Chương Mới Của Bảo Vệ Dữ Liệu Cá Nhân: Nghị Định Hướng Dẫn Luật Bảo Vệ Dữ Liệu Cá Nhân

19/01/2026 13:00

Ngày 31/12/2025, Chính Phủ đã chính thức ban hành Nghị Định số 356/2025/NĐ-CP quy định chi tiết và hướng dẫn thi hành Luật Bảo Vệ Dữ Liệu Cá Nhân (Nghị Định 356). Nghị Định 356 có hiệu lực từ ngày 1/1/2026 và thay thế Nghị Định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính Phủ về bảo vệ dữ liệu cá nhân (Nghị Định 13), qua đó góp phần bảo đảm việc thi hành hiệu quả Luật Bảo Vệ Dữ Liệu Cá Nhân và bảo đảm tính thống nhất của hệ thống pháp luật về bảo vệ dữ liệu cá nhân. Trong bản Cập Nhật Pháp Lý này, chúng tôi sẽ điểm qua các quy định đáng chú ý của Nghị Định 356 và đối chiếu với Nghị Định 13 nhằm làm rõ những thay đổi quan trọng và các tác động tiềm ẩn đối với doanh nghiệp.

1. Thực hiện quyền của chủ thể dữ liệu cá nhân

So với Nghị Định 13, Nghị Định 356 bổ sung quy trình và thời hạn cụ thể để bên kiểm soát dữ liệu cá nhân, và bên kiểm soát và xử lý dữ liệu cá nhân phản hồi và thực hiện các yêu cầu của chủ thể dữ liệu. 

Cụ thể, Nghị Định 356 quy định rõ rằng bên kiểm soát dữ liệu cá nhân, và bên kiểm soát và xử lý dữ liệu cá nhân phải phản hồi trong vòng hai (2) ngày làm việc kể từ ngày nhận được yêu cầu. Nghị Định 356 bổ sung thêm nghĩa vụ cung cấp thông tin về trình tự, thủ tục thực hiện yêu cầu cho chủ thể dữ liệu. Trong khi Nghị Định 13 quy định các yêu cầu của chủ thể dữ liệu cá nhân phải được thực hiện trong vòng bảy mươi hai (72) giờ kể từ thời điểm nhận được yêu cầu, Nghị Định 356 quy định thời hạn xử lý khác nhau đối với từng loại yêu cầu của chủ thể dữ liệu cá nhân, bao gồm cả những quy định về gia hạn trong những trường hợp cần thiết và hợp lý, như thể hiện trong bảng bên dưới.

Yêu cầu của chủ thể dữ liệu cá nhân

Nghị Định 13

Nghị Định 356

Do bên kiểm soát dữ liệu cá nhân/bên kiểm soát và xử lý dữ liệu cá nhân tự thực hiện

Trường hợp có sự tham gia của bên xử lý dữ liệu cá nhân hoặc bên thứ ba

Thời gian gia hạn (nếu có, chỉ được gia hạn một lần)

Rút lại sự đồng ý, hạn chế hoặc phản đối việc xử lý dữ liệu cá nhân

Bảy mươi hai (72) giờ

Mười lăm (15) ngày

Hai mươi (20) ngày

Mười lăm (15) ngày

 

Quyền truy cập, chỉnh sửa và được cung cấp dữ liệu cá nhân 

Mười (10) ngày

Mười lăm (15) ngày

 

Mười (10) ngày

Xóa dữ liệu cá nhân

Hai mươi (20) ngày

Ba mươi (30) ngày

Hai mươi (20) ngày

Yêu cầu thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân

Không quy định

Mười lăm (15) ngày

Không áp dụng

Mười lăm (15) ngày

2. Bộ phận bảo vệ dữ liệu cá nhân và nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức

Nghị Định 356 đã quy định cụ thể các điều kiện, tiêu chuẩn đối với bộ phận bảo vệ dữ liệu cá nhân (Bộ Phận BVDLCN) và nhân sự bảo vệ dữ liệu cá nhân (Nhân Sự BVDLCN) của cơ quan, tổ chức, một nội dung mà Nghị Định 13 không đề cập.

(i) Điều kiện đối với Nhân Sự BVDLCN:

(a) Có trình độ từ cao đẳng trở lên;

(b) Có ít nhất hai (2) năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ;

(c) Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.

(ii) Điều kiện đối với Bộ Phận BVDLCN: các nhân sự của Bộ Phận BVDLCN phải đáp ứng đầy đủ các điều kiện áp dụng đối với Nhân Sự BVDLCN nêu trên. 

3. Dịch vụ bảo vệ dữ liệu cá nhân

Nghị Định 356 cho phép doanh nghiệp được thuê dịch vụ bảo vệ dữ liệu cá nhân do cá nhân hoặc tổ chức cung cấp, với điều kiện đáp ứng các yêu cầu sau:

(i) Điều kiện đối với cá nhân cung cấp dịch vụ:

(a) Có trình độ từ cao đẳng trở lên;

(b) Có ít nhất ba (3) năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, xử lý dữ liệu cá nhân, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ;

(c) Đã được đào tạo, bồi dưỡng chuyên sâu kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.

(ii) Điều kiện đối với tổ chức cung cấp dịch vụ:

(a) Là tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc ngành nghề, lĩnh vực kinh doanh về công nghệ, pháp lý hoặc tư vấn về công nghệ, pháp lý;

(b) Có ít nhất ba (3) nhân sự đáp ứng đầy đủ điều kiện đối với cá nhân cung cấp dịch vụ nêu trên; và

(c) Đã cung cấp các sản phẩm, dịch vụ liên quan đến bảo mật, an ninh mạng, công nghệ thông tin, đánh giá tiêu chuẩn, tư vấn về bảo vệ dữ liệu cá nhân.

4. Đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Nghị Định 356 bổ sung thêm các trường hợp được miễn thực hiện đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, qua đó làm giảm đáng kể gánh nặng thủ tục hành chính cho doanh nghiệp. Các trường hợp được miễn bao gồm:

(i) Hoạt động báo chí, truyền thông theo quy định pháp luật;

(ii) Việc chuyển dữ liệu cá nhân xuyên biên giới đã được công khai hợp pháp;

(iii) Trong các tình huống khẩn cấp, thực sự cần thiết phải cung cấp dữ liệu cá nhân xuyên biên giới để bảo vệ tính mạng, sức khỏe và an toàn tài sản của cá nhân; để thực hiện nhiệm vụ, nghĩa vụ theo quy định của pháp luật;

(iv) Hoạt động chuyển dữ liệu cá nhân xuyên biên giới để quản lý nhân sự xuyên biên giới theo quy tắc, quy chế lao động và thỏa ước lao động tập thể theo quy định của pháp luật; và

(v) Việc cung cấp dữ liệu cá nhân xuyên biên giới để ký kết hợp đồng hoặc thực hiện các thủ tục liên quan đến vận chuyển xuyên biên giới, hậu cần, chuyển tiền, thanh toán, khách sạn, xin thị thực, xin học bổng.

5. Dịch vụ xử lý dữ liệu cá nhân 

Đây là quy định mới được bổ sung tại Nghị Định 356. Theo đó, dịch vụ xử lý dữ liệu cá nhân bao gồm, nhưng không giới hạn ở: dịch vụ chấm điểm mức độ tín nhiệm, dịch vụ mã hóa dữ liệu cá nhân, dịch vụ xử lý dữ liệu tự động dựa trên công nghệ dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo.Các dịch vụ này phải đáp ứng các điều kiện nghiêm ngặt và phải hoàn tất các thủ tục có liên quan để xin cấp giấy chứng nhận đủ điều kiện cung cấp dịch vụ xử lý dữ liệu cá nhân.

6. Các nghĩa vụ được miễn trừ

Cả Nghị Định 13 và Nghị Định 356 đều quy định về việc miễn trừ một số nghĩa vụ pháp lý. Tuy nhiên, Nghị Định 356 đã mở rộng đáng kể phạm vi nghĩa vụ được miễn, đối tượng được hưởng miễn trừ cũng như thời hạn miễn trừ. Cụ thể:

 

Nghị Định 13

Nghị Định 356

Phạm vi nghĩa vụ được miễn

Chỉ định Bộ Phận BVDLCN và Nhân Sự BVDLCN

  • Chỉ định Bộ Phận BVDLCN và Nhân Sự BVDLCN hoặc thuê dịch vụ bảo vệ dữ liệu cá nhân; và
  • Nghĩa vụ thực hiện đánh giá tác động xử lý dữ liệu cá nhân

Đối tượng được miễn

  • Doanh nghiệp siêu nhỏ, nhỏ và vừa; và
  • Doanh nghiệp khởi nghiệp
  • Hộ kinh doanh, doanh nghiệp siêu nhỏ và doanh nghiệp nhỏ; và
  • Doanh nghiệp khởi nghiệp

Thời hạn được miễn

Hai (2) năm kể từ khi thành lập doanh nghiệp.

  • Doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp: năm (5) năm kể từ ngày Luật Bảo Vệ Dữ Liệu Cá Nhân có hiệu lực (tức ngày 1/1/2026)
  • Hộ kinh doanh, doanh nghiệp siêu nhỏ: được miễn hoàn toàn

Trường hợp không được miễn

Doanh nghiệp siêu nhỏ, nhỏ và vừa, và doanh nghiệp khởi nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân

Hộ kinh doanh, doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp nếu:

  • cung cấp dịch vụ xử lý dữ liệu cá nhân; 
  • trực tiếp xử lý dữ liệu cá nhân nhạy cảm; hoặc
  • xử lý dữ liệu cá nhân với quy mô từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.

Tải bản tin về máy tại đây: Cập Nhật Pháp Lý - Chương Mới Của Bảo Vệ Dữ Liệu Cá Nhân: Nghị Định Hướng Dẫn Luật Bảo Vệ Dữ Liệu Cá Nhân

Bài viết này chỉ cung cấp một bản tóm tắt về chủ đề được đề cập, mà không có bất kỳ nghĩa vụ nào do Công ty Luật Frasers chịu trách nhiệm. 

Bản tóm tắt không nhằm mục đích cũng như không nên dựa vào nó để thay thế cho lời khuyên pháp lý.

© Bản quyền của ấn phẩm này thuộc về Công ty Luật Frasers.