Nghị định 356/2025/NĐ-CP thay thế Nghị định số 13/2023/NĐ-CP , thiết lập các biện pháp tổ chức thi hành Luật Bảo vệ dữ liệu cá nhân cho cả cơ quan, tổ chức trong và ngoài nước.  

1. Phân loại Dữ liệu cá nhân (DLCN)

Nghị định quy định danh mục dữ liệu cụ thể để áp dụng các biện pháp bảo mật phù hợp:

• Dữ liệu cá nhân cơ bản: Bao gồm họ tên, ngày sinh, giới tính, nơi cư trú, quốc tịch, hình ảnh, số điện thoại, số định danh cá nhân, tình trạng hôn nhân, tài khoản số và các thông tin giúp xác định một con người cụ thể khác.  
• Dữ liệu cá nhân nhạy cảm: Bao gồm quan điểm chính trị, tôn giáo; tình trạng sức khỏe; dữ liệu sinh trắc học, di truyền; vị trí cá nhân qua dịch vụ định vị; thông tin tài khoản ngân hàng, tài chính, bảo hiểm; dữ liệu hành vi trên mạng xã hội và các bí mật đời tư khác.  

2. Thời hạn thực hiện quyền của Chủ thể dữ liệu

Khi nhận được yêu cầu đúng thủ tục, bên kiểm soát dữ liệu phải phản hồi trong thời hạn 02 ngày làm việc về thủ tục và tuân thủ các mốc thời gian thực hiện sau:  

• Rút lại sự đồng ý/Phản đối xử lý: Thực hiện trong 15 ngày.  
• Xem hoặc chỉnh sửa dữ liệu: Thực hiện trong 10 ngày.  
• Xóa dữ liệu: Thực hiện trong 20 ngày.  
• Thực hiện biện pháp bảo vệ DLCN: Thực hiện trong 15 ngày.  

3. Chuyển dữ liệu cá nhân xuyên biên giới

Hoạt động này bao gồm việc lưu trữ dữ liệu tại máy chủ ngoài Việt Nam hoặc chuyển dữ liệu cho tổ chức nước ngoài. 

• Nghĩa vụ hồ sơ: Phải lập Hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới và nộp về cơ quan chuyên trách trong vòng 60 ngày kể từ ngày tiến hành.  
• Cập nhật hồ sơ: Phải cập nhật định kỳ mỗi 06 tháng hoặc ngay trong 10 ngày nếu có thay đổi lớn như tổ chức lại đơn vị hoặc thay đổi thông tin dịch vụ bảo vệ dữ liệu.  

4. Điều kiện đối với Nhân sự bảo vệ dữ liệu

Tổ chức phải chỉ định nhân sự hoặc bộ phận bảo vệ dữ liệu đáp ứng:

• Có trình độ từ cao đẳng trở lên.  
• Có ít nhất 02 năm kinh nghiệm công tác liên quan đến pháp chế, CNTT, an ninh mạng, an ninh dữ liệu hoặc quản trị rủi ro.  
• Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ DLCN.  

5. Quy định về Công nghệ mới và Kinh doanh dịch vụ

• Trí tuệ nhân tạo (AI) và Vũ trụ ảo (Metaverse): Phải thông báo về việc xử lý tự động, giải thích nguyên tắc thuật toán và cho phép người dùng lựa chọn không tham gia.  
• Công nghệ Chuỗi khối (Blockchain): Không được lưu trữ trực tiếp DLCN trên chuỗi khối nếu dữ liệu chưa được khử nhận dạng.  
• Dịch vụ xử lý dữ liệu: Các doanh nghiệp kinh doanh dịch vụ này phải được Bộ Công an cấp Giấy chứng nhận đủ điều kiện.  

6. Ưu đãi cho Doanh nghiệp nhỏ và siêu nhỏ

• Doanh nghiệp nhỏ và khởi nghiệp: Được lựa chọn thực hiện hoặc không thực hiện một số quy định về bộ phận bảo vệ dữ liệu trong 05 năm đầu, trừ trường hợp xử lý dữ liệu nhạy cảm hoặc đạt quy mô trên 100.000 chủ thể dữ liệu.  
• Doanh nghiệp siêu nhỏ, hộ kinh doanh: Không phải thực hiện các quy định về bộ phận và nhân sự bảo vệ dữ liệu chuyên trách, trừ các trường hợp đặc biệt về quy mô và tính chất dữ liệu tương tự như trên.