Điểm mới của Nghị định 356/2025 so với Nghị định 13/2023 về hướng dẫn bảo vệ dữ liệu cá nhân

Ngày 26/6/2025, Luật Bảo vệ dữ liệu cá nhân năm 2025 chính thức được thông qua và chính thức có hiệu lực từ 01/01/2026. Từ ngày 01/01/2026, Nghị định 356/2025/NĐ-CP cũng chính thức có hiệu lực nhằm hướng dẫn các quy định của Luật Bảo vệ dữ liệu cá nhân 2025, thay thế cho Nghị định 13/2023/NĐ-CP. Bài viết dưới đây sẽ phân tích sâu những điểm mới của Nghị định 356/2025 so với Nghị định 13/2023 về hướng dẫn bảo vệ dữ liệu cá nhân, giúp các tổ chức, cá nhân tuân thủ bảo vệ dữ liệu cá nhân 2026 một cách tối ưu, tránh các rủi ro pháp lý không đáng có.

Xử lý dữ liệu thành ngành nghề có điều kiện giấy phép do Bộ Công an cấp

Nghị định 356/2025 đã thiết lập khung pháp lý cho hoạt động kinh doanh dịch vụ xử lý dữ liệu cá nhân. Tổ chức, cá nhân muốn kinh doanh dịch vụ xử lý dữ liệu cá nhân phải được Bộ Công an cấp Giấy chứng nhận đủ điều kiện kinh doanh và phải đáp ứng các điều kiện theo Điều 22 Nghị định 356/2025:

Kinh doanh dịch vụ xử lý dữ liệu cá nhân

• Về hình thức pháp lý: là tổ chức, doanh nghiệp được thành lập và hoạt động hợp pháp theo pháp luật Việt Nam.
• Về nhân sự: người phụ trách chuyên môn về xử lý dữ liệu cá nhân phải là công dân Việt Nam, thường trú tại Việt Nam; có đội ngũ quản lý, điều hành đáp ứng yêu cầu chuyên môn; có tối thiểu 03 nhân sự đủ điều kiện năng lực theo quy định tại khoản 2 Điều 13 của Nghị định.
• Về điều kiện kỹ thuật: có hạ tầng, trang thiết bị, cơ sở vật chất và công nghệ phù hợp với hoạt động xử lý dữ liệu cá nhân.
• Về hồ sơ pháp lý: có kết quả đạt yêu cầu đối với hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và, trong trường hợp có chuyển dữ liệu cá nhân ra nước ngoài, phải có hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

Trong thời hạn 30 ngày kể từ ngày nhận đầy đủ hồ sơ hợp lệ, cơ quan chuyên trách bảo vệ dữ liệu cá nhân thẩm định, xem xét, quyết định cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân.

Danh mục các dữ liệu cá nhân nhạy cảm được mở rộng

So với Nghị định 13/2023, Nghị định 356/2025 đã mở rộng phạm vi và cụ thể hóa rõ ràng hơn các loại dữ liệu cá nhân nhạy cảm, thể hiện ở một số nội dung sau:

• Dữ liệu liên quan đến hành vi vi phạm pháp luật của cá nhân được xác định là dữ liệu cá nhân nhạy cảm, thay vì chỉ giới hạn ở các hành vi vi phạm đến mức bị xử lý hình sự như trước đây.
• Quy định chi tiết hơn đối với dữ liệu trong lĩnh vực ngân hàng, bao gồm tên đăng nhập, mật khẩu truy cập tài khoản ngân hàng, thông tin thẻ ngân hàng, lịch sử giao dịch và các dữ liệu liên quan khác.
• Mở rộng phạm vi dữ liệu nhạy cảm sang lĩnh vực chứng khoán và bảo hiểm, theo đó thông tin về hoạt động, giao dịch của khách hàng tại công ty chứng khoán, công ty bảo hiểm cũng được bảo vệ ở mức độ cao, không chỉ giới hạn trong lĩnh vực ngân hàng.
• Bổ sung nhóm dữ liệu theo dõi hành vi, thói quen và hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng.

Như vậy, việc mở rộng danh mục dữ liệu cá nhân nhạy cảm theo Nghị định 356/2025 cho thấy xu hướng tăng cường bảo vệ quyền riêng tư của cá nhân trong bối cảnh số hóa, đồng thời đặt ra yêu cầu cao hơn về trách nhiệm tuân thủ pháp luật đối với các tổ chức, doanh nghiệp trong quá trình thu thập, xử lý và bảo mật dữ liệu cá nhân.

Thời hạn thực hiện các quyền của chủ thể dữ liệu cá nhân

Một trong điểm mới của Nghị định 356/2025 so với Nghị định 13/2023 về hướng dẫn bảo vệ dữ liệu cá nhân là việc quy định cụ thể và rõ ràng thời hạn thực hiện các quyền của chủ thể dữ liệu cá nhân. Theo Điều 5 của Nghị định, các mốc thời gian được xác định như sau:

• Đối với các quyền như rút lại sự đồng ý, yêu cầu hạn chế xử lý hoặc phản đối việc xử lý dữ liệu cá nhân, bên kiểm soát hoặc bên xử lý dữ liệu phải phản hồi trong thời hạn 02 ngày làm việc và thực hiện yêu cầu trong vòng 15 ngày; trường hợp có liên quan đến bên xử lý dữ liệu thứ ba thì thời hạn tối đa là 20 ngày.
• Đối với yêu cầu xem, chỉnh sửa hoặc cung cấp dữ liệu cá nhân, việc thực hiện phải hoàn thành trong 10 ngày; riêng yêu cầu xóa dữ liệu cá nhân được thực hiện trong thời hạn 20 ngày.

Bổ nhiệm DPO (nhân sự bảo vệ dữ liệu) bắt buộc

Theo Điều 13 Nghị định 356/2025/NĐ-CP, nhân sự bảo vệ dữ liệu cá nhân (DPO) được cơ quan, tổ chức chỉ định phải đáp ứng đủ các điều kiện năng lực như sau:

• Trình độ: Cao đẳng trở lên;
• Kinh nghiệm: Có ít nhất 02 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ;
• Bồi dưỡng, đào tạo: Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.

Quy định bắt buộc về bằng cấp và kinh nghiệm đối với DPO nhằm nâng cao tính chuyên nghiệp hóa của vị trí nhân sự bảo vệ dữ liệu cá nhân, coi đây là một chức danh có tính chất kỹ thuật – pháp lý đặc thù. Điều này vừa góp phần tăng cường hiệu quả bảo vệ dữ liệu cá nhân trên thực tế, vừa đặt ra yêu cầu để doanh nghiệp, tổ chức chủ động rà soát, bố trí hoặc đào tạo nhân sự phù hợp, nhằm tránh rủi ro vi phạm trong quá trình tuân thủ pháp luật về dữ liệu cá nhân.

Các mốc thời gian xử lý yêu cầu của chủ thể dữ liệu cá nhân

Khác với Nghị định 13/2023 chỉ quy định chung thời hạn 72 giờ đối với trách nhiệm phản hồi yêu cầu của chủ thể dữ liệu, Nghị định 356/2025 đã thiết lập các mốc thời gian cụ thể, chi tiết hơn, bao gồm:

• Trong vòng 02 ngày làm việc, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải phản hồi về yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, hạn chế xử lý dữ liệu cá nhân, phản đối xử lý dữ liệu cá nhân
• Trường hợp chủ thể yêu cầu ngừng xử lý/rút lại đồng ý/hạn chế/phản đối: thực hiện trong 15 ngày (có trường hợp liên quan bên xử lý/bên thứ ba là 20 ngày);
• Trường hợp chủ thể yêu cầu xem/chỉnh sửa/cung cấp dữ liệu cá nhân, phải thực hiện trong 10 ngày (liên quan bên xử lý/bên thứ ba: 15 ngày);
• Trường hợp chủ thể yêu cầu xóa dữ liệu cá nhân: thực hiện trong 20 ngày (liên quan bên xử lý/bên thứ ba: 30 ngày);

Thời hạn xử lý yêu cầu của chủ thể dữ liệu cá nhân

Quy định chặt chẽ điều kiện Chuyển dữ liệu ra nước ngoài

Điều 18 Nghị định 356/2025/NĐ-CP  siết chặt hơn điều kiện chuyển dữ liệu ra nước ngoài (chuyển dữ liệu cá nhân xuyên biên giới).

• Doanh nghiệp bắt buộc phải lập hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới (Mẫu số 09) và thông báo cho Bộ Công an (qua Mẫu 01a/01b).
• Đặc biệt, phải có văn bản thỏa thuận ràng buộc trách nhiệm pháp lý với bên nhận dữ liệu ở nước ngoài và cam kết bảo vệ quyền lợi của chủ thể dữ liệu Việt Nam.

Đây là thách thức lớn đối với các công ty đa quốc gia hoặc doanh nghiệp sử dụng dịch vụ đám mây (Cloud) có máy chủ đặt tại nước ngoài. Để tuân thủ đúng, quý khách cần hiểu rõ điều kiện chuyển dữ liệu cá nhân ra nước ngoài và chuẩn bị hồ sơ kỹ lưỡng.

Các biểu mẫu mới về bảo vệ dữ liệu cá nhân

Sự thay đổi lớn trong Nghị định 356/2025/NĐ-CP so với các quy định trước đây là việc phân loại chi tiết các mẫu biểu. Điều này giúp các doanh nghiệp xác định chính xác biểu mẫu cần sử dụng, tránh tình trạng hồ sơ bị trả lại do sai quy định.

Trên đây là điểm mới của Nghị định 356/2025 so với Nghị định 13/2023 về hướng dẫn bảo vệ dữ liệu cá nhân. Tại Luật Việt An, với đội ngũ chuyên gia giàu kinh nghiệm, chúng tôi sẵn sàng cung cấp dịch vụ tư vấn pháp lý chuyên sâu về bảo vệ dữ liệu cá nhân, giúp doanh nghiệp chuẩn bị tốt nhất cho sự thay đổi quan trọng này.