Chính phủ đã ban hành Nghị định số 356/2025/NĐ-CP (“Nghị định 356”), thay thế Nghị định số 13/2023/NĐ-CP (“Nghị định 13”) và hướng dẫn chi tiết Luật Bảo vệ Dữ liệu Cá nhân (“Luật BVDLCN”). Nghị định 356 có hiệu lực từ ngày 01 tháng 01 năm 2026, với nhiều nội dung mới có tác động trực tiếp đến việc tuân thủ của doanh nghiệp.

Bản tin Pháp lý này tóm lược những nội dung cập nhật đáng chú ý của Nghị định 356 đối với doanh nghiệp.

Các cập nhật chính

1. Phân loại Dữ liệu Cá nhân

Nghị định 356 điều chỉnh danh mục dữ liệu cá nhân cơ bản và danh mục dữ liệu cá nhân nhạy cảm, với mức độ tác động khác nhau (Điều 3–4).

̵ Đối với dữ liệu cá nhân cơ bản, Nghị định 356 đã loại bỏ một số thông tin định danh trước đây được liệt kê tại Nghị định 13, chẳng hạn như số mã số thuế cá nhân, số bảo hiểm xã hội và số thẻ bảo hiểm y tế. Mặc dù vậy, do Nghị định 356 vẫn giữ lại điều khoản bao quát, theo đó các thông tin gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể, và không thuộc danh mục dữ liệu cá nhân nhạy cảm, đều được coi là dữ liệu cá nhân cơ bản, các thông tin định danh đã bị loại bỏ nêu trên vẫn có khả năng tiếp tục được xếp vào nhóm dữ liệu cá nhân cơ bản (Điều 3.11).

Bên cạnh đó, phạm vi thông tin về mối quan hệ gia đình cũng đã được mở rộng theo hướng bao gồm cả các thông tin liên quan đến vợ/chồng, thay vì chỉ giới hạn ở cha mẹ và con như quy định tại Nghị định 13 (Điều 3.9).

̵ Đối với dữ liệu cá nhân nhạy cảm, Nghị định 356 mở rộng và làm rõ phạm vi thông qua bổ sung một số hạng mục dữ liệu mới, bao gồm thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân; cũng như dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng. Đồng thời, Nghị định 356 quy định chi tiết hơn đối với dữ liệu tài chính, ngân hàng.

Ngoài ra, dữ liệu phản ánh hoạt động và lịch sử của cá nhân trên không gian mạng, trước đây được phân loại là dữ liệu cá nhân cơ bản, nay đã được phân loại lại là dữ liệu cá nhân nhạy cảm (Điều 4.1).

Nghị định 356 yêu cầu các doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm phải thiết lập quy định phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật (Điều 4.2).

2. Các Yêu cầu chính về Bảo vệ Dữ liệu Cá nhân

a. Quy định chặt chẽ hơn về sự đồng ý của chủ thể dữ liệu. Theo Nghị định 356, sự đồng ý của chủ thể dữ liệu phải được thu thập dưới dạng có thể kiểm chứng được. Các hình thức được chấp nhận bao gồm: bằng văn bản; cuộc gọi ghi âm; cú pháp đồng ý qua tin nhắn điện thoại; qua thư điện tử; trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý; hoặc các phương thức khác phù hợp có thể kiểm chứng được (Điều 6.1). Nghị định 356 nghiêm cấm việc thiết lập phương thức mặc định đồng ý (opt-in) hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu (Điều 6.3). Đồng thời, bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu cá nhân phải lưu trữ sự đồng ý của chủ thể dữ liệu và chịu trách nhiệm chứng minh trong trường hợp phát sinh tranh chấp (Điều 6.2).

b. Yêu cầu về tiêu chuẩn đối với nhân sự bảo vệ dữ liệu cá nhân được quy định rõ ràng hơn. Nhân sự bảo vệ dữ liệu cá nhân vẫn phải được bổ nhiệm thông qua văn bản chính thức (Điều 13.1) và phải đáp ứng đủ các điều kiện năng lực như (i) có trình độ cao đẳng trở lên, (ii) có ít nhất 02 năm kinh nghiệm công tác kể từ thời điểm tốt nghiệp liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ; và (iii) đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân (Điều 13.2).

c. Thời hạn xử lý các yêu cầu của chủ thể dữ liệu được xác định khác nhau tùy theo từng loại yêu cầu. Bên kiểm soát dữ liệu cá nhân,  bên kiểm soát và xử lý dữ liệu cá nhân phải xây dựng quy trình rõ ràng nhằm tạo điều kiện cho việc thực hiện các quyền của chủ thể dữ liệu, đồng thời đảm bảo chủ thể dữ liệu được thông báo về thủ tục thực hiện các quyền này. Các yêu cầu của chủ thể dữ liệu (bao gồm việc rút lại sự đồng ý, xóa dữ liệu cá nhân hoặc các yêu cầu khác liên quan đến quyền của chủ thể dữ liệu) phải được phản hồi trong thời hạn 02 ngày làm việc kể từ khi nhận được yêu cầu và phải được xử lý và hoàn tất trong thời hạn luật định từ 10, 15, 20 hoặc đến 30 ngày, tùy thuộc vào tính chất của từng loại yêu cầu và việc có cần sự tham gia của bên xử lý dữ liệu hoặc bên thứ ba để thực hiện yêu cầu hay không. Thời hạn này chỉ được gia hạn một lần(với thời gian gia hạn tương ứng là 10, 15 hoặc 20 ngày, tùy thuộc vào tính chất của từng loại yêu cầu), với điều kiện việc gia hạn là cần thiết, hợp lý và chủ thể dữ liệu được thông báo kịp thời (Điều 5).

d. Quy định nghiêm ngặt hơn đối với việc chuyển giao dữ liệu cá nhân, yêu cầu phải xác lập thỏa thuận chuyển giao và tăng cường biện pháp bảo vệ đối với dữ liệu nhạy cảm. Nghị định 356 thiết lập khung pháp lý toàn diện hơn đối với hoạt động chuyển giao dữ liệu cá nhân. Trong một số trường hợp nhất định, Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải xác lập thỏa thuận chuyển giao dữ liệu cá nhân bằng văn bản với bên nhận dữ liệu, trong đó nêu rõ các nội dung chính bao gồm: mục đích chuyển giao; loại dữ liệu cá nhân được chuyển giao; thời hạn xử lý; cơ sở pháp lý của việc chuyển giao; cũng như trách nhiệm bảo vệ dữ liệu. Đối với việc chuyển giao dữ liệu cá nhân nhạy cảm, Nghị định 356 yêu cầu áp dụng các biện pháp bảo mật ở mức độ cao hơn, bao gồm biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải, cùng với biện pháp mã hóa, ẩn danh dữ liệu cá nhân và các biện pháp bảo mật phù hợp khác trong quá trình chuyển giao (Điều 7).

e. Các yêu cầu mới mang tính đặc thù theo từng lĩnh vực. Nghị định 356 đặt ra các nghĩa vụ tăng cường về bảo vệ dữ liệu cá nhân đối với một số lĩnh vực cụ thể, trong đó đáng chú ý là lĩnh vực tài chính – ngân hàng; xử lý dữ liệu lớn (big data); hệ thống trí tuệ nhân tạo (AI); vũ trụ ảo; công nghệ chuỗi khối (blockchain); và dịch vụ điện toán đám mây (Điều 8–12).

3. Các cập nhật quan trọng đối với  việc nộp Báo cáo đánh giá tác động xử lý dữ liệu cá nhân

a. Cơ chế thẩm định hai chiều với thời hạn xác định. Lần đầu tiên, Nghị định 356 chính thức ghi nhận cơ chế thẩm định hai chiều, theo đó bên kiểm soát dữ liệu hoặc bên xử lý dữ liệu khi nộp Báo cáo đánh giá tác động xử lý dữ liệu cá nhân (DPIA) hoặc hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới sẽ nhận được kết quả thẩm định chính thức từ cơ quan có thẩm quyền, theo hình thức đạt yêu cầu hoặc không đạt yêu cầu. Cơ chế này giúp tăng cường tính minh bạch và trách nhiệm giải trình trong quá trình thẩm định, đồng thời thể chế hóa thực tiễn thẩm định vốn đã được áp dụng trong thời gian Nghị định 13 còn hiệu lực (mặc dù trước đây Nghị định 13 chưa có quy định cụ thể về thủ tục này). Trên cơ sở cơ chế thẩm định hai chiều nêu trên, Nghị định 356 cũng quy định rõ thời hạn thẩm định đối với từng hồ sơ DPIA và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (Điều 18-19).

• Thời hạn đánh giá 15 ngày: Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá và trả kết quả đạt yêu cầu hoặc không đạt yêu cầu trong thời hạn 15 ngày kể từ khi nhận được hồ sơ hợp lệ.

• Thời hạn hoàn thiện hồ sơ 30 ngày: Trong trường hợp hồ sơ bị đánh giá chưa đầy đủ và đúng quy định, tổ chức, cá nhân nộp hồ sơ có thời hạn tối đa 30 ngày để bổ sung, hoàn thiện theo yêu cầu của cơ quan có thẩm quyền. Trường hợp không hoàn thiện hồ sơ trong thời hạn nêu trên, tổ chức, cá nhân có thể bị xem xét xử phạt vi phạm hành chính theo quy định của pháp luật.

b. Ban hành biểu mẫu mới và yêu cầu về luồng xử lý dữ liệu. Nghị định 356 ban hành các biểu mẫu mới thay thế các biểu mẫu được ban hành theo Nghị định 13, với nội dung đầy đủ và toàn diện hơn nhằm phục vụ việc ghi nhận các hoạt động xử lý dữ liệu cá nhân.

• Yêu cầu về quy trình theo vai trò: Các biểu mẫu mới yêu cầu các doanh nghiệp xây dựng và mô tả quy trình xử lý dữ liệu cá nhân gắn với từng vai trò, chức năng và trách nhiệm cụ thể.

• Yêu cầu về mô tả luồng xử lý và mô hình hóa sơ đồ quy trình và hệ thống: Doanh nghiệp phải trình bày chi tiết luồng xử lý dữ liệu cá nhân và mô hình hóa sơ đồ quy trình và hệ thống xử lý dữ liệu cá nhân, thay vì chỉ mô tả thông tin ở mức khái quát. Yêu cầu này đòi hỏi mức độ hiểu biết sâu hơn, mang tính kỹ thuật hơn về cách thức dữ liệu cá nhân được thu thập và xử lý trong nội bộ doanh nghiệp.

• Hệ quả thực tiễn: Các yêu cầu nêu trên phản ánh những thực tiễn vốn đã được áp dụng trên thực tế, nhưng nay mang tính ràng buộc pháp lý chính thức, qua đó đòi hỏi các doanh nghiệp phải chuyển từ việc báo cáo mang tính hình thức sang việc xây dựng hồ sơ và tài liệu quản trị dữ liệu một cách đầy đủ và thực chất hơn.

c. Ngưỡng cụ thể về việc không áp dụng miễn trừ đối với nghĩa vụ lập hồ sơ DPIA. Theo quy định chung, doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp và hộ kinh doanh được phép lựa chọn thực hiện hoặc không thực hiện nghĩa vụ lập báo cáo đánh giá tác động xử lý dữ liệu cá nhân trong thời hạn 05 năm kể từ ngày 01 tháng 01 năm 2026, mà không bị coi là vi phạm pháp luật. Tuy nhiên, miễn trừ này không áp dụng trong trường hợp các chủ thể này xử lý dữ liệu cá nhân của “số lượng lớn” chủ thể dữ liệu (Luật BVDLCN, Điều 38). Liên quan đến nội dung này, Nghị định 356 đã làm rõ rằng miễn trừ nêu trên sẽ không áp dụng khi xử lý dữ liệu cá nhân của từ 100.000 chủ thể dữ liệu trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý (Điều 41).

4. Giải quyết sự chồng chéo về yêu cầu lập báo cáo đánh giá tác động xử lý dữ liệu cá nhân đối với dữ liệu vừa là dữ liệu cốt lõi/dữ liệu quan trọng vừa là dữ liệu cá nhân. Nghị định 356 làm rõ rằng, trong trường hợp dữ liệu cốt lõi hoặc dữ liệu quan trọng đồng thời là dữ liệu cá nhân, thì việc bảo vệ và xử lý dữ liệu này phải tuân thủ Luật BVDLCN và Nghị định 356, thay vì Luật Dữ liệu và Nghị định số 165/2025/NĐ-CP hướng dẫn thi hành Luật Dữ liệu. Theo đó, doanh nghiệp xử lý dữ liệu cốt lõi hoặc dữ liệu quan trọng đồng thời là dữ liệu cá nhân không phải thực hiện đánh giá rủi ro riêng biệt theo Luật Dữ liệu; thay vào đó, Báo cáo đánh giá tác động xử lý dữ liệu cá nhân (DPIA) được thực hiện theo Luật BVDLCN được coi là đáp ứng yêu cầu tương ứng. Việc loại bỏ nghĩa vụ trùng lặp này được kỳ vọng sẽ đơn giản hóa yêu cầu tuân thủ và giảm gánh nặng thủ tục hành chính cho bên kiểm soát dữ liệu và bên xử lý dữ liệu (Điều 42.3).

Vấn đề còn để ngỏ

Một trong những vấn đề lớn còn bỏ ngỏ tại Luật BVDLCN là phương pháp xác định khoản thu có được từ hành vi vi phạm làm căn cứ xử phạt hiện vẫn chưa được quy định cụ thể.

Doanh nghiệp nên làm gì

Trong bối cảnh hoạt động xử lý dữ liệu ngày càng phức tạp và khuôn khổ pháp lý có nhiều thay đổi  — bao gồm việc phân loại lại một số nhóm dữ liệu cá nhân nhạy cảm, bổ sung các nghĩa vụ xử lý dữ liệu, cũng như áp dụng các biểu mẫu mới — doanh nghiệp nên chủ động rà soát lại mức độ tuân thủ và cân nhắc tham vấn các đơn vị tư vấn pháp lý để bảo đảm việc triển khai các yêu cầu mới được thực hiện phù hợp, đồng thời đặt nền tảng cho chiến lược bảo vệ dữ liệu ổn định và lâu dài.

Bên cạnh đó, do Nghị định 356 mới vừa có hiệu lực, Bộ Công an hiện vẫn đang hoàn thiện các hướng dẫn và quy trình nội bộ phục vụ công tác triển khai. Vì vậy, các doanh nghiệp cần chủ động theo dõi các hướng dẫn tiếp theo và chuẩn bị sẵn sàng để điều chỉnh hồ sơ, tài liệu theo các biểu mẫu và quy định mới.