Điểm mới của Nghị định 356/2025 so với Nghị định 13/2023 về bảo vệ dữ liệu cá nhân

1. Thay đổi Danh mục dữ liệu cá nhân cơ bản

Danh mục dữ liệu cá nhân cơ bản được Nghị định 356/2025/NĐ-CP quy định tại Điều 3. So với Danh mục được quy định tại khoản 3 Điều 2 Nghị định 13/2023, quy định mới có một số thay đổi như sau:

- Không còn có “số CMND” (đã được thay thế bằng Căn cước) “số mã số thuế cá nhân; số BHXH; số thẻ BHYT” (do đều đã được thay thế bằng số định danh cá nhân);

-  Thông tin về mối quan hệ gia đình bao gồm cả “vợ” và “chồng”, trước đây Nghị định 13 chỉ quy định thông tin về mối quan hệ gia đình gồm “cha, mẹ” và “con cái”;

- Không còn có “dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;” (dữ liệu này được Nghị định 356 quy định là dữ liệu cá nhân nhạy cảm).

2. Thay đổi Danh mục dữ liệu cá nhân nhạy cảm

So với Nghị định 13, Nghị định 356 mở rộng và cụ thể hóa hơn về các dữ liệu cá nhân nhạy cảm. Cụ thể như:

- Dữ liệu vi phạm pháp luật của cá nhân sẽ được coi là dữ liệu nhạy cảm, trong khi trước đây chỉ dữ liệu  vi phạm đến mức bị xử lý hình sự (tội phạm, hành vi phạm tội) mới được coi là dữ liệu nhạy cảm;

- Quy định cụ thể hơn dữ liệu trong lĩnh vực ngân hàng, gồm: Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng…

- Thông tin hoạt động, giao dịch trong lĩnh vực chứng khoán, bảo hiểm tại các công ty chứng khoán, công ty bảo hiểm của khách hàng cũng được coi là dữ liệu cá nhân nhạy cảm; không chỉ là thông tin giao dịch tại các ngân hàng như trước đây.

- Bổ sung dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng.

Điểm mới của Nghị định 356/2025 so với Nghị định 13/2023

3. Ấn định thời hạn phản hồi - xử lý yêu cầu của chủ thể dữ liệu cá nhân

Nghị định 13 chỉ quy định mốc thời gian chung chung là 72 giờ cho các trách nhiệm liên quan đến nhân thực hiện yêu cầu của chủ thể dữ liệu, thì Nghị định 356 quy định rất rõ về quy trình như sau:

- Trong vòng 02 ngày làm việc, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải phản hồi về yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, hạn chế xử lý dữ liệu cá nhân, phản đối xử lý dữ liệu cá nhân

- Trường hợp chủ thể yêu cầu ngừng xử lý/rút lại đồng ý/hạn chế/phản đối: thực hiện trong 15 ngày (có trường hợp liên quan bên xử lý/bên thứ ba là 20 ngày) (khoản 2 Điều 5);

- Trường hợp chủ thể yêu cầu xem/chỉnh sửa/cung cấp dữ liệu cá nhân, phải thực hiện trong 10 ngày (liên quan bên xử lý/bên thứ ba: 15 ngày) (khoản 3 Điều 5);

- Trường hợp chủ thể yêu cầu xóa dữ liệu cá nhân: thực hiện trong 20 ngày (liên quan bên xử lý/bên thứ ba: 30 ngày) (khoản 4 Điều 5);

Ngoài ra, Nghị định cũng có cơ chế gia hạn 01 lần tùy mức độ phức tạp, kèm nghĩa vụ giải trình tính cần thiết/hợp lý (khoản 2, 3, 4, 5 Điều 5 Nghị định 356).

4. Phải lưu trữ sự đồng ý của chủ thể dữ liệu cá nhân; cấm “mặc định” đồng ý

Khoản 2, khoản 3 Điều 6 của Nghị định 356  nhấn mạnh:

“2. Bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu cá nhân phải lưu trữ sự đồng ý của chủ thể dữ liệu. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân.”

3. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không được thiết lập phương thức mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu. Các thiết lập mặc định sẵn có phải đảm bảo nguyên tắc bảo vệ dữ liệu cá nhân, tôn trọng các quyền của chủ thể dữ liệu cá nhân”.

Đây là những yêu cầu mới mà Nghị định 13 chưa có quy định.

5. Quy định chi tiết về “chuyển giao dữ liệu cá nhân”

Nghị định 356 dành hẳn Điều 7 hướng dẫn chi tiết về việc chuyển giao dữ liệu cá nhân

• Phải xác lập thỏa thuận chuyển giao và liệt kê tối thiểu các nội dung (mục đích; loại dữ liệu; thời hạn; cơ sở pháp lý; trách nhiệm bảo vệ; trách nhiệm thực hiện quyền chủ thể; phối hợp khi vi phạm…)
• Chuyển giao dữ liệu nhạy cảm: yêu cầu bảo mật vật lý, mã hóa/ẩn danh, biện pháp khác;
• Trường hợp chuyển giao có thu phí để cung cấp dịch vụ/ phục vụ lợi ích hợp pháp của chủ thể: Phải thiết lập hệ thống kỹ thuật, cơ chế minh bạch để chủ thể dữ liệu cá nhân đồng ý chính xác, rõ ràng theo từng lần chuyển giao; Chỉ được xử lý dữ liệu cá nhân đúng cho mục đích chuyển giao được chủ thể dữ liệu cá nhân đồng ý, phù hợp với ngành, nghề đăng ký kinh doanh…
• Chia sẻ dữ liệu cá nhân trong nội bộ: phải xây dựng quy trình kiểm soát việc chia sẻ, sử dụng dữ liệu cá nhân đúng quy định;
• Dữ liệu cá nhân phải khử nhận dạng trước khi giao dịch trên sàn dữ liệu;

Trong Nghị định 13, nội dung “chuyển giao” được đề cập chủ yếu ở hướng ngăn thu thập, chuyển giao, mua bán trái phép (Điều 22)

6. Yêu cầu nghiêm ngặt về bảo vệ dữ liệu cá nhân trong từng lĩnh vực

Nghị định 356 quy định cụ thể về các yêu cầu đối với bảo vệ dữ liệu cá nhân trong các lĩnh vực:

- Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng (Điều 8), trong đó yêu cầu trong thời hạn không quá 72 giờ sau khi phát hiện lộ, mất dữ liệu nhạy cảm của chủ thể dữ liệu cá nhân, ngân hàng phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân và chủ thể dữ liệu cá nhân;

- Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn (Điều 9), trong đó yêu cầu cơ quan, tổ chức, cá nhân phải sử dụng phương thức xác thực mạnh, yêu cầu tối thiểu xác thực đa yếu tố (mật khẩu, mã PIN kết hợp với mật khẩu dùng một lần, thiết bị ký số hoặc yếu tố sinh trắc học), phân quyền truy cập để đảm bảo chỉ những người có quyền mới có thể truy cập dữ liệu cá nhân;

-  Bảo vệ dữ liệu cá nhân trong hệ thống trí tuệ nhân tạo, vũ trụ ảo (Điều 10), trong đó yêu cầu chủ thể dữ liệu cá nhân phải có quyền chỉnh sửa, ẩn danh, xóa hồ sơ nhận dạng, kể cả khi nền tảng lưu trữ lịch sử hành vi;

- Bảo vệ dữ liệu cá nhân trong công nghệ chuỗi khối (Điều 11); Bảo vệ dữ liệu cá nhân trong điện toán đám mây (Điều 12)…

7. Quy định về điều kiện của nhân sự bảo vệ dữ liệu cá nhân trong doanh nghiệp

Khoản 2 Điều 13 quy định nhân sự bảo vệ dữ liệu cá nhân được cơ quan, tổ chức chỉ định phải đáp ứng đủ các điều kiện năng lực như sau:

- Có trình độ cao đẳng trở lên;

- Có ít nhất 02 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ;

- Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.

Đây cũng là quy định mới chưa được quy định tại Nghị định 13.

Ngoài các nội dung nêu trên, Nghị định 356 cũng có những quy định cụ thể hơn về  trình tự, thủ tục, thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và trình tự, thủ tục, thành phần hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới. Ban hành kèm theo Nghị định là 10 hồ sơ, biểu mẫu liên quan để thực hiện các thủ tục này. Doanh nghiệp cũng cần lưu ý để áp dụng theo quy định mới.