Nếu doanh nghiệp bạn từng xây hồ sơ tuân thủ theo Nghị định 13/2023/NĐ-CP, có một thay đổi quan trọng: từ 01/01/2026, Nghị định 356/2025/NĐ-CP (hướng dẫn Luật 91/2025/QH15) chính thức thay thế Nghị định 13/2023/NĐ-CP. Khung pháp lý bạn từng dựa vào đã được thay mới — và hồ sơ cũ cần được rà soát lại.
Vì sao hồ sơ theo Nghị định 13 không còn đủ
Luật 91/2025 và Nghị định 356/2025 đặt ra nhiều nghĩa vụ chi tiết, chặt chẽ hơn — đặc biệt về hồ sơ đánh giá tác động (DPIA) và chuyển dữ liệu xuyên biên giới. Các chính sách, biểu mẫu, quy trình soạn theo Nghị định 13 cần được đối chiếu lại.
Những thay đổi lớn cần để ý
- Dữ liệu nhạy cảm mở rộng: Nghị định 356/2025 bổ sung nhiều loại — ví dụ thông tin tài khoản ngân hàng (tên đăng nhập, mật khẩu, thông tin thẻ, lịch sử giao dịch), dữ liệu giao dịch chứng khoán/bảo hiểm, dữ liệu của người vi phạm pháp luật.
- Chuyển dữ liệu ra nước ngoài: nay là "chuyển dữ liệu xuyên biên giới", có quy định riêng và biểu mẫu mới (Mẫu 09).
- Nhân sự bảo vệ dữ liệu (DPO): lần đầu được quy định điều kiện, tiêu chuẩn — điều Nghị định 13 chưa có.
- Chế tài mạnh hơn: mức phạt nâng lên tới hàng tỷ đồng hoặc theo phần trăm doanh thu.
Giữ được gì
Theo quy định chuyển tiếp, sự đồng ý hợp lệ đã thu thập theo Nghị định 13 trước 01/01/2026 được tiếp tục sử dụng — không phải xin lại đồng ý cho hoạt động xử lý đang diễn ra. Phần lớn sơ đồ luồng dữ liệu, chính sách nội bộ vẫn dùng lại được sau điều chỉnh.
Phải rà soát/làm mới
Hồ sơ DPIA, hồ sơ chuyển dữ liệu xuyên biên giới, danh mục dữ liệu nhạy cảm, và việc bố trí nhân sự bảo vệ dữ liệu cần cập nhật theo khung mới.
Lộ trình rà soát – cập nhật trong 30 ngày
Lập lại bản đồ dữ liệu và đối chiếu danh mục dữ liệu nhạy cảm mới.
Rà biểu mẫu đồng ý, hợp đồng với đối tác, hồ sơ DPIA.
Xác định có thuộc diện phải bố trí nhân sự bảo vệ dữ liệu không.
Cập nhật quy trình tiếp nhận yêu cầu của chủ thể dữ liệu.
Câu hỏi thường gặp
Hồ sơ tuân thủ theo Nghị định 13 còn dùng được không?
Nghị định 13/2023 đã được Nghị định 356/2025 thay thế từ 01/01/2026; hồ sơ cũ cần rà soát lại, riêng sự đồng ý hợp lệ thu thập trước thời điểm này được tiếp tục dùng.
Doanh nghiệp nhỏ có phải cập nhật lại toàn bộ không?
Tùy quy mô và loại dữ liệu; doanh nghiệp nhỏ/khởi nghiệp có một số ưu đãi (ví dụ chưa lập hồ sơ DPIA trong 5 năm đầu).
Mất bao lâu để cập nhật?
Với doanh nghiệp vừa và nhỏ, một đợt rà soát – cập nhật cơ bản thường gói gọn trong khoảng 30 ngày.
Soft Space Việt Nam hỗ trợ doanh nghiệp rà soát và tuân thủ pháp luật bảo vệ dữ liệu cá nhân — vận hành theo tiêu chuẩn. Liên hệ tư vấn.
Đây là thông tin tham khảo. Nếu phát hiện sai sót, vui lòng liên hệ để chúng tôi cập nhật.
Bình luận (0)
Chưa có bình luận nào. Hãy là người đầu tiên chia sẻ ý kiến.