Doanh nghiệp cần chuẩn bị gì khi Luật Bảo vệ dữ liệu cá nhân sắp có hiệu lực?

Lưu ý này được xem là lời cảnh báo trong bối cảnh Luật Bảo vệ dữ liệu cá nhân 2025 sẽ có hiệu lực từ 1/1/2026 (được Quốc hội thông qua vào tháng 6 vừa qua). Luật mới buộc doanh nghiệp phải thay đổi toàn diện cách thu thập và sử dụng thông tin khách hàng.

Dữ liệu cá nhân là tài sản chiến lược?

Trong bối cảnh kinh tế số phát triển mạnh mẽ, dữ liệu cá nhân của khách hàng đã trở thành “tài sản chiến lược” của doanh nghiệp, đặc biệt trong hoạt động xây dựng thương hiệu, marketing và truyền thông. Việc khai thác dữ liệu giúp doanh nghiệp hiểu khách hàng hơn, nhưng nếu thiếu kiểm soát, có thể dẫn đến vi phạm pháp luật, ảnh hưởng uy tín và niềm tin thương hiệu, theo nhận định của các luật sư tham gia sự kiện hôm nay.

Luật sư Nguyễn Văn Phúc cho biết theo Luật Bảo vệ dữ liệu cá nhân 2025, dữ liệu cá nhân không còn là “tài nguyên tự do” mà đã trở thành “tài sản pháp lý” được bảo vệ chặt chẽ. Luật mới yêu cầu doanh nghiệp chịu trách nhiệm toàn bộ vòng đời của dữ liệu – từ thu thập, lưu trữ đến xóa bỏ.

Ông nhấn mạnh: "Mỗi lượt thu thập thông tin giờ là một giao dịch pháp lý. Mỗi email gửi đi là một hành vi xử lý dữ liệu và doanh nghiệp không thể coi sự im lặng của khách hàng là đồng ý”.

Luật sư Nguyễn Văn Phúc (bên phải) cùng ông Nguyễn Thành Long, đối tác điều hành Xanh Marketing, tham gia sự kiện để hỗ trợ doanh nghiệp trong việc quản lý dữ liệu cá nhân khách hàng. Ảnh: Tường Thụy

Tại buổi tập huấn, các luật sư Nguyễn Ngọc Trà My và Nguyễn Nhật Dương (Công ty Luật HM&P) đã chỉ ra sáu nghĩa vụ pháp lý mà doanh nghiệp cần nắm khi xây dựng kế hoạch marketing và thương hiệu.

Trước hết là nghĩa vụ thu thập sự đồng ý hợp lệ, cụ thể và có thể chứng minh được bằng form điện tử, log hệ thống (còn gọi là nhật ký hệ thống) hoặc các bản ghi. Doanh nghiệp không được gộp nhiều mục đích trong cùng một điều khoản đồng ý và không được coi sự im lặng là sự chấp thuận. Ngoài ra, dữ liệu cá nhân phải có thời hạn lưu trữ nhất định – ví dụ, dữ liệu khuyến mãi chỉ được giữ tối đa 6 tháng – và phải được xóa hoặc ẩn danh hóa khi hết hạn.

Doanh nghiệp cũng cần lưu ý khi thuê đơn vị quảng cáo hoặc truyền thông. Theo luật, agency là “bên xử lý dữ liệu”, còn doanh nghiệp là “bên kiểm soát dữ liệu”, và cả hai phải có thỏa thuận bằng văn bản quy định rõ mục đích, phạm vi và trách nhiệm bảo mật. Nếu không có thỏa thuận này, doanh nghiệp vẫn phải chịu trách nhiệm pháp lý khi agency làm rò rỉ dữ liệu hoặc sử dụng sai mục đích.

Luật mới cũng yêu cầu doanh nghiệp thực hiện các thủ tục hành chính với Bộ Công an, bao gồm hồ sơ đánh giá tác động khi xử lý dữ liệu và báo cáo vi phạm nếu có. Bên cạnh đó, doanh nghiệp phải ban hành chính sách bảo vệ dữ liệu cá nhân nội bộ, đồng thời chỉ định người phụ trách dữ liệu (Data Protection Officer – DPO) làm đầu mối khi xảy ra sự cố.

Luật không loại trừ bất kỳ doanh nghiệp nào khỏi phạm vi điều chỉnh. Dù doanh nghiệp siêu nhỏ hay khởi nghiệp có thể được miễn một số thủ tục, nhưng vẫn phải tuân thủ các nguyên tắc cốt lõi: chỉ thu thập khi có sự đồng ý, không xử lý sai mục đích và phải bảo mật, xóa dữ liệu đúng hạn.

Tính đạo đức của dữ liệu

Ở góc nhìn thị trường, ông Nguyễn Thành Long – đối tác điều hành Xanh Marketing, 1 agency có văn phòng tại TP.HCM và Hà Nội – cho rằng ngành tiếp thị đang chuyển mình mạnh mẽ, từ big data sang smart data, tức tập trung vào chất lượng và tính đạo đức của dữ liệu thay vì thu thập ồ ạt.

Theo ông Long, trong thời đại số, niềm tin thương hiệu hay brand trust đồng nghĩa với digital trust, hay niềm tin rằng dữ liệu cá nhân không bị lộ. “Nghĩa là niềm tin thương hiệu bắt đầu từ sự minh bạch trong cách doanh nghiệp thu thập và quản lý dữ liệu”, ông nói.

Ông Long cũng lưu ý: Khi cookie (tệp dữ liệu nhỏ mà một trang web lưu trữ trên trình duyệt) của bên thứ ba dần bị loại bỏ, doanh nghiệp sẽ phải tự xây dựng dữ liệu bên thứ nhất (first-party data) thông qua các hình thức tương tác trực tiếp như mini game, quiz hoặc chương trình khách hàng thân thiết, để khách hàng chủ động chia sẻ thông tin.

Sự kiện hôm nay thu hút đông đảo doanh nghiệp tham dự, phản ánh mối quan tâm ngày càng lớn đối với vấn đề bảo vệ dữ liệu cá nhân trong hoạt động kinh doanh.

×