" được củng cố. Sự im lặng không được tính là sự đồng ý của chủ thể. Đặc biệt, Nghị định 356/2025/NĐ-CP cấm Bên Xử lý và Bên Kiểm soát dữ liệu thiết lập quy tắc mặc định (default setting) cho sự đồng ý, buộc phải có hành động chủ động từ người dùng (Điều 6).

Vấn đề 6: Việc chuyển giao dữ liệu cá nhân xuyên biên giới chỉ được thực hiện khi có sự đồng ý rõ ràng của chủ thể dữ liệu, hoặc qua yêu cầu hợp pháp của cơ quan nhà nước có thẩm quyền (Điều 11 Luật bảo vệ dữ liệu cá nhân 2025).

Vấn đề 7: Dù đã có quy định về điều kiện đối với nhân sự và bộ phận bảo vệ dữ liệu cá nhân, tuy nhiên, các quy định hiện hành chưa rõ ràng về việc đào tạo, bồi dưỡng chuyên môn: đào tạo ở đâu, quy trình và chương trình như thế nào.

Vấn đề 8: Phần lớn các doanh nghiệp chưa có sẵn quy trình chuẩn để xử lý dữ liệu cá nhân. Bên cạnh đó, ý thức và nhận thức của người lao động về tầm quan trọng của dữ liệu cá nhân còn có sự khác biệt lớn, gây khó khăn cho việc triển khai đồng bộ.

Vấn đề 9: Dịch vụ bảo vệ dữ liệu cá nhân là dịch vụ hỗ trợ cần thiết, có thể được cung cấp bởi các cá nhân hoặc tổ chức. Các đối tượng cung cấp dịch vụ này cần có sự ràng buộc rõ ràng về chuyên môn và kinh nghiệm trong lĩnh vực bảo mật thông tin.

Vấn đề 10: Nghị định 356/2025/NĐ-CP đã quy định khung xử phạt vi phạm hành chính một cách rõ ràng và nghiêm khắc hơn. Đáng chú ý, đối với hành vi vi phạm trong hoạt động chuyển dữ liệu cá nhân xuyên biên giới, trường hợp cơ quan nhà nước không xác định được doanh thu năm trước, mức phạt đã được ấn định là 03 tỷ đồng, thể hiện sự quyết liệt của cơ quan quản lý trong việc bảo vệ dữ liệu cá nhân.

2.3. Lộ trình tuân thủ thực tế của doanh nghiệp

Với góc nhìn của một chuyên gia về bảo mật dữ liệu, diễn giả Nguyễn Minh Đức đã gợi ý 07 bước để doanh nghiệp tuân thủ quy định về bảo vệ dữ liệu cá nhân trên thực tế như sau:

Bước 1: Doanh nghiệp cần bắt đầu bằng việc thành lập một Nhóm Tuân thủ và rà soát hiện trạng.

Nhóm này có trách nhiệm rà soát toàn bộ hiện trạng xử lý dữ liệu cá nhân (DLCN) của tổ chức, bao gồm cả các quy trình, hệ thống công nghệ thông tin và hợp đồng hiện tại, để xác định những điểm chưa phù hợp với quy định mới.

Bước 2: Chỉ định nhân sự bảo vệ dữ liệu (DPO) theo yêu cầu của Điều 33 Luật Bảo vệ dữ liệu cá nhân.

Bước 3: Doanh nghiệp cần xây dựng các Chính sách Bảo mật DLCN một cách minh bạch và đầy đủ, sau đó công khai những chính sách này.

Bước 4: Đây là bước bắt buộc quan trọng, doanh nghiệp phải thực hiện Đánh giá Tác động Xử lý Dữ liệu Cá nhân (DPIA) theo quy định tại Điều 21 Luật Bảo vệ dữ liệu cá nhân.

Các thủ tục chi tiết về việc lập hồ sơ và báo cáo đánh giá sẽ được hướng dẫn cụ thể tại Nghị định 356/2025/NĐ-CP.

Bước 5: Doanh nghiệp phải áp dụng các biện pháp bảo mật kỹ thuật và tổ chức theo Điều 12 và Điều 33 Luật Bảo vệ dữ liệu cá nhân. Các biện pháp này bao gồm:

• Mã hóa dữ liệu nhạy cảm.
• Thiết lập phân quyền truy cập chặt chẽ.
• Áp dụng xác thực yếu tố mạnh (ví dụ: xác thực đa yếu tố).
• Đảm bảo bảo mật vật lý cho các khu vực lưu trữ dữ liệu.

Bước 6: Việc tuân thủ chỉ hiệu quả khi được thực thi bởi đội ngũ nhân sự.

Bước 7: Doanh nghiệp cần thiết lập cơ chế giám sát liên tục quá trình xử lý DLCN và các biện pháp bảo mật.

3. Giải đáp câu hỏi của người tham gia