Ngày 31/12/2025, Chính phủ ban hành Nghị định số 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.

Nghị định này là một bước tiến quan trọng trong việc hoàn thiện hành lang pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam, đồng thời đặt ra nhiều yêu cầu mới đối với doanh nghiệp, tổ chức đang thu thập, lưu trữ và xử lý dữ liệu khách hàng.

Nghị định 356/2025/NĐ-CP áp dụng cho ai?

Nghị định áp dụng đối với:

  • Cơ quan nhà nước
  • Doanh nghiệp, tổ chức trong và ngoài nước
  • Cá nhân có hoạt động xử lý dữ liệu cá nhân tại Việt Nam
  • Các đơn vị cung cấp dịch vụ liên quan đến dữ liệu cá nhân

Điều này đồng nghĩa rằng hầu hết doanh nghiệp có website, ứng dụng, CRM, hệ thống marketing automation, CDP, chatbot, mobile app hoặc nền tảng thương mại điện tử đều thuộc phạm vi điều chỉnh.

Dữ liệu cá nhân được phân loại như thế nào?

Nghị định chia dữ liệu cá nhân thành 2 nhóm chính:

Dữ liệu cá nhân cơ bản

Bao gồm:

  • Họ tên
  • Ngày sinh
  • Giới tính
  • Địa chỉ
  • Số điện thoại
  • Email
  • CCCD/Hộ chiếu
  • Tình trạng hôn nhân
  • Thông tin gia đình
  • Thông tin tài khoản cá nhân

Dữ liệu cá nhân nhạy cảm

Bao gồm:

  • Quan điểm chính trị
  • Tôn giáo
  • Dữ liệu sức khỏe
  • Dữ liệu sinh trắc học
  • Dữ liệu tài chính
  • Dữ liệu vị trí
  • Đời sống riêng tư
  • Xu hướng tính dục
  • Dữ liệu trẻ em

Dữ liệu nhạy cảm sẽ yêu cầu mức độ bảo vệ cao hơn và có nhiều quy định nghiêm ngặt hơn trong xử lý.

Những yêu cầu quan trọng đối với doanh nghiệp

  1. Phải có sự đồng ý rõ ràng của người dùng

Doanh nghiệp phải:

  • Thông báo rõ mục đích xử lý dữ liệu
  • Cho phép người dùng đồng ý hoặc từ chối
  • Có cơ chế rút lại sự đồng ý
  • Lưu bằng chứng về việc đồng ý

Việc “mặc định đồng ý”, checkbox ẩn hoặc consent không rõ ràng sẽ tiềm ẩn rủi ro pháp lý.

  1. Chủ thể dữ liệu có nhiều quyền hơn

Người dùng có quyền:

  • Biết dữ liệu nào đang được thu thập
  • Yêu cầu chỉnh sửa dữ liệu
  • Yêu cầu xóa dữ liệu
  • Phản đối xử lý dữ liệu
  • Rút lại sự đồng ý
  • Yêu cầu hạn chế xử lý dữ liệu

Doanh nghiệp phải có quy trình tiếp nhận và xử lý các yêu cầu này trong thời hạn quy định.

  1. Phải đánh giá tác động xử lý dữ liệu cá nhân

Nghị định yêu cầu nhiều tổ chức phải lập:

  • Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
  • Hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới

Đây là yêu cầu rất quan trọng đối với các doanh nghiệp:

  • Sử dụng cloud quốc tế
  • Dùng CRM/CDP nước ngoài
  • Chạy hệ thống AI/LLM
  • Lưu trữ dữ liệu trên AWS, Google Cloud, Azure
  • Dùng SaaS quốc tế như HubSpot, Salesforce, CleverTap, Lark, Zendesk…
  1. Bắt buộc bảo vệ dữ liệu bằng biện pháp kỹ thuật và quản trị

Doanh nghiệp cần triển khai:

  • Kiểm soát truy cập
  • Phân quyền dữ liệu
  • Mã hóa dữ liệu
  • Nhật ký truy cập
  • Đánh giá an ninh định kỳ
  • Quản lý rủi ro dữ liệu

Ngoài yếu tố kỹ thuật, doanh nghiệp cũng cần có:

  • Chính sách bảo vệ dữ liệu cá nhân
  • Quy trình xử lý dữ liệu
  • Quy trình phản ứng sự cố
  • Nhân sự hoặc bộ phận phụ trách bảo vệ dữ liệu
  1. Quy định chặt chẽ về chuyển dữ liệu ra nước ngoài

Các hoạt động chuyển dữ liệu cá nhân xuyên biên giới phải:

  • Có hồ sơ đánh giá tác động
  • Có biện pháp bảo vệ dữ liệu
  • Sẵn sàng cung cấp hồ sơ cho cơ quan quản lý khi được yêu cầu

Đây là nội dung ảnh hưởng lớn đến các doanh nghiệp đang sử dụng nền tảng cloud hoặc SaaS quốc tế.

  1. Quy định về kinh doanh dịch vụ xử lý dữ liệu cá nhân

Nghị định cũng đưa ra các yêu cầu đối với doanh nghiệp cung cấp dịch vụ xử lý dữ liệu cá nhân như:

  • Data analytics
  • Marketing platform
  • CDP
  • AI platform
  • Adtech
  • Loyalty platform
  • Data enrichment
  • Cloud processing services

Một số trường hợp sẽ cần đáp ứng điều kiện kinh doanh và xin cấp giấy chứng nhận theo quy định.

Khi nào Nghị định có hiệu lực?

Nghị định 356/2025/NĐ-CP có hiệu lực từ ngày 01/01/2026.

Doanh nghiệp nên chuẩn bị gì từ bây giờ?

Để giảm thiểu rủi ro pháp lý và đảm bảo tuân thủ, doanh nghiệp nên sớm:

  • Rà soát toàn bộ luồng dữ liệu cá nhân
  • Kiểm tra consent và privacy policy
  • Xây dựng data governance framework
  • Đánh giá các hệ thống third-party đang sử dụng
  • Thiết lập quy trình xử lý yêu cầu dữ liệu cá nhân
  • Đánh giá hoạt động chuyển dữ liệu ra nước ngoài
  • Xây dựng DPIA/PDPA assessment framework
  • Đào tạo nội bộ về bảo vệ dữ liệu cá nhân

Kết luận

Nghị định 356/2025/NĐ-CP cho thấy Việt Nam đang tiến rất nhanh trong việc xây dựng khung pháp lý về bảo vệ dữ liệu cá nhân theo xu hướng toàn cầu như GDPR.

Đây không còn chỉ là vấn đề pháp lý hay compliance, mà đã trở thành một phần quan trọng trong chiến lược vận hành, chuyển đổi số và xây dựng niềm tin khách hàng của doanh nghiệp.

Các doanh nghiệp chủ động chuẩn bị sớm sẽ có lợi thế lớn trong việc giảm thiểu rủi ro, nâng cao uy tín thương hiệu và xây dựng nền tảng dữ liệu bền vững cho tương lai.