law.org.vn
Server-room corridor with subtle Vietnamese ornamental motifs

Tuân thủ

Bản thảo AI — chờ thẩm định

Luật Bảo vệ Dữ liệu Cá nhân 2026: SaaS startups cần làm gì

Luật BVDL có hiệu lực từ tháng 1/2026 đặt ra nghĩa vụ DPO, đánh giá tác động và thông báo vi phạm trong 72 giờ. Đây là checklist tuân thủ cho startups đang vận hành trên hạ tầng cloud.

bởi Apolo Editorial Team8 tháng 4, 20263 phút đọc

Luật Bảo vệ Dữ liệu Cá nhân (Luật số 91/2026/QH15) chính thức có hiệu lực từ ngày 1 tháng 1 năm 2026, thay thế Nghị định 13/2023/NĐ-CP. Đây không phải bản nâng cấp nhỏ — nó nâng nghĩa vụ tuân thủ lên ngang tầm GDPR, với mức phạt tối đa lên tới 5% doanh thu năm.

Nghĩa vụ chính cần biết ngay

Mọi tổ chức xử lý dữ liệu cá nhân của người Việt Nam đều phải bổ nhiệm Người phụ trách bảo vệ dữ liệu (DPO) nếu đáp ứng một trong hai điều kiện: xử lý dữ liệu cá nhân nhạy cảm (tài chính, y tế, sinh trắc, định vị) ở quy mô lớn, hoặc dữ liệu cá nhân của trên 100.000 chủ thể trong một năm. SaaS B2B trung bình thường vượt ngưỡng 100k chủ thể nhanh hơn họ tưởng — đây là điểm cần kiểm tra ngay.

Đánh giá tác động (DPIA): khi nào và làm như thế nào

DPIA bắt buộc trước khi triển khai bất kỳ hoạt động xử lý nào có rủi ro cao — đào tạo mô hình AI trên dữ liệu khách hàng, giám sát nhân viên, phân tích hành vi tự động. DPIA phải lưu giữ trong 5 năm và xuất trình khi cơ quan có thẩm quyền yêu cầu.

Thông báo vi phạm trong 72 giờ

Khi xảy ra sự cố bảo mật làm lộ dữ liệu cá nhân, doanh nghiệp phải thông báo Cục An ninh mạng và Phòng chống tội phạm sử dụng Công nghệ cao (A05 - Bộ Công an) trong vòng 72 giờ kể từ khi phát hiện. Mẫu thông báo có sẵn trên cổng dichvucong.bvdl.gov.vn — đáng để làm bản thử trước khi sự cố thật xảy ra.

Tuân thủ không phải là một dự án — đó là một quy trình vận hành. SaaS startups thành công nhất xử lý PDPL như cách họ xử lý SOC 2: đặt nó vào CI/CD.

Vấn đề chuyển dữ liệu xuyên biên giới

Điều 25 quy định mọi việc chuyển dữ liệu cá nhân ra ngoài lãnh thổ Việt Nam phải được Bộ Công an phê duyệt. Trong thực tế, hầu hết SaaS dùng AWS Singapore hoặc Google Cloud Tokyo đều đang vi phạm điểm này nếu không nộp Hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới (TIA). Mẫu hồ sơ và quy trình nộp đã có hướng dẫn của Bộ Công an từ tháng 3/2026.

Khuyến nghị thực tiễn: bổ nhiệm DPO trong tháng đầu tiên (có thể dùng dịch vụ DPO ngoài), hoàn tất bản kê dữ liệu (data mapping) trong 60 ngày, nộp TIA cho mọi luồng chuyển dữ liệu ra nước ngoài đã có, và thiết lập runbook xử lý sự cố trong 90 ngày.

Bài viết biên tập