Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân [Mới nhất]

DPO.VN Góc nhìn chuyên gia DPO.VN
nghi-dinh-huong-dan-luat-bao-ve-du-lieu-ca-nhan

Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân số 356/2025/NĐ-CP là văn bản pháp lý quan trọng, cụ thể hóa các quy định của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, giúp doanh nghiệp và tổ chức hiểu rõ và thực thi đúng các nghĩa vụ bảo vệ dữ liệu. Để nắm bắt đầy đủ và chính xác nhất các quy định này, hãy tham khảo thông tin chi tiết và cập nhật từ DPO.VN, đối tác tin cậy đồng hành cùng bạn trong hành trình tuân thủ pháp luật.

Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân quy định những nội dung chính nào?

Nghị định 356/2025/NĐ-CP quy định chi tiết về danh mục dữ liệu cá nhân, yêu cầu bảo vệ dữ liệu trong các lĩnh vực đặc thù (như tài chính, AI, dữ liệu lớn), điều kiện nhân sự bảo vệ dữ liệu, thủ tục hành chính liên quan đến đánh giá tác động và chuyển dữ liệu xuyên biên giới, cũng như điều kiện kinh doanh dịch vụ xử lý dữ liệu.

Nghị định số 356/2025/NĐ-CP được Chính phủ ban hành để quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân. Đây là văn bản “xương sống” hướng dẫn cách thức triển khai Luật vào thực tế, tác động trực tiếp đến mọi cơ quan, tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Nghị định bao gồm 5 chương và 42 điều, tập trung vào các nhóm vấn đề cốt lõi sau:

  • Phân loại dữ liệu chi tiết: Quy định cụ thể danh mục dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, giúp các bên xác định rõ đối tượng bảo vệ.
  • Quy trình thực hiện quyền: Hướng dẫn chi tiết trình tự, thủ tục, thời hạn để Bên kiểm soát dữ liệu phản hồi và thực hiện các quyền của chủ thể dữ liệu (như quyền rút lại sự đồng ý, quyền xóa dữ liệu…).
  • Bảo vệ dữ liệu trong các lĩnh vực đặc thù: Đặt ra các yêu cầu riêng biệt và nghiêm ngặt hơn đối với xử lý dữ liệu trong tài chính, ngân hàng, trí tuệ nhân tạo (AI), dữ liệu lớn (Big Data), điện toán đám mây.
  • Nhân sự và tổ chức bảo vệ dữ liệu: Quy định điều kiện, tiêu chuẩn đối với nhân sự bảo vệ dữ liệu cá nhân (DPO) và các tổ chức cung cấp dịch vụ này.
  • Thủ tục hành chính: Hướng dẫn chi tiết về hồ sơ, trình tự đánh giá tác động xử lý dữ liệu, đánh giá tác động chuyển dữ liệu ra nước ngoài và cấp giấy phép kinh doanh dịch vụ xử lý dữ liệu.

Danh mục dữ liệu cá nhân cơ bản và nhạy cảm được quy định như thế nào?

Nghị định làm rõ ranh giới giữa hai loại dữ liệu này, vốn là cơ sở để áp dụng các biện pháp bảo vệ tương ứng.

Loại dữ liệu Nội dung chi tiết (Trích yếu Nghị định 356/2025/NĐ-CP)
Dữ liệu cá nhân cơ bản (Điều 3) Bao gồm: Họ tên, ngày sinh, giới tính, nơi sinh, địa chỉ thường trú/tạm trú, quốc tịch, hình ảnh cá nhân, số điện thoại, số định danh cá nhân (CCCD), số hộ chiếu, tình trạng hôn nhân, thông tin mối quan hệ gia đình, thông tin tài khoản số.
Dữ liệu cá nhân nhạy cảm (Điều 4) Bao gồm: Quan điểm chính trị/tôn giáo; Tình trạng sức khỏe; Dữ liệu sinh trắc học/di truyền; Đời sống tình dục; Dữ liệu tội phạm; Vị trí định vị; Thông tin tài khoản ngân hàng, lịch sử giao dịch tài chính; Dữ liệu hành vi sử dụng dịch vụ mạng…

💡 DPO.VN lưu ý: Việc xác định đúng loại dữ liệu là bước đầu tiên quan trọng. Dữ liệu nhạy cảm đòi hỏi các biện pháp bảo vệ nghiêm ngặt hơn, như phải đánh giá tác động kỹ lưỡng hơn và yêu cầu sự đồng ý rõ ràng hơn từ chủ thể dữ liệu.

Quy trình xử lý yêu cầu của chủ thể dữ liệu có gì mới?

Điều 5 của Nghị định đặt ra các mốc thời gian cụ thể mà doanh nghiệp bắt buộc phải tuân thủ khi nhận được yêu cầu từ khách hàng (chủ thể dữ liệu):

  • Phản hồi ban đầu: Trong vòng 02 ngày làm việc kể từ khi nhận được yêu cầu hợp lệ.
  • Thực hiện yêu cầu (Rút lại sự đồng ý, hạn chế, phản đối): Trong vòng 07 ngày làm việc.
  • Thực hiện yêu cầu (Xem, chỉnh sửa, cung cấp, xóa): Trong vòng 10 ngày làm việc.
  • Trường hợp phức tạp: Có thể gia hạn thêm tối đa 10 ngày làm việc nhưng phải thông báo lý do.

Hồ sơ đánh giá tác động xử lý dữ liệu và chuyển dữ liệu ra nước ngoài được quy định ra sao?

Doanh nghiệp phải lập hồ sơ đánh giá tác động ngay khi bắt đầu xử lý hoặc chuyển dữ liệu, nộp cho Bộ Công an trong vòng 60 ngày, và phải cập nhật định kỳ 06 tháng một lần hoặc khi có thay đổi lớn.

Đây là nghĩa vụ hành chính quan trọng nhất để chứng minh sự tuân thủ (accountability). Nghị định quy định chi tiết về hai loại hồ sơ này:

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Điều 19)

Hồ sơ này áp dụng cho Bên kiểm soát, Bên kiểm soát và xử lý, và cả Bên xử lý dữ liệu cá nhân. Thành phần hồ sơ bao gồm:

  • Thông báo gửi hồ sơ theo Mẫu số 02a (tổ chức) hoặc Mẫu số 02b (cá nhân).
  • Báo cáo đánh giá tác động chi tiết: Mô tả mục đích, loại dữ liệu, quy trình xử lý, biện pháp bảo vệ, và đánh giá rủi ro/hậu quả.
  • Các tài liệu kèm theo: Hợp đồng/thỏa thuận xử lý dữ liệu, chính sách bảo vệ dữ liệu nội bộ.

Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (Điều 18)

Áp dụng khi doanh nghiệp chuyển dữ liệu cá nhân ra nước ngoài (lưu trữ máy chủ nước ngoài, chuyển cho đối tác nước ngoài…). Hồ sơ gồm:

  • Thông báo gửi hồ sơ theo Mẫu số 01a (tổ chức) hoặc Mẫu số 01b (cá nhân).
  • Báo cáo đánh giá tác động chuyển dữ liệu: Phải làm rõ loại dữ liệu chuyển đi, mục đích, biện pháp bảo vệ của bên nhận tại nước ngoài.
  • Văn bản ràng buộc trách nhiệm (Hợp đồng) giữa bên chuyển và bên nhận.

Đặc biệt, Điều 20 của Nghị định này yêu cầu cập nhật hồ sơ định kỳ 06 tháng khi có thay đổi về mục đích xử lý, bên liên quan, hoặc cập nhật ngay trong vòng 10 ngày nếu có thay đổi về tổ chức (sáp nhập, giải thể) hoặc hệ thống công nghệ.

Điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân là gì?

Dịch vụ xử lý dữ liệu cá nhân là ngành nghề kinh doanh có điều kiện. Doanh nghiệp muốn hoạt động phải có Giấy chứng nhận đủ điều kiện, đáp ứng các tiêu chuẩn khắt khe về nhân sự, hạ tầng kỹ thuật và quản trị rủi ro.

Nghị định 356/2025/NĐ-CP xác định rõ các loại hình dịch vụ xử lý dữ liệu (Điều 21), bao gồm dịch vụ chấm điểm tín nhiệm, phân tích dữ liệu, tiếp thị dữ liệu, trung gian dữ liệu… Để được cấp phép, doanh nghiệp cần đáp ứng các điều kiện tại Điều 22:

  • Nhân sự: Người đứng đầu phụ trách chuyên môn phải là công dân Việt Nam, không có tiền án về tội phạm công nghệ/dữ liệu. Phải có tối thiểu 03 nhân sự có bằng cấp chuyên môn (CNTT, Luật…) và chứng chỉ bồi dưỡng bảo vệ dữ liệu.
  • Hạ tầng: Có hệ thống trang thiết bị, công nghệ phù hợp, đảm bảo an toàn thông tin.
  • Đề án kinh doanh: Phải xây dựng Đề án chi tiết, bao gồm khung quản trị rủi ro và kế hoạch bảo vệ dữ liệu.

Hồ sơ đề nghị cấp phép (Mẫu số 04) được nộp cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an).

Các Câu Hỏi Thường Gặp Về Nghị Định Hướng Dẫn

1. Khi nào Nghị định này có hiệu lực thi hành?

Trả lời: Theo Điều 42, Nghị định 356/2025/NĐ-CP có hiệu lực thi hành từ ngày 01 tháng 01 năm 2026. Từ thời điểm này, Nghị định số 13/2023/NĐ-CP sẽ hết hiệu lực. Tuy nhiên, các doanh nghiệp cần chuẩn bị ngay từ bây giờ để đáp ứng các yêu cầu về nhân sự và hệ thống trước thời điểm hiệu lực.

2. Doanh nghiệp nhỏ có được miễn trừ các quy định trong Nghị định không?

Trả lời: Có, nhưng có điều kiện. Theo Điều 41 Nghị định 356/2025/NĐ-CP, doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp sáng tạo được miễn trừ một số nghĩa vụ (như bổ nhiệm DPO) trong thời gian đầu. Tuy nhiên, quyền miễn trừ này KHÔNG áp dụng nếu doanh nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, hoặc trực tiếp xử lý dữ liệu nhạy cảm, hoặc xử lý dữ liệu quy mô lớn (từ 100.000 chủ thể trở lên).

3. Nếu vi phạm quy định bảo vệ dữ liệu, doanh nghiệp phải báo cáo như thế nào?

Trả lời: Theo Điều 28 và 29 Nghị định 356/2025/NĐ-CP, khi xảy ra sự cố lộ, mất dữ liệu (đặc biệt là dữ liệu nhạy cảm, sinh trắc học), doanh nghiệp phải thông báo cho Cục A05 và chủ thể dữ liệu chậm nhất 72 giờ sau khi phát hiện. Thông báo thực hiện theo Mẫu số 08, bao gồm mô tả sự cố, hậu quả và biện pháp khắc phục.

4. Nhân sự bảo vệ dữ liệu (DPO) cần điều kiện gì?

Trả lời: Điều 13 quy định DPO phải có trình độ từ Cao đẳng/Đại học trở lên; có ít nhất 02 năm kinh nghiệm trong lĩnh vực liên quan (luật, CNTT, an ninh mạng…); có chứng chỉ bồi dưỡng về bảo vệ dữ liệu cá nhân; và không có tiền án về các tội danh liên quan đến dữ liệu/công nghệ.

5. Tôi có thể tìm tải các biểu mẫu hồ sơ ở đâu?

Trả lời: Toàn bộ các biểu mẫu (Mẫu 01a/b đến Mẫu 08) được ban hành kèm theo Phụ lục của Nghị định 356/2025/NĐ-CP. Bạn có thể tải toàn văn Nghị định và các biểu mẫu này trên Cổng thông tin điện tử Chính phủ hoặc liên hệ với DPO.VN để được cung cấp bộ biểu mẫu chuẩn và hướng dẫn điền chi tiết.

Đồng Hành Cùng Doanh Nghiệp Trong Kỷ Nguyên Số Với DPO.VN

Việc tuân thủ Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân là thách thức nhưng cũng là cơ hội để doanh nghiệp nâng cao uy tín và năng lực cạnh tranh. DPO.VN – Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia, với sự dẫn dắt của Luật sư Nguyễn Tiến Hảo, cam kết cung cấp giải pháp tư vấn toàn diện, hỗ trợ doanh nghiệp hoàn thiện hồ sơ pháp lý và quy trình bảo mật một cách chuyên nghiệp nhất.

Website: dpo.vn

Hotline: 0914.315.886

Email: info@dpo.vn

Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Yên Hoà, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam.

Tài liệu tham khảo

  • Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
  • Chính phủ (2025), Nghị định số 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
  • Chính phủ (2023), Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
  • Bộ Công an, Cổng Dịch vụ công Bộ Công an – Lĩnh vực An ninh mạng.
  • GDPR.eu, General Data Protection Regulation (GDPR) Compliance Guidelines.
Luat-Su-Nguyen-Tien-Hao

Luật sư Nguyễn Tiến Hảo

Với kinh nghiệm tư vấn pháp lý về bảo vệ dữ liệu cá nhân cho gần 100 doanh nghiệp trong nước và quốc tế, Luật sư Nguyễn Tiến Hảo đã khẳng định vị thế là một trong những chuyên gia pháp lý hàng đầu tại Việt Nam về quản trị rủi ro và tuân thủ pháp lý trong lĩnh vực Bảo vệ dữ liệu cá nhân. Với chuyên môn sâu sắc trong việc diễn giải và áp dụng các quy định về Bảo vệ Dữ liệu Cá nhân, thể hiện qua năng lực xây dựng các Hồ sơ Đánh giá Tác động Xử Lý Dữ Liệu Cá Nhân đạt tiêu chuẩn và có tính ứng dụng cao. Các giải pháp cung cấp cho doanh nghiệp không chỉ đảm bảo sự tuân thủ nghiêm ngặt với pháp luật Việt Nam mà còn tương thích với các thông lệ quốc tế tốt nhất. Mang lại cho khách hàng sự bảo vệ pháp lý toàn diện và một lợi thế cạnh tranh rõ rệt. Tiểu sử tác giả

Bài viết liên quan

doanh-nghiep-can-lam-gi-khi-de-lo-du-lieu-ca-nhan-khach-hang
16/12/2025 | DPO.VN | Góc nhìn chuyên gia DPO.VN
Doanh nghiệp cần làm gì khi để lộ dữ liệu cá nhân khách hàng?
doanh-nghiep-1-nguoi-lao-dong-co-phai-lap-ho-so-danh-gia-tac-dong-khong
16/12/2025 | DPO.VN | Góc nhìn chuyên gia DPO.VN
Doanh Nghiệp 1 Người Lao Động Có Phải Lập Hồ Sơ Đánh Giá Tác Động Không?
Huong-dan-lap-ho-so-danh-gia-tac-dong-xu-ly-du-lieu-ca-nhan
15/12/2025 | DPO.VN | Góc nhìn chuyên gia DPO.VN
Hướng Dẫn Lập Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân
10-viec-can-chuan-bi-khi-thanh-tra-bao-ve-du-lieu-ca-nhan
11/12/2025 | DPO.VN | Góc nhìn chuyên gia DPO.VN
10 Việc Cần Chuẩn Bị Khi Thanh Tra Bảo Vệ Dữ Liệu Cá Nhân
Thoi-gian-thuc-hien-quyen-cua-chu-the-du-lieu-la-bao-lau
11/12/2025 | DPO.VN | Góc nhìn chuyên gia DPO.VN
Thời Gian Thực Hiện Quyền Của Chủ Thể Dữ Liệu Là Bao Lâu?
Chuyen-giao-va-mua-ban-du-lieu-ca-nhan-co-can-khu-nhan-dang-khong
11/12/2025 | DPO.VN | Góc nhìn chuyên gia DPO.VN
Chuyển Giao Và Mua Bán Dữ Liệu Cá Nhân Có Cần Khử Nhận Dạng Không?
Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

DPO.VN DPO.VN
DPO.VN DPO.VN
DPO.VN DPO.VN