Luật Bảo vệ dữ liệu cá nhân 2026: những điều doanh nghiệp Việt cần biết trước khi bị phạt 5% doanh thu

Từ năm 2023, Việt Nam đã chính thức bước vào kỷ nguyên quản lý dữ liệu cá nhân với hành lang pháp lý đầu tiên. Nhưng giai đoạn 2026 trở đi mới thực sự là lúc “luật đi vào cuộc sống”. Với các doanh nghiệp đang vận hành hệ thống marketing như  CRM, email automation… câu hỏi không còn là có cần tuân thủ hay không mà là đang rủi ro ở đâu và cần xử lý thế nào trước khi bị kiểm tra.

Tại sao nói ngày 01/01/2026 là cột mốc không thể bỏ qua của các Doanh nghiệp?

Việt Nam đã có Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân từ tháng 7/2023. Nhưng giai đoạn 2023 - 2025 phần lớn vẫn là "chuẩn bị và thích nghi", cơ quan quản lý chủ yếu tuyên truyền, hướng dẫn, ít xử phạt.

Nghị định 356/2025/NĐ-CP thay thế Nghị định 13 đánh dấu bước chuyển từ giai đoạn hướng dẫn sang giai đoạn thực thi nghiêm túc. Cụ thể:

• Bộ máy thanh tra chuyên trách về dữ liệu cá nhân được kiện toàn
• Mức phạt được nâng lên và gắn trực tiếp với doanh thu doanh nghiệp
• Quy trình xử lý vi phạm rút ngắn doanh nghiệp ít thời gian "khắc phục trước khi bị phạt" hơn

Với các tập đoàn, ngân hàng, công ty bảo hiểm đang chạy hàng triệu email marketing mỗi tháng, đây là thời điểm để nhìn thẳng vào hệ thống và tự hỏi: chúng ta đang đứng ở đâu?

5 thay đổi cốt lõi của Nghị định 356/2025 các doanh nghiệp cần biết

Mở rộng định nghĩa "dữ liệu cá nhân nhạy cảm"

Nghị định 13 định nghĩa dữ liệu nhạy cảm khá hẹp: sức khoẻ, tôn giáo, chính kiến, hình sự, tài chính. Nghị định 356 bổ sung thêm:

• Thông tin về vợ/chồng, các mối quan hệ gia đình
• Hình ảnh CCCD, hộ chiếu
• Dữ liệu hành vi trên mạng xã hội, bao gồm hành vi click, lịch sử duyệt web, hành vi mua hàng online

Như vậy nếu hệ thống email marketing của bạn đang tracking hành vi khách hàng (ai mở email nào, click vào sản phẩm gì, mua gì sau đó) dữ liệu đó giờ được xếp vào nhóm nhạy cảm, cần bảo vệ ở cấp độ cao hơn.

Siết chặt chuyển dữ liệu ra nước ngoài

Đây là điểm ảnh hưởng trực tiếp nhất đến email marketing. Theo Nghị định 356, mọi hoạt động chuyển dữ liệu cá nhân ra khỏi Việt Nam, kể cả việc dữ liệu khách hàng được lưu trên server đặt ở Singapore hay Mỹ phải có hồ sơ đánh giá tác động chuyển dữ liệu (DPIA) nộp cho cơ quan có thẩm quyền.

Khi bạn dùng Mailchimp, GetResponse, HubSpot hay bất kỳ nền tảng email nước ngoài nào: data khách hàng Việt Nam của bạn đang được chuyển ra nước ngoài mỗi khi bạn upload danh sách, gửi chiến dịch, hay hệ thống sync với CRM. Hầu hết doanh nghiệp chưa có DPIA cho việc này.

Yêu cầu đồng ý rõ ràng và có thể thu hồi

Khách hàng phải được thông báo rõ ràng về mục đích thu thập, cách sử dụng dữ liệu  và phải có cơ chế dễ dàng thu hồi sự đồng ý. Form opt-in kiểu "đăng ký nhận newsletter" mơ hồ không còn đủ điều kiện. Doanh nghiệp cần hệ thống quản lý consent có log, timestamp, và audit trail.

Quyền của chủ thể dữ liệu được mở rộng

Khách hàng có quyền yêu cầu: biết dữ liệu của mình đang ở đâu, xem dữ liệu, chỉnh sửa, xoá, và phản đối việc xử lý. Doanh nghiệp phải có quy trình xử lý các yêu cầu này trong thời hạn quy định — thường là 72 giờ đến 30 ngày tuỳ tính chất.

Trách nhiệm liên đới với bên thứ ba

Nếu bạn thuê một agency, một nền tảng công nghệ, hay bất kỳ đơn vị nào xử lý dữ liệu khách hàng thay bạn, bạn vẫn chịu trách nhiệm pháp lý nếu đơn vị đó vi phạm. Nghị định 356 yêu cầu có hợp đồng xử lý dữ liệu (DPA) với mọi bên thứ ba, trong đó quy định rõ nghĩa vụ bảo vệ dữ liệu.

Dữ liệu email marketing của bạn đang ở đâu và có thực sự an toàn?

Hãy nhìn vào những gì một hệ thống email marketing điển hình thu thập và xử lý:

• Họ tên, địa chỉ email, số điện thoại (khi thu thập qua form)
• Hành vi mở email, click link, thời điểm đọc mail
• Lịch sử giao dịch, sản phẩm quan tâm (khi tích hợp với CRM/eCommerce)
• Vị trí địa lý (qua IP tracking)
• Thông tin thiết bị, trình duyệt

Tất cả những thứ trên đều là dữ liệu cá nhân theo Nghị định 356. Một phần trong số đó, đặc biệt là hành vi mua hàng và hành vi trực tuyến được xếp vào nhóm nhạy cảm.

Câu hỏi quan trọng không phải "bạn có đang thu thập dữ liệu không" mà là "dữ liệu đó đang nằm ở đâu và ai đang xử lý nó."

Mức phạt 5% doanh thu nói lên điều gì?

Nghị định 356 quy định mức phạt tối đa đối với vi phạm nghiêm trọng về chuyển dữ liệu ra nước ngoài trái phép là 5% doanh thu của năm tài chính liền trước.

Để dễ hình dung:

Con số này chưa bao gồm chi phí khắc phục hậu quả, thiệt hại thương hiệu, và trong trường hợp vi phạm lặp lại khả năng đình chỉ hoạt động xử lý dữ liệu.

Quan trọng hơn: mức phạt này không phải "phạt một lần rồi thôi." Mỗi chiến dịch email gửi dữ liệu ra nước ngoài trái phép có thể được tính là một hành vi vi phạm riêng biệt.

Đâu là những doanh nghiệp có rủi ro dữ liệu cao nhất

Nhóm 1: BFSI - Tài chính, Ngân hàng, Bảo hiểm, Chứng khoán

Đây là nhóm có rủi ro cao nhất vì: dữ liệu khách hàng cực kỳ nhạy cảm (thông tin tài chính, giao dịch), khối lượng email marketing lớn, và đang là trọng tâm thanh tra của cơ quan quản lý. Thêm vào đó, ngân hàng và công ty bảo hiểm thường phải tuân thủ cả quy định của Ngân hàng Nhà nước lẫn Bộ Công an hai lớp quy định cùng lúc.

Nhóm 2: Bất động sản và thương mại điện tử quy mô lớn

Hai ngành này có đặc điểm chung là database khách hàng rất lớn, dữ liệu hành vi rất phong phú (ai xem bất động sản nào, ai bỏ giỏ hàng, ai click vào sản phẩm gì), và thường tích hợp nhiều công cụ third-party tăng nguy cơ vi phạm liên đới.

Nhóm 3: Giáo dục và y tế

Dữ liệu học sinh, sinh viên và bệnh nhân thuộc nhóm đặc biệt nhạy cảm. Các trường đại học và cơ sở y tế đang chạy email marketing nhưng thường chưa có hệ thống quản lý consent và DPIA đầy đủ.

Dữ liệu khách hàng của Doanh nghiệp bạn đang lưu trữ ở đâu?

Để đánh giá được mức độ rủi ro của dữ liệu doanh nghiệp bạn, bạn cần trả lời 5 câu hỏi sau:

• Bạn biết data khách hàng đang nằm ở server nào không? Không phải "lưu trên cloud" mà là lưu ở data center đặt tại quốc gia nào, thuộc nhà cung cấp nào. Nếu câu trả lời là "không rõ" hoặc "biết là server nước ngoài nhưng chưa có DPIA nộp Bộ Công an" đây là điểm rủi ro pháp lý cao nhất cần xử lý ngay.
• Nền tảng của bạn có DPA ký theo luật Việt Nam không? Nghị định 356/2025 yêu cầu bắt buộc phải có Data Processing Agreement với mọi bên thứ ba xử lý dữ liệu khách hàng của bạn. Nhiều nền tảng quốc tế có DPA nhưng được soạn theo GDPR hoặc CCPA, không phải luật Việt Nam. Về mặt pháp lý, đó là hai thứ hoàn toàn khác nhau.
• Khách hàng của bạn có thể xóa dữ liệu của họ không và làm điều đó dễ dàng không? Unsubscribe link là điều kiện cần, không phải điều kiện đủ. Nghị định 356 trao cho chủ thể dữ liệu quyền yêu cầu xóa hoàn toàn thông tin của họ khỏi hệ thống. Nếu đội kỹ thuật phải can thiệp thủ công mỗi khi có yêu cầu  quy trình của bạn chưa đáp ứng chuẩn.
• Bạn có audit trail ghi nhận consent của từng khách hàng không? Khi nào họ đồng ý, đồng ý qua kênh nào, với nội dung thông báo như thế nào, tất cả đều cần được log lại có timestamp. Đây không phải "best practice" nữa, đây là bằng chứng pháp lý bắt buộc khi cơ quan quản lý vào kiểm tra.
• Stack marketing của bạn có kết nối với bên thứ ba nước ngoài không? Google Analytics, Meta Pixel, HubSpot CRM, Salesforce… mỗi điểm tích hợp là một luồng dữ liệu tiềm ẩn rời khỏi lãnh thổ Việt Nam. Trong bối cảnh Nghị định 356, càng nhiều integration nước ngoài, surface area rủi ro pháp lý càng lớn.

Nếu bạn trả lời "không" hoặc "không chắc" cho từ hai câu trở lên thì đây không phải lúc để tiếp tục theo dõi tình hình. Đây là lúc để audit lại toàn bộ hệ thống, trước khi ai đó làm điều đó thay bạn.

Kết luận

Luật bảo vệ dữ liệu cá nhân không phải câu chuyện của bộ phận pháp lý hay IT. Đây là bài toán chiến lược của cả tổ chức. Trong môi trường mà dữ liệu khách hàng là tài sản cốt lõi, việc bảo vệ nó đúng cách không chỉ giúp tránh phạt, mà còn là nền tảng để xây dựng niềm tin bền vững với khách hàng.

Câu hỏi không phải là "có nên tuân thủ không"  mà là "tuân thủ bằng cách nào nhanh nhất và hiệu quả nhất." BizMail - Giải pháp Email Marketing & Automation tích hợp AI của Bizfly VCCorp được xây dựng để đáp ứng toàn bộ yêu cầu của Nghị định 356/2025: hạ tầng server 100% tại Việt Nam, DPA đầy đủ, tuân thủ DMARC/SPF/DKIM, và hệ thống quản lý consent tích hợp sẵn.

Nhận tư vấn kiểm tra mức độ tuân thủ miễn phí cùng đội ngũ chuyên gia BizMail sẽ audit hệ thống email hiện tại và đề xuất lộ trình chuyển đổi phù hợp trong 24h.