PDPL 2025 — Luật Bảo vệ Dữ liệu Cá nhân cho doanh nghiệp Việt Nam (hiệu lực 01/01/2026)
Luật Bảo vệ Dữ liệu Cá nhân 2025 (PDPL) hiệu lực 01/01/2026 — khung pháp lý PII đầu tiên của VN, mức phạt tới 5% doanh thu. Phân tích: 7 nguyên tắc xử lý PII, 5 quyền của chủ thể dữ liệu, nghĩa vụ DN (DPO, DPIA, breach notification 72h), so sánh GDPR, checklist tuân thủ 24 mục cho startup + SMB + enterprise.
Hướng dẫn tuân thủ PDPL 2025 cho DN VN — DPO, DPIA, breach notification, transfer assessment, audit checklist.
Việt Nam lần đầu có khung pháp lý đầy đủ về bảo vệ dữ liệu cá nhân — Luật Bảo vệ Dữ liệu Cá nhân 2025 (PDPL), hiệu lực 01/01/2026. PDPL áp dụng cho mọi DN xử lý dữ liệu cá nhân (email, SĐT, CCCD, dữ liệu nhân viên, dữ liệu khách hàng) với mức phạt vi phạm có thể lên tới 5% doanh thu hằng năm — cao hơn cả GDPR EU (4%).
Bài này tổng hợp 7 nguyên tắc PDPL, 5 quyền chủ thể dữ liệu, nghĩa vụ DN (DPO, DPIA, breach notification 72h), so sánh với GDPR, và checklist 24 mục tuân thủ. Áp dụng cho startup, SMB, enterprise, FDI.
Xem toàn cảnh Luật DN 2020 sửa đổi 2025 (bối cảnh PDPL) tại pillar Luật DN 2020 sửa đổi 2025 — toàn cảnh 47 thay đổi.
PDPL 2025 — phạm vi áp dụng
Luật áp dụng cho mọi tổ chức + cá nhân xử lý dữ liệu cá nhân (PII) của công dân Việt Nam, bất kể tổ chức có trụ sở tại VN hay không (extraterritorial — giống GDPR).
Dữ liệu cá nhân (PII) định nghĩa rộng:
- PII chung: họ tên, ngày sinh, giới tính, địa chỉ, SĐT, email, CCCD, MST cá nhân
- PII nhạy cảm: tôn giáo, dân tộc, sức khoẻ, tình trạng hôn nhân, tài chính cá nhân, thông tin sinh trắc (vân tay, khuôn mặt, võng mạc), xu hướng tính dục, vị trí địa lý real-time
7 nguyên tắc PDPL (giống GDPR Art.5)
1. Hợp pháp + minh bạch
2. Mục đích cụ thể
3. Tối thiểu hoá dữ liệu
4. Chính xác + cập nhật
5. Lưu trữ giới hạn
6. Bảo mật + toàn vẹn
7. Trách nhiệm giải trình
- Hợp pháp + minh bạch — xử lý phải có cơ sở pháp lý + thông báo rõ cho chủ thể
- Mục đích cụ thể — thu thập với mục đích rõ ràng, không lạm dụng sang mục đích khác
- Tối thiểu hoá dữ liệu — chỉ thu thập what is NEEDED, không thu thập "phòng khi có lúc dùng"
- Chính xác — đảm bảo dữ liệu đúng + cập nhật định kỳ
- Giới hạn lưu trữ — chỉ giữ trong thời gian cần thiết, xoá khi không còn mục đích
- Toàn vẹn + bảo mật — bảo vệ chống truy cập trái phép, mất mát, phá hoại (encryption, access control)
- Trách nhiệm giải trình — DN phải chứng minh được tuân thủ, không chỉ tuân thủ. Hồ sơ + audit trail bắt buộc.
5 quyền của chủ thể dữ liệu
- Quyền được biết — yêu cầu DN cho biết dữ liệu gì đang được xử lý, mục đích, thời gian lưu, bên thứ ba chia sẻ
- Quyền truy cập + chỉnh sửa — yêu cầu copy dữ liệu của mình + sửa thông tin sai
- Quyền xoá ("right to be forgotten") — yêu cầu xoá dữ liệu khi không còn mục đích
- Quyền hạn chế xử lý — yêu cầu tạm dừng xử lý dữ liệu (vd: trong khi đang khiếu nại)
- Quyền chuyển dữ liệu — yêu cầu xuất dữ liệu theo format machine-readable để chuyển sang DN khác
DN phải đáp ứng các yêu cầu này trong 30 ngày (có thể gia hạn 30 ngày với lý do). Phản hồi miễn phí cho yêu cầu đầu tiên/năm; sau đó có thể tính phí hợp lý.
Nghĩa vụ DN theo PDPL
1. Bổ nhiệm Data Protection Officer (DPO)
Bắt buộc khi:
- Xử lý PII của ≥10.000 công dân VN
- Xử lý PII nhạy cảm (sức khoẻ, sinh trắc, tài chính)
- Là cơ quan nhà nước
DPO có quyền độc lập, không bị conflict-of-interest. Có thể là nhân sự nội bộ hoặc thuê outsource. Thông tin DPO phải công khai + nộp Bộ Công an + Cục An toàn thông tin.
2. Đánh giá tác động bảo vệ dữ liệu (DPIA)
Bắt buộc khi triển khai dự án mới có tác động lớn đến PII — data protection impact assessment. Báo cáo gồm:
- Mô tả hệ thống + dòng dữ liệu
- Rủi ro tiềm năng + biện pháp giảm thiểu
- Cơ sở pháp lý xử lý
- Tham vấn chủ thể dữ liệu nếu cần
DPIA phải hoàn tất TRƯỚC khi launch sản phẩm + nộp Cục An toàn thông tin để review.
3. Thông báo vi phạm (Breach Notification) 72 giờ
Khi xảy ra data breach (lộ lọt, mất mát, truy cập trái phép) ảnh hưởng PII, DN phải:
- Thông báo Cục An toàn thông tin trong 72 giờ
- Thông báo chủ thể dữ liệu bị ảnh hưởng nếu breach có rủi ro cao
- Lưu hồ sơ breach + biện pháp khắc phục để audit
Không thông báo = vi phạm nghiêm trọng, phạt 1-3% doanh thu.
4. Lưu trữ dữ liệu tại VN (data localization)
Một số loại PII nhạy cảm + dữ liệu công dân VN BẮT BUỘC lưu trữ tại data center vật lý Việt Nam (theo NĐ 53/2022 + PDPL Đ.34). Áp dụng cho:
- Cơ quan nhà nước
- Tổ chức tín dụng + fintech (PII tài chính)
- Mạng xã hội có ≥10K user VN
- DN ngành y tế (PII sức khoẻ)
5. Hợp đồng với bên thứ ba (Data Processing Agreement)
Khi DN share PII cho vendor (cloud, CRM, analytics, marketing agency), phải ký DPA quy định:
- Mục đích xử lý cụ thể
- Loại PII share
- Thời gian lưu
- Nghĩa vụ bảo mật của vendor
- Quyền audit của DN
- Cơ chế notify breach
PDPL vs GDPR — bảng so sánh
| Tiêu chí | PDPL 2025 | GDPR (EU) |
|---|---|---|
| Phạt tối đa | 5% doanh thu | 4% doanh thu HOẶC €20M |
| Breach notification | 72h | 72h |
| DPO bắt buộc | ≥10K user / PII nhạy cảm | Cơ quan công + xử lý quy mô lớn |
| Data localization | Bắt buộc 1 số ngành (tài chính, MXH ≥10K user) | Không (chỉ adequacy decision cho transfer ngoài EU) |
| Extraterritorial | Có (DN ngoài VN xử lý PII công dân VN) | Có |
| DPIA | Bắt buộc cho dự án tác động cao | Bắt buộc cho high-risk processing |
Nhìn chung PDPL khắt khe hơn GDPR ở 2 điểm: mức phạt cao hơn + có yêu cầu data localization. DN đã tuân thủ GDPR (do làm việc với khách EU) sẽ thấy PDPL không quá xa lạ.
Checklist tuân thủ PDPL — 24 mục
Nhóm A — Đánh giá hiện trạng (6 mục)
- Inventory toàn bộ PII đang xử lý (nguồn, loại, mục đích, thời gian lưu)
- Mapping data flow giữa các hệ thống nội bộ + vendor bên ngoài
- Xác định ai là Data Controller vs Data Processor cho từng dataset
- Phân loại PII chung vs PII nhạy cảm
- Identify cơ sở pháp lý xử lý (consent / contract / legal obligation / legitimate interest)
- Audit hợp đồng vendor — DPA có chưa
Nhóm B — Setup nghĩa vụ tổ chức (6 mục)
- Bổ nhiệm DPO + công khai thông tin liên hệ
- Xây Privacy Policy + Cookie Policy bằng tiếng Việt
- Setup form thu thập consent rõ ràng (granular, withdrawable)
- Setup quy trình xử lý yêu cầu của chủ thể dữ liệu (30 ngày)
- Setup breach notification workflow (72h)
- Train nhân viên xử lý PII về PDPL — annual mandatory
Nhóm C — Technical safeguards (6 mục)
- Encryption at-rest + in-transit cho mọi PII
- Access control role-based (RBAC) — least privilege principle
- Audit log mọi truy cập PII (giữ 5 năm)
- Backup + disaster recovery plan
- Pen test + vulnerability scan định kỳ (annual)
- Data localization cho ngành quy định
Nhóm D — Documentation + audit (6 mục)
- DPIA cho mỗi sản phẩm mới có tác động lớn
- Records of Processing Activities (RoPA) — hồ sơ chi tiết
- DPA với mọi vendor xử lý PII
- Consent records (timestamp, version Privacy Policy)
- Internal audit hằng năm + báo cáo cho HĐQT
- Liên hệ Cục An toàn thông tin định kỳ — báo cáo compliance status
FAQ
SMB nhỏ có cần tuân thủ PDPL không?
Có. PDPL không có ngưỡng "miễn áp dụng cho SMB" như một số luật khác. Mọi DN xử lý PII của ≥1 công dân VN đều phải tuân thủ. Tuy nhiên nghĩa vụ scale-up theo quy mô — SMB không bắt buộc DPO nếu xử lý <10K user PII + không xử lý PII nhạy cảm.
DN nước ngoài (FDI) có cần lưu trữ PII tại VN không?
Tuỳ ngành. FDI ngân hàng / fintech / mạng xã hội ≥10K user VN BẮT BUỘC lưu PII công dân VN tại data center vật lý VN. Các FDI khác (SaaS, ERP, manufacturing) hiện chưa bắt buộc nhưng có thể bị thêm vào quy định sau.
Có cần consent của user mỗi lần thay đổi Privacy Policy không?
Tuỳ tính chất thay đổi. Thay đổi nhỏ (cập nhật địa chỉ DN, fix typo) — không cần re-consent. Thay đổi lớn (mở rộng mục đích xử lý, thêm vendor) — bắt buộc thông báo + re-consent.
Thuê DPO outsource có hợp lệ không?
Có. DPO không cần là nhân viên nội bộ. Có thể thuê luật sư / công ty tư vấn pháp lý làm DPO ngoài, miễn là có thẩm quyền độc lập + không conflict-of-interest với hoạt động xử lý PII.
Phạt PDPL có áp dụng cho cá nhân HĐQT không?
Có với vi phạm nghiêm trọng (cố ý lộ PII, không thông báo breach). Trách nhiệm cá nhân của Tổng GĐ + DPO + HĐQT theo Đ.40 PDPL — phạt cá nhân tới 500M VND + có thể truy cứu hình sự.
PDPL compliance reference: các DN niêm yết HOSE như FPT (MST 0101248141) + Vietcombank (MST 0100112437) đã có DPO + DPIA + breach notification framework theo PDPL 2025 — model cho mid-cap DN bắt đầu compliance journey. Audit fee Big 4 cho PDPL compliance review: 200-800 triệu VND/năm cho mid-cap.