CÔNG TY TNHH MOWIS

VN EN

Bản tin pháp luật

chevron_left Bản tin pháp luật

NGHỊ ĐỊNH 356/2025/NĐ-CP – NHỮNG LƯU Ý QUAN TRỌNG VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN TỪ NĂM 2026

Cập nhật: Thứ hai, ngày 5 tháng 1 năm 2026, lượt xem: 409

NGHỊ ĐỊNH 356/2025/NĐ-CP

NHỮNG LƯU Ý QUAN TRỌNG VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN TỪ NĂM 2026

Doanh nghiệp cần lưu ý gì để không vi phạm pháp luật khu thu thập, xử lý dữ liệu cá nhân.
Tiếp theo chuyên đề của MOWIS về CHẾ ĐỊNH BẢO VỆ DỮ LIỆU CÁ NHÂN VÀ BẢO MẬT THÔNG TIN (http://mowis.vn/VN/Noi-Dung/65/CHE-DINH-BAO-VE-DU-LIEU-CA-NHAN-VA-BAO-MAT-THONG-TIN.aspx), ngày 01/01/2026, Nghị định số 356/2025/NĐ-CP chính thức có hiệu lực, quy định chi tiết thi hành Luật Bảo vệ dữ liệu cá nhân 2025.

Nghị đinh này thay thế Nghị định 13/2023/NĐ-CP, là bước chuyển quan trọng, đưa bảo vệ dữ liệu cá nhân trở thành nghĩa vụ tuân thủ mang tính quản trị bắt buộc đối với doanh nghiệp. So với giai đoạn trước, Nghị định 356/2025/NĐ-CP không chỉ dừng ở việc xác lập nguyên tắc, mà chuẩn hóa cách thức thực hiện, thời hạn bắt buộc và hệ quả pháp lý nếu vi phạm, buộc doanh nghiệp phải nhìn nhận bảo vệ dữ liệu cá nhân như một rủi ro pháp lý trọng yếu.

I. NHỮNG ĐIỂM MỚI DOANH NGHIỆP CẦN LƯU Ý
1. Siết chặt cơ chế đồng ý của chủ thể dữ liệu.
Việc xử lý dữ liệu cá nhân chỉ được thực hiện trên cơ sở sự đồng ý rõ ràng, chủ động, tách biệt theo từng mục đích xử lý. Các hình thức mặc định đồng ý, tích sẵn hoặc gộp nhiều mục đích xử lý trong một lần chấp thuận không còn phù hợp. Đối với dữ liệu cá nhân nhạy cảm, doanh nghiệp phải thông báo rõ tính chất nhạy cảm trước khi xử lý.
2. Chuẩn hóa thời hạn phản hồi và xử lý yêu cầu của chủ thể dữ liệu.
Doanh nghiệp phải phản hồi việc tiếp nhận yêu cầu của chủ thể dữ liệu trong 02 ngày làm việc; các yêu cầu truy cập, chỉnh sửa, ngừng xử lý hoặc xóa dữ liệu phải được thực hiện trong 10–30 ngày tùy trường hợp. Điều này đòi hỏi doanh nghiệp phải có quy trình nội bộ và hệ thống quản lý dữ liệu hiệu quả.
3. Làm rõ phạm vi dữ liệu cá nhân nhạy cảm.
Danh mục dữ liệu cá nhân nhạy cảm được quy định cụ thể hơn, bao gồm thông tin định danh, tài chính, sinh trắc học, vị trí, lịch sử giao dịch và thông tin tài khoản số, kèm theo yêu cầu biện pháp bảo mật tăng cường và kiểm soát truy cập chặt chẽ.

II. QUY ĐỊNH CHUYỂN TIẾP LIÊN QUAN ĐẾN THỰC HIỆN HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN
Theo Điều 41 Nghị định 356/2025/NĐ-CP, doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được lựa chọn thực hiện hoặc không thực hiện các nghĩa vụ về đánh giá tác động xử lý dữ liệu cá nhân trong 05 năm kể từ ngày Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực; hộ kinh doanh và doanh nghiệp siêu nhỏ được miễn thực hiện các nghĩa vụ này.
Tuy nhiên, cơ chế linh hoạt không áp dụng đối với doanh nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân từ 100.000 chủ thể dữ liệu trở lên (tính theo dữ liệu tích lũy). Trong các trường hợp này, doanh nghiệp bắt buộc lập và cập nhật hồ sơ đánh giá tác động, đồng thời thông báo vi phạm trong 72 giờ nếu xảy ra sự cố.
Đáng lưu ý, việc xử lý dữ liệu phát sinh trước ngày 01/01/2026 không phải là căn cứ miễn trừ trách nhiệm.

III. CHẾ TÀI NẾU KHÔNG TUÂN THỦ
Theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025, tổ chức vi phạm có thể bị xử phạt hành chính, truy cứu trách nhiệm hình sự và buộc bồi thường thiệt hại. Mức phạt tiền đáng chú ý gồm:
- Mua, bán dữ liệu cá nhân trái phép: phạt tối đa 10 lần khoản thu có được;
- Vi phạm chuyển dữ liệu cá nhân xuyên biên giới: phạt tối đa 5% doanh thu của năm trước;
- Các hành vi vi phạm khác: có thể bị phạt tiền lên đến 3 tỷ đồng.

IV. KHUYẾN NGHỊ ĐỂ DOANH NGHIỆP TRÁNH RỦI RO VI PHẠM
1. Pháp lý bên ngoài – Doanh nghiệp cần đăng ký, thông báo gì?
Doanh nghiệp cần rà soát hoạt động xử lý dữ liệu cá nhân để xác định nghĩa vụ pháp lý tương ứng:
- Lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA), gửi 01 bản chính cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời gian 60 ngày kể từ ngày đầu tiên xử lý dữ liệu cá nhân theo quy định.
- Trường hợp có lưu trữ hoặc cho phép truy cập dữ liệu từ nước ngoài, Doanh nghiệp phải lập thêm Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (TIA) theo quy định.
- Thực hiện nghĩa vụ thông báo vi phạm trong 72 giờ kể từ khi phát hiện sự cố rò rỉ, xâm phạm dữ liệu cá nhân.
2. Pháp lý nội bộ – Doanh nghiệp cần hoàn thiện những gì?
Doanh nghiệp cần xây dựng và hoàn thiện hạ tầng công nghệ, hệ thống quy chế nội bộ về bảo vệ dữ liệu cá nhân, tập trung vào:
- Chính sách bảo vệ dữ liệu cá nhân, quy định rõ phạm vi thu thập, mục đích xử lý, thời hạn lưu trữ;
- Quy trình lấy và quản lý sự đồng ý của chủ thể dữ liệu, đảm bảo rõ ràng, tách biệt theo từng mục đích;
- Quy trình phản hồi yêu cầu của chủ thể dữ liệu đúng thời hạn pháp luật;
- Quy trình ứng phó sự cố dữ liệu, gắn với trách nhiệm báo cáo và xử lý nội bộ;
- Quy định bảo mật dữ liệu trong tuyển dụng, quản lý lao động theo quy định, làm căn cứ kiểm soát và xử lý vi phạm.
- Chỉ định nhân sự hoặc bộ phận bảo vệ dữ liệu cá nhân (DPO). Nhân sự bảo vệ dữ liệu cá nhân được chỉ định phải đáp ứng đủ các điều kiện năng lực như sau:
+ Có trình độ cao đẳng trở lên;
+ Có ít nhất 02 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ;
+ Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.
Đối với các doanh nghiệp quy mô lớn hoặc hoạt động trong lĩnh vực nhạy cảm, việc thiết lập một bộ phận DPO chuyên biệt là bắt buộc.
- Đầu tư hạ tầng công nghệ, tổ chức triển khai thực hiện các biện pháp kỹ thuật nhằm nâng cấp hệ thống bảo mật, bảo vệ dữ liệu cá nhân với các giải pháp như: Ngăn chặn thất thoát dữ liệu, Mã hóa dữ liệu, Ẩn danh hóa; Quản lý quyền truy cập,…
- Xây dựng kế hoạch và triển khai đào tạo, bồi dưỡng định kỳ về bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức.