Nghị định 356/2025/NĐ-CP, Doanh nghiệp nào được miễn trừ thực hiện thủ tục về Dữ liệu cá nhân

Theo quy định mới nhất, các doanh nghiệp siêu nhỏ, hộ kinh doanh và doanh nghiệp khởi nghiệp (Startup) được hưởng chính sách miễn trừ hoặc trì hoãn thực hiện một số thủ tục bắt buộc về bảo vệ dữ liệu cá nhân trong vòng 05 năm. Tuy nhiên, quyền lợi này không áp dụng cho các đơn vị trực tiếp xử lý dữ liệu nhạy cảm, kinh doanh dịch vụ xử lý dữ liệu hoặc có quy mô từ 100.000 chủ thể dữ liệu trở lên. Việc nhận diện đúng vị thế doanh nghiệp giúp đơn vị tối ưu hóa chi phí vận hành mà vẫn đảm bảo an toàn pháp lý trong giai đoạn chuyển đổi số.

Nội dung bài viết:

1. Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp và tuân thủ dữ liệu cá nhân

Với chính sách khuyến khích và tạo điều kiện thuận lợi nhất cho các doanh nghiệp nhỏ, hiện tại đối với vấn đề về dữ liệu cá nhân Nghị định 356/2025/NĐ-CP hướng dẫn Luật bảo vệ dữ liệu cá nhân đã quy định rõ một số nhóm doanh nghiệp sẽ có lộ trình nhất định cho việc thực hiện các thủ tục về dữ liệu cá nhân trong một khoảng thời gian cụ thể. Theo đó với doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện một số nội dung sau:

Thực hiện hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, bao gồm bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không phải lập, lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, nộp cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân.
Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới được cập nhật định kỳ 06 tháng khi có sự thay đổi hoặc cập nhật ngay trong các trường hợp luật định.
Tổ chức lực lượng bảo vệ dữ liệu cá nhân, bao gồm việc lập các bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.

Lộ trình mà pháp luật quy định là trong thời gian 05 năm kể từ ngày Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành, trừ doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.

Dưới góc độ quản trị rủi ro, dù Nghị định 336/2025/NĐ-CP trao cho doanh nghiệp nhỏ và Startup quyền ‘chưa phải thực hiện’ các hồ sơ tác động trong 05 năm, tôi luôn khuyến nghị khách hàng không nên đứng ngoài cuộc. Theo đó có 03 lý do then chốt mà doanh nghiệp cần cân nhắc để thực hiện tuân thủ ngay từ giai đoạn đầu:

Rào cản về dữ liệu nhạy cảm: Ranh giới giữa dữ liệu thường và dữ liệu nhạy cảm rất mong manh. Chỉ cần một hoạt động thu thập vị trí địa lý hoặc thông tin thanh toán, quyền miễn trừ của bạn sẽ lập tức bị vô hiệu.
Lợi thế khi làm việc với đối tác lớn: Các tập đoàn đa quốc gia hoặc các quỹ đầu tư luôn đặt tiêu chuẩn bảo vệ dữ liệu là điều kiện tiên quyết trong các vòng thẩm định (Due Diligence). Việc sở hữu hồ sơ đánh giá tác động (DPIA) bài bản chính là ‘giấy thông hành’ giúp Startup chứng minh năng lực quản trị và sự chuyên nghiệp.
Áp lực khi chạm ngưỡng 100.000 chủ thể: Với tốc độ tăng trưởng của Startup, con số 100.000 chủ thể dữ liệu có thể đạt được rất nhanh. Nếu đợi đến khi chạm ngưỡng mới bắt đầu xây dựng hệ thống tuân thủ, doanh nghiệp sẽ rơi vào tình trạng đứt gãy vận hành và đối mặt với chi phí chuyển đổi cực kỳ lớn.

Vì vậy, hãy coi 05 năm này là thời gian để xây dựng nền tảng, chứ không phải là lý do để trì hoãn. Việc thực hiện hồ sơ ngay từ bây giờ sẽ giúp doanh nghiệp chủ động kiểm soát rủi ro trong quá trình hoạt động khi doanh nghiệp không còn thuộc nhóm miễn trừ hay theo lộ trình.

2. Doanh nghiệp được miễn trừ thủ tục về Dữ liệu cá nhân

Đối với doanh nghiệp siêu nhỏ không phải thực hiện quy định liên quan đánh giá tác động xử lý dữ liệu cá nhân; Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới; thành lập bộ phận, nhân sự đủ điều kiện năng lực lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.

Tuy nhiên sự miễn trừ này không áp dụng cho trường hợp doanh nghiệp siêu nhỏ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.

Hiện nay, Luật Hỗ trợ doanh nghiệp nhỏ và vừa đang được xem xét lấy ý kiến để có cơ sở điều chỉnh các tiêu chí doanh nghiệp nhỏ, doanh nghiệp siêu nhỏ cho mục đích phù hợp với các tiêu chuẩn kinh tế số và an ninh mạng mới. Điều này có nghĩa là ranh giới định nghĩa ‘doanh nghiệp siêu nhỏ’ có thể sẽ thay đổi, dẫn đến việc thu hẹp hoặc mở rộng đối tượng được miễn trừ thủ tục dữ liệu. Vì vậy tương tự như trên, từ góc độ một đơn vị chuyên tư vấn pháp lý cho các doanh nghiệp, chúng tôi khuyến nghị doanh nghiệp nên có kế hoạch kiểm soát một cách chặt chẽ việc lưu trữ, xử lý dữ liệu cá nhân của chính doanh nghiệp và khách hàng.

Lời khuyên từ CDLAF, rất nhiều doanh nghiệp Startup hiện nay trong lĩnh vực tài chính, thương mại điện tử, y tế… có thể cho rằng mình là doanh nghiệp nhỏ nên được miễn trừ. Tuy nhiên, doanh nghiệp quên mất rằng sản phẩm của họ trực tiếp xử lý dữ liệu tài chính hoặc sức khỏe – vốn là dữ liệu cá nhân nhạy cảm.

Tại CDLAF, lời khuyên của tôi là doanh nghiệp cần thực hiện ‘Phân loại dữ liệu’ (Data Classification) trước khi quyết định có thực hiện hồ sơ đánh giá tác động hay không. Nếu bạn không nộp hồ sơ vì nghĩ mình thuộc diện miễn trừ nhưng khi thanh tra, cơ quan chức năng chứng minh được bạn đang xử lý dữ liệu nhạy cảm hoặc đã vượt ngưỡng 100.000 chủ thể, mức xử phạt sẽ rất nặng vì tính chất vi phạm có hệ thống. Do đó, ‘miễn trừ thủ tục’ không đồng nghĩa với ‘miễn trừ trách nhiệm bảo vệ dữ liệu cá nhân theo quy định.

CDLAF – Đơn vị tư vấn chuyên sâu và thực hiện thủ tục tuân thủ về Bảo vệ dữ liệu cá nhân tại Việt Nam.

Email tư vấn: info@cdlaf.vn
Hotline: (+84) 909 668 216

Thời gian viết bài: 02/01/2026

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Vì sao chọn dịch vụ CDLAF

Chúng tôi cung cấp đến bạn giải pháp pháp lý hiệu quả và toàn diện, giúp bạn tiết kiệm ngân sách, duy trì sự tuân thủ trong doanh nghiệp;
Chúng tôi tiếp tục duy trì việc theo dõi vấn đề pháp lý của bạn ngay cả khi dịch vụ đã hoàn thành và cập nhật đến bạn khi có bất kỳ sự thay đổi nào từ hệ thống pháp luật Việt Nam;
Hệ thống biểu mẫu về doanh nghiệp, đầu tư được xây dựng và cập nhật liên tục sẽ cung cấp khi khách hàng yêu cầu, rút ngắn thời gian thực hiện thủ tục;
Doanh nghiệp cập nhật kịp thời các chính sách và phương thức làm việc tại các cơ quan nhà nước có thẩm quyền;
Đội ngũ Luật sư của CDLAF nhiều năm kinh nghiệm hoạt động tại lĩnh vực Lao động, Doanh nghiệp, Đầu tư cùng với các cố vấn nhân sự, tài chính;
Quy trình bảo mật thông tin nghiêm ngặt trong suốt quá trình thực hiện dịch vụ và ngay cả khi dịch vụ được hoàn thành sau đó;

Bạn có thể tham thảo thêm:

Doanh Nghiệp Quảng Cáo Cần Chuẩn Bị Gì Để Tuân Thủ Pháp Luật Về Dữ Liệu Cá Nhân?

Trách Nhiệm Của Doanh Nghiệp Khi Sử Dụng Lao Động Nước Ngoài

Doanh Nghiệp Có Bắt Buộc Có Nhân Sự Bảo Vệ Dữ Liệu Cá Nhân?

Dự Thảo Xử Phạt Vi phạm Về Dữ Liệu Cá Nhân Đã Quy Định Các Hành Vi Và Mức Phạt Như Thế Nào? (Phần 2)

Dự Thảo Xử Phạt Vi phạm Về Dữ Liệu Cá Nhân Đã Quy Định Các Hành Vi Và Mức Phạt Như Thế Nào? (Phần 1)

Hướng Dẫn Xây Dựng Chính Sách Bảo Vệ Dữ Liệu Cá Nhân Theo Luật Mới (Phần 1)