Những vướng mắc về Nghị định 356/2025/NĐ-CP về Luật Bảo vệ dữ liệu cá nhân
Những vướng mắc về Nghị định 356/2025/NĐ-CP về Luật Bảo vệ dữ liệu cá nhân
Từ ngày 01/01/2026, Nghị định 356/2025/NĐ-CP chính thức có hiệu lực, quy định chi tiết và hướng dẫn thi hành Luật Bảo vệ dữ liệu cá nhân. Đây là văn bản pháp lý quan trọng, tác động trực tiếp đến hầu hết các cơ quan, tổ chức, doanh nghiệp và cá nhân có hoạt động thu thập, lưu trữ, sử dụng dữ liệu cá nhân tại Việt Nam.
So với các quy định trước đây, Nghị định 356/2025/NĐ-CP thiết lập khung pháp lý chặt chẽ hơn, mở rộng phạm vi điều chỉnh và bổ sung nhiều nghĩa vụ mới liên quan đến xử lý dữ liệu cá nhân, đánh giá tác động, chuyển dữ liệu ra nước ngoài cũng như bảo đảm quyền của chủ thể dữ liệu. Trong quá trình triển khai thực tế, không ít tổ chức và cá nhân gặp khó khăn trong việc hiểu đúng, áp dụng đúng và tuân thủ đầy đủ các quy định này.
Nhằm hỗ trợ người đọc tiếp cận Nghị định một cách dễ dàng, dưới đây là tổng hợp một số câu hỏi thường gặp và giải đáp tương ứng của Luật Nghiệp Thành sẽ giúp các bạn nhanh chóng nắm bắt các điểm lưu ý khi áp dụng quy định này vào thực tiễn.
|
Câu hỏi |
Trả lời |
| 1. Doanh nghiệp nhỏ, hộ kinh doanh có phải tuân thủ Nghị định 356/2025/NDD-CP không? | CÓ. Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định mọi cơ quan, tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân đều thuộc phạm vi điều chỉnh của Luật. Do đó, không loại trừ doanh nghiệp nhỏ, hộ kinh doanh hoặc cá nhân kinh doanh nếu có hoạt động thu thập, lưu trữ, sử dụng dữ liệu cá nhân[1]. |
| 2. Danh mục dữ liệu cá nhân cơ bản và danh mục dữ liệu cá nhân nhạy cảm bao gồm những dữ liệu nào? | Danh mục dữ liệu cá nhân cơ bản[2] bao gồm: Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); Ngày, tháng, năm chết hoặc mất tích; Giới tính; Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; Quốc tịch; Hình ảnh của cá nhân; Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe; Tình trạng hôn nhân; Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng); Thông tin về tài khoản số của cá nhân; Các thông tin khác.
Danh mục dữ liệu cá nhân nhạy cảm[3] bao gồm: Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc; Quan điểm về chính trị, tôn giáo, tín ngưỡng; Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình; Tình trạng sức khỏe; Dữ liệu sinh trắc học, đặc điểm di truyền; Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân; Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; Vị trí của cá nhân được xác định qua dịch vụ định vị; Thông tin đăng nhập, bảo mật tài khoản định danh điện tử và hình ảnh giấy tờ tùy thân; Thông tin đăng nhập, dữ liệu tài khoản, lịch sử giao dịch ngân hàng, tài chính, chứng khoán, bảo hiểm; Dữ liệu theo dõi hành vị và hoạt động cá nhân trên không gian mạng; Các loại dữ liệu cá nhân nhạy cảm khác. |
| 3. Hoạt động thu thập dữ liệu nội bộ doanh nghiệp (bao gồm dữ liệu nhân sự, dữ liệu khách hàng quen, khách hàng cũ) có được coi là xử lý dữ liệu cá nhân không? | CÓ. Việc thu thập, lưu trữ, quản lý và sử dụng hồ sơ nhân sự hoặc dữ liệu khách hàng quen trong nội bộ doanh nghiệp được coi là xử lý dữ liệu cá nhân, không phụ thuộc vào việc dữ liệu đó có được chia sẻ ra bên ngoài hay không. Doanh nghiệp vẫn phải tuân thủ các quy định của pháp luật hiện hành khi thực hiện các hoạt động này[4]. |
| 4. Doanh nghiệp có bắt buộc phải xin sự đồng ý khi thu thập và sử dụng dữ liệu cá nhân của nhân viên, khách hàng không? | KHÔNG PHẢI TRONG MỌI TRƯỜNG HỢP. Doanh nghiệp chỉ phải xin sự đồng ý của chú thể dữ liệu khi việc xử lý dữ liệu cá nhân không thuộc các trường hợp pháp luật cho phép xử lý không cần sự đồng ý[5]. Trong các trường hợp như thực hiện hợp đồng lao động, hợp đồng cung cấp hàng hóa/dịch vụ, thực hiện nghĩa vụ pháp luật hoặc thực hiện yêu cầu của cơ quan nhà nước có thẩm quyền, doanh nghiệp không bắt buộc phải xin sự đồng ý của người lao động hoặc khách hàng.
Lưu ý: Đối với việc xin sự đồng ý xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu nhạy cảm[6]. |
| 5. Sự đồng ý của chủ thể dữ liệu phải đáp ứng những điều kiện gì để được xác nhận là hợp lệ? | Sự đồng ý của chủ thể dữ liệu được coi là hợp lệ khi được thể hiện dưới hình thức mà pháp luật quy định và được thể hiện rõ ràng, cụ thể[7]. Ngoài ra, sự im lặng hoặc không phản hồi[8] không được xem là sự đồng ý và chủ thể dữ liệu có quyền rút lại sự đồng ý bất cứ lúc nào. |
| 6. Doanh nghiệp có nghĩa vụ phản hồi yêu cầu của chủ thể dữ liệu cá nhân trong thời hạn bao lâu? | Nghĩa vụ phản hồi của doanh nghiệp đối với yêu cầu của chủ thể dữ liệu cá nhân phụ thuộc vào loại yêu cầu của chủ thể đó mà được quy định theo từng trường hợp khác nhau[9], cụ thể:
– Trường hợp yêu cầu rút lại sự đồng ý, hạn chế hoặc phản đối việc xử lý dữ liệu cá nhân: phản hồi trong 02 ngày làm việc; thực hiện ngừng xử lý trong 15 ngày. Trường hợp cần yêu cầu bên xử lý dữ liệu hoặc bên thứ ba ngừng xử lý, thời hạn tối đa là 20 ngày (trừ trường hợp xử lý dữ liệu không cần sự đồng ý theo luật định). – Trường hợp yêu cầu xem, chỉnh sửa hoặc cung cấp dữ liệu cá nhân: Phản hồi trong 02 ngày làm việc; thực hiện trong 10 ngày. Trường hợp cần phối hợp với bên xử lý dữ liệu hoặc bên thứ ba, thời hạn tối đa là 15 ngày. – Trường hợp yêu cầu xóa dữ liệu cá nhân: Phản hồi trong 02 ngày làm việc; thực hiện xóa trong 20 ngày. Trường hợp cần phối hợp với bên xử lý dữ liệu hoặc bên thứ ba, thời hạn tối đa là 30 ngày.
Bạn cần tư vấn dịch vụ này!
– Trường hợp yêu cầu áp dụng biện pháp bảo vệ dữ liệu cá nhân: Phản hồi trong 02 ngày làm việc, thực hiện các biện pháp bảo vệ tỏng 15 ngày. Lưu ý: Trường hợp yêu cầu phức tạp, doanh nghiệp được gia hạn tối đa 01 lần trong thời hạn không quá 15 ngày đối với yêu cầu rút lại sự đồng ý, hạn chế và phản đối; không quá 10 ngày đối với yêu cầu xem, chỉnh sửa, cung cấp; không quá 20 ngày đối với yêu cầu xóa; không quá 15 ngày đối với yêu cầu áp dung biện pháp bảo vệ dữ liệu cá nhân. Đồng thời, phải thông báo lý do cho chủ thể dữ liệu và chứng minh việc gia hạn là cần thiết, hợp lý. |
| 7. Doanh nghiệp có bắt buộc phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân không? | CÓ, nhưng trong trường hợp pháp luật quy định cụ thể (bao gồm: doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện hồ sơ này trong 05 năm đầu kể từ khi thành lập trừ khi xử lý dữ liệu nhạy cảm quy mô lớn; Hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện (trừ trường hợp họ trực tiếp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên[10]). Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của cơ quan chuyên trách[11]. |
| 8. Việc sử dụng phần mềm, hệ thống có máy chủ đặt ở nước ngoài có bị coi là chuyển dữ liệu cá nhân ra nước ngoài không? | CÓ. Việc cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam là một trong các trường hợp chuyển dữ liệu cá nhân xuyên biên giới[12]. |
| 9. Doanh nghiệp có bắt buộc phải bố trí nhân sự bảo vệ dữ liệu cá nhân đáp ứng đồng thời yêu cầu về bằng cấp chuyên môn, kinh nghiệm và chứng chỉ bồi dưỡng hay không? | CÓ. Các cơ quan, tổ chức có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân[13] đáp ứng đủ các điều kiện sau đây:
– Có trình độ cao đẳng trở lên – Ít nhất 02 năm kinh nghiệm trong lĩnh vực liên quan. – Đã được đào tạo, bồi dưỡng kiến thức, kỹ năng về bảo vệ dữ liệu cá nhân[14]. |
| 10. Dữ liệu cá nhân khi được đưa vào giao dịch trên sàn dữ liệu từ ngày 01/01/2026 có bắt buộc phải được khử nhận dạng[15] hay không? | CÓ. Dữ liệu cá nhân phải được khử nhận dạng trước khi giao dịch trên sàn dữ liệu[16].
Lưu ý[17]: Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân. |
Trên đây là nội dung tư vấn về “Những vướng mắc về Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân”.
Nếu các bạn thấy bài viết hữu ích thì Bạn cùng chúng tôi lan tỏa tri thức cho Cộng đồng bằng cách nhấn “Chia sẻ” bài viết này.
Luật Nghiệp Thành cảm ơn các bạn đã xem và mong nhận được phản hồi, góp ý bổ sung.
Biên tập: Đặng Thị Lịch
Người hướng dẫn: Nguyễn Linh Chi
Luật sư kiểm duyệt: Luật sư Thuận
[1]Điều 2 Nghị định 356/2025/NĐ-CP
[2]Điều 3 Nghị định 356/2025/NĐ-CP
[3]Điều 4 Nghị định 356/2025/NĐ-CP
[4]Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025 và Điều 3 Nghị định 356/2025/NĐ-CP
[5]Điều 19 Luật Bảo vệ dữ liệu cá nhân 2025
[6]Điều 6.4 Nghị định 356/2025/NĐ-CP
[7]Điều 6.2 và Điều 6.3 Nghị định 356/2025/NĐ-CP
[8]Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025
[9]Điều 5 Nghị định 356/2025/NĐ-CP
[10]Điều 38.2 và Điều 38.3 Luật Bảo vệ dữ liệu cá nhân 2025; Điều 41 Nghị định 356/2025/NĐ-CP
[11]Điều 19.4 Nghị định 356/2025/NĐ-CP
[12]Điều 20.1.(c) Luật Bảo vệ dữ liệu cá nhân 2025 và Điều 17.1.(a) Nghị định 356/2025/NĐ-CP
[13]Điều 33.2 Luật Bảo vệ dữ liệu cá nhân 2025
[14]Điều 13.2 Nghị định 356/2025/NĐ-CP
[15]Điều 2.11 Luật Bảo vệ dữ liệu cá nhân 2025
[16]Điều 7.5 Nghị định 356/2025/NĐ-CP
[17]Điều 2.1 Luật Bảo vệ dữ liệu cá nhân 2025
Views: 29
