Sự ban hành Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP đã tạo ra một bước ngoặt pháp lý quan trọng, chuyển dịch cơ chế bảo vệ dữ liệu từ các khuyến nghị tùy nghi sang nghĩa vụ bắt buộc với các chế tài nghiêm khắc. Một trong những sửa đổi quan trọng là việc luật hóa trách nhiệm của Bên Kiểm soát dữ liệu trong công tác thiết lập hệ thống kiểm soát nội bộ. Hiện nay, tư duy cho rằng “dữ liệu nội bộ được chia sẻ tự do” vẫn còn tồn tại ở nhiều doanh nghiệp; tuy nhiên, đối chiếu với quy định hiện hành, quan điểm này tiềm ẩn rủi ro pháp lý nghiêm trọng. Bài viết này tập trung phân tích trách nhiệm kiểm soát và các nguyên tắc chia sẻ dữ liệu nội bộ nhằm đảm bảo sự tuân thủ pháp luật.
1. Trách nhiệm thiết lập Hệ thống kiểm soát nội bộ
Theo Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp với tư cách là Bên Kiểm soát và Xử lý dữ liệu phải chịu trách nhiệm toàn trình đối với quy trình xử lý dữ liệu, không chỉ giới hạn ở kết quả cuối cùng.
Xây dựng và thực thi quy trình vận hành
Doanh nghiệp có nghĩa vụ tích hợp các biện pháp bảo vệ dữ liệu ngay từ giai đoạn thiết kế quy trình vận hành, thay vì áp dụng các giải pháp khắc phục mang tính đối phó sau sự cố. Cụ thể:
- Phân loại dữ liệu: Doanh nghiệp phải thực hiện phân định rõ Dữ liệu cơ bản và Dữ liệu nhạy cảm theo danh mục tại Nghị định 356/2025/NĐ-CP ngay tại thời điểm thu thập để áp dụng biện pháp bảo mật tương xứng (ví dụ: mã hóa đối với dữ liệu nhạy cảm).
- Nhật ký hệ thống: Hệ thống phải có khả năng ghi nhận tự động mọi thao tác truy cập, sao chép, trích xuất dữ liệu của nhân sự nội bộ nhằm phục vụ công tác thanh tra, kiểm tra của cơ quan nhà nước có thẩm quyền.
- Quy trình xử lý sự cố: Thiết lập cơ chế báo cáo vi phạm cho cơ quan chuyên trách và chủ thể dữ liệu cá nhân trong thời hạn tối đa 72 giờ kể từ khi phát hiện sự cố.
- Đảm bảo quyền của chủ thể dữ liệu: Hệ thống phải được chuẩn hóa để đáp ứng các thời hạn theo Nghị định 356/2025/NĐ-CP, bao gồm: Xác nhận yêu cầu:Phản hồi trong vòng 02 ngày làm việc kể từ khi nhận được yêu cầu. Quyền xem/chỉnh sửa: Hoàn thành trong vòng 10 ngày (hoặc 15 ngày nếu qua bên thứ ba). Thực hiện yêu cầu rút lại sự đồng ý/hạn chế xử lý: Hoàn thành trong vòng 15 ngày (hoặc 20 ngày nếu qua bên thứ ba). Thực hiện yêu cầu xóa dữ liệu: Hoàn thành trong vòng 20 ngày (hoặc 30 ngày nếu qua bên thứ ba).
Lưu ý: Các Phòng ban cần xóa bỏ tình trạng lưu trữ phân tán (file cá nhân, email rời rạc) và quy hoạch về hệ thống dữ liệu tập trung để đảm bảo khả năng truy xuất và xóa triệt để.
2. Đào tạo và nâng cao nhận thức
Nghị định 356/2025/NĐ-CP yêu cầu doanh nghiệp phải xây dựng kế hoạch và triển khai đào tạo không chỉ cho đội ngũ chuyên trách mà còn cho toàn bộ nhân viên về rủi ro và quy trình bảo vệ dữ liệu. Mọi vi phạm do lỗi con người (như gửi nhầm email, thiết bị nhiễm mã độc) đều được xem là vi phạm trực tiếp nghĩa vụ của Bên Kiểm soát dữ liệu.
Kiện toàn nhân sự bảo vệ dữ liệu cá nhân
Doanh nghiệp bắt buộc phải chỉ định bộ phận/nhân sự bảo vệ dữ liệu hoặc thuê ngoài (trừ trường hợp doanh nghiệp nhỏ/khởi nghiệp trong 05 năm đầu được hưởng cơ chế miễn trừ tạm thời)[1]. Nhân sự được bổ nhiệm phải đáp ứng các tiêu chuẩn: trình độ Cao đẳng trở lên, tối thiểu 02 năm kinh nghiệm liên quan (Luật, CNTT…) và có chứng chỉ đào tạo về bảo vệ dữ liệu[2]. Đây là đầu mối chịu trách nhiệm giám sát tuân thủ và làm việc với cơ quan chức năng.
Đánh giá tác động xử lý dữ liệu (DPIA)
Đây là quy trình kiểm soát rủi ro liên tục, không phải thủ tục hành chính một lần. Hồ sơ DPIA phải được lập ngay từ khi bắt đầu xử lý dữ liệu, mô tả luồng dữ liệu, mục đích, rủi ro và biện pháp giảm thiểu. Hồ sơ phải gửi Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao trong vòng 60 ngày và cập nhật định kỳ 06 tháng/lần.
3. Kiểm soát chia sẻ dữ liệu nội bộ
Doanh nghiệp cần xóa bỏ tư duy “dữ liệu nội bộ là tài sản dùng chung”. Việc luân chuyển dữ liệu giữa các phòng ban (ví dụ: Nhân sự chuyển cho Kế toán, Kinh doanh chuyển cho Marketing) được pháp luật xem là hành vi xử lý dữ liệu và tiềm ẩn rủi ro pháp lý lớn nếu thiếu kiểm soát. Hoạt động chia sẻ nội bộ phải tuân thủ nghiêm ngặt các nguyên tắc sau:
Đúng mục đích: Dữ liệu chỉ được chia sẻ và sử dụng cho mục đích đã thông báo với chủ thể dữ liệu. Nghiêm cấm tự ý sử dụng cho mục đích phát sinh nếu không có sự đồng ý bổ sung (ví dụ: dữ liệu giao hàng không đương nhiên được dùng để tiếp thị sản phẩm).
Tối thiểu và cần thiết: Áp dụng cơ chế phân quyền chi tiết, đảm bảo các bộ phận chỉ tiếp cận lượng dữ liệu tối thiểu cần thiết để thực thi nhiệm vụ (ví dụ: CSKH không cần tiếp cận thông tin tài khoản ngân hàng nếu không xử lý hoàn tiền).
Quy trình phê duyệt: Việc chia sẻ dữ liệu quy mô lớn giữa các bộ phận phải được phê duyệt bởi nhân sự bảo vệ dữ liệu hoặc Trưởng bộ phận sở hữu dữ liệu, kèm theo cam kết bảo mật bằng văn bản của bên nhận.
4. Khuyến nghị tuân thủ
Để giảm thiểu rủi ro pháp lý và đảm bảo tuân thủ Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp cần triển khai đồng bộ các giải pháp sau:
Rà soát luồng dữ liệu: Phối hợp liên phòng ban để xác định rõ đường đi và nơi lưu trữ dữ liệu.
Thể chế hóa quy định: Ban hành Quy chế Bảo vệ dữ liệu nội bộ, cụ thể hóa các quy định pháp luật vào nội quy công ty và thiết lập chế tài xử lý kỷ luật đối với vi phạm.
Đào tạo nhận thức: Thực hiện đào tạo bắt buộc, đặc biệt đối với nhân sự thường xuyên tiếp cận dữ liệu nhạy cảm.
Thiết lập rào cản kỹ thuật: Phối hợp với bộ phận CNTT triển khai các lớp bảo mật, mã hóa và hệ thống phân quyền truy cập chi tiết.
Việc tuân thủ Luật Bảo vệ dữ liệu cá nhân 2025 không chỉ dừng lại ở nghĩa vụ pháp lý mà còn là yếu tố then chốt bảo vệ uy tín và an toàn tài chính của doanh nghiệp. Một hệ thống kiểm soát nội bộ vững chắc cùng quy trình chia sẻ dữ liệu minh bạch là lá chắn hữu hiệu trước các rủi ro pháp lý trong kỷ nguyên số.
Thời gian viết bài: 19/01/2026
[1] Luật Bảo vệ dữ liệu cá nhân 2025, Điều 38; Nghị định 356/2025/NĐ-CP, Điều 41
[2] Nghị định 356/2025/NĐ-CP, Điều 13, khoản 2
Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn
Vì sao chọn dịch vụ CDLAF
- Chúng tôi cung cấp đến bạn giải pháp pháp lý hiệu quả và toàn diện, giúp bạn tiết kiệm ngân sách, duy trì sự tuân thủ trong doanh nghiệp;
- Chúng tôi tiếp tục duy trì việc theo dõi vấn đề pháp lý của bạn ngay cả khi dịch vụ đã hoàn thành và cập nhật đến bạn khi có bất kỳ sự thay đổi nào từ hệ thống pháp luật Việt Nam;
- Hệ thống biểu mẫu về doanh nghiệp, đầu tư được xây dựng và cập nhật liên tục sẽ cung cấp khi khách hàng yêu cầu, rút ngắn thời gian thực hiện thủ tục;
- Doanh nghiệp cập nhật kịp thời các chính sách và phương thức làm việc tại các cơ quan nhà nước có thẩm quyền;
- Đội ngũ Luật sư của CDLAF nhiều năm kinh nghiệm hoạt động tại lĩnh vực Lao động, Doanh nghiệp, Đầu tư cùng với các cố vấn nhân sự, tài chính;
- Quy trình bảo mật thông tin nghiêm ngặt trong suốt quá trình thực hiện dịch vụ và ngay cả khi dịch vụ được hoàn thành sau đó;
Bạn có thể tham thảo thêm:
- Nhân sự bảo vệ Dữ liệu cá nhân theo Nghị định 356: Tự thực hiện hay Thuê ngoài chuyên nghiệp?
- Các điều kiện để việc chuyển dữ liệu cho đối tác được coi là “hợp lệ”
- Quy định liên quan đến Dữ liệu cá nhân theo Pháp luật Bảo vệ dữ liệu cá nhân hiện hành
- Tổng quan các quy định mới và cơ chế ưu đãi tại Nghị định 354/2025/NĐ-CP về Khu công nghệ số tập trung
- Nghị định 356/2025/NĐ-CP, Doanh nghiệp nào được miễn trừ thực hiện thủ tục về Dữ liệu cá nhân
- [Cập Nhật 2026] chuyển dữ liệu xuyên biên giới theo nghị định 336/2025/NĐ-CP: Quy định và thủ tục tuân thủ
