Luật Bảo vệ Dữ liệu Cá nhân 2025: Mức phạt và nghĩa vụ doanh nghiệp

01/07/202610 phút đọcTrung bình
Luật Bảo vệ Dữ liệu Cá nhân 2025: Mức phạt và nghĩa vụ doanh nghiệp
Chuyên viên pháp lý Bùi Ngọc Liên Chi — tác giả bài viết
Bùi Ngọc Liên Chi

Chuyên viên pháp lý

Luật Bảo vệ Dữ liệu Cá nhân 2025 là gì?

Ngày 26/6/2025, Quốc hội Việt Nam thông qua Luật Bảo vệ dữ liệu cá nhân (PDPL — Personal Data Protection Law), chính thức có hiệu lực từ 01/01/2026. Đây là khung pháp lý toàn diện đầu tiên về bảo vệ dữ liệu tại Việt Nam, thay thế Nghị định 13/2023/NĐ-CP trước đó.

Điểm khác biệt lớn nhất so với Nghị định 13: PDPL 2025 áp dụng mức phạt cứng theo doanh thu thay vì mức phạt cố định thấp như trước. Điều này buộc mọi doanh nghiệp — từ startup nhỏ đến tập đoàn lớn — phải nghiêm túc đầu tư vào bảo vệ dữ liệu.

Ai phải tuân thủ PDPL 2025?

Luật Bảo vệ Dữ liệu Cá nhân 2025: Mức phạt và nghĩa vụ doanh nghiệp - minh họa 1

Phạm vi áp dụng rất rộng — bao gồm bất kỳ tổ chức hay cá nhân nào có hoạt động xử lý dữ liệu cá nhân của người ở Việt Nam, kể cả:

  • Doanh nghiệp trong nước thu thập thông tin khách hàng (tên, số điện thoại, email, địa chỉ)
  • Công ty nước ngoài không có văn phòng tại Việt Nam nhưng phục vụ khách hàng Việt
  • Ứng dụng di động, website thương mại điện tử, nền tảng số
  • Doanh nghiệp B2B lưu trữ dữ liệu liên hệ của đối tác, nhà cung cấp
  • Hệ thống nhân sự lưu dữ liệu nhân viên

Các mức phạt cụ thể

PDPL 2025 quy định ba nhóm mức phạt chính, tính theo tổ chức vi phạm:

1. Mua bán dữ liệu cá nhân trái phép

Mức phạt: 10 lần số tiền thu được từ hành vi vi phạm. Nếu không tính được số tiền thu được hoặc số tiền đó thấp hơn 3 tỷ đồng, mức phạt tối đa là 3 tỷ đồng.

2. Vi phạm chuyển dữ liệu xuyên biên giới

Phạt từ 1% đến 5% tổng doanh thu năm tài chính liền trước. Với doanh nghiệp doanh thu 50 tỷ/năm, mức phạt có thể lên tới 2,5 tỷ đồng chỉ vì một vi phạm chuyển dữ liệu ra nước ngoài không đúng quy định.

3. Các vi phạm khác

Mức phạt tối đa 3 tỷ đồng, bao gồm: xử lý dữ liệu không có căn cứ hợp pháp, không có chính sách bảo mật, không thông báo sự cố rò rỉ dữ liệu trong thời hạn quy định.

Lưu ý: Cá nhân vi phạm cùng hành vi chịu mức phạt bằng 1/2 mức phạt tổ chức.

5 nghĩa vụ tuân thủ cốt lõi

Luật Bảo vệ Dữ liệu Cá nhân 2025: Mức phạt và nghĩa vụ doanh nghiệp - minh họa 2

Để tuân thủ PDPL 2025, doanh nghiệp phải đáp ứng:

1. Có cơ sở pháp lý để xử lý dữ liệu

Mọi hoạt động thu thập, lưu trữ, sử dụng dữ liệu cá nhân phải dựa trên một trong các căn cứ: sự đồng ý của chủ thể dữ liệu, hợp đồng, nghĩa vụ pháp lý, lợi ích sống còn, lợi ích hợp pháp của doanh nghiệp. Lấy dữ liệu từ bên thứ ba mà không xác minh nguồn gốc hợp pháp là vi phạm.

2. Chính sách bảo mật rõ ràng

Website, ứng dụng phải có Privacy Policy bằng tiếng Việt, nêu rõ: loại dữ liệu thu thập, mục đích sử dụng, thời gian lưu trữ, bên thứ ba được chia sẻ, quyền của chủ thể dữ liệu.

3. Quyền của chủ thể dữ liệu

Khách hàng có quyền: truy cập dữ liệu của mình, chỉnh sửa, xóa, hạn chế xử lý, phản đối, và rút lại sự đồng ý bất cứ lúc nào. Doanh nghiệp phải có cơ chế tiếp nhận và xử lý yêu cầu này.

4. Báo cáo sự cố rò rỉ dữ liệu

Khi xảy ra sự cố rò rỉ, mất mát dữ liệu, doanh nghiệp phải thông báo cho cơ quan quản lý trong vòng 72 giờ và thông báo cho chủ thể dữ liệu bị ảnh hưởng.

5. Hạn chế chuyển dữ liệu xuyên biên giới

Chuyển dữ liệu cá nhân của người Việt ra nước ngoài cần có đánh giá tác động, hợp đồng chuyển dữ liệu với bên nhận và trong một số trường hợp phải thông báo với Bộ Công an.

Các hành vi bị cấm tuyệt đối

  • Mua bán, trao đổi dữ liệu cá nhân trái phép
  • Thu thập dữ liệu bằng phương thức gian lận, lừa dối
  • Xử lý dữ liệu nhằm mục đích chống lại Nhà nước hoặc ảnh hưởng an ninh quốc gia
  • Sử dụng dữ liệu của trẻ em dưới 16 tuổi mà không có sự đồng ý của cha/mẹ

Kế hoạch tuân thủ 6 bước cho doanh nghiệp

  1. Kiểm toán dữ liệu: Lập bản đồ tất cả dữ liệu cá nhân doanh nghiệp đang nắm giữ
  2. Xác định căn cứ pháp lý cho từng hoạt động xử lý dữ liệu
  3. Cập nhật tài liệu pháp lý: Privacy policy, điều khoản sử dụng, form đồng ý
  4. Xây dựng quy trình nội bộ: Tiếp nhận yêu cầu của chủ thể dữ liệu, xử lý sự cố
  5. Đào tạo nhân viên về bảo vệ dữ liệu, đặc biệt bộ phận marketing, IT, HR
  6. Ký kết hợp đồng xử lý dữ liệu với các đơn vị thứ ba (cloud provider, CRM, agency)

Câu hỏi thường gặp

Doanh nghiệp nhỏ 5 nhân viên có phải tuân thủ PDPL không?

Có. PDPL 2025 không miễn trừ theo quy mô doanh nghiệp. Tuy nhiên, mức phạt tính theo doanh thu nên tỷ lệ thuận với quy mô. Doanh nghiệp nhỏ cần ưu tiên: có privacy policy rõ ràng, chỉ thu thập dữ liệu cần thiết và có cơ chế xóa dữ liệu theo yêu cầu.

Email marketing có vi phạm PDPL không?

Không vi phạm nếu người nhận đã đồng ý nhận email (opt-in), bạn nêu rõ nguồn gốc dữ liệu và có nút unsubscribe. Vi phạm nếu mua danh sách email và gửi hàng loạt mà không có sự đồng ý.

Nội dung bài viết chỉ mang tính chất thông tin chung, không phải tư vấn pháp lý chính thức. Để được tư vấn cụ thể, vui lòng liên hệ trực tiếp với luật sư.

Cần tư vấn?

Gặp vấn đề pháp lý tương tự? Liên hệ ngay.

Tư vấn miễn phí
Chat ZaloMessenger0353476860