Doanh nghiệp cần làm gì trước khi Luật Bảo vệ dữ liệu cá nhân có hiệu lực?
Luật mới sắp có hiệu lực, việc bảo vệ dữ liệu cá nhân khách hàng không còn là lựa chọn mà là một nghĩa vụ pháp lý bắt buộc, đòi hỏi sự thay đổi toàn diện từ doanh nghiệp.
Ngày 16-10, Tạp chí Kinh tế Sài Gòn đã phối hợp với Sở Công Thương TP.HCM tổ chức chương trình tập huấn với chủ đề “Bảo vệ dữ liệu cá nhân khách hàng trong xây dựng thương hiệu doanh nghiệp”.
Sự kiện diễn ra trong bối cảnh Luật Bảo vệ dữ liệu cá nhân 2025 sắp có hiệu lực từ ngày 1-1-2026, thu hút sự quan tâm của đông đảo doanh nghiệp. Chương trình đã tập trung phân tích những thay đổi pháp lý mang tính bước ngoặt và các nghĩa vụ cốt lõi mà doanh nghiệp phải tuân thủ trong việc xử lý dữ liệu cá nhân khách hàng.
Từ “tài sản” marketing đến trách nhiệm pháp lý
Trong nhiều năm, dữ liệu cá nhân khách hàng được xem là tài sản chiến lược để doanh nghiệp khai thác cho các hoạt động marketing và truyền thông. Hoạt động này trước đây chủ yếu tuân theo các luật chuyên ngành như Luật Quảng cáo hay Luật Bảo vệ quyền lợi người tiêu dùng. Tuy nhiên, sự ra đời của Nghị định 13/2023/NĐ-CP và sắp tới là Luật Bảo vệ dữ liệu cá nhân 2025 đã thay đổi hoàn toàn sân chơi pháp lý.
Phát biểu tại chương trình, ông Nguyễn Văn Phúc, Luật sư điều hành Công ty Luật TNHH HM&P, đã có những phân tích sâu sắc về sự chuyển dịch này. Ông nhấn mạnh rằng nếu trước đây dữ liệu được xem là “tài nguyên tự do” thì nay đã trở thành một tài sản pháp lý được bảo vệ chặt chẽ.
Theo ông Phúc, bước ngoặt này thể hiện ở chỗ doanh nghiệp giờ đây phải chịu trách nhiệm toàn bộ vòng đời của dữ liệu, từ khâu thu thập cho đến khi xóa bỏ. Điều này đồng nghĩa, mỗi một lượt thu thập thông tin trong chuỗi hoạt động marketing, dù là một chương trình dùng thử sản phẩm tại trung tâm thương mại hay việc chụp ảnh khách mua hàng để đăng lên fanpage, đều trở thành một giao dịch pháp lý. Mỗi email gửi đi là một hành vi xử lý dữ liệu, và mỗi khiếu nại spam từ khách hàng đều có thể trở thành một cuộc thanh tra tiềm tàng.
Luật Bảo vệ dữ liệu cá nhân 2025 sắp có hiệu lực từ ngày 1-1-2026. Ảnh: QH
Theo LS Phúc, các doanh nghiệp phải đối mặt với hàng loạt nghĩa vụ mới chưa từng có trước đây như: nghĩa vụ thu thập sự đồng ý hợp lệ, xác định thời hạn lưu trữ rõ ràng, và tuân thủ các thủ tục hành chính báo cáo với cơ quan nhà nước.
Thực tế đã chứng kiến nhiều sự cố rò rỉ dữ liệu gây tổn hại nghiêm trọng đến uy tín thương hiệu, như vụ việc nhân viên rạp chiếu phim tung ảnh nhạy cảm của khách hay nghi vấn lộ hàng triệu thông tin khách hàng của một hãng hàng không lớn. Những sự cố này là minh chứng rõ nét cho thấy rủi ro pháp lý và tổn hại uy tín là rất lớn nếu doanh nghiệp lơ là việc bảo vệ dữ liệu cá nhân khách hàng.
Dưới góc độ marketing, ông Nguyễn Thành Long, Đối tác điều hành Xanh Marketing, cũng chia sẻ về một sự chuyển mình mạnh mẽ của toàn ngành. Ông cho biết xu hướng nổi bật là dịch chuyển từ Big Data sang Smart Data, tức là tập trung vào chất lượng, tính đạo đức và giá trị của dữ liệu thay vì thu thập ồ ạt như trước đây.
“Trong thời đại số, niềm tin thương hiệu đồng nghĩa với niềm tin số – niềm tin của khách hàng bắt đầu từ sự minh bạch trong cách doanh nghiệp thu thập và quản lý dữ liệu” - ông Long nhấn mạnh.
Một khảo sát quốc tế cũng chỉ ra rằng 87% người dùng sẽ không giao dịch với doanh nghiệp nếu nghi ngờ về cách doanh nghiệp sử dụng dữ liệu của họ. Điều này cho thấy việc bảo vệ dữ liệu cá nhân khách hàng không chỉ là tuân thủ pháp luật mà còn là yếu tố sống còn của thương hiệu.
Sáu nghĩa vụ cốt lõi doanh nghiệp buộc phải tuân thủ
Để giúp doanh nghiệp có định hướng tuân thủ rõ ràng, các luật sư chuyên gia đã cung cấp những điểm mới của luật và các vấn đề nóng cần lưu ý. Sáu nghĩa vụ pháp lý thiết thân mà mọi hoạt động liên quan đến dữ liệu cá nhân khách hàng phải đáp ứng bao gồm:
Một là, phải có sự đồng ý hợp lệ. Đây là nền tảng của mọi quy định. Dữ liệu cá nhân khách hàng chỉ được xử lý khi chủ thể đồng ý một cách cụ thể, minh bạch và có thể chứng minh được. Doanh nghiệp không được gộp nhiều mục đích trong một lần xin phép và sự im lặng tuyệt đối không được xem là đồng ý.
Hai là, giới hạn thời hạn lưu trữ. Dữ liệu không phải là tài sản được lưu giữ vĩnh viễn. Doanh nghiệp phải xác định và thông báo trước thời hạn lưu trữ cho từng loại dữ liệu, đồng thời có nghĩa vụ xóa hoặc ẩn danh hóa dữ liệu cá nhân khách hàng khi hết thời hạn.
Tư duy dữ liệu là vàng cần được thay bằng tư duy dữ liệu là trách nhiệm. Trong kỷ nguyên số, niềm tin của người tiêu dùng vào cách doanh nghiệp bảo vệ dữ liệu cá nhân khách hàng chính là vốn thương hiệu quý giá nhất.
- Luật sư Nguyễn Văn Phúc, Luật sư điều hành Công ty Luật TNHH HM&P-
Ba là, phải có thỏa thuận khi thuê đối tác quảng cáo. Khi doanh nghiệp (Bên kiểm soát dữ liệu) thuê một agency (Bên xử lý dữ liệu), hai bên bắt buộc phải có thỏa thuận xử lý dữ liệu bằng văn bản. Thỏa thuận này phải quy định rõ mục đích xử lý, cơ chế bảo mật, và trách nhiệm bồi thường khi có sự cố, nếu không doanh nghiệp sẽ phải chịu trách nhiệm pháp lý cho sai sót của đối tác.
Doanh nghiệp giờ đây phải chịu trách nhiệm toàn bộ vòng đời của dữ liệu, từ khâu thu thập cho đến khi xóa bỏ. Ảnh: QH
Bốn là, tuân thủ các thủ tục hành chính. Doanh nghiệp cần thực hiện các thủ tục báo cáo bắt buộc với Bộ Công an, bao gồm hồ sơ đánh giá tác động khi thu thập và xử lý dữ liệu cá nhân khách hàng, báo cáo khi phát hiện vi phạm, và hồ sơ đánh giá tác động khi chuyển dữ liệu ra nước ngoài.
Năm là, xây dựng chính sách nội bộ và chỉ định người phụ trách (DPO). Doanh nghiệp phải ban hành chính sách bảo vệ dữ liệu nội bộ và chỉ định một Người phụ trách bảo vệ dữ liệu (Data Protection Officer - DPO) làm đầu mối xử lý các vấn đề liên quan đến dữ liệu cá nhân khách hàng.
Sáu là, lưu ý các trường hợp được miễn trừ. Mặc dù luật có miễn trừ một số thủ tục cho doanh nghiệp siêu nhỏ, nhỏ và khởi nghiệp, nhưng các nguyên tắc cốt lõi về bảo mật vẫn phải được tuân thủ đầy đủ. Việc miễn trừ không áp dụng nếu doanh nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân khách hàng, xử lý dữ liệu nhạy cảm hoặc xử lý số lượng lớn.
