Doanh nghiệp là chủ thể trung tâm trong hệ sinh thái bảo vệ dữ liệu cá nhân

Luật sư Hà Huy Phong, Giám đốc Công ty Luật TNHH Inteco chia sẻ tại Tọa đàm “Bảo vệ dữ liệu cá nhân - quyền và trách nhiệm” vào chiều ngày 31/12/2025.

Chia sẻ tại Tọa đàm “Bảo vệ dữ liệu cá nhân - quyền và trách nhiệm”, Luật sư Hà Huy Phong, Giám đốc Công ty Luật TNHH Inteco cho biết, từ năm 2023, khi Nghị định 13 về bảo vệ dữ liệu cá nhân bắt đầu được triển khai, câu chuyện tuân thủ pháp luật trong lĩnh vực này đã dần đi vào thực tiễn hoạt động của doanh nghiệp. Đến năm 2025, việc ban hành Luật Bảo vệ dữ liệu cá nhân tiếp tục hoàn thiện khung pháp lý, với một thông điệp rất rõ ràng: từ năm 2026, bảo vệ dữ liệu cá nhân không còn là khuyến nghị hay định hướng, mà trở thành nghĩa vụ pháp lý bắt buộc, đi kèm chế tài xử phạt cụ thể.

Tuy nhiên, theo luật sư Hà Huy Phong, nhận thức phổ biến trong xã hội hiện nay vẫn còn lệch trọng tâm. Nhiều người cho rằng bảo vệ dữ liệu cá nhân là câu chuyện của từng cá nhân ai bị lộ thông tin thì người đó tự gánh chịu rủi ro. Trên thực tế, doanh nghiệp mới là nơi thu thập, lưu trữ, xử lý và khai thác khối lượng dữ liệu cá nhân lớn nhất, từ dữ liệu người lao động, khách hàng cho đến đối tác.

Dữ liệu cá nhân ngày nay đã trở thành một nguồn lực quan trọng của nền kinh tế. Không chỉ là thông tin định danh, dữ liệu còn phản ánh hành vi, thói quen tiêu dùng, lịch sử giao dịch, hồ sơ lao động, tài chính, thậm chí cả đời sống riêng tư. Doanh nghiệp sử dụng dữ liệu để tối ưu vận hành, cá nhân hóa dịch vụ, mở rộng thị trường và nâng cao năng lực cạnh tranh. Chính vì vậy, nghĩa vụ bảo vệ dữ liệu cá nhân không phải là gánh nặng “từ trên áp xuống”, mà là yêu cầu tất yếu gắn với mô hình kinh doanh hiện đại.

Luật sư Hà Huy Phong nhấn mạnh rằng, việc tuân thủ Luật Bảo vệ dữ liệu cá nhân không đơn thuần là để “làm việc” với cơ quan quản lý nhà nước. Bản chất sâu xa hơn, đó là để doanh nghiệp tự bảo vệ mình: bảo vệ người lao động khỏi bị lộ lọt thông tin nội bộ, bảo vệ khách hàng khỏi nguy cơ lừa đảo, bảo vệ đối tác khỏi rủi ro pháp lý, và rộng hơn là bảo vệ uy tín thương hiệu trong môi trường kinh doanh số.

Thực tế cho thấy, tâm lý “làm cho có”, “làm để đối phó” vẫn tồn tại ở không ít doanh nghiệp. Cách tiếp cận này tiềm ẩn rủi ro lớn, bởi khi xảy ra sự cố, doanh nghiệp không chỉ đối mặt với tiền phạt, mà còn phải gánh chịu tổn thất về niềm tin và hình ảnh, những yếu tố khó có thể đo đếm bằng chi phí tài chính đơn thuần.

Rủi ro từ lộ lọt dữ liệu cá nhân cũng không phải là câu chuyện lý thuyết. Ngay trong đời sống hàng ngày, nhiều người đã và đang trở thành nạn nhân của các vụ lừa đảo tinh vi, xuất phát từ việc thông tin cá nhân bị rò rỉ. Bản thân luật sư Hà Huy Phong cũng chia sẻ trải nghiệm cá nhân khi bị lừa chuyển tiền chỉ vì đối tượng nắm được thông tin ông từng mua sách, dựng lên một kịch bản giao hàng rất thuyết phục. Câu chuyện nhỏ nhưng cho thấy dữ liệu cá nhân khi bị khai thác sai mục đích có thể gây ra hệ lụy rất thực, rất gần.

Nghĩa vụ nội bộ và hồ sơ đánh giá tác động: "Xương sống" của tuân thủ từ năm 2026

Theo luật sư Hà Huy Phong, để bảo vệ dữ liệu cá nhân một cách thực chất, doanh nghiệp cần tập trung vào hai nhóm nghĩa vụ lớn, trong đó nghĩa vụ nội bộ đóng vai trò quyết định.

Trước hết, doanh nghiệp phải xác định rõ mình đang làm gì với dữ liệu cá nhân. Thu thập dữ liệu của ai, loại dữ liệu gì, phục vụ mục đích nào, lưu trữ ở đâu và có chuyển cho bên thứ ba hay không. Việc “vẽ lại” toàn bộ vòng đời dữ liệu cá nhân trong doanh nghiệp là bước nền tảng, giúp tổ chức hiểu đúng và đủ về trách nhiệm của mình.

Từ đó, doanh nghiệp cần xác định chính xác vai trò pháp lý: là bên kiểm soát dữ liệu, bên xử lý dữ liệu, hay vừa kiểm soát vừa xử lý. Mỗi vai trò đi kèm những nghĩa vụ pháp lý khác nhau. Nếu xác định sai vai trò, doanh nghiệp có thể vi phạm luật ngay từ khâu thiết kế quy trình, dù không hề có chủ ý.

Một điểm mới đáng chú ý của Luật Bảo vệ dữ liệu cá nhân 2025 là yêu cầu tất cả doanh nghiệp phải thiết lập bộ phận hoặc chức năng bảo vệ dữ liệu cá nhân. Quy định này không còn giới hạn ở các doanh nghiệp xử lý dữ liệu nhạy cảm như trước, mà được mở rộng cho mọi loại hình, mọi quy mô. Điều này đòi hỏi doanh nghiệp phải có sự chuẩn bị nghiêm túc về tổ chức, nhân sự và phân công trách nhiệm rõ ràng, thay vì coi bảo vệ dữ liệu là việc “kiêm nhiệm” không ai chịu trách nhiệm đến cùng.

Song song với đó, doanh nghiệp cần ban hành các quy định nội bộ và tích hợp yêu cầu bảo vệ dữ liệu cá nhân vào các văn bản hiện hành như hợp đồng lao động, hợp đồng hợp tác, quy chế nhân sự. Việc này có thể thực hiện bằng cách ban hành văn bản riêng hoặc lồng ghép vào các hợp đồng, nhưng cốt lõi không nằm ở số lượng giấy tờ, mà ở việc sử dụng dữ liệu đúng mục đích, đúng phạm vi và đúng sự đồng ý của chủ thể dữ liệu.

Luật quy định rõ, chủ thể dữ liệu có quyền biết dữ liệu của mình được sử dụng vào mục đích gì. Một mục đích ban đầu không thể mặc nhiên mở rộng sang mục đích khác. Ví dụ, thông tin căn cước công dân được sử dụng để mở tài khoản ngân hàng là một mục đích hợp pháp, nhưng nếu chuyển dữ liệu đó cho công ty bảo hiểm thì lại là một mục đích hoàn toàn khác và phải có sự đồng ý riêng. Đây là ranh giới mà nhiều doanh nghiệp hiện nay vẫn chưa phân biệt rõ, dẫn đến nguy cơ vi phạm pháp luật.

Bên cạnh yếu tố pháp lý và tổ chức, biện pháp kỹ thuật và quản lý là trụ cột không thể thiếu. Doanh nghiệp hiện nay vận hành trên nền tảng hàng loạt hệ thống phần mềm: kế toán, nhân sự, quản lý kho, CRM, ERP, quản trị nội bộ. Vấn đề đặt ra là dữ liệu cá nhân trong các hệ thống này được bảo vệ ra sao, ai có quyền truy cập, có phân quyền và kiểm soát truy cập hay không, dữ liệu có được mã hóa và sao lưu an toàn hay không.

Đây không phải là việc có thể hoàn thành trong một thời gian ngắn, nhưng theo luật sư Hà Huy Phong, doanh nghiệp buộc phải bắt đầu ngay từ bây giờ. Bởi từ năm 2026, khi luật chính thức có hiệu lực đầy đủ, chế tài xử phạt sẽ rất nặng. Riêng hành vi chuyển dữ liệu cá nhân ra nước ngoài sai quy định có thể bị phạt tới hàng tỷ đồng, chưa kể tổn thất về uy tín và niềm tin của đối tác, đặc biệt là đối tác quốc tế.

Ngoài nghĩa vụ nội bộ, nhóm nghĩa vụ về hồ sơ đánh giá tác động cũng là nội dung doanh nghiệp không thể bỏ qua. Thứ nhất là hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Doanh nghiệp phải lập hồ sơ, gửi cơ quan chức năng theo đúng thời hạn và lưu trữ tại đơn vị. Khi có hoạt động kiểm tra, nếu không xuất trình được hồ sơ, doanh nghiệp sẽ bị xử phạt. Tuy nhiên, việc có hồ sơ chỉ mang ý nghĩa khi hồ sơ phản ánh đúng thực tế xử lý dữ liệu; làm sai trên thực tế thì vẫn bị coi là vi phạm.

Thứ hai là hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Luật mới có những quy định linh hoạt hơn đối với doanh nghiệp nhỏ, siêu nhỏ và doanh nghiệp khởi nghiệp, cho phép lựa chọn thời điểm thực hiện một số nghĩa vụ nhất định. Tuy nhiên, sự linh hoạt này không đồng nghĩa với việc được bỏ qua trách nhiệm bảo vệ dữ liệu.

Theo luật sư Hà Huy Phong, bảo vệ dữ liệu cá nhân không phải là việc làm theo quý hay theo năm, mà là làm một lần để dùng lâu dài. Chỉ khi có thay đổi về chức năng, nhiệm vụ hoặc cách thức xử lý dữ liệu thì doanh nghiệp mới cần cập nhật. Cách tiếp cận này giúp giảm gánh nặng tuân thủ về lâu dài, đồng thời tạo ra một nền tảng quản trị dữ liệu ổn định và bền vững.

Trong bối cảnh hội nhập, các nước trên thế giới đã coi bảo vệ dữ liệu cá nhân là một phần của văn hóa tuân thủ từ rất lâu. Doanh nghiệp Việt Nam có thể đi sau, nhưng không còn nhiều dư địa để chậm trễ. Luật Bảo vệ dữ liệu cá nhân với hệ thống nghĩa vụ chặt chẽ cho thấy rất rõ một điều: doanh nghiệp chính là trung tâm của hệ sinh thái bảo vệ dữ liệu, và làm đúng ngay từ đầu là con đường an toàn, bền vững nhất để phát triển trong nền kinh tế số.

Thu Uyên