Theo đó, việc doanh nghiệp tuân thủ pháp luật bảo vệ dữ liệu cá nhân không chỉ dừng lại ở khuyến nghị nữa mà đã đặt ra những “lằn ranh đỏ” với chế tài xử phạt vi phạm hành chính lên tới 5% doanh thu, buộc doanh nghiệp phải tái cấu trúc toàn diện chiến lược dữ liệu.

"Hậu" Nghị định 13/2023: Từ khuyến nghị đến xử phạt

Điều 41 Nghị định 356 có quy định "ân hạn" việc tuân thủ cho doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp trong thời gian 05 năm kể từ ngày 1/1/2026. Trong khi, hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện quy định nêu trên.

Tuy nhiên, ngoại lệ này không áp dụng trong trường hợp doanh nghiệp nhỏ, siêu nhỏ, doanh nghiệp khởi nghiệp và hộ kinh doanh kinh doanh dịch vụ xử lý dữ liệu cá nhân, hoăc trực tiếp xử lý dữ liệu cá nhân nhạy cảm... Quy định này đặt các doanh nghiệp nhỏ, siêu nhỏ hoặc doanh nghiệp khởi nghiệp ngành Fintech, E-commerce, và Digital Marketing vào nhóm đối tượng phải tuân thủ ngay từ đầu chứ không còn là trường hợp ngoại lệ nữa.

Bảo vệ dữ liệu cá nhân trong lĩnh vực đặc thù: Doanh nghiệp phải hành động ngay

Luật Bảo vệ dữ liệu cá nhân đưa ra các yêu cầu tuân thủ đặc biệt nghiêm ngặt đối với một số lĩnh vực đặc thù như tài chính - ngân hàng, tiếp thị & quảng cáo, y tế & bảo hiểm, mạng xã hội & truyền thông trực tuyến, xử lý dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối…

Điều này đặt ra một yêu cầu cấp thiết là ngay sau khi Luật Bảo vệ dữ liệu cá nhân và Nghị định 356 có hiệu lực thi hành, các doanh nghiệp hoạt động trong những lĩnh vực này buộc phải có chiến lược, kế hoạch hành động ngay để tránh các rủi ro pháp lý và chế tài xử phạt vi phạm hành chính.

Giờ “G” chuyển đổi và khuyến nghị các bước triển khai

Ngoại trừ một số trường hợp ngoại lệ đối với doanh nghiệp nhỏ, siêu nhỏ, doanh nghiệp khởi nghiệp, tất cả các doanh nghiệp còn lại đều phải thực hiện ngay các bước tuân thủ kể từ thời điểm 1/1/2026.

Dựa trên kinh nghiệm đã triển khai và tư vấn thành công cho nhiều doanh nghiệp tại Việt Nam, chúng tôi khuyến nghị doanh nghiệp phải triển khai ngay các bước như sau:

Bước 1: Đánh giá hiện trạng tuân thủ

Đây là bước đầu tiên nhưng cũng là bước rất quan trọng giúp doanh nghiệp xác định được doanh nghiệp của mình đang ở đâu trong bản đồ tuân thủ. Cụ thể, doanh nghiệp cần xác định luồng dữ liệu cá nhânđầu vào và đầu ra, loại dữ liệu cá nhân, xác định vai trò của doanh nghiệp là bên kiểm soát, bên kiểm soát và xử lý, bên xử lý dữ liệu cá nhân hay bên thứ ba, và quy trình xử lý dữ liệu cá nhân...

Bước 2: Xây dựng khung chính sách, quy trình & đào tạo

Sau Bước 1, doanh nghiệp cần xây dựng khung chính sách và quy trình tuân thủ, trong đó tập trung vào việc rà soát và cập nhật lại các chính sách quyền riêng tư, sửa đổi lại các hợp đồng/ thoả thuận hoặc ký phụ lục sửa đổi, bổ sung để quy định thêm về quy trình xử lý dữ liệu cá nhân, mục đích xử lý dữ liệu cá nhân…

Việc đào tạo nội bộ cũng là việc làm cần thiết để toàn bộ nhân sự trong công ty có cách hiểu chung, thống nhất về chính sách và quy trình xử lý dữ liệu cá nhân của doanh nghiệp, giúp việc triển khai ở Bước tiếp theo hiệu quả và thuận lợi.

Bước 3: Triển khai kỹ thuật, soạn thảo và nộp hồ sơ đánh giá tác động

Doanh nghiệp cần xác định được các giải pháp công nghệ và các công cụ quản lý sự đồng ý, mã hoá dữ liệu cá nhân nhạy cảm và thiết lập hệ thống phòng chống rò rỉ dữ liệu, đồng thời hoàn thiện hồ sơ đánh giá tác động để trình nộp cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Theo kinh nghiệm của chúng tôi, đây là Bước tốn kém thời gian nhất của doanh nghiệp, đặc biệt là các doanh nghiệp đặc thù có xử lý số lượng lớn dữ liệu cá nhân.

Lời kết

Luật Bảo vệ dữ liệu cá nhân và Nghị định 356 không chỉ tạo ra hành lang pháp lý mà còn là tiền đề để các doanh nghiệp tái cấu trúc hệ thống quản trị thông tin. Các doanh nghiệp cần hành động ngay hôm nay, không chỉ cho mục đích tuân thủ, mà còn để tạo dựng được lợi thế cạnh tranh bền vững trước các đối thủ chậm chân trong bối cảnh dữ liệu cá nhân đã và đang trở thành một loại tài sản vô hình có giá trị.