Nghị định 356/2025/NĐ-CP: 7 điểm mới về bảo vệ dữ liệu cá nhân

Từ ngày 01/01/2026, Nghị định 356/2025/NĐ-CP chính thức có hiệu lực, quy định chi tiết và hướng dẫn thi hành Luật Bảo vệ dữ liệu cá nhân 2025, đồng thời thay thế Nghị định 13/2023/NĐ-CP. So với quy định trước đây, Nghị định 356/2025/NĐ-CP có nhiều điểm mới quan trọng, tác động trực tiếp đến hoạt động quản lý và xử lý dữ liệu cá nhân của cơ quan, tổ chức, doanh nghiệp.

1. Điều chỉnh danh mục dữ liệu cá nhân cơ bản

Nghị định 356/2025/NĐ-CP quy định lại danh mục dữ liệu cá nhân cơ bản tại Điều 3 với một số thay đổi đáng chú ý so với Nghị định 13/2023/NĐ-CP. Theo đó, các thông tin như số CMND, mã số thuế cá nhân, số BHXH, số thẻ BHYT không còn được liệt kê riêng lẻ do đã được tích hợp vào số định danh cá nhân.

Bên cạnh đó, phạm vi thông tin về mối quan hệ gia đình được mở rộng, bao gồm cả vợ và chồng, thay vì chỉ giới hạn ở cha, mẹ và con như trước đây. Đáng chú ý, dữ liệu phản ánh hoạt động, lịch sử hoạt động trên không gian mạng không còn thuộc nhóm dữ liệu cơ bản mà được xếp vào dữ liệu cá nhân nhạy cảm.

2. Mở rộng và cụ thể hóa dữ liệu cá nhân nhạy cảm

So với Nghị định 13/2023/NĐ-CP, tại Điều 4 của Nghị định 356/2025/NĐ-CP xác định phạm vi dữ liệu cá nhân nhạy cảm rộng hơn và chi tiết hơn. Theo đó, mọi dữ liệu liên quan đến hành vi vi phạm pháp luật của cá nhân đều được coi là dữ liệu nhạy cảm, không chỉ giới hạn ở các hành vi cấu thành tội phạm như trước.

Ngoài ra, Nghị định 356/2025/NĐ-CP quy định cụ thể hơn về dữ liệu trong lĩnh vực ngân hàng, bao gồm thông tin đăng nhập, mật khẩu tài khoản, thông tin thẻ và lịch sử giao dịch. Đồng thời, dữ liệu giao dịch trong lĩnh vực chứng khoán, bảo hiểm của khách hàng tại các công ty chứng khoán, doanh nghiệp bảo hiểm cũng được xếp vào nhóm dữ liệu nhạy cảm.

Nghị định còn bổ sung dữ liệu theo dõi hành vi, thói quen sử dụng dịch vụ viễn thông, mạng xã hội và các dịch vụ trực tuyến khác. Việc xử lý các dữ liệu này phải đi kèm cơ chế phân quyền truy cập chặt chẽ, quy trình xử lý rõ ràng và các biện pháp bảo mật phù hợp.

Nghị định 356/2025/NĐ-CP: 7 điểm mới về bảo vệ dữ liệu cá nhân

3. Quy định rõ thời hạn phản hồi và xử lý yêu cầu của chủ thể dữ liệu

Khác với Nghị định 13/2023/NĐ-CP chỉ quy định chung thời hạn 72 giờ, tại Điều 5 Nghị định 356/2025/NĐ-CP ấn định cụ thể thời gian xử lý từng loại yêu cầu của chủ thể dữ liệu cá nhân.

Cụ thể, trong vòng 02 ngày làm việc, bên kiểm soát dữ liệu phải phản hồi đối với yêu cầu rút lại sự đồng ý, hạn chế hoặc phản đối việc xử lý dữ liệu. Thời hạn thực hiện yêu cầu được quy định chi tiết:

• 15 ngày (hoặc 20 ngày nếu có bên xử lý/bên thứ ba) đối với yêu cầu ngừng xử lý, rút lại sự đồng ý hoặc phản đối;
• 10 ngày (hoặc 15 ngày nếu có bên xử lý/bên thứ ba) đối với yêu cầu xem, chỉnh sửa hoặc cung cấp dữ liệu;
• 20 ngày (hoặc 30 ngày nếu có bên xử lý/bên thứ ba) đối với yêu cầu xóa dữ liệu cá nhân.

Trong trường hợp cần thiết, Nghị định cho phép gia hạn một lần, nhưng phải có giải trình rõ ràng về tính cần thiết và hợp lý.

4. Bắt buộc lưu trữ sự đồng ý của chủ thể dữ liệu, cấm cơ chế “đồng ý mặc định”

Quy định tại khoản 2, 3 Điều 6 Nghị định 356/2025/NĐ-CP đặt ra yêu cầu mới đối với việc thu thập sự đồng ý của chủ thể dữ liệu. Theo đó, bên kiểm soát dữ liệu có nghĩa vụ lưu trữ bằng chứng về sự đồng ý, và phải chịu trách nhiệm chứng minh khi xảy ra tranh chấp.

Đặc biệt, Nghị định nghiêm cấm việc thiết lập cơ chế đồng ý mặc định, cũng như các hình thức trình bày gây nhầm lẫn giữa đồng ý và không đồng ý. Mọi thiết lập sẵn phải tuân thủ nguyên tắc bảo vệ dữ liệu và tôn trọng đầy đủ quyền của chủ thể dữ liệu cá nhân.

5. Quy định chi tiết về chuyển giao dữ liệu cá nhân

Vấn đề chuyển giao dữ liệu cá nhân được quy định thành một điều riêng (Điều 7) với nội dung toàn diện. Việc chuyển giao phải có thỏa thuận bằng văn bản, xác định rõ mục đích, loại dữ liệu, thời hạn, căn cứ pháp lý và trách nhiệm của các bên.

Đối với dữ liệu cá nhân nhạy cảm, Nghị định yêu cầu áp dụng các biện pháp bảo mật cao hơn như bảo mật vật lý, mã hóa hoặc ẩn danh. Trường hợp chuyển giao có thu phí để cung cấp dịch vụ hoặc phục vụ lợi ích hợp pháp của chủ thể dữ liệu, doanh nghiệp phải xây dựng hệ thống kỹ thuật bảo đảm sự đồng ý rõ ràng, cụ thể cho từng lần chuyển giao.

Ngoài ra, việc chia sẻ dữ liệu trong nội bộ cũng phải có quy trình kiểm soát chặt chẽ, và dữ liệu phải được khử nhận dạng trước khi giao dịch trên sàn dữ liệu. So với Nghị định 13, quy định mới chuyển từ “ngăn cấm” sang quản lý và kiểm soát có điều kiện.

6. Yêu cầu bảo vệ dữ liệu cá nhân theo từng lĩnh vực cụ thể

Nghị định 356/2025/NĐ-CP đưa ra các yêu cầu riêng đối với bảo vệ dữ liệu cá nhân trong nhiều lĩnh vực. Trong lĩnh vực tài chính – ngân hàng, khi phát hiện lộ hoặc mất dữ liệu nhạy cảm, tổ chức tín dụng phải thông báo cho cơ quan chuyên trách và chủ thể dữ liệu trong thời hạn không quá 72 giờ. (Điều 8)

Đối với xử lý dữ liệu lớn, Nghị định yêu cầu áp dụng xác thực mạnh, tối thiểu là xác thực đa yếu tố và phân quyền truy cập nghiêm ngặt (Điều 9). Trong lĩnh vực trí tuệ nhân tạo và vũ trụ ảo, chủ thể dữ liệu có quyền chỉnh sửa, ẩn danh hoặc xóa hồ sơ nhận dạng, kể cả khi nền tảng lưu trữ lịch sử hành vi (Điều 10). Ngoài ra, Nghị định còn có quy định riêng cho công nghệ chuỗi khối (Điều 11) và điện toán đám mây (Điều 12).

7. Điều kiện đối với nhân sự phụ trách bảo vệ dữ liệu cá nhân trong doanh nghiệp

Một điểm mới đáng chú ý khác là quy định về tiêu chuẩn đối với nhân sự bảo vệ dữ liệu cá nhân. Theo quy định tại khoản 2 Điều 13 Nghị định 356/2025/NĐ-CP, người được chỉ định phải có trình độ từ cao đẳng trở lên, ít nhất 02 năm kinh nghiệm trong các lĩnh vực liên quan như pháp chế, công nghệ thông tin, an ninh dữ liệu, quản trị rủi ro hoặc kiểm soát tuân thủ, đồng thời được đào tạo chuyên sâu về pháp luật và kỹ năng bảo vệ dữ liệu cá nhân.

Ngoài các nội dung nêu trên, Nghị định 356/2025/NĐ-CP còn quy định chi tiết hơn về đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, kèm theo 10 biểu mẫu, hồ sơ áp dụng thống nhất. Doanh nghiệp cần sớm rà soát và điều chỉnh quy trình nội bộ để bảo đảm tuân thủ đúng quy định mới từ năm 2026.

Huỳnh Dương