Tin pháp luật

Chính thức ban hành nghị định hướng dẫn thi hành Luật Bảo vệ dữ liệu cá nhân

2026/01/08

Ngày 31 tháng 12 năm 2025, Chính phủ đã ban hành Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân (sau đây gọi là “Nghị định 356”). Nghị định này có hiệu lực từ ngày 01 tháng 01 năm 2026, đồng thời thay thế Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã có hiệu lực từ tháng 7 năm 2023. Trong đó, Nghị định có một số điểm mới đáng chú ý như sau:

1. Quy định điều kiện chi tiết về nhân sự và bộ phận bảo vệ dữ liệu cá nhân
Theo Điều 13 Nghị định 356, cơ quan, tổ chức khi chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân, thành lập bộ phận bảo vệ dữ liệu cá nhân phải thực hiện bằng văn bản chính thức, trong đó xác định rõ chức năng, nhiệm vụ, quyền hạn và trách nhiệm của nhân sự/bộ phận này.
Nghị định này quy định cụ thể điều kiện tối thiểu đối với nhân sự bảo vệ dữ liệu cá nhân, bao gồm:
• Có trình độ từ cao đẳng trở lên;
• Có ít nhất 02 năm kinh nghiệm (tính từ thời điểm tốt nghiệp) trong một trong các lĩnh vực như: pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự hoặc tổ chức cán bộ;
• Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.
Trường hợp tổ chức, doanh nghiệp thành lập bộ phận bảo vệ dữ liệu cá nhân thì các nhân sự thuộc bộ phận này cũng phải đáp ứng các điều kiện nêu trên. Đồng thời, tổ chức có trách nhiệm ký thỏa thuận trách nhiệm bảo mật với nhân sự bảo vệ dữ liệu cá nhân và thực hiện đào tạo, bồi dưỡng kiến thức, kỹ năng về bảo vệ dữ liệu cá nhân trong quá trình làm việc.
Đây là quy định mới chưa được quy định tại Nghị định 13.

2. Quy định một số trường hợp được lựa chọn thực hiện hoặc không thực hiện một số nghĩa vụ
Điều 41 Nghị định 356 quy định rằng doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được lựa chọn thực hiện hoặc không thực hiện một số nghĩa vụ theo Luật Bảo vệ dữ liệu cá nhân trong thời hạn 05 năm kể từ ngày Luật Bảo vệ dữ liệu cá nhân có hiệu lực (01/01/2026).
Cụ thể, các nghĩa vụ được phép lựa chọn bao gồm:
• Lập và nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;
• Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới
• Chỉ định nhân sự, thành lập bộ phận bảo vệ dữ liệu cá nhân.

Đối với hộ kinh doanh và doanh nghiệp siêu nhỏ, Nghị định quy định không phải thực hiện các nghĩa vụ nêu trên.
Tuy nhiên, Nghị định cũng quy định rõ các trường hợp doanh nghiệp, tổ chức không được áp dụng cơ chế lựa chọn hoặc miễn thực hiện nêu trên, bao gồm một trong các trường hợp:
• Kinh doanh dịch vụ xử lý dữ liệu cá nhân (xử lý dữ liệu,..)
• Trực tiếp xử lý dữ liệu cá nhân nhạy cảm (ví dụ tình trạng sức khỏe, dữ liệu sinh trắc học,..)
• Xử lý dữ liệu cá nhân với quy mô từ 100.000 chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.
Như vậy, doanh nghiệp vẫn cần rà soát kỹ hoạt động xử lý dữ liệu cá nhân của mình để xác định có thuộc diện được lựa chọn hoặc miễn thực hiện một số nghĩa vụ theo Điều 41 hay không.

3. Ban hành một số biểu mẫu liên quan Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới
Nghị định 356 đã ban hành một số các biểu mẫu mới, thay thế cho các biểu mẫu được Bộ Công an ban hành theo Nghị định 13 như sau:
• Mẫu số 01a: Thông báo gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới đối với tổ chức
• Mẫu số 02a: Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đối với tổ chức
• Mẫu số 03a: Thông báo cập nhật hồ sơ đánh giá tác động đối với tổ chức
• Mẫu số 08: Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
• Mẫu số 09: Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới
• Mẫu số 10: Báo cáo đánh giá tác động xử lý dữ liệu cá nhân
Doanh nghiệp chưa thực hiện lập và nộp hồ sơ đánh giá tác động theo Nghị định 13 hoặc đã thực hiện nhưng có nội dung cập nhật cần lưu ý thực hiện theo biểu mẫu mới theo Nghị định 356.

Danh mục tài liệu:
● Nghị định 356/2025/NĐ-CP
● Luật Bảo vệ dữ liệu cá nhân năm 2025