NHỮNG THAY ĐỔI CHIẾN LƯỢC TRONG BẢO VỆ DỮ LIỆU CÁ NHÂN (NGHỊ ĐỊNH 356).

Nghị định 356/2025/NĐ-CP (thay thế Nghị định 13) chính thức có hiệu lực từ ngày 01/01/2026. Đây là một bước tiến mới nhằm thắt chặt quản lý dữ liệu, buộc doanh nghiệp phải chuyển dịch từ việc "tuân thủ trên bề mặt" sang "thực thi kỹ thuật chi tiết".

Decree No. 356/2025/ND-CP (replacing Decree 13) officially takes effect on January 1, 2026. This marks a significant step in tightening data management, forcing businesses to shift from "surface-level compliance" to "detailed technical implementation."


1. Tái phân loại dữ liệu: Mở rộng danh mục "Nhạy cảm"/Data Reclassification: Expanding "Sensitive" Categories.
Nghị định 356 có những điều chỉnh quan trọng về cách phân loại dữ liệu (Điều 3-4):
Decree 356 introduces critical adjustments to how data is categorized (Arts. 3-4):

Dữ liệu nhạy cảm mới: Bổ sung thông tin đăng nhập tài khoản định danh số, hình ảnh giấy tờ tùy thân, và dữ liệu hành vi/theo dõi trên nền tảng số.
New Sensitive Data: Now includes digital identity account credentials, images of identity documents, and behavioral/usage-tracking data on digital platforms.

Chuyển đổi danh mục: Lịch sử hoạt động trên không gian mạng hiện được nâng cấp từ dữ liệu cơ bản lên dữ liệu nhạy cảm, yêu cầu mức độ bảo mật cao hơn.
Category Upgrades: History of activities in cyberspace has been upgraded from basic data to sensitive personal data, requiring higher security standards.

Dữ liệu cơ bản: Mở rộng thông tin gia đình bao gồm cả vợ/chồng. Một số định danh như mã số thuế, số BHXH dù được đưa ra khỏi danh sách liệt kê cụ thể nhưng vẫn được hiểu là dữ liệu cơ bản theo điều khoản quét.
Basic Data: Family information has been expanded to include spouses. While identifiers like personal tax codes and social insurance numbers were removed from the specific list, they are still treated as basic data under the "catch-all" clause.

2. Thắt chặt tiêu chuẩn vận hành/Tightening Operational Standards.
Sự chấp thuận (Consent): Cấm hoàn toàn cơ chế "mặc định đồng ý". Chấp thuận phải xác thực được (ghi âm, tin nhắn, email, thiết lập kỹ thuật) và doanh nghiệp có nghĩa vụ chứng minh sự đồng ý này trong mọi tranh chấp.
Consent: Default "opt-in" mechanisms are strictly prohibited. Consent must be in a verifiable format (recorded calls, SMS, email, technical settings), and businesses bear the burden of proof to demonstrate valid consent in any dispute.

Nhân sự bảo vệ dữ liệu (DPO): Không còn là vị trí kiêm nhiệm hình thức. DPO mới phải có trình độ từ cao đẳng trở lên, 02 năm kinh nghiệm thực tế trong các lĩnh vực liên quan (Luật, IT, Nhân sự...) và phải qua đào tạo nội bộ.
Data Protection Officer (DPO): The role is no longer a formalistic, concurrent position. A DPO must now hold at least a college-level degree, possess 2 years of professional experience in relevant fields (Law, IT, HR, etc.), and complete internal training.

Thời hạn phản hồi: Áp dụng khung thời gian nghiêm ngặt (10 - 30 ngày tùy loại yêu cầu) để xử lý quyền của chủ thể dữ liệu, với thông báo xác nhận trong vòng 02 ngày làm việc.
Response Timelines: Strict timeframes (10–30 days depending on the request type) are applied for handling data subject rights, with an acknowledgment required within 2 working days.

3. Quy trình Đánh giá tác động (DPIA) & Chuyển dữ liệu/DPIA Process & Data Transfer.

Đây là phần có sự thay đổi về mặt "kỹ thuật" lớn nhất:
This section represents the most significant "technical" shift:

Cơ chế rà soát 2 chiều: Cơ quan chức năng sẽ ra thông báo Phê duyệt hoặc Từ chối chính thức trong vòng 15 ngày kể từ khi nhận hồ sơ DPIA.
Two-Way Review Mechanism: The authorities will issue an official Approval or Rejection within 15 days of receiving a Data Protection Impact Assessment (DPIA) submission.

Hồ sơ chi tiết hơn: Doanh nghiệp phải nộp sơ đồ luồng dữ liệu (data flow) và mô hình hệ thống kỹ thuật, thay vì chỉ mô tả bằng văn bản như trước.
Detailed Documentation: Businesses must submit data flow diagrams and technical system models rather than just descriptive text.

Chuyển dữ liệu quốc tế: Yêu cầu thỏa thuận bằng văn bản với các điều khoản cụ thể về trách nhiệm và các biện pháp mã hóa/ẩn danh đối với dữ liệu nhạy cảm.
International Data Transfer: Requires formal written agreements with specific clauses on responsibilities and mandatory encryption/anonymization for sensitive data.

Ngưỡng 100.000: Các doanh nghiệp nhỏ/hộ kinh doanh sẽ mất quyền miễn trừ lập DPIA ngay khi quy mô xử lý đạt tới 100.000 chủ thể dữ liệu.
The 100,000 Threshold: Small enterprises and household businesses lose their DPIA exemption as soon as their processing scale reaches 100,000 data subjects.

4. Loại bỏ sự chồng chéo pháp lý/Resolving Legal Overlaps.
Nghị định 356 làm rõ ranh giới giữa Luật Bảo vệ dữ liệu cá nhân và Luật Dữ liệu. Nếu một dữ liệu vừa là "dữ liệu quan trọng" vừa là "dữ liệu cá nhân", doanh nghiệp chỉ cần thực hiện DPIA theo Nghị định 356 là đủ, giúp giảm bớt gánh nặng hành chính.
Decree 356 clarifies the boundary between the PDP Law and the Data Law. If data is classified as both "important/core data" and "personal data," businesses only need to conduct a DPIA under Decree 356, effectively reducing the administrative burden.

5. Khuyến nghị cho Doanh nghiệp/Recommendations for Businesses.
Rà soát hệ thống: Cập nhật lại các trường dữ liệu, đặc biệt là các nhóm dữ liệu mới được phân loại là "nhạy cảm".

i.   Chuẩn hóa quy trình kỹ thuật: Xây dựng sơ đồ luồng dữ liệu và thiết lập cơ chế xác thực sự chấp thuận của người dùng.
     System Audit: Update data fields, particularly for those newly classified as "sensitive."

ii.  Đào tạo nhân sự: Kiện toàn đội ngũ DPO đáp ứng đủ điều kiện về bằng cấp và kinh nghiệm theo quy định mới.
     Standardize Technical Processes: Build comprehensive data flow diagrams and implement verifiable consent mechanisms.
iii. Đào tạo nhân sự: Kiện toàn đội ngũ DPO đáp ứng đủ điều kiện về bằng cấp và kinh nghiệm theo quy định mới.
     Personnel Development: Ensure your DPO team meets the new statutory requirements for qualifications and experience.

ATLAS LAW FIRM
Luật sư Trần Công Thìn - 0917 430 189