Nghị định số 356/2025/NĐ-CP ngày 31/12/2025 quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân

Dưới đây là tóm tắt những nội dung cốt lõi của Nghị định số 356/2025/NĐ-CP, nhằm giúp viên chức, người lao động và các đơn vị thuộc Đại học Kinh tế Quốc dân (NEU) nắm bắt đầy đủ tinh thần, yêu cầu và các nghĩa vụ pháp lý cần thực hiện khi Luật và Nghị định chính thức có hiệu lực từ ngày 01/01/2026. Đồng thời, đề xuất các nhóm nhiệm vụ trọng tâm NEU cần triển khai để bảo đảm tuân thủ pháp luật, tăng cường quản trị rủi ro và xây dựng môi trường giáo dục số an toàn, hiện đại.

I. NHỮNG NỘI DUNG TRỌNG TÂM CỦA NGHỊ ĐỊNH 356/2025/NĐ-CP

1. Phạm vi điều chỉnh và đối tượng áp dụng

Nghị định 356/2025/NĐ-CP là văn bản hướng dẫn thi hành chi tiết nhất của Luật Bảo vệ dữ liệu cá nhân năm 2025, thay thế Nghị định số 13/2023/NĐ-CP.

Phạm vi áp dụng bao trùm toàn bộ cơ quan, tổ chức, cá nhân Việt Nam; đồng thời mở rộng tới các tổ chức, cá nhân nước ngoài có hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm cả hoạt động trong môi trường số và xuyên biên giới.

2. Danh mục và phân loại dữ liệu cá nhân

Nghị định quy định rõ hai nhóm dữ liệu:

– Dữ liệu cá nhân cơ bản: họ tên, ngày tháng năm sinh, giới tính, hình ảnh cá nhân, quốc tịch, nơi ở, số điện thoại, số định danh, tình trạng hôn nhân, thông tin tài khoản số…

– Dữ liệu cá nhân nhạy cảm: quan điểm chính trị, tôn giáo, dữ liệu sức khỏe, dữ liệu di truyền, dữ liệu sinh trắc học, dữ liệu vị trí, thông tin tài khoản ngân hàng, dữ liệu tài chính, cũng như dữ liệu về các mối quan hệ gia đình.

Nhóm dữ liệu nhạy cảm được áp dụng cơ chế bảo vệ nghiêm ngặt hơn, do tiềm ẩn rủi ro cao đối với quyền riêng tư và quyền con người nếu bị xử lý trái phép.

3. Quyền của chủ thể dữ liệu và thời hạn xử lý

Nghị định cụ thể hóa quy trình thực hiện các quyền của chủ thể dữ liệu (đối với NEU bao gồm: viên chức, người lao động, sinh viên, học viên, nghiên cứu sinh), trong đó:

– Cơ quan xử lý dữ liệu phải phản hồi yêu cầu trong vòng 02 ngày làm việc kể từ khi nhận được yêu cầu hợp lệ.

– Thời hạn thực hiện:

+ Chỉnh sửa dữ liệu: 10 ngày;

+ Xóa dữ liệu: 20 ngày;

– Trường hợp cần phối hợp với bên thứ ba, Nghị định cho phép gia hạn nhưng phải có thông báo rõ ràng, minh bạch cho chủ thể dữ liệu.

4. Điều kiện, tiêu chuẩn và trách nhiệm của nhân sự bảo vệ dữ liệu cá nhân

Nghị định yêu cầu mỗi cơ quan, tổ chức phải:

– Chỉ định bằng văn bản nhân sự hoặc bộ phận chuyên trách bảo vệ dữ liệu cá nhân;

– Nhân sự này phải có trình độ từ cao đẳng trở lên, tối thiểu 02 năm kinh nghiệm trong các lĩnh vực liên quan như pháp chế, công nghệ thông tin, an ninh mạng, quản trị rủi ro, nhân sự;

– Bắt buộc được đào tạo chuyên môn và pháp luật về bảo vệ dữ liệu cá nhân.

5. Sự đồng ý của chủ thể dữ liệu

Sự đồng ý phải được thể hiện rõ ràng, có thể kiểm chứng, thông qua:

– Văn bản;

– Cuộc gọi có ghi âm;

– Tin nhắn, thư điện tử;

– Hoặc thiết lập kỹ thuật trên ứng dụng/website.

Nghị định nghiêm cấm các hình thức đồng ý mặc định, gây hiểu lầm hoặc buộc chủ thể dữ liệu phải chấp thuận để được tiếp cận dịch vụ.

6. Chia sẻ, chuyển giao và bảo mật dữ liệu

– Việc chia sẻ, chuyển giao dữ liệu phải áp dụng các biện pháp kỹ thuật như mã hóa, ẩn danh, giới hạn phạm vi dữ liệu theo mục đích xử lý.

– Chia sẻ nội bộ trong cùng một tổ chức cũng phải có quy trình kiểm soát chặt chẽ, tránh việc sử dụng dữ liệu sai mục đích hoặc chuyển giao trái phép cho bên thứ ba.

7. Bảo vệ dữ liệu cá nhân trong các công nghệ mới

Nghị định dành dung lượng đáng kể để điều chỉnh việc xử lý dữ liệu trong các môi trường công nghệ cao như:

– Trí tuệ nhân tạo (AI);

– Dữ liệu lớn (Big Data);

– Chuỗi khối (Blockchain);

– Điện toán đám mây.

Trong đó, dữ liệu cá nhân lưu trữ và xử lý trên nền tảng điện toán đám mây bắt buộc phải được mã hóa cả khi lưu trữ và khi truyền tải.

II. CÁC NHÓM NHIỆM VỤ NEU CẦN TRIỂN KHAI THỰC HIỆN

1. Kiện toàn tổ chức và nhân sự bảo vệ dữ liệu cá nhân

– Ban hành Quyết định thành lập Bộ phận bảo vệ dữ liệu cá nhân, hoặc giao Phòng Thanh tra – Pháp chế làm đầu mối, phối hợp với Trung tâm UDCNTT.

– Rà soát, chỉ định nhân sự đáp ứng đủ tiêu chuẩn về trình độ và kinh nghiệm theo Nghị định.

– Tổ chức đào tạo, bồi dưỡng thường xuyên về pháp luật và kỹ năng bảo vệ dữ liệu.

2. Hoàn thiện hệ thống quy trình và biểu mẫu nội bộ

– Xây dựng, công khai quy trình tiếp nhận và xử lý yêu cầu của chủ thể dữ liệu trên Cổng thông tin điện tử của Đại học.

– Thiết lập cơ chế xin sự đồng ý minh bạch, theo từng mục đích xử lý, không sử dụng ô tích chọn mặc định.

– Ký kết thỏa thuận bảo mật dữ liệu với các đối tác bên ngoài.

3. Lập và nộp hồ sơ đánh giá tác động

– Trong vòng 60 ngày kể từ thời điểm bắt đầu xử lý dữ liệu (hoặc từ 01/01/2026), NEU phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân gửi Bộ Công an.

– Trường hợp chuyển dữ liệu ra nước ngoài, phải lập thêm Hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới.

4. Triển khai biện pháp kỹ thuật và an ninh dữ liệu

– Áp dụng xác thực đa yếu tố đối với các hệ thống quản lý dữ liệu nhạy cảm.

– Thực hiện khử nhận dạng dữ liệu trước khi sử dụng cho mục đích thống kê, nghiên cứu khoa học.

– Xây dựng kế hoạch ứng cứu sự cố và quy trình thông báo vi phạm dữ liệu trong vòng 72 giờ.

5. Kiểm tra, đánh giá và giám sát định kỳ

– Tổ chức đánh giá tuân thủ bảo vệ dữ liệu cá nhân ít nhất 01 lần/năm.

– Ghi nhật ký toàn bộ hoạt động xử lý dữ liệu nhằm phục vụ công tác thanh tra, kiểm tra khi cần thiết.

III. KẾT LUẬN

Việc triển khai nghiêm túc Luật Bảo vệ dữ liệu cá nhân và Nghị định 356/2025/NĐ-CP không chỉ giúp NEU phòng ngừa các rủi ro pháp lý với mức xử phạt có thể lên tới 03 tỷ đồng, mà quan trọng hơn là góp phần xây dựng môi trường giáo dục an toàn, minh bạch, chuyên nghiệp, phù hợp với xu thế quản trị đại học hiện đại và chuyển đổi số bền vững.