Những điểm mới của pháp luật bảo vệ dữ liệu cá nhân năm 2026 – Phần 1

LexNovum Lawyers

21/01/2026

Từ ngày 01/01/2026, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 do Quốc hội ban hành ngày 26/6/2025 (“Luật BVDLCN”) chính thức có hiệu lực pháp lý. Để hướng dẫn chi tiết các nội dung còn bỏ ngỏ trong Luật BVDLCN và tiếp tục hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân (“DLCN”) tại Việt Nam, ngày 31/12/2025, Chính phủ đã ban hành Nghị định số 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật BVDLCN (“Nghị định 356”). Nghị định 356 thay thế Nghị định 13/2023/NĐ-CP (“Nghị định 13”) và cũng có hiệu lực kể từ ngày 01/01/2026.

Nhằm hỗ trợ doanh nghiệp kịp thời cập nhật thông tin và chủ động tuân thủ quy định pháp luật, trong bài viết này, LexNovum Lawyers (“LNV”) sẽ bình luận về những điểm mới nổi bật trong các quy định về bảo vệ dữ liệu cá nhân theo Luật BVDLCN và Nghị định 356.

1. Bổ sung quy định xử lý DLCN đối với doanh nghiệp trong lĩnh vực đặc thù

Theo Luật BVDLCN, doanh nghiệp khi xử lý DLCN phải thực hiện các nghĩa vụ cơ bản sau:

• Chỉ định bộ phận/cá nhân phụ trách bảo vệ DLCN hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN
• Thu thập sự đồng ý của chủ thể dữ liệu trước khi xử lý DLCN
• Giao kết thỏa thuận bảo vệ DLCN với Bên xử lý
• Thực hiện thủ tục hành chính theo quy định
• Áp dụng các biện pháp kỹ thuật bảo vệ DLCN phù hợp

Bên cạnh các nghĩa vụ cơ bản nêu trên, Luật BVDLCN còn đặt ra các yêu cầu riêng đối với một số lĩnh vực như: quản lý lao động, tài chính – ngân hàng, bảo hiểm, dịch vụ quảng cáo, dịch vụ truyền thông trực tuyến, xử lý dữ liệu lớn, hệ thống trí tuệ nhân tạo, vũ trụ ảo, công nghệ chuỗi khối và điện toán đám mây… Tiếp nối tinh thần của Luật, Nghị định 356 đã cụ thể hóa các quy định về xử lý DLCN trong một số lĩnh vực đặc thù. Ví dụ, theo Điều 9.2 Nghị định 356, khi xử lý dữ liệu lớn có chứa DLCN, doanh nghiệp liên quan có trách nhiệm:

• Tuân thủ các quy định về bảo vệ DLCN trong quá trình xử lý dữ liệu ngay từ thời điểm bắt đầu xử lý;
• Chỉ thu thập, xử lý và lưu trữ DLCN đúng phạm vi, phù hợp với mục đích cụ thể, rõ ràng;
• Xây dựng chính sách lưu trữ, xóa, hủy DLCN phù hợp, đúng quy định pháp luật;
• Tổ chức đào tạo, phổ biến và nâng cao nhận thức về bảo mật DLCN và các biện pháp bảo vệ DLCN cho nhân viên định kỳ, đặc biệt là nhân sự trực tiếp xử lý DLCN. Tăng cường nhận thức về tầm quan trọng của bảo vệ DLCN trong tổ chức;
• Có thỏa thuận với bên thứ ba, đối tác và nhà cung cấp dịch vụ đảm bảo tuân thủ đầy đủ các quy định về bảo vệ DLCN;
• Có cơ chế thông báo và giải thích phù hợp cho chủ thể dữ liệu về việc DLCN của họ được sử dụng trong hệ thống phân tích dữ liệu lớn.

Như vậy, ngoài các trách nhiệm cơ bản, doanh nghiệp xử lý dữ liệu lớn có chứa DLCN còn phải tuân thủ các quy định đặc thù như: tổ chức, đào tạo nhân viên về bảo mật và bảo vệ DLCN, giao kết thỏa thuận với bên thứ ba, đối tác và nhà cung cấp dịch vụ liên quan…

Tóm lại, để đảm bảo mức độ tuân thủ chặt chẽ, bên cạnh các yêu cầu bảo vệ DLCN chung, những doanh nghiệp hoạt động trong các lĩnh vực đặc thù nên rà soát thêm quy định tại Điều 25 – Điều 31 Luật BVDLCN và Điều 8 – Điều 12 Nghị định 356 để bảo đảm tuân thủ đầy đủ các nghĩa vụ pháp lý chuyên biệt liên quan đến lĩnh vực hoạt động của mình.

2. Ban hành danh mục DLCN cơ bản, DLCN nhạy cảm

DLCN nhạy cảm là những dữ liệu gắn liền với quyền riêng tư mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của chủ thể dữ liệu. Do đó, pháp luật yêu cầu việc xử lý DLCN nhạy cảm phải tuân thủ các quy định nghiêm ngặt hơn so với DLCN cơ bản.

Nghị định 356 đã i) ban hành danh mục DLCN cơ bản và DLCN nhạy cảm mới thay thế danh mục trong Nghị định 13, đồng thời ii) yêu cầu doanh nghiệp phải thiết lập quy định phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật khi xử lý DLCN nhạy cảm. Vì vậy, từ ngày 01/01/2026, trước khi xử lý DLCN, doanh nghiệp cần phân loại DLCN để xác định nhóm DLCN cũng như phạm vi quy định cần tuân thủ.

3. Quy định chi tiết về thời gian và biểu mẫu thực hiện quyền của chủ thể dữ liệu

Trước 2026, Nghị định 13 quy định doanh nghiệp phải thực hiện các quyền của chủ thể dữ liệu (như: hạn chế xử lý, cung cấp, chỉnh sửa, xóa dữ liệu) trong vòng 72 giờ kể từ khi nhận được yêu cầu. Sau một thời gian triển khai, quy định này bộc lộ nhiều khuyết điểm, không có tính khả thi cao khi áp dụng vào thực tiễn. Do đó, Nghị định 356 đã điều chỉnh theo hướng quy định các mốc thời gian cụ thể hơn. Theo đó, khi nhận được yêu cầu hợp lệ từ chủ thể dữ liệu, doanh nghiệp với vai trò là Bên kiểm soát hoặc Bên kiểm soát và xử lý DLCN phải i) phản hồi trong thời hạn 02 ngày làm việc, ii) thực hiện yêu cầu trong thời hạn từ 10 – 30 ngày, iii) được quyền gia hạn tối đa một lần trong thời hạn không quá 10 – 20 ngày và phải thông báo cho chủ thể dữ liệu. Lưu ý, thời hạn thực hiện sẽ khác nhau đối với từng quyền cụ thể của chủ thể dữ liệu (như yêu cầu rút lại sự đồng ý, xóa dữ liệu…).

Ngoài ra, Nghị định 356 yêu cầu doanh nghiệp phải thiết lập quy trình, thủ tục và biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu. Theo Điều 18 và Điều 19 Nghị định 356, khi thực hiện thủ tục đánh giá tác động, doanh nghiệp có trách nhiệm nộp chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan về bảo vệ DLCN (bao gồm: quy trình, thủ tục và biểu mẫu thực hiện quyền của chủ thể dữ liệu) đến cơ quan chuyên trách.

Như vậy, doanh nghiệp cần chủ động chuẩn bị sẵn các quy trình nội bộ và biểu mẫu cần thiết để có cơ sở triển khai và nộp đến cơ quan chuyên trách, đồng thời tuân thủ đúng các mốc thời gian về phản hồi, xử lý và gia hạn (nếu có) khi tiếp nhận yêu cầu hợp pháp từ chủ thể dữ liệu.

4. Mở rộng phạm vi và bổ sung điều kiện về đối tượng phụ trách bảo vệ DLCN

Theo Điều 33 Luật BVDLCN, doanh nghiệp có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ DLCN hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN (trừ các trường hợp ngoại lệ được quy định tại Điều 38 Luật BVDLCN và Điều 41 Nghị định 356). Nếu thuê bên ngoài, doanh nghiệp cần đảm bảo tổ chức, cá nhân được thuê phải đáp ứng các điều kiện theo Điều 15 và Điều 16 Nghị định 356. Nếu chỉ định nội bộ, doanh nghiệp có quyền chỉ định nhân sự hoặc bộ phận bảo vệ DLCN (không bắt buộc phải chỉ định cả hai như quy định tại Nghị định 13), đồng thời đảm bảo:

– Đối với nhân sự bảo vệ DLCN: nhân sự bảo vệ DLCN phải đáp ứng đầy đủ các điều kiện sau:

• Có trình độ cao đẳng trở lên;
• Có ít nhất 02 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ;
• Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ DLCN.

– Đối với bộ phận bảo vệ DLCN: mỗi nhân sự trong bộ phận đều phải đáp ứng đủ các điều kiện năng lực nêu trên.

Như vậy, so với Nghị định 13, Luật BVDLCN và Nghị định 356 đã mở rộng phạm vi về đối tượng phụ trách bảo vệ DLCN để doanh nghiệp lựa chọn sao cho phù hợp với đặc thù, điều kiện của mỗi đơn vị. Song, nếu đã chỉ định nhân sự/bộ phận bảo vệ DLCN theo Nghị định 13 và không có ý định thuê ngoài, doanh nghiệp cần rà soát lại mức độ đáp ứng về trình độ, kinh nghiệm của nhân sự theo quy định mới.

5. Điều chỉnh quy định về thủ tục đánh giá tác động

Từ ngày 01/01/2026, doanh nghiệp phải nộp Hồ sơ đánh giá tác động xử lý DLCN (“PIA”) và Hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới (“TIA”) theo mẫu mới ban hành kèm theo Nghị định 356 (trừ các trường hợp ngoại lệ được quy định tại Điều 38 Luật BVDLCN và Điều 41 Nghị định 356).

Đặc biệt, theo Điều 18 và Điều 19 Nghị định 356, cơ quan chuyên trách sẽ đánh giá và trả kết quả đối với PIA và TIA trong thời hạn 15 ngày. Trường hợp hồ sơ chưa đầy đủ hoặc chưa đúng quy định, doanh nghiệp có trách nhiệm hoàn thiện trong vòng 30 ngày. Như vậy, thủ tục nộp PIA và TIA đã chuyển từ cơ chế hậu kiểm sang kiểm soát hai chiều. Theo đó, (i) doanh nghiệp có trách nhiệm lập, nộp, điều chỉnh (nếu có) và lưu trữ hồ sơ để phục vụ công tác triển khai và thanh tra; đồng thời (ii) cơ quan chuyên trách có trách nhiệm phản hồi về tình trạng hồ sơ của doanh nghiệp (đạt/không đạt, yêu cầu điều chỉnh).

Để tránh gây hiểu lầm, LNV lưu ý rằng nếu đã nộp Hồ sơ đánh giá tác động xử lý DLCN và Hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài theo quy định của Nghị định 13 trước ngày 01/01/2026, các hồ sơ này vẫn tiếp tục được sử dụng và không bắt buộc phải lập lại theo Luật BVDLCN và Nghị định 356.

Trên đây là một số nội dung cập nhật liên quan đến những điểm mới nổi bật trong các quy định về bảo vệ dữ liệu cá nhân theo Luật BVDLCN và Nghị định 356. Có thể thấy, các quy định mới không chỉ mở rộng phạm vi điều chỉnh mà còn đặt ra nhiều yêu cầu cụ thể, chặt chẽ hơn đối với doanh nghiệp trong quá trình xử lý DLCN. Do đó, việc rà soát, cập nhật hệ thống chính sách nội bộ, quy trình tuân thủ và hồ sơ pháp lý liên quan là cần thiết để hạn chế rủi ro pháp lý và bảo đảm tuân thủ đúng quy định hiện hành.

Liên quan đến việc tuân thủ pháp luật về bảo vệ DLCN, LNV hiện đang cung cấp các dịch vụ sau:

i. Tư vấn tuân thủ pháp luật về bảo vệ dữ liệu cá nhân;

ii. Tư vấn thực hiện thủ tục đánh giá tác động với cơ quan nhà nước (bao gồm: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới).

Nếu có bất kỳ câu hỏi hay băn khoăn nào liên quan, vui lòng liên hệ với LNV để được tư vấn chi tiết. Hy vọng những thông tin trong bài viết sẽ hữu ích đối với Quý Khách hàng.

Người thực hiện: Luật sư Phan Nhi, Cộng sự Ngọc Mai

Lưu ý: Bài viết này được thực hiện dựa trên quy định của pháp luật và kinh nghiệm thực tế. Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý Khách hàng vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.