Nghị định 356/2025/NĐ-CP là gì? Hướng dẫn tuân thủ đầy đủ cho doanh nghiệp

1. Nghị định 356/2025/NĐ-CP là gì?

Nghị định 356/2025/NĐ-CP ra đời trên cơ sở Luật Dữ liệu số 60/2024/QH15 và Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, với nhiệm vụ quy định chi tiết các điều khoản mà hai luật này giao cho Chính phủ hướng dẫn. Gồm 5 chương, 42 điều và 01 phụ lục chứa 10 mẫu biểu, Nghị định bao quát toàn bộ vòng đời của dữ liệu cá nhân, từ thu thập, xử lý đến lưu trữ, xóa hủy và chuyển ra nước ngoài.

So với Nghị định 13/2023/NĐ-CP, phiên bản mới có ba điểm thay đổi cốt lõi. Một là, thủ tục hành chính được chuẩn hóa hoàn toàn bằng biểu mẫu, giúp doanh nghiệp biết chính xác cần nộp gì và nộp ở đâu. Hai là, các lĩnh vực công nghệ mới như trí tuệ nhân tạo, blockchain và điện toán đám mây lần đầu có quy định bảo vệ dữ liệu riêng. Ba là, điều kiện kinh doanh dịch vụ xử lý dữ liệu được quy định chặt chẽ hơn, kèm cơ chế cấp và thu hồi Giấy chứng nhận.

2. Nghị định 356/2025/NĐ-CP áp dụng cho những ai?

Phạm vi áp dụng của Nghị định rộng hơn nhiều doanh nghiệp đang nghĩ. Theo Điều 2, ba nhóm đối tượng bị điều chỉnh gồm:

• Cơ quan, tổ chức, cá nhân Việt Nam trong mọi lĩnh vực có xử lý dữ liệu cá nhân.
• Cơ quan, tổ chức, cá nhân nước ngoài đang hoạt động trên lãnh thổ Việt Nam.
• Tổ chức nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu của công dân Việt Nam và người gốc Việt chưa xác định quốc tịch đang sinh sống tại Việt Nam đã được cấp giấy chứng nhận căn cước (Điều 2, khoản 3).

Lưu ý thực tiễn: Nền tảng SaaS, ứng dụng di động hoặc website nước ngoài có người dùng tại Việt Nam đều thuộc diện bắt buộc tuân thủ Nghị định này, ngay cả khi toàn bộ hạ tầng đặt ở nước ngoài.

Trường hợp được miễn giảm: hộ kinh doanh và doanh nghiệp siêu nhỏ không kinh doanh dịch vụ xử lý dữ liệu, không xử lý dữ liệu nhạy cảm và quy mô xử lý dưới 100.000 chủ thể dữ liệu được miễn một số nghĩa vụ theo Điều 41, khoản 2.

3. Dữ liệu cá nhân được phân loại như thế nào theo Nghị định 356?

Việc xác định đúng loại dữ liệu mình đang xử lý là bước đầu tiên không thể bỏ qua, vì mức độ nghĩa vụ pháp lý phụ thuộc trực tiếp vào phân loại này.

3.1 Dữ liệu cá nhân cơ bản

Điều 3 liệt kê 11 nhóm thông tin cấu thành dữ liệu cá nhân cơ bản, bao gồm:

• Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có).
• Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích.
• Giới tính.
• Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ.
• Quốc tịch.
• Hình ảnh của cá nhân.
• Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe.
• Tình trạng hôn nhân.
• Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng).
• Thông tin về tài khoản số của cá nhân.
• Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc danh mục dữ liệu nhạy cảm (Điều 3, khoản 11).

3.2 Dữ liệu cá nhân nhạy cảm

Theo Điều 4, khoản 1, dữ liệu nhạy cảm gồm 13 nhóm, đòi hỏi mức bảo vệ cao hơn: dữ liệu tiết lộ nguồn gốc chủng tộc, dân tộc; quan điểm chính trị, tôn giáo; thông tin đời sống riêng tư, bí mật cá nhân, bí mật gia đình; tình trạng sức khỏe; dữ liệu sinh trắc học và đặc điểm di truyền; dữ liệu về đời sống tình dục và xu hướng tình dục; dữ liệu về tội phạm và vi phạm pháp luật; vị trí định vị; thông tin đăng nhập và mật khẩu tài khoản định danh điện tử, hình ảnh CCCD, thẻ căn cước; thông tin tài khoản ngân hàng, lịch sử giao dịch tài chính, tín dụng, chứng khoán, bảo hiểm; dữ liệu hành vi sử dụng dịch vụ viễn thông và mạng xã hội. Cơ quan, tổ chức xử lý dữ liệu nhạy cảm phải thiết lập quy định phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật riêng (Điều 4, khoản 2).

Lưu ý: Dữ liệu hành vi người dùng trên mạng xã hội, dữ liệu vị trí GPS và thông tin tài khoản ngân hàng đều là dữ liệu nhạy cảm. Nhiều doanh nghiệp thương mại điện tử và fintech đang xử lý dữ liệu nhạy cảm nhưng chưa có biện pháp bảo vệ tương xứng.

4. Các nghĩa vụ bắt buộc doanh nghiệp phải thực hiện

4.1 Xây dựng cơ chế đồng ý hợp lệ

Cơ chế đồng ý là nền tảng của toàn bộ hoạt động xử lý dữ liệu. Các phương thức xin sự đồng ý phải bảo đảm khả năng kiểm chứng về việc chủ thể dữ liệu đã thực hiện sự đồng ý, thời điểm và nội dung được đồng ý; cụ thể gồm 5 hình thức hợp lệ (Điều 6, khoản 1):

• Bằng văn bản.
• Bằng cuộc gọi ghi âm.
• Cú pháp đồng ý qua tin nhắn điện thoại.
• Qua thư điện tử, trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý.
• Bằng các phương thức khác phù hợp, có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được (Điều 6, khoản 1, điểm đ).

Bên kiểm soát dữ liệu không được thiết lập phương thức mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý. Các thiết lập mặc định sẵn phải bảo đảm nguyên tắc bảo vệ dữ liệu cá nhân, tôn trọng đầy đủ quyền của chủ thể dữ liệu (Điều 6, khoản 3). Quan trọng là, trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể thuộc về bên kiểm soát dữ liệu (Điều 6, khoản 2).

4.2 Lập và nộp hồ sơ đánh giá tác động xử lý dữ liệu (DPIA)

Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý, bên xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân (Điều 19, khoản 1). Hồ sơ phải được nộp 01 bản chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, A05) trong thời hạn 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân (Điều 19, khoản 4), sử dụng Mẫu số 02a (tổ chức) hoặc 02b (cá nhân) kèm theo Nghị định.

Nội dung hồ sơ DPIA theo Điều 19, khoản 3 bao gồm:

• Thông tin và chi tiết liên lạc của các bên tham gia xử lý dữ liệu.
• Mô tả và luận giải mục đích xử lý, loại dữ liệu, sơ đồ luồng dữ liệu.
• Cơ chế xin sự đồng ý và chính sách lưu trữ, xóa, hủy dữ liệu.
• Phương án bảo đảm an toàn dữ liệu, biện pháp bảo vệ, tiêu chuẩn áp dụng, sơ đồ thiết kế hệ thống.
• Kết quả đánh giá tuân thủ quy định bảo vệ dữ liệu cá nhân.
• Đánh giá mức độ ảnh hưởng, rủi ro và biện pháp giảm thiểu nguy cơ.

Hồ sơ phải cập nhật định kỳ 06 tháng kể từ lần đầu nộp hoặc ngay trong vòng 10 ngày khi phát sinh mục đích xử lý mới, thay đổi bên kiểm soát/xử lý, hoặc khi tổ chức bị tổ chức lại, chấm dấm hoạt động (Điều 20).

4.3 Bổ nhiệm nhân sự bảo vệ dữ liệu cá nhân (DPO)

Việc chỉ định nhân sự bảo vệ dữ liệu cá nhân hoặc bộ phận bảo vệ dữ liệu phải được thực hiện bằng văn bản chính thức của cơ quan, tổ chức đó, thể hiện việc phân công, chức năng nhiệm vụ, quyền hạn và các yêu cầu khác (Điều 13, khoản 1). Nhân sự DPO nội bộ phải đáp ứng đủ ba điều kiện theo Điều 13, khoản 2:

• Có trình độ cao đẳng trở lên.
• Có ít nhất 02 năm kinh nghiệm công tác liên quan đến pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ hoặc quản lý nhân sự.
• Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.

Trường hợp thuê cá nhân cung cấp dịch vụ DPO bên ngoài, yêu cầu kinh nghiệm tăng lên tối thiểu 03 năm và phải có chuyên môn sâu về pháp chế, xử lý dữ liệu cá nhân, an ninh mạng, an ninh dữ liệu, quản trị rủi ro hoặc kiểm soát tuân thủ (Điều 15, khoản 2). Tổ chức cung cấp dịch vụ bảo vệ dữ liệu phải có tối thiểu 03 nhân sự đủ điều kiện nêu trên và có kinh nghiệm cung cấp sản phẩm, dịch vụ bảo mật, an ninh mạng hoặc tư vấn bảo vệ dữ liệu cá nhân (Điều 16, khoản 1, điểm b và c).

4.4 Xử lý yêu cầu từ chủ thể dữ liệu đúng hạn

Khi nhận yêu cầu từ chủ thể dữ liệu, bên kiểm soát phải phản hồi trong 02 ngày làm việc và thực hiện hoàn tất trong các thời hạn cụ thể theo Điều 5. Bảng dưới đây tóm tắt các mốc thời gian bắt buộc:

5. Ngành và công nghệ nào chịu tác động đặc biệt?

5.1 Tài chính, ngân hàng và tín dụng

Tổ chức, cá nhân hoạt động trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng có trách nhiệm áp dụng tiêu chuẩn, quy chuẩn kỹ thuật bảo vệ dữ liệu cá nhân; quy chuẩn kỹ thuật khử nhận dạng dữ liệu cá nhân, ẩn danh dữ liệu cá nhân được ban hành và áp dụng tại Việt Nam; thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần; ghi lại nhật ký toàn bộ hoạt động xử lý dữ liệu cá nhân (Điều 8, khoản 1).

Đặc biệt, khi xin sự đồng ý của khách hàng, nhóm doanh nghiệp này phải nêu rõ các mục đích xử lý dữ liệu cá nhân, bao gồm hoạt động chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng, đánh giá mức độ tín nhiệm về tín dụng nếu có; nguồn thu thập dữ liệu, các bên thu thập và chia sẻ; thời gian lưu trữ; cơ chế rút lại sự đồng ý và chính sách xóa, hủy dữ liệu (Điều 8, khoản 2). Trong thời hạn không quá 72 giờ sau khi phát hiện lộ, mất dữ liệu nhạy cảm, tổ chức trực tiếp thu thập dữ liệu phải thông báo cho cơ quan chuyên trách và chủ thể dữ liệu (Điều 8, khoản 3).

5.2 Điện toán đám mây

Khi ký hợp đồng với nhà cung cấp dịch vụ điện toán đám mây, các tổ chức có trách nhiệm: nêu rõ trong nội dung hợp đồng về việc chấp hành quy định của pháp luật Việt Nam về bảo vệ dữ liệu cá nhân, thông tin về bộ phận và nhân sự bảo vệ dữ liệu cá nhân; xác định rõ luồng xử lý dữ liệu cá nhân, vai trò các bên và trách nhiệm tương ứng; có yêu cầu về các biện pháp bảo mật và nêu rõ trong hợp đồng; thông báo ngay lập tức cho các bên liên quan bất kỳ sự thay đổi nào có thể ảnh hưởng đến dữ liệu cá nhân; tuân thủ thời hạn xử lý, yêu cầu về xóa, hủy dữ liệu và bảo đảm thực hiện quyền của chủ thể dữ liệu (Điều 12, khoản 2).

Về phía nhà cung cấp dịch vụ điện toán đám mây, ngoài nghĩa vụ nêu trên, phải áp dụng các biện pháp kỹ thuật và tổ chức ở mức phù hợp với quy mô, mức độ xử lý dữ liệu và thực hiện đánh giá tuân thủ định kỳ 01 năm/lần (Điều 12, khoản 3). Điểm then chốt: dữ liệu cá nhân trên điện toán đám mây phải được mã hoá ở trạng thái nghỉ và truyền, kèm theo phân quyền truy cập nghiêm ngặt (Điều 12, khoản 4). Doanh nghiệp đang dùng cloud storage nước ngoài cần đối chiếu hợp đồng hiện tại với các yêu cầu này ngay.

5.3 Hệ thống trí tuệ nhân tạo và vũ trụ ảo

Các tổ chức, cá nhân được quyền sử dụng dữ liệu cá nhân để nghiên cứu, phát triển các thuật toán tự học, hệ thống trí tuệ nhân tạo và các hệ thống tự động khác nhưng cần bảo đảm tuân thủ các quy định về bảo vệ dữ liệu cá nhân (Điều 10, khoản 1).

Hai quy định đáng chú ý: Dữ liệu từ kết quả suy luận của trí tuệ nhân tạo nếu có thể được sử dụng để xác định hoặc giúp xác định một con người cụ thể thì phải được áp dụng các biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật (Điều 10, khoản 2). Bên kiểm soát dữ liệu có trách nhiệm thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân tự động, giải thích nguyên tắc hoạt động của thuật toán và ảnh hưởng đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu (Điều 10, khoản 3). Trong môi trường metaverse, chủ thể dữ liệu cá nhân phải có quyền chỉnh sửa, ẩn danh, xóa hồ sơ nhận dạng, kể cả khi nền tảng lưu trữ lịch sử hành vi (Điều 10, khoản 6).

5.4 Công nghệ chuỗi khối (blockchain)

Khi xử lý dữ liệu cá nhân trong công nghệ chuỗi khối, tổ chức không được lưu trữ trực tiếp dữ liệu cá nhân trên chuỗi khối; chỉ được lưu trữ khi dữ liệu cá nhân đã được khử nhận dạng hoặc lưu trữ giá trị băm của dữ liệu cá nhân (Điều 11, khoản 2, điểm b). Chỉ được áp dụng các thuật toán mã hóa, thuật toán băm, thuật toán ký số đảm bảo an toàn (Điều 11, khoản 2, điểm a). Đây là quy định trực tiếp ảnh hưởng đến các dự án Web3, NFT và DeFi có người dùng Việt Nam.

6. Chuyển dữ liệu cá nhân ra nước ngoài: Quy trình và hồ sơ cần chuẩn bị

Đây là quy định tác động trực tiếp đến doanh nghiệp dùng dịch vụ SaaS, nền tảng email, CRM hoặc hệ thống quản trị đặt máy chủ ở nước ngoài. Theo Điều 17, khoản 1, ba trường hợp sau đây được coi là chuyển dữ liệu cá nhân xuyên biên giới và phải thực hiện hồ sơ đánh giá tác động:

• Hoạt động lưu trữ dữ liệu cá nhân có sự chuyển giao dữ liệu cá nhân thu thập, lưu trữ tại Việt Nam đến hệ thống máy chủ đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc trên dịch vụ điện toán đám mây của nhà cung cấp dịch vụ ở nước ngoài.
• Hoạt động chuyển dữ liệu cá nhân từ cơ quan, tổ chức, cá nhân từ Việt Nam cho bên nhận là tổ chức, cá nhân ở nước ngoài.
• Hoạt động xử lý dữ liệu cá nhân được thu thập tại Việt Nam và chuyển đến nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để tiếp tục xử lý (Điều 17, khoản 1, điểm a, b, c).

Một số trường hợp không phải thực hiện đánh giá tác động chuyển dữ liệu xuyên biên giới theo Điều 17, khoản 3:

• Hoạt động báo chí, truyền thông theo quy định của pháp luật.
• Việc chuyển dữ liệu cá nhân xuyên biên giới đã được công khai theo quy định.
• Trong các tình huống khẩn cấp để bảo vệ tính mạng, sức khỏe và an toàn tài sản.
• Hoạt động chuyển dữ liệu cá nhân xuyên biên giới để quản lý nhân sự xuyên biên giới theo quy tắc, quy chế lao động và thỏa ước lao động tập thể.
• Việc cung cấp dữ liệu cá nhân xuyên biên giới để ký kết hợp đồng hoặc thực hiện các thủ tục liên quan đến vận chuyển xuyên biên giới, hậu cần, chuyển tiền, thanh toán, khách sạn, xin thị thực, xin học bổng (Điều 17, khoản 3).

Quy trình thực hiện: Lập hồ sơ đánh giá tác động theo Mẫu số 09 (Báo cáo đánh giá tác động) kèm Mẫu số 01a (đối với tổ chức) hoặc 01b (đối với cá nhân), nộp 01 bản chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời hạn 60 ngày kể từ ngày tiến hành chuyển dữ liệu cá nhân xuyên biên giới (Điều 18, khoản 4). Cơ quan chuyên trách đánh giá và trả kết quả trong 15 ngày; yêu cầu hoàn thiện hồ sơ chưa đầy đủ trong 30 ngày (Điều 18, khoản 5, 6).

7. Kinh doanh dịch vụ xử lý dữ liệu cá nhân: Điều kiện và thủ tục cấp phép

Điều 21 liệt kê 9 loại dịch vụ xử lý dữ liệu cá nhân phải có điều kiện, bao gồm: dịch vụ cung cấp và vận hành hệ thống/phần mềm tự động thay mặt bên kiểm soát; dịch vụ chấm điểm, xếp hạng, đánh giá mức độ tín nhiệm; dịch vụ thu thập và xử lý dữ liệu cá nhân trực tuyến từ web, ứng dụng, phần mềm và mạng xã hội; dịch vụ thu thập và xử lý dữ liệu cá nhân qua ứng dụng y tế và chăm sóc sức khỏe; dịch vụ giáo dục có yếu tố giám sát; dịch vụ phân tích và khai thác dữ liệu cá nhân; dịch vụ mã hóa trong quá trình truyền tải và lưu trữ; dịch vụ xử lý dữ liệu tự động dựa trên dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo; dịch vụ nền tảng ứng dụng cung cấp dữ liệu vị trí cá nhân (Điều 21).

Để được cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân, tổ chức phải đáp ứng các điều kiện theo Điều 22:

• Điều kiện pháp lý: là tổ chức, doanh nghiệp được thành lập và hoạt động theo pháp luật Việt Nam.
• Điều kiện nhân sự (Điều 22, khoản 2): người đứng đầu phụ trách chuyên môn là công dân Việt Nam, thường trú tại Việt Nam; có đội ngũ quản lý, điều hành đáp ứng yêu cầu chuyên môn xử lý dữ liệu; có tối thiểu 03 nhân sự đủ điều kiện năng lực theo Điều 13, khoản 2.
• Điều kiện hạ tầng (Điều 22, khoản 3): có hạ tầng, hệ thống trang thiết bị, cơ sở vật chất và công nghệ phù hợp với dịch vụ xử lý dữ liệu cá nhân.
• Điều kiện hồ sơ (Điều 22, khoản 4): có kết quả đạt yêu cầu đối với hồ sơ DPIA và hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới trong trường hợp có chuyển dữ liệu ra nước ngoài.

Thủ tục cấp phép: Tổ chức nộp 01 bộ hồ sơ theo Mẫu số 04 về cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Cơ quan chuyên trách đánh giá hồ sơ trong 10 ngày; cấp Giấy chứng nhận theo Mẫu số 05 trong 30 ngày kể từ khi nhận đủ hồ sơ hợp lệ (Điều 25, khoản 3, 4). Bộ Công an là cơ quan cấp, cấp lại, cấp đổi và thu hồi Giấy chứng nhận (Điều 24, khoản 1).

Giấy chứng nhận bị thu hồi trong các trường hợp sau (Điều 27, khoản 1):

• Khi không bảo đảm một trong các điều kiện tại khoản 1, khoản 2 Điều 26 Nghị định này.
• Không kinh doanh dịch vụ từ 12 tháng trở lên.
• Bị giải thể hoặc phá sản theo quy định của pháp luật.
• Không khắc phục vi phạm về bảo vệ dữ liệu cá nhân, an toàn thông tin, an ninh mạng, an ninh dữ liệu theo yêu cầu của cơ quan nhà nước có thẩm quyền.
• Chủ động đề nghị xin đình chỉ hoặc chấm dứt hoạt động.

8. Doanh nghiệp nhỏ và startup được ưu đãi gì?

Điều 41 của Nghị định dành riêng cho doanh nghiệp nhỏ và startup một cơ chế chuyển tiếp linh hoạt. Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện quy định tại Điều 21 (dịch vụ xử lý dữ liệu cá nhân), Điều 22 (điều kiện kinh doanh) và khoản 2 Điều 33 của Luật Bảo vệ dữ liệu cá nhân trong thời gian 05 năm kể từ ngày Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành (Điều 41, khoản 1).

Hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện quy định tại Điều 21, Điều 22 và khoản 2 Điều 33 của Luật Bảo vệ dữ liệu cá nhân (Điều 41, khoản 2).

Lưu ý: Cả doanh nghiệp nhỏ/startup lẫn hộ kinh doanh/siêu nhỏ đều KHÔNG được hưởng ưu đãi này nếu: kinh doanh dịch vụ xử lý dữ liệu cá nhân có điều kiện, trực tiếp xử lý dữ liệu cá nhân nhạy cảm, hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100.000 chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý (Điều 41, khoản 1 và 2).

9. Thông báo vi phạm dữ liệu cá nhân: Quy trình 72 giờ

Khi xảy ra sự cố vi phạm dữ liệu cá nhân liên quan đến dữ liệu vị trí hoặc dữ liệu sinh trắc học, bên kiểm soát dữ liệu cá nhân có trách nhiệm thông báo cho chủ thể dữ liệu bị ảnh hưởng trong thời hạn không quá 72 giờ kể từ thời điểm phát hiện vi phạm; báo cáo cho cơ quan nhà nước có thẩm quyền theo quy định tại Điều 28 Nghị định này; ghi nhận, lưu trữ và cập nhật hồ sơ vi phạm phục vụ công tác thanh tra, kiểm tra và xử lý. Tổ chức phải lưu hồ sơ vi phạm trong thời gian tối thiểu 5 năm kể từ ngày khắc phục xong sự cố (Điều 29, khoản 1).

Nội dung thông báo vi phạm gửi cho chủ thể dữ liệu phải bao gồm (Điều 29, khoản 2):

• Thời điểm và hình thức phát hiện vi phạm.
• Loại dữ liệu bị ảnh hưởng (vị trí, sinh trắc học hoặc cả hai).
• Mức độ nghiêm trọng và các rủi ro có thể xảy ra đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu.
• Biện pháp đã, đang và sẽ được thực hiện để khắc phục sự cố và giảm thiểu thiệt hại.
• Hướng dẫn chủ thể dữ liệu thực hiện các biện pháp phòng ngừa, ngăn chặn tiếp theo.
• Thông tin liên hệ của bộ phận, nhân sự bảo vệ dữ liệu cá nhân hoặc bộ phận tiếp nhận, xử lý sự cố dữ liệu cá nhân tại tổ chức.

10. Lộ trình 6 bước chuẩn bị tuân thủ Nghị định 356 cho doanh nghiệp

Dưới đây là thứ tự ưu tiên được đề xuất dựa trực tiếp trên nội dung Nghị định, từ bước nền tảng đến bước hoàn thiện:

11. Kết luận

Nghị định 356/2025/NĐ-CP không chỉ là văn bản hướng dẫn kỹ thuật mà là cột mốc đánh dấu giai đoạn Việt Nam chuyển từ quy định khung sang thực thi cụ thể trong bảo vệ dữ liệu cá nhân. Với 10 biểu mẫu chuẩn hóa, thời hạn rõ ràng cho từng nghĩa vụ và cơ chế cấp phép cho dịch vụ xử lý dữ liệu, doanh nghiệp không còn lý do để hoãn việc rà soát và xây dựng hệ thống tuân thủ. Việc bắt đầu từ hôm nay, với sáu bước lộ trình nêu trên, là con đường ngắn nhất để vừa đáp ứng pháp luật, vừa xây dựng niềm tin với khách hàng trong thời đại dữ liệu là tài sản cốt lõi.

Liên hệ đội ngũ VNETWORK để được tư vấn về giải pháp hạ tầng đáp ứng yêu cầu bảo vệ dữ liệu cá nhân theo Nghị định 356/2025/NĐ-CP.

12. Tuyên bố miễn trừ trách nhiệm và nguồn tham khảo

Bài viết này được biên soạn nhằm mục đích cung cấp thông tin tổng quát và không cấu thành tư vấn pháp lý. Các nội dung phân tích, diễn giải và ví dụ trong bài là quan điểm của VNETWORK dựa trên quá trình nghiên cứu tài liệu pháp lý, không thay thế cho ý kiến tư vấn của luật sư hoặc chuyên gia pháp lý có thẩm quyền. Doanh nghiệp cần tham khảo ý kiến pháp lý chuyên sâu trước khi đưa ra bất kỳ quyết định tuân thủ nào.

Nguồn tài liệu tham khảo:

• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, Quốc hội khóa XV thông qua, có hiệu lực từ ngày 01/01/2026. Tra cứu toàn văn tại: Tại đây
• Nghị định số 356/2025/NĐ-CP ngày 31 tháng 12 năm 2025 của Chính phủ về quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân, Phó Thủ tướng Nguyễn Hòa Bình ký thay mặt Chính phủ, có hiệu lực từ ngày 01/01/2026. Tra cứu tại: Tại đây

FAQ - Câu hỏi thường gặp về Nghị định 356/2025/NĐ-CP

1. Nghị định 356/2025/NĐ-CP có hiệu lực từ ngày nào?

Nghị định 356/2025/NĐ-CP có hiệu lực thi hành từ ngày 01/01/2026, theo Điều 42, khoản 1. Đồng thời, kể từ ngày này, Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 về bảo vệ dữ liệu cá nhân hết hiệu lực thi hành.

2. Doanh nghiệp nước ngoài có phải tuân thủ Nghị định 356 không?

Có. Theo Điều 2, khoản 3, các cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam đều thuộc phạm vi áp dụng của Nghị định này, bất kể hạ tầng kỹ thuật đặt ở đâu.

3. Hồ sơ DPIA là gì và phải nộp trong bao lâu?

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) là bộ tài liệu mô tả toàn bộ hoạt động xử lý dữ liệu của tổ chức, bao gồm mục đích, loại dữ liệu, biện pháp bảo vệ và đánh giá rủi ro. Theo Điều 19, khoản 4 của Nghị định, hồ sơ phải được lập và nộp 01 bản chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời hạn 60 ngày kể từ ngày bắt đầu xử lý dữ liệu cá nhân.

4. Hộ kinh doanh có bị điều chỉnh bởi Nghị định 356 không?

Theo Điều 41, khoản 2, hộ kinh doanh và doanh nghiệp siêu nhỏ không phải thực hiện quy định về dịch vụ xử lý dữ liệu cá nhân có điều kiện và điều kiện kinh doanh liên quan. Tuy nhiên, nếu hộ kinh doanh hoặc doanh nghiệp siêu nhỏ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu nhạy cảm hoặc xử lý dữ liệu từ 100.000 chủ thể trở lên thì bắt buộc phải tuân thủ đầy đủ.

5. Thông báo vi phạm dữ liệu cá nhân phải thực hiện trong bao lâu?

Theo Điều 29, khoản 1, khi xảy ra sự cố vi phạm liên quan đến dữ liệu vị trí hoặc dữ liệu sinh trắc học, bên kiểm soát dữ liệu cá nhân phải thông báo cho chủ thể dữ liệu bị ảnh hưởng trong thời hạn không quá 72 giờ kể từ thời điểm phát hiện vi phạm. Đối với dữ liệu nhạy cảm trong lĩnh vực tài chính, ngân hàng, thời hạn thông báo cho cơ quan chuyên trách cũng là 72 giờ theo Điều 8, khoản 3.

6. Dùng dịch vụ cloud nước ngoài có phải làm hồ sơ chuyển dữ liệu xuyên biên giới không?

Có. Theo Điều 17, khoản 1, điểm a, hoạt động lưu trữ dữ liệu cá nhân trên dịch vụ điện toán đám mây của nhà cung cấp ở nước ngoài được coi là chuyển dữ liệu xuyên biên giới và phải thực hiện hồ sơ đánh giá tác động, nộp về A05 trong 60 ngày theo Điều 18, khoản 4.

7. DPO (nhân sự bảo vệ dữ liệu) cần đáp ứng điều kiện gì?

Theo Điều 13, khoản 2, nhân sự DPO nội bộ phải có trình độ cao đẳng trở lên, ít nhất 02 năm kinh nghiệm trong các lĩnh vực pháp chế, CNTT, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ hoặc quản lý nhân sự, và đã được đào tạo, bồi dưỡng chuyên môn về bảo vệ dữ liệu cá nhân. Cá nhân cung cấp dịch vụ DPO thuê ngoài yêu cầu tối thiểu 03 năm kinh nghiệm theo Điều 15, khoản 2.