English
RSS
- 1. Điều chỉnh Danh mục dữ liệu cá nhân cơ bản
- 2. Bổ sung hướng dẫn chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức
- 3. Bổ sung điều kiện của nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức
- 4. Quy định về kiểm tra hoạt động bảo vệ dữ liệu cá nhân
- 5. Hướng dẫn áp dụng quy định về bảo vệ dữ liệu cá nhân với doanh nghiệp nhỏ
- 6. Hướng dẫn cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
1. Điều chỉnh Danh mục dữ liệu cá nhân cơ bản
Danh mục dữ liệu cá nhân cơ bản được quy định tại Điều 3 Nghị định 356/2025/NĐ-CP. So với trước đây tại khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP, danh mục mới có một số thay đổi như sau:
- Không còn có “số CMND” do đã được thay thế bằng Căn cước.
- Bỏ các dữ liệu cá nhân cơ bản gồm số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế. Tất cả những nội dung này đều được thay thế bằng số định danh cá nhân.
- Dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng cũng không còn được quy định là dữ liệu cá nhân cơ bản, thay vào đó quy định đây là dữ liệu cá nhân nhạy cảm.
- Trước đây Nghị định 13/2023/NĐ-CP chỉ quy định thông tin về mối quan hệ gia đình gồm “cha, mẹ” và “con cái”. Theo quy định mới, Nghị định 365/2025/NĐ-CP đã bổ sung thông tin về mối quan hệ gia đình bao gồm cả “vợ” và “chồng”.
2. Bổ sung hướng dẫn chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức
Cụ thể, tại Điều 7 Nghị định 365/2025/NĐ-CP quy định về chuyển giao dữ liệu cá nhân đã được bổ sung nội dung về chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quna, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập như sau:
- Cơ quan, tổ chức phải xây dựng quy trình kiểm soát việc chia sẻ, sử dụng dữ liệu cá nhân đúng quy định;
- Cơ quan, tổ chức phải có biện pháp phòng, chống việc nhân sự nội bộ cơ quan, tổ chức chia sẻ trái phép dữ liệu cá nhân với bên thứ ba.
3. Bổ sung điều kiện của nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức
Cụ thể, Điều 13 Nghị định 365/2025/NĐ-CP quy định doanh nghiệp phải có văn bản chỉ định nhân sự bảo vệ dữ liệu cá nhân hoặc bộ phận bảo vệ dữ liệu cá nhân.
Đồng thời, nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức phải đảm bảo đáp ứng các điều kiện được quy định như sau:
- Có trình độ cao đẳng trở lên;
- Có ít nhất 02 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ;
- Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.
Ngoài ra, doanh nghiệp phải ký thỏa thuận trách nhiệm bảo mật với nhân sự bảo vệ dữ liệu cá nhân.
4. Quy định về kiểm tra hoạt động bảo vệ dữ liệu cá nhân
Điều 31 Nghị định 365/20265/NĐ-CP quy định, trường hợp kiểm tra hoạt động bảo vệ dữ liệu cá nhân được tiến hành thường xuyên, đột xuất thì phải có các điều kiện sau đây:
- Có căn cứ nghi vấn về hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;
- Có chỉ đạo của cơ quan, người có thẩm quyền quản lý nhà nước về bảo vệ dữ liệu cá nhân;
- Thực hiện công tác quản lý nhà nước theo quy định của pháp luật.
Trong đó, đối tượng kiểm tra hoạt động bảo vệ dữ liệu cá nhân gồm có:
- Cơ quan, tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân;
- Tổ chức, cá nhân kinh doanh dịch vụ xử lý dữ liệu cá nhân;
- Cơ quan, tổ chức, cá nhân phải thực hiện hoạt động đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới;
- Cơ quan, tổ chức, cá nhân có liên quan đến các vụ, việc vi phạm quy định về bảo vệ dữ liệu cá nhân.
5. Hướng dẫn áp dụng quy định về bảo vệ dữ liệu cá nhân với doanh nghiệp nhỏ
Theo đó, Điều 41 Nghị định 365/2025/NĐ-CP hướng dẫn áp dụng quy định về bảo vệ dữ liệu cá nhân với doanh nghiệp nhỏ, doanh nghiệp siêu nhỏ, doanh nghiệp khởi nghiệp như sau:
- Với doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp: Doanh nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện việc:
- Đánh giá tác động xử lý dữ liệu cá nhân,
- Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới
- Chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân trong thời gian 05 năm kể từ ngày Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành.
Quy định này không áp dụng với doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.
- Doanh nghiệp siêu nhỏ không phải thực hiện các công việc sau:
- Đánh giá tác động xử lý dữ liệu cá nhân,
- Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới
- Chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân trong thời gian 05 năm kể từ ngày Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành.
Đáng lưu ý: Quy định này cũng không áp dụng với doanh nghiệp siêu nhỏ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.
6. Hướng dẫn cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Cụ thể, theo Điều 20 Nghị định 356/2025/NĐ-CP, hồ sơ chuyển dữ liệu cá nhân xuyên biên giới và hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được cập nhật định kỳ 06 tháng kể từ lần đầu nộp hồ sơ.
Trong đó, các trường hợp áp dụng quy định này gồm:
- Khi phát sinh mục đích chuyển dữ liệu cá nhân mới, mục đích xử lý dữ liệu cá nhân mới;
- Khi phát sinh hoặc thay đổi bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba.
Các trường hợp thay đổi cần cập nhật ngay trong thời hạn 10 ngày bao gồm:
- Khi cơ quan, tổ chức, đơn vị được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật;
- Khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;
- Khi phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.
Trong đó, mẫu Thông báo cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là Mẫu số 03a/03b được ban hành tại Phụ lục của Nghị định 356/2025/NĐ-CP được nộp cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân bằng một trong các hình thức: Online hoặc trực tiếp hoặc qua dịch vụ bưu chính.
Lưu ý: Theo quy định tại Mục III Phần B Phụ lục I.7 Nghị quyết 22/2026/NQ-CP, thông báo cập nhật hồ sơ đánh giá tác động về dữ liệu cá nhân do Bộ Công an tiếp nhận, phân loại hồ sơ và chuyển Công an tỉnh, thành phố để xử lý theo địa bàn, quy mô, lĩnh vực.
Trên đây là giải đáp chi tiết về: Doanh nghiệp cần biết gì về bảo vệ dữ liệu cá nhân tại Nghị định 356/2025/NĐ-CP?
