Luật bảo vệ dữ liệu cá nhân chính thức có hiệu lực từ ngày 01/01/2026, mang đến bước tiến lớn về bảo vệ quyền riêng tư. Luật xác lập rõ các quyền dữ liệu cơ bản của công dân như quyền được biết, đồng ý, truy cập, chỉnh sửa và yêu cầu xóa dữ liệu. Doanh nghiệp và cá nhân cần lưu ý tuân thủ các quy định mới của Luật bảo vệ dữ liệu cá nhân được MISA eSign tổng hợp dưới đây để tránh rủi ro pháp lý.
1. Thông tin cơ bản về Luật bảo vệ dữ liệu cá nhân
» Tải file Luật bảo vệ dữ liệu cá nhân: TẠI ĐÂY
| Loại văn bản | Luật |
| Số, ký hiệu | 91/2025/QH15 |
| Tổ chức ban hành | Quốc hội |
| Ngày ban hành | 26/06/2025 |
| Ngày có hiệu lực thi hành | 01/01/2026 |
| Trích yếu | Quy định về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan. |
| Tải Nghị định |  |
Mục đích của việc ban hành Luật bảo vệ dữ liệu cá nhân
- Bảo vệ quyền riêng tư của cá nhân: Đảm bảo mọi thông tin cá nhân được thu thập, xử lý phải có sự đồng ý rõ ràng, minh bạch từ chủ thể dữ liệu.
- Tăng cường an toàn thông tin: Ngăn ngừa việc lạm dụng, rò rỉ hoặc đánh cắp dữ liệu cá nhân, đồng thời nâng cao ý thức bảo mật thông tin trong toàn xã hội.
- Phù hợp xu hướng quốc tế: Đảm bảo Việt Nam hội nhập xu hướng chung về bảo vệ dữ liệu cá nhân, tăng tính minh bạch, tạo điều kiện hợp tác quốc tế.
- Nâng cao trách nhiệm của tổ chức, doanh nghiệp: Bắt buộc tổ chức, doanh nghiệp tuân thủ các quy trình bảo vệ dữ liệu, từ đó bảo vệ quyền lợi người dùng và giảm thiểu rủi ro pháp lý.
2. Các điểm chính quan trọng doanh nghiệp cần lưu ý
2.1. Phạm vi áp dụng mở rộng toàn cầu
Căn cứ theo quy định tại khoản 2 điều 1 Luật bảo vệ dữ liệu cá nhân quy định về các đối tượng áp dụng, gồm:
2. Luật này áp dụng đối với:
a) Cơ quan, tổ chức, cá nhân Việt Nam;
b) Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam;
c) Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam và người gốc Việt Nam chưa xác định được quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước.
Như vậy, Luật bảo vệ dữ liệu cá nhân áp dụng cho cả tổ chức, cá nhân trong và ngoài nước nếu xử lý dữ liệu cá nhân của công dân Việt Nam hoặc người gốc Việt cư trú tại Việt Nam có căn cước. Quy định này tiệm cận tiêu chuẩn quốc tế, thể hiện sự chủ động của Việt Nam trong bảo vệ dữ liệu xuyên biên giới.
2.2. Quyền cơ bản của chủ thể dữ liệu cá nhân
Căn cứ khoản 1 điều 4 Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 quy định về quyền của chủ thể dữ liệu cá nhân gồm:
- Được biết về hoạt động xử lý dữ liệu cá nhân
- Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân
- Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân
- Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân
- Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật
- Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.
2.3. Nghĩa vụ của chủ thể dữ liệu
Căn cứ khoản 2 điều 4 Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 quy định về nghĩa vụ của chủ thể dữ liệu cá nhân gồm:
- Tự bảo vệ dữ liệu cá nhân của mình.
- Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.
- Cung cấp đầy đủ, chính xác dữ liệu cá nhân theo quy định pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý.
- Chấp hành pháp luật và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân.
2.4. Hành vi bị nghiêm cấm
Căn cứ điều 7 Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 quy định về hành vi bị nghiêm cấm, gồm:
- Xử lý dữ liệu cá nhân trái quy định pháp luật.
- Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
- Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
- Sử dụng dữ liệu cá nhân của người khác, hoặc cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái pháp luật.
- Cản trở hoạt động bảo vệ dữ liệu cá nhân.
- Lợi dụng hoạt động bảo vệ dữ liệu để thực hiện hành vi vi phạm pháp luật.
- Xử lý dữ liệu cá nhân nhằm chống Nhà nước, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự an toàn xã hội…
2.5. Chế tài vi phạm
Căn cứ điều 7 Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 quy định về xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân. Doanh nghiệp cần đặc biệt lưu ý cơ chế xử lý gồm hành chính, hình sự, bồi thường:
|
Việc tuân thủ Luật bảo vệ dữ liệu cá nhân đòi hỏi doanh nghiệp kiểm soát nghiêm ngặt quy trình xử lý và bảo mật thông tin. Phần mềm chữ ký số MISA eSign là giải pháp hiện đại giúp ký điện tử an toàn, xác thực mọi giao dịch số, đồng thời bảo vệ dữ liệu cá nhân theo đúng quy định pháp luật. Doanh nghiệp lựa chọn MISA eSign sẽ chủ động đáp ứng yêu cầu pháp lý, tiết kiệm thời gian và tăng cường uy tín trong thời đại chuyển đổi số.
| → NHẬN TƯ VẤN MIỄN PHÍ VỀ PHẦN MỀM CHỮ KÝ SỐ MISA ESIGN ← |
3. Trách nhiệm cụ thể doanh nghiệp cần thực hiện
Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ 01/01/2026 đặt ra yêu cầu tuân thủ chặt chẽ đối với mọi hoạt động thu thập, lưu trữ, sử dụng, chia sẻ và chuyển dữ liệu cá nhân trong doanh nghiệp, cụ thể:
3.1. Đối với nhóm lĩnh vực bị tác động trực tiếp
| Lĩnh vực | Vì sao bị tác động trực tiếp | Trách nhiệm phải thực hiện |
| Nền tảng số, ứng dụng, SaaS, mạng xã hội… | Thu thập dữ liệu tài khoản, hành vi, định danh, định vị; chia sẻ với đối tác. | Cập nhật chính sách bảo vệ dữ liệu, thiết lập cơ chế đồng ý và rút lại đồng ý, quy trình xử lý yêu cầu quyền chủ thể dữ liệu (truy cập, sửa, xóa, phản đối). |
| Thương mại điện tử, bán lẻ, giao vận, giao đồ ăn | Xử lý dữ liệu liên hệ, địa chỉ, lịch sử mua hàng, định vị giao hàng. | Giảm thiểu dữ liệu, phân quyền truy cập, kiểm soát chia sẻ dữ liệu cho shipper/đối tác, quy trình lưu trữ và xóa đúng hạn. |
| Ngân hàng, tài chính, ví điện tử, tín dụng | Dữ liệu định danh, tài khoản, giao dịch, đánh giá tín dụng. | Tăng cường kiểm soát nội bộ, hạn chế truy cập theo vai trò, quản trị mục đích xử lý, ghi nhận log, quy trình ứng phó sự cố rò rỉ. |
| Bảo hiểm | Hồ sơ sức khỏe, bồi thường, thẩm định | Chuẩn hóa thu thập hợp pháp, kiểm soát chia sẻ cho bên giám định/đối tác, quy trình xóa/ẩn danh khi hết mục đích. |
| Y tế, bệnh viện, phòng khám | Dữ liệu sức khỏe là nhóm nhạy cảm, rủi ro rất cao | Thiết lập chuẩn bảo mật, phân tách môi trường, quy trình truy cập hồ sơ bệnh án, kiểm soát bên thứ ba (xét nghiệm, lưu trữ cloud). |
| Giáo dục | Dữ liệu học sinh, phụ huynh; dữ liệu trẻ em | Quy trình thu thập và thông báo minh bạch, kiểm soát quảng cáo, theo dõi, bảo vệ dữ liệu trẻ em chặt hơn. |
| Nhân sự, tuyển dụng, quản trị lao động (HR/HRTech) | Hồ sơ ứng viên, hợp đồng lao động, đánh giá KPI, sinh trắc học (nếu có) | Rà soát dữ liệu bắt buộc, quy chế lưu trữ hồ sơ, kiểm soát camera, chấm công, quy trình xóa sau khi hết mục đích. |
| Marketing, quảng cáo, telesales… | Dùng dữ liệu để nhắm mục tiêu, liên hệ, chia sẻ danh sách | Thiết lập cơ chế đồng ý hợp lệ, quản trị nguồn dữ liệu, chặn rủi ro mua bán dữ liệu cá nhân (hành vi bị nghiêm cấm). |
| Viễn thông, internet, nhà mạng, dịch vụ định danh | Dữ liệu thuê bao, định danh, vị trí, lịch sử sử dụng | Quy trình bảo mật hệ thống, hạn chế truy cập, quy trình phối hợp cung cấp dữ liệu theo yêu cầu hợp pháp. |
| Du lịch, khách sạn, hàng không | Hộ chiếu/CCCD, hành trình, lưu trú | Chuẩn hóa thông báo mục đích, giới hạn thời hạn lưu trữ, bảo vệ dữ liệu giấy và dữ liệu số. |
3.2. Đối với nhóm doanh nghiệp bị tác động gián tiếp
Các nhóm sau cũng cần đảm bảo tuân thủ đúng quy định của Luật bảo vệ dữ liệu cá nhân vì đóng vai trò bên xử lý/bên thứ ba:
-
- Dịch vụ cloud, data center, hosting, MSP: Phải có cam kết bảo mật, phân quyền, hỗ trợ đáp ứng yêu cầu pháp lý.
- Đối tác vận hành (BPO/call center): bắt buộc quy trình truy cập dữ liệu, đào tạo, giám sát, ràng buộc hợp đồng.
- Đơn vị thanh toán, đối soát, eKYC, chữ ký số: kiểm soát mục đích xử lý, bảo mật, lưu trữ.
Như vậy, doanh nghiệp cần thực hiện những công việc sau để đảm bảo tuân thủ đúng quy định của Luật dữ liệu cá nhân:
- Cập nhật, rà soát quy trình thu thập, xử lý dữ liệu cá nhân nhằm bảo đảm tuân thủ các quy định mới.
- Xây dựng, ban hành chính sách bảo vệ dữ liệu cá nhân rõ ràng, công khai và minh bạch.
- Đảm bảo quyền của chủ thể dữ liệu, trong đó bao gồm quyền được biết, sửa, xoá, và phản đối xử lý dữ liệu cá nhân.
- Xin ý kiến đồng ý của chủ thể dữ liệu trước khi thực hiện thu thập, xử lý hoặc chuyển dữ liệu cá nhân.
- Đặt ra biện pháp bảo mật kỹ thuật, quản lý, phòng ngừa rò rỉ, thất thoát hoặc sử dụng trái phép dữ liệu cá nhân.
- Báo cáo, thông báo sự cố rò rỉ dữ liệu (nếu xảy ra) cho cơ quan có thẩm quyền theo quy định pháp luật.
- Đào tạo, nâng cao nhận thức cho nhân sự về bảo vệ dữ liệu cá nhân.
4. 3 bước tuân thủ luật bảo vệ dữ liệu cá nhân cho doanh nghiệp
- Bước 1: Đánh giá hiện trạng tuân thủ
Doanh nghiệp cần thực hiện kiểm tra, rà soát toàn diện các hoạt động liên quan tới dữ liệu cá nhân, bao gồm: thu thập, lưu trữ, xử lý, chuyển giao và bảo vệ dữ liệu cá nhân trong hệ thống.
-
- Phải xác định toàn bộ nguồn dữ liệu cá nhân đang quản lý, phân loại theo mức độ rủi ro, xác định những điểm chưa đáp ứng quy định về bảo vệ dữ liệu cá nhân.
- Đối chiếu thực trạng với các tiêu chí, quy định cụ thể tại Luật Bảo vệ Dữ liệu Cá nhân và các văn bản hướng dẫn liên quan.
- Thiết lập báo cáo đánh giá, phân tích những tồn tại, thiếu sót, từ đó lập phương án khắc phục.
- Bước 2: Xây dựng khung chính sách, quy trình nội bộ và đào tạo nhân sự
Sau khi đánh giá hiện trạng, doanh nghiệp phải xây dựng hoặc cập nhật hệ thống chính sách bảo vệ dữ liệu cá nhân, xác lập rõ ràng trách nhiệm của các bộ phận trong từng quy trình thu thập, xử lý, lưu trữ, chia sẻ và xóa dữ liệu cá nhân.
-
- Xây dựng các quy trình nội bộ đảm bảo mọi hoạt động xử lý dữ liệu cá nhân tuân thủ đầy đủ nguyên tắc về tính minh bạch, mục đích sử dụng, thu thập hợp pháp và bảo mật thông tin.
- Tổ chức đào tạo, phổ biến định kỳ đến toàn thể cán bộ, nhân viên nhằm nâng cao nhận thức, ngăn ngừa các hành vi vi phạm trong thực tiễn.
- Công khai chính sách bảo vệ dữ liệu cá nhân tới khách hàng, đối tác, đảm bảo quyền tiếp cận và phản hồi của chủ thể dữ liệu được thực hiện theo quy định pháp luật.
- Bước 3: Triển khai biện pháp kỹ thuật và nộp hồ sơ đánh giá tác động
Doanh nghiệp áp dụng các biện pháp kỹ thuật cần thiết (mã hóa, kiểm soát truy cập, bảo mật hệ thống…) nhằm đảm bảo an toàn cho dữ liệu cá nhân trong cả quá trình xử lý, lưu trữ và truyền tải.
-
- Thiết lập hệ thống kiểm soát truy cập, giới hạn quyền với dữ liệu cá nhân, áp dụng quy trình log audit để giám sát và phát hiện bất thường.
- Đối với các trường hợp phải đánh giá tác động theo luật định (ví dụ: chuyển dữ liệu ra nước ngoài, xử lý dữ liệu có nguy cơ cao…), doanh nghiệp cần chuẩn bị, hoàn thiện và nộp hồ sơ đánh giá tác động tới cơ quan quản lý nhà nước có thẩm quyền đúng trình tự, thủ tục.
- Đảm bảo thực hiện chế độ báo cáo định kỳ, chủ động phối hợp với cơ quan chức năng khi có yêu cầu kiểm tra, xác minh về công tác bảo vệ dữ liệu cá nhân.
Thực hiện đầy đủ ba bước này là yêu cầu bắt buộc, giúp doanh nghiệp phòng tránh rủi ro pháp lý, tăng cường uy tín trong hoạt động số hóa, đồng thời bảo vệ tối đa quyền và lợi ích hợp pháp của cá nhân theo đúng tinh thần của Luật Bảo vệ Dữ liệu Cá nhân.
Luật bảo vệ dữ liệu cá nhân được ban hành đã tạo hành lang pháp lý chặt chẽ bảo vệ quyền lợi của cá nhân trong môi trường số. Việc tuân thủ các quy định của luật không chỉ giúp doanh nghiệp phòng ngừa rủi ro, mà còn củng cố niềm tin nơi khách hàng và đối tác. Chủ động triển khai thực hiện luật bảo vệ dữ liệu cá nhân là bước đi cần thiết để phát triển bền vững trong thời đại số hóa.
MISA eSign – giải pháp chữ ký số từ xa uy tín, được tin dùng bởi các doanh nghiệp tại Việt Nam. Dịch vụ được cung cấp bởi Công ty Cổ phần MISA – đơn vị uy tín với nhiều năm kinh nghiệm trong lĩnh vực phần mềm và giải pháp CNTT. Chữ ký số từ xa MISA eSign mang đến nhiều tính năng vượt trội:
- Bảo mật thông tin, an toàn tuyệt đối:
- Được bộ TT&TT cấp phép, đạt tiêu chuẩn Châu Âu eIDAS
- Đáp ứng đầy đủ quy định pháp luật theo nghị định 130/2018/NĐ-CP và thông tư 16/2019/TT-BTTTT của Bộ TT&TT.
- Đầy đủ nghiệp vụ giao dịch điện tử: Xuất hóa đơn điện tử, kê khai/nộp thuế điện tử, BHXH, ký hợp đồng điện tử…
- Tối ưu năng suất, tiết kiệm chi phí vì MISA eSign tích hợp sẵn trong phần mềm hóa đơn điện tử, Thuế điện tử, BHXH, kế toán, bán hàng, nhân sự…
- Ký kết linh hoạt mọi văn bản, chứng từ, hợp đồng dạng word, excel, pdf… mọi lúc, mọi nơi ngay trên điện thoại di động, tablet, máy tính mà không cần USB Token
- Thủ tục đăng ký đơn giản; Phần mềm dễ dàng sử dụng; hỗ trợ nhanh chóng
Nếu có nhu cầu sử dụng phần mềm chữ ký số từ xa MISA eSign, quý khách hàng hãy đăng ký nhận báo giá và tư vấn miễn phí tại đây:
024 3795 9595
https://www.misa.vn/
