Trách nhiệm của doanh nghiệp đối với việc xử lý dữ liệu cá nhân

Trong bối cảnh dữ liệu cá nhân ngày càng dễ bị xâm phạm, việc tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân đã trở thành một yêu cầu tất yếu đối với các doanh nghiệp. Nhằm đáp ứng thực tế đó, Luật Bảo vệ dữ liệu cá nhân 2025 ra đời với những quy định rõ ràng và cụ thể, đòi hỏi các doanh nghiệp không chỉ đảm bảo an toàn dữ liệu cá nhân mà còn xây dựng hệ thống quản lý dữ liệu minh bạch, hiệu quả.

Trong phạm vi bài viết này, Luật Kỳ Vọng Việt sẽ giúp các doanh nghiệp hiểu rõ trách nhiệm của mình đối với việc xử lý dữ liệu cá nhân. Từ đó có thể đưa ra những giải pháp thực tiễn để đáp ứng các yêu cầu pháp lý. Giảm thiểu rủi ro và nâng cao uy tín trong hoạt động kinh doanh của doanh nghiệp.

1. Dữ liệu cá nhân là gì?

a) Định nghĩa

Căn cứ: Khoản 1 Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025

Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể.

b) Phân loại

Căn cứ: Khoản 3, 4 Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025

Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm:

Dữ liệu cá nhân cơ bản bao gồm:

Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có)
Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích
Giới tính
Nơi sinh, nơi đăng ký khai sinh,
Nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ
Quốc tịch
Hình ảnh của cá nhân
Số điện thoại
Số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu
Số giấy phép lái xe, số biển số xe
Số mã số thuế cá nhân
Số bảo hiểm xã hội, số thẻ bảo hiểm y tế
Tình trạng hôn nhân
Thông tin về mối quan hệ gia đình (cha mẹ, con cái)
Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng
Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định về “Dữ liệu cá nhân nhạy cảm”.

Dữ liệu cá nhân nhạy cảm bao gồm:

Quan điểm chính trị, quan điểm tôn giáo;
Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán
Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị
Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết

2. Trách nhiệm của doanh nghiệp đối với việc xử lý dữ liệu cá nhân?

a) Tuân thủ các nguyên tắc về bảo vệ dữ liệu cá nhân

Căn cứ: Điều 3 Luật Bảo vệ dữ liệu cá nhân 2025

Nguyên tắc bảo vệ dữ liệu cá nhân được quy định như sau:

Tuân thủ quy định của Hiến pháp, quy định của Luật này và quy định khác của pháp luật có liên quan.
Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật.
Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.
Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.
Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
Bảo vệ dữ liệu cá nhân gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế – xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

b) Không thực hiện các hành vi bị nghiêm cấm

Căn cứ: Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025

Các hành vi bị nghiêm cấm bao gồm:

Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.
Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.
Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.
Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.
Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

c) Xây dựng, ban hành các quy chế nội bộ để bảo vệ dữ liệu cá nhân

Doanh nghiệp cần căn cứ vào tình hình thực tiễn để xây dựng Quy chế nội bộ đảm bảo sự phối hợp hiệu quả giữa các phòng ban, đồng thời áp dụng các biện pháp kỹ thuật cần thiết nhằm bảo vệ dữ liệu cá nhân.

Ngoài ra, doanh nghiệp cần bổ sung vào Nội quy lao động các quy định nghiêm cấm hành vi mua bán, tiết lộ hoặc chia sẻ trái phép dữ liệu cá nhân, làm cơ sở để xử lý kỷ luật lao động và yêu cầu bồi thường thiệt hại (nếu có).

d) Thông báo việc xử lý dữ liệu cá nhân

Căn cứ: Điều 13 Nghị định 13/2023/NĐ-CP

Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.

Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân gồm:

Mục đích xử lý;
Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý;
Cách thức xử lý;
Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý;
Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.

Lưu ý:

Trên nguyên tắc mọi hoạt động của quá trình xử lý dữ liệu cá nhân đều phải có sự đồng ý của chủ thể dữ liệu (trừ trường hợp luật có quy định khác)

e) Thành lập bộ phận chuyên trách bảo vệ dữ liệu cá nhân

Căn cứ: Điều 28 Nghị định 13/2023/NĐ-CP

Doanh nghiệp cần chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

Lưu ý:

Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định này trong 02 năm đầu kể từ khi thành lập doanh nghiệp (Căn cứ: Khoản 2 Điều 43 Nghị định 13/2023/NĐ-CP)

f) Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Căn cứ: Điều 24 Nghị định 13/2023/NĐ-CP

Khi xử lý dữ liệu cá nhân, doanh nghiệp cần lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân. Hồ sơ này phải được xác lập bằng văn bản có giá trị pháp lý.

Lưu ý:

Doanh nghiệp phải đảm bảo hồ sơ đánh giá tác động xử lý dữ liệu cá nhân luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Doanh nghiệp phải gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 Phụ lục ban hành kèm theo Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
Các doanh nghiệp có vốn đầu tư nước ngoài nói chung và doanh nghiệp có vốn đầu tư nước ngoài hoạt động theo mô hình Công ty mẹ – con nói riêng cần tuân thủ các quy định về chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài và nộp hồ sơ đánh giá chuyển dữ liệu cá nhân ra nước ngoài tới Bộ Công an.

g) Chịu trách nhiệm pháp lý về vi phạm quy định về bảo vệ dữ liệu cá nhân

Căn cứ: Điều 4 Nghị định 13/2023/NĐ-CP

Doanh nghiệp/cá nhân có hành vi vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị:

Xử lý kỷ luật theo quy định nội bộ
Xử phạt vi phạm hành chính với mức phạt tại dự thảo Nghị định xử phạt đang được trình Chính phủ thông qua là 5% doanh thu và tước giấy phép hoạt động/giấy phép kinh doanh
Xử lý trách nhiệm hình sự theo quy định.

h) Bảo vệ dữ liệu cá nhân trong tuyển dụng lao động

Căn cứ: Khoản 1 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025

Doanh nghiệp/cá nhân có trách nhiệm bảo vệ dữ liệu cá nhân trong tuyển dụng như sau:

Chỉ được yêu cầu cung cấp các thông tin phục vụ cho mục đích tuyển dụng phù hợp với quy định của pháp luật.
Thông tin cung cấp phải được xử lý theo quy định của pháp luật và phải được sự đồng ý của người dự tuyển.
Phải xóa, hủy thông tin đã cung cấp của người dự tuyển nếu không tuyển dụng. Trừ trường hợp có thỏa thuận khác với người đã dự tuyển.

i) Bảo vệ dữ liệu cá nhân trong quản lý, sử dụng người lao động

Căn cứ: Khoản 2 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025

Doanh nghiệp/cá nhân có trách nhiệm bảo vệ dữ liệu cá nhân trong quản lý, sử dụng người lao động như sau:

Tuân thủ quy định của Luật này, pháp luật về lao động, việc làm, pháp luật về dữ liệu và quy định khác của pháp luật có liên quan.
Dữ liệu cá nhân của người lao động phải lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận.
Phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng. Trừ trường hợp có thỏa thuận khác với người đã dự tuyển.

Trên đây là Trách nhiệm của doanh nghiệp đối với việc xử lý dữ liệu cá nhân. Hãy liên hệ với Luật Kỳ Vọng Việt để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Hotline: 090.225.5492

Xem thêm: