Từ ngày 01/01/2026, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 chính thức có hiệu lực, tạo lập khung pháp lý toàn diện cho việc thu thập, xử lý và bảo vệ dữ liệu cá nhân tại Việt Nam. Trong bối cảnh dữ liệu ngày càng đóng vai trò quan trọng đối với hoạt động kinh doanh, việc tuân thủ pháp luật không chỉ giúp doanh nghiệp hạn chế rủi ro mà còn góp phần nâng cao uy tín và niềm tin trên thị trường.

Hãy cùng XTVN tìm hiểu chi tiết các nghĩa vụ trọng tâm mà doanh nghiệp cần thực hiện để bảo đảm tuân thủ quy định về bảo vệ dữ liệu cá nhân từ năm 2026.

1.             Nghĩa vụ của doanh nghiệp trong việc bảo vệ dữ liệu cá nhân

1.1.      Thu thập và xử lý dữ liệu phải có sự đồng ý hợp pháp

Doanh nghiệp chỉ được thu thập, xử lý dữ liệu cá nhân khi có sự đồng ý tự nguyện, rõ ràng của chủ thể dữ liệu cá nhân theo Điều 9 và Điều 11 Luật Bảo vệ dữ liệu cá nhân.

Tuy nhiên, theo Điều 19 Luật Bảo vệ dữ liệu cá nhân, một số trường hợp đặc biệt vẫn được phép xử lý dữ liệu mà không cần sự đồng ý, như để bảo vệ tính mạng, sức khỏe hoặc quyền, lợi ích hợp pháp trong tình huống cấp bách;…

1.2.      Bảo đảm quyền của chủ thể dữ liệu cá nhân

Doanh nghiệp phải đảm bảo các quyền quan trọng của chủ thể dữ liệu cá nhân theo Điều 4 Luật Bảo vệ dữ liệu cá nhân, bao gồm:

-              Quyền được biết về hoạt động xử lý dữ liệu;

-              Quyền đồng ý và rút lại sự đồng ý;

-              Quyền truy cập, chỉnh sửa, xóa dữ liệu;

-              Quyền khiếu nại, tố cáo, khởi kiện;

-              Quyền yêu cầu bồi thường thiệt hại.

Điều này đòi hỏi doanh nghiệp phải xây dựng cơ chế tiếp nhận và xử lý yêu cầu của người dùng một cách minh bạch và hiệu quả.

1.3.      Bảo mật và thời hạn lưu trữ dữ liệu cá nhân

Doanh nghiệp phải áp dụng các biện pháp quản lý và kỹ thuật để bảo vệ dữ liệu cá nhân, nhằm ngăn ngừa rò rỉ, mất mát và truy cập trái phép; đồng thời thường xuyên rà soát, cập nhật các biện pháp này theo điểm c khoản 1 Điều 37 Luật Bảo vệ dữ liệu cá nhân.

Dữ liệu cá nhân chỉ được lưu trữ trong thời gian cần thiết cho mục đích xử lý hoặc theo quy định pháp luật; việc lưu trữ vượt quá thời hạn hợp lý có thể bị xem là vi phạm theo khoản 3 Điều 3 Luật Bảo vệ dữ liệu cá nhân.

1.4.      Đánh giá tác động xử lý dữ liệu cá nhân

Theo Điều 21 và Điều 22 Luật Bảo vệ dữ liệu cá nhân, doanh nghiệp với vai trò là bên kiểm soát hoặc bên xử lý dữ liệu cá nhân phải lập và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đồng thời gửi cơ quan chuyên trách trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu. Hồ sơ này cần được cập nhật định kỳ 06 tháng hoặc khi có thay đổi quan trọng liên quan đến cơ cấu tổ chức hay hoạt động xử lý dữ liệu.

1.5.      Bố trí nhân sự hoặc bộ phận chuyên trách

Về việc phụ trách bảo vệ dữ liệu cá nhân, doanh nghiệp phải chỉ định bằng văn bản bộ phận hoặc nhân sự phụ trách, hoặc thuê đơn vị có đủ điều kiện thực hiện công việc này. Việc chỉ định cần xác định rõ chức năng, nhiệm vụ và trách nhiệm theo Điều 33 Luật Bảo vệ dữ liệu cá nhân và khoản 1 Điều 13 Nghị định 256/2025/NĐ-CP.

Nhân sự phụ trách phải đáp ứng các yêu cầu về năng lực căn cứ theo khoản 2 Điều 13 Nghị định 256/2025/NĐ-CP, bao gồm:

-              Có trình độ từ cao đẳng trở lên;

-              Có tối thiểu 02 năm kinh nghiệm trong các lĩnh vực liên quan;

-              Đã được đào tạo kỹ năng chuyên môn trong lĩnh vực bảo vệ dữ liệu cá nhân.

1.6.      Xóa, hủy hoặc khử nhận dạng dữ liệu đúng quy định

Theo Điều 14 Luật Bảo vệ dữ liệu cá nhân, doanh nghiệp phải xóa, hủy dữ liệu khi có yêu cầu của chủ thể dữ liệu (trừ trường hợp có lý do chính đáng, phải thông báo cho chủ thể dữ liệu biết), khi đã hoàn thành mục đích xử lý hoặc hết thời hạn lưu trữ. Việc khử nhận dạng dữ liệu phải được kiểm soát chặt chẽ, bảo đảm an toàn thông tin và không được tái nhận dạng dữ liệu sau khi đã thực hiện.

1.7.      Thông báo vi phạm dữ liệu

Trong trường hợp phát hiện hành vi vi phạm dữ liệu cá nhân có nguy cơ gây hại đến an ninh quốc gia, trật tự xã hội hoặc quyền lợi của chủ thể dữ liệu, doanh nghiệp phải thông báo cho cơ quan chuyên trách trong vòng 72 giờ, đồng thời lập biên bản và phối hợp xử lý theo quy định tại Điều 23 Luật Bảo vệ dữ liệu cá nhân.

2.             Một số lưu ý cho doanh nghiệp

Theo khoản 2 Điều 38 Luật Bảo vệ dữ liệu cá nhân, doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc chưa thực hiện nghĩa vụ đánh giá tác động và tổ chức lực lượng bảo vệ dữ liệu cá nhân trong thời hạn 05 năm kể từ ngày 01/01/2026, trừ trường hợp kinh doanh dịch vụ xử lý dữ liệu, xử lý dữ liệu nhạy cảm hoặc xử lý dữ liệu với quy mô từ 100.000 chủ thể trở lên.

Đối với doanh nghiệp siêu nhỏ, pháp luật cho phép không phải thực hiện các nghĩa vụ này, trừ các trường hợp tương tự nêu trên đối với hộ kinh doanh, doanh nghiệp siêu nhỏ căn cứ theo khoản 3 Điều 38 Luật Bảo vệ dữ liệu cá nhân.

Luật Bảo vệ dữ liệu cá nhân 2025 đặt ra những yêu cầu chặt chẽ hơn đối với hoạt động quản trị dữ liệu của doanh nghiệp. Việc tuân thủ không chỉ giúp doanh nghiệp tránh rủi ro pháp lý mà còn nâng cao uy tín và năng lực cạnh tranh trong môi trường kinh doanh số.