EY đề cập đến tổ chức toàn cầu và có thể đề cập đến một hoặc nhiều công ty thành viên của Ernst & Young Global Limited, mỗi công ty là một pháp nhân riêng biệt. Ernst & Young Global Limited, một công ty trách nhiệm hữu hạn của Anh, không cung cấp dịch vụ cho khách hàng.
Các tìm kiếm gần đây
Trending
Tin nhanh Pháp lý | Tháng 3 năm 2026 | Nghị định số 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân
Bản tin này đề cập các yêu cầu tuân thủ chính theo Nghị định số 356/2025/NĐ-CP ngày 31 tháng 12 năm 2025 quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân 2025 (Nghị định 356), trên cơ sở so sánh, đối chiếu với Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 (Nghị định 13) và phân tích các quy định hướng dẫn thi hành Luật Bảo vệ dữ liệu cá nhân (Luật BVDLCN).
Luật BVDLCN chính thức có hiệu lực từ ngày 1 tháng 1 năm 2026. Chính phủ đã ban hành Nghị định 356 nhằm quy định chi tiết các yêu cầu về bảo vệ dữ liệu cá nhân, cũng như biểu mẫu và quy trình triển khai thi hành Luật BVDLCN, qua đó đánh dấu một bước tiến quan trọng trong việc hoàn thiện khung pháp lý toàn diện về bảo vệ dữ liệu cá nhân tại Việt Nam. Nghị định 356 thay thế Nghị định 13 và cũng có hiệu lực kể từ ngày 1 tháng 1 năm 2026.
Một số điểm chính nổi bật trong Nghị định 356 bao gồm:
■ Điều chỉnh danh mục dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm
■ Siết chặt yêu cầu về sự đồng ý
■ Làm rõ cơ chế và thời hạn thực hiện quyền của chủ thể dữ liệu
■ Quy định cụ thể trường hợp và điều kiện chuyển giao dữ liệu cá nhân
■ Hướng dẫn điều kiện năng lực và trách nhiệm nhân sự bảo vệ dữ liệu, bộ phận bảo vệ dữ liệu
■ Thay đổi cơ chế và biểu mẫu đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu xuyên biên giới
■ Bổ sung yêu cầu thông báo chủ thể dữ liệu bên cạnh thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
■ Hướng dẫn cụ thể kiểm tra hoạt động bảo vệ dữ liệu cá nhân và các trường hợp miễn trừ
■ Kế hoạch thực hiện
1. Danh mục dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm
So với Nghị định 13, Nghị định 356 đã có sự điều chỉnh trong cách phân loại dữ liệu cá nhân.
|
Nhóm dữ liệu |
Nội dung cập nhập chính |
|---|---|
|
Dữ liệu cá nhân cơ bản |
|
|
Dữ liệu cá nhân nhạy cảm |
|
2. Sự đồng ý của chủ thể dữ liệu
Nghị định 356 đã siết chặt yêu cầu về sự đồng ý của chủ thể dữ liệu so với Nghị định 13:
- Sự đồng ý rõ ràng và có thể kiểm chứng: phải lưu trữ sự đồng ý, đảm bảo khả năng kiểm chứng về thời điểm và nội dung đồng ý
- Cấm thiết lập mặc định hoặc gây hiểu nhầm: không được thiết lập mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu
Ngoài các hình thức truyền thống theo Nghị định 13, Nghị định 356 mở rộng hình thức thể hiện sự đồng ý hợp lệ phù hợp với thực tiễn, như sự đồng ý qua cuộc gọi ghi âm, thư điện tử, trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý.
3. Thực hiện quyền của chủ thể dữ liệu
Trên cơ sở các quyền của chủ thể dữ liệu cá nhân trong Luật BVDLCN, Nghị định 356 đã quy định cơ chế và thời hạn thực thi cụ thể đối với từng nhóm quyền. Theo đó, bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu phải xây dựng quy trình, thủ tục, biểu mẫu rõ ràng để bảo đảm chủ thể dữ liệu có thể thực hiện quyền của mình theo thời hạn quy định:
|
Yêu cầu |
Thời hạn phản hồi |
Thời hạn thực hiện |
Thời hạn nếu cần phối hợp với bên xử lý, bên thứ ba |
Gia hạn |
|---|---|---|---|---|
|
Rút lại sự đồng ý/hạn chế/phản đối xử lý |
Hai ngày làm việc |
15 ngày |
20 ngày |
1 lần, tối đa 15 ngày |
|
Xem/chỉnh sửa hoặc yêu cầu chỉnh sửa/cung cấp dữ liệu |
Hai ngày làm việc |
10 ngày |
15 ngày |
1 lần, tối đa 10 ngày |
|
Xóa dữ liệu |
Hai ngày làm việc |
20 ngày |
30 ngày |
1 lần, tối đa 20 ngày |
|
Thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân |
Hai ngày làm việc |
15 ngày |
Không áp dụng |
1 lần, tối đa 15 ngày |
4. Chuyển giao dữ liệu cá nhân
So với Nghị định 13 trước đây chỉ quy định chung về hoạt động chuyển giao dữ liệu rải rác trong các điều khoản, Nghị định 356 đã cụ thể hóa điều kiện thực hiện đối với từng trường hợp chuyển giao:
|
Trường hợp chuyển giao |
Điều kiện, yêu cầu chính |
|---|---|
|
Chuyển giao có sự đồng ý hoặc trong trường hợp tái cơ cấu, tổ chức lại, hoặc từ bên kiểm soát sang bên xử lý/bên thứ ba |
|
|
Chuyển giao dữ liệu cá nhân nhạy cảm |
|
|
Chuyển giao dữ liệu cá nhân có thu phí |
|
|
Chuyển dữ liệu nội bộ trong cùng một tổ chức |
|
|
Giao dịch trên sàn dữ liệu |
|
5. Nhân sự bảo vệ dữ liệu (DPO) hoặc bộ phận bảo vệ dữ liệu (DPD)
Nghị định 356 đã làm rõ doanh nghiệp có thể kết hợp cả hai hình thức, vừa bổ nhiệm DPO/thành lập nội bộ DPD và vừa thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.
So với Nghị định 13 vốn chỉ quy định chung về nghĩa vụ bổ nhiệm DPO và thành lập DPD, Nghị định 356 đã tiến thêm một bước trong việc thiết lập các tiêu chuẩn năng lực và trách nhiệm đối với DPO, DPD, cá nhân và tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân như sau:
|
Đối tượng |
Điều kiện năng lực |
Trách nhiệm |
|---|---|---|
|
DPO nội bộ |
|
|
|
DPD nội bộ |
Nhân sự trong DPD phải đáp ứng tiêu chuẩn DPO nội bộ |
Tương tự DPO nội bộ |
|
Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân |
|
|
|
Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân |
|
Tương tự cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân |
6. Đánh giá tác động xử lý dữ liệu cá nhân (DPIA) và đánh giá tác động chuyển dữ liệu xuyên biên giới (CTIA)
Nghị định 356 bổ sung một trường hợp miễn trừ đáng chú ý đối với nghĩa vụ lập hồ sơ CTIA là: “Hoạt động chuyển dữ liệu cá nhân xuyên biên giới để quản lý nhân sự xuyên biên giới theo quy tắc, quy chế lao động và thỏa ước lao động tập thể theo quy định của pháp luật”. Quy định này sẽ giảm bớt gánh nặng tuân thủ đối với các công ty đa quốc gia thực hiện quản lý dữ liệu nhân sự ở nhiều quốc gia.
Ngược lại, đối với hồ sơ CTIA và DPIA, Nghị định 356 lại đặt ra các yêu cầu tuân thủ nghiêm ngặt hơn so với Nghị định 13:
|
Đối tượng |
Nghị định 13 |
Nghị định 356 |
|---|---|---|
|
Cơ chế đánh giá hồ sơ |
Thủ tục hậu kiểm |
Thủ tục tiền kiểm, yêu cầu hồ sơ phải được Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an xem xét và chấp thuận đạt yêu cầu |
|
Thành phần hồ sơ |
|
Bổ sung chính sách, quy trình, quy định, biểu mẫu về bảo vệ dữ liệu cá nhân bên cạnh các tài liệu theo Nghị định 13 |
|
Báo cáo đánh giá tác động |
|
|
|
Thời gian xử lý hồ sơ |
|
|
|
Cập nhật |
|
|
Ngoài ra, Nghị định 356 đã cụ thể hóa Luật BVDLCN và sửa đổi Nghị định số 165/2025/NĐ-CP ngày 30 tháng 6 năm 2025 hướng dẫn Luật Dữ liệu 2025 (Nghị định 165) về nghĩa vụ thực hiện đánh giá tác động, theo đó trường hợp chuyển, xử lý dữ liệu cốt lõi, dữ liệu quan trọng xuyên biên giới là dữ liệu cá nhân thì chủ quản dữ liệu chỉ phải thực hiện hồ sơ DPIA và CTIA theo Luật BVDLCN và Nghị định 356, mà không phải thực hiện đánh giá rủi ro và đánh giá tác động theo Luật Dữ liệu 2025 và Nghị định 165.
7. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
Đối với dữ liệu vị trí và dữ liệu sinh trắc học, ngoài việc phải thông báo cho A05 khi có vi phạm, Nghị định 356 còn đặt ra yêu cầu mới về việc (i) thông báo cho chủ thể dữ liệu trong thời hạn 72 giờ kể từ thời điểm phát hiện vi phạm hoặc (ii) thông báo công khai và gửi cho chủ thể ngay khi có thể.
Lưu ý, hồ sơ vi phạm lưu tối thiểu năm năm sau khi khắc phục.
8. Kiểm tra hoạt động bảo vệ dữ liệu cá nhân
Việc kiểm tra hoạt động bảo vệ dữ liệu cá nhân được tiến hành thường xuyên hoặc đột xuất, cụ thể như sau:
|
Tiêu chí |
Nội dung |
|---|---|
|
Căn cứ |
|
|
Đối tượng |
Tổ chức, cá nhân có:
|
|
Nội dung |
|
|
Giao dịch trên sàn dữ liệu |
|
9. Các trường hợp miễn trừ
Quy định miễn trừ được quy định tại Nghị định 356 mở rộng phạm vi miễn trừ, đối tượng và thời hạn được miễn trừ so với Nghị định 13. Tuy nhiên, với điều kiện bổ sung gồm không xử lý dữ liệu cá nhân nhạy cảm hoặc số lượng xử lý tích lũy dưới 100 nghìn chủ thể dữ liệu có thể thu hẹp số lượng đối tượng được miễn trừ trên thực tế.
|
Đối tượng |
Nghị định 13 |
Nghị định 356 |
|---|---|---|
|
Phạm vi miễn trừ |
Bổ nhiệm DPO, DPD |
|
|
Đối tượng được miễn trừ |
|
|
|
Thời hạn được miễn trừ |
Hai năm kể từ ngày thành lập |
|
|
Trường hợp không được miễn trừ |
Doanh nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân
|
Hộ kinh doanh, doanh nghiệp:
|
Kế hoạch thực hiện
Trong bối cảnh yêu cầu ngày càng khắt khe hơn về tuân thủ bảo bệ dữ liệu cá nhân và thực tế tăng cường thi hành, áp dụng xử phạt vi phạm hành chính đối với các trường hợp sai phạm của cơ quan nhà nước, doanh nghiệp cần nhanh chóng xây dựng và triển khai chương trình bảo vệ dữ liệu cá nhân một cách toàn diện gắn liền với toàn bộ vòng đời của dữ liệu, quản trị nội bộ lẫn bên ngoài, từ khung chính sách, kỹ thuật đến con người. Chương trình bảo vệ dữ liệu cá nhân toàn diện được khuyến nghị cho doanh nghiệp như sau:
|
STT |
Hoạt động |
Nội dung |
|---|---|---|
|
1 |
Đánh giá hiện trạng và xây dựng lô trình tuân thủ |
|
|
2 |
Hoàn thiện và chuẩn hóa khung chính sách bảo vệ dữ liệu cá nhân |
Hoàn thiện và chuẩn hóa Khung chính sách bảo vệ dữ liệu cá nhân của doanh nghiệp phù hợp Luật BVDLCN, Nghị định 356, quy định bảo vệ quyền lợi người tiêu dùng và các quy định khác có liên quan, bao gồm:
|
|
3 |
Thiết lập sơ đồ luồng dữ liệu |
|
|
4 |
Lập, cập nhật và nộp báo cáo DPIA, CTIA |
|
|
5 |
Bổ nhiệm hoặc thuê ngoài nhân sự phụ trách bảo vệ dữ liệu cá nhân |
|
|
6 |
Đào tạo, tập huấn nâng cao nhận thức |
|
|
7 |
Đánh giá định kỳ |
|