logo
  • Ảnh slide 1

Chi tiết: Bản Tin Pháp Luật: Nghị Định 356 – Cẩm Nang Thực Thi Luật Bảo Vệ Dữ Liệu Cá Nhân

2026-01-08


Luật Bảo vệ dữ liệu cá nhân (DLCN) 2025 đã đưa ra những nguyên tắc chung, nhưng để thực sự biết mình phải làm gì, làm trong bao lâu và ai là người được phép làm, chúng ta cần tìm đến Nghị định 356/2025/NĐ-CP, mới được Chính phủ ban hành ngày 31/12/2025 và có hiệu lực từ 01/01/2026.

Dưới đây là những nội dung mới và quan trọng nhất mà nếu chỉ đọc Luật, bạn sẽ không thể nắm rõ được:


1. Định nghĩa rõ ràng: Cái gì là dữ liệu "Cơ bản", cái gì là "Nhạy cảm"?

Luật chỉ nêu khái niệm chung chung, nhưng Nghị định 356 đã lập ra danh mục cụ thể để các tổ chức không còn phải "đoán":

  • Dữ liệu cơ bản (Bổ sung thêm): Bao gồm cả tình trạng hôn nhân, thông tin mối quan hệ gia đình (cha mẹ, con, vợ chồng) và đặc biệt là thông tin về tài khoản số của cá nhân.
  • Dữ liệu nhạy cảm (Làm rõ): Nghị định "điểm mặt chỉ tên" những thông tin cực kỳ quan trọng như: vị trí cá nhân qua dịch vụ định vị; tên đăng nhập/mật khẩu tài khoản ngân hàng; lịch sử giao dịch tài chính; và đặc biệt là dữ liệu theo dõi hành vi trên mạng xã hội hoặc không gian mạng.

2. Thời hạn thực hiện quyền của người dân

Luật yêu cầu các tổ chức phải thực hiện yêu cầu của chủ thể dữ liệu "kịp thời", nhưng Nghị định 356 mới là văn bản ấn định các con số cụ thể:

  • 02 ngày làm việc: Là thời hạn tối đa để tổ chức phải phản hồi kể từ khi nhận được yêu cầu (xem, sửa, xóa, rút lại sự đồng ý...).
  • 10 ngày: Thời hạn để thực hiện việc chỉnh sửa hoặc cung cấp dữ liệu.
  • 15 ngày: Thời hạn để thực hiện việc ngừng xử lý dữ liệu theo yêu cầu.
  • 20 ngày: Thời hạn tối đa để thực hiện việc xóa dữ liệu.
  • Gia hạn: Chỉ được gia hạn 01 lần (tối đa bằng thời hạn gốc) và phải thông báo lý do cho người dân.

3. Tiêu chuẩn của "Người bảo vệ dữ liệu" (DPO)

Luật yêu cầu tổ chức phải chỉ định nhân sự "đủ năng lực", nhưng thế nào là đủ? Nghị định 356 đã cụ thể hóa bằng các tiêu chuẩn "cứng":

  • Phải có trình độ Cao đẳng trở lên.
  • Phải có ít nhất 02 năm kinh nghiệm công tác trong các lĩnh vực như pháp chế, CNTT, an ninh mạng, quản trị rủi ro hoặc nhân sự.
  • Phải được đào tạo, bồi dưỡng kiến thức chuyên môn về bảo vệ DLCN.
  • Việc chỉ định này bắt buộc phải bằng văn bản chính thức của cơ quan, tổ chức.

4. Điều kiện để được "Kinh doanh dịch vụ xử lý dữ liệu"

Đây là nội dung hoàn toàn mới được Nghị định 356 bổ sung để quản lý thị trường. Các doanh nghiệp muốn kinh doanh dịch vụ này (như chấm điểm tín dụng, phân tích dữ liệu AI...) phải có Giấy chứng nhận do Bộ Công an cấp với các điều kiện:

  • Người đứng đầu chuyên môn phải là công dân Việt Nam thường trú tại Việt Nam.
  • Có ít nhất 03 nhân sự đáp ứng đủ tiêu chuẩn năng lực về bảo vệ DLCN.
  • Phải có đề án kinh doanh và khung quản trị rủi ro rõ ràng.

5. Xử lý dữ liệu trong kỷ nguyên công nghệ mới (AI, Blockchain, Cloud)

Luật chỉ nhắc đến tên các công nghệ, còn Nghị định 356 đưa ra các quy tắc vận hành cụ thể:

  • Với AI và Vũ trụ ảo: Tổ chức phải giải thích thuật toán hoạt động thế nào và cho phép người dùng quyền "không tham gia" hoặc xóa hồ sơ nhận dạng.
  • Với Blockchain: Một quy định rất mới là không được lưu trực tiếp DLCN lên chuỗi khối trừ khi đã được khử nhận dạng (mã hóa thành các chuỗi ký tự không thể đọc ngược).
  • Với Điện toán đám mây: Dữ liệu phải được mã hóa cả khi "nghỉ" (lưu trữ) và khi "truyền", kèm theo chế độ phân quyền cực kỳ nghiêm ngặt.

6. Khi nào thì phải cập nhật "Hồ sơ đánh giá tác động"?

Nghị định 356 làm rõ rằng đây là một loại hồ sơ cần được chăm sóc liên tục:

  • Cập nhật định kỳ 06 tháng/lần: Khi phát sinh mục đích xử lý mới hoặc thay đổi các bên liên quan (bên xử lý, bên thứ ba).
  • Cập nhật ngay trong 10 ngày: Khi doanh nghiệp tổ chức lại, phá sản hoặc thay đổi ngành nghề kinh doanh có liên quan đến xử lý dữ liệu.

7. Hệ thống 10 biểu mẫu chuyên biệt – "Bộ công cụ" để vận hành

Đây là nội dung quan trọng nhất mà Nghị định 356 bổ sung để làm chi tiết các thủ tục hành chính. Nếu không có các mẫu này, tổ chức sẽ không biết trình bày báo cáo thế nào cho đúng chuẩn của Bộ Công an:

  • Nhóm Hồ sơ Đánh giá tác động: Bao gồm Mẫu số 01, 02 để thông báo gửi hồ sơ và quan trọng nhất là Mẫu số 09, 10 – các bản báo cáo chi tiết về chuyển dữ liệu xuyên biên giới và xử lý dữ liệu trong nước.
  • Nhóm Cập nhật hồ sơ: Khi có thay đổi về mục đích xử lý hoặc thông tin tổ chức, bạn phải sử dụng Mẫu số 03 (a/b) để báo cáo cập nhật định kỳ hoặc đột xuất.
  • Nhóm Đăng ký kinh doanh dịch vụ dữ liệu: Để xin "giấy phép con" kinh doanh dịch vụ xử lý dữ liệu, tổ chức dùng Mẫu số 04 (Đơn đề nghị) và Mẫu số 06 (Cấp lại/đổi).
  • Nhóm Thông báo sự cố: Khi phát hiện dữ liệu bị lộ, mất hoặc vi phạm, tổ chức phải báo cáo ngay theo Mẫu số 08.

Lời kết: Hy vọng bản tin này đã giúp bạn "nhìn thấu" những chi tiết quan trọng nhất của Nghị định 356. Việc nắm vững các mốc thời gian và tiêu chuẩn nhân sự sẽ giúp tổ chức của bạn tránh được những rủi ro pháp lý không đáng có khi Luật chính thức có hiệu lực từ ngày 01/01/2026.

Luật sư Hoàng Văn Thạch



Dịch vụ nổi bật
Dịch Vụ Tư Vấn và Giải Quyết Tranh Chấp Hợp Đồng Bảo Hiểm Chuyên Nghiệp
Dịch Vụ Tư Vấn và Giải Quyết Tranh Chấp Hợp Đồng Bảo Hiểm Chuyên Nghiệp
Dịch Vụ Tư Vấn Doanh Nghiệp
Dịch Vụ Tư Vấn Doanh Nghiệp
Dịch Vụ Tư Vấn, Soạn Thảo Hợp Đồng
Dịch Vụ Tư Vấn, Soạn Thảo Hợp Đồng
Dịch Vụ Tư Vấn Pháp Luật Thường Xuyên Cho Cá Nhân, Tổ Chức
Dịch Vụ Tư Vấn Pháp Luật Thường Xuyên Cho Cá Nhân, Tổ Chức