Liên hệ
28/02/2026
Bình luận(0)
Năm ngoái, mức phạt tối đa cho vi phạm dữ liệu cá nhân là 70 triệu đồng. Năm nay, con số đó có thể là 5% toàn bộ doanh thu của bạn.
Đó không phải con số tượng trưng. Luật Bảo vệ Dữ liệu Cá nhân — Luật số 91/2025/QH15 — chính thức có hiệu lực từ ngày 1 tháng 1 năm 2026, và lần này chính phủ không chỉ ban hành để đó.
Tại sao lần này khác?
Nghị định 13/2023 đã đặt nền móng. Nhưng nó vẫn là nghị định — hướng dẫn nhiều hơn là ràng buộc. PDPL 2026 nâng cấp toàn bộ khung pháp lý lên thành luật, với nghĩa vụ cụ thể, mốc thời gian rõ ràng, và mức xử phạt không còn mang tính cảnh cáo.
Điều khiến nhiều doanh nghiệp bất ngờ không phải là luật mới — mà là tốc độ thực thi. Chỉ trong nửa đầu năm 2025, cơ quan chức năng đã phát hiện 56 đường dây mua bán dữ liệu trái phép, liên quan đến hơn 110 triệu bản ghi cá nhân. Tháng 5/2025, Telegram bị yêu cầu chặn vì từ chối cung cấp dữ liệu phục vụ điều tra. Đây không phải cảnh báo — đây là tiền lệ.
Những gì luật yêu cầu bạn làm
Trước hết, hãy hiểu rõ mức phạt. Vi phạm về chuyển dữ liệu xuyên biên giới: phạt đến 5% doanh thu năm trước. Mua bán dữ liệu cá nhân trái phép: tối thiểu 3 tỷ đồng, có thể lên đến gấp 10 lần lợi nhuận bất hợp pháp. Các vi phạm khác: tới 3 tỷ đồng. So với mức 70 triệu đồng cũ, đây là một bước nhảy vọt.
Ngoài phạt tiền, có ba nghĩa vụ doanh nghiệp cần thực hiện ngay:
Đánh giá tác động xử lý dữ liệu (DPIA). Trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu cá nhân, doanh nghiệp phải nộp DPIA cho cơ quan bảo vệ dữ liệu. Không phải khuyến nghị — đây là nghĩa vụ pháp lý.
Bổ nhiệm cán bộ bảo vệ dữ liệu (DPO). Nếu bạn xử lý dữ liệu nhạy cảm hoặc khối lượng lớn, cần có người chịu trách nhiệm chính thức. Người này không cần là nhân viên toàn thời gian — nhưng phải được chỉ định rõ ràng.
Cập nhật hình thức thu thập đồng ý. Không còn chấp nhận kiểu “bằng cách sử dụng dịch vụ, bạn đồng ý với tất cả.” Mỗi mục đích xử lý dữ liệu cần đồng ý riêng — rõ ràng, tự nguyện, có thể rút lại.
Ngành nào bị ảnh hưởng nhiều nhất?
Luật không áp dụng đồng đều. Một số ngành có yêu cầu riêng mà nếu bỏ qua, rủi ro pháp lý sẽ rất cao:
Doanh nghiệp trong lĩnh vực tuyển dụng cần xóa hồ sơ ứng viên không được nhận. Công ty bảo hiểm và y tế phải xin đồng ý riêng cho dữ liệu sức khỏe. Ngân hàng không được dùng thông tin tín dụng để chấm điểm nếu không có sự đồng ý. Nền tảng mạng xã hội phải cung cấp tính năng từ chối theo dõi. Hệ thống AI và xử lý dữ liệu lớn cần có kiểm soát bảo mật tích hợp từ đầu.
Nếu doanh nghiệp bạn hoạt động ở bất kỳ ngành nào trên, đây là lúc cần rà soát lại toàn bộ quy trình xử lý dữ liệu.
Doanh nghiệp nhỏ thì sao?
Có miễn trừ — nhưng có điều kiện. Trong 5 năm đầu, startup và doanh nghiệp nhỏ có thể chưa cần nộp DPIA và hoãn bổ nhiệm DPO, với điều kiện không xử lý dữ liệu nhạy cảm, không xử lý khối lượng lớn, và không cung cấp dịch vụ xử lý dữ liệu cho bên thứ ba. Nếu hoạt động mở rộng, điều kiện miễn trừ có thể không còn áp dụng — và bạn cần biết điều đó trước khi bị kiểm tra.
Bắt đầu từ đâu?
Sai lầm phổ biến nhất chúng tôi thấy là doanh nghiệp chờ đến khi có sự cố mới bắt đầu xem lại quy trình. Không phải vì họ không quan tâm — mà vì họ không biết bắt đầu từ đâu.
Thực ra, bước đầu tiên khá đơn giản: lập danh sách tất cả loại dữ liệu cá nhân đang thu thập. Phân loại xem đó là dữ liệu thông thường hay nhạy cảm. Xác định có chuyển ra nước ngoài không. Từ đó mới biết mình cần làm gì tiếp theo.
Nếu bạn chưa chắc mình đang đứng ở đâu trên hành trình này — đó thường là dấu hiệu tốt để bắt đầu kiểm tra. Chúng tôi đã hỗ trợ nhiều doanh nghiệp tại Việt Nam qua quá trình này. Một buổi đánh giá nhanh có thể cho bạn thấy bức tranh thực sự, mà không cần cam kết gì thêm.