2. Bổ sung hướng dẫn chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức
2. 补充关于同一机构、组织内部各部门之间共享个人数据的指导
Cụ thể, tại Điều 7 Nghị định 356/2025/NĐ-CP quy định về chuyển giao dữ liệu cá nhân đã được bổ sung nội dung về chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập như sau:
具体而言,第356/2025/NĐ-CP号法令第7条关于个人数据转移的规定中,补充了关于同一机构、组织内部各部门之间为符合已确立的处理目的而共享个人数据以处理个人数据的内容,具体如下:
– Cơ quan, tổ chức phải xây dựng quy trình kiểm soát việc chia sẻ, sử dụng dữ liệu cá nhân đúng quy định;
该机构、组织必须建立相应的流程,以控制个人数据的共享和使用符合规定 ;
– Cơ quan, tổ chức phải có biện pháp phòng, chống việc nhân sự nội bộ cơ quan, tổ chức chia sẻ trái phép dữ liệu cá nhân với bên thứ ba.
该机构、组织必须采取措施,防止内部人员将个人数据非法共享给第三方 。
3. Bổ sung điều kiện của nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức
3. 补充关于机构、组织内个人数据保护人员及个人数据保护部门应具备的条件
Cụ thể, Điều 13 Nghị định 356/2025/NĐ-CP quy định doanh nghiệp phải có văn bản chỉ định nhân sự bảo vệ dữ liệu cá nhân hoặc bộ phận bảo vệ dữ liệu cá nhân.
具体而言,第356/2025/NĐ-CP号法令第13条规定,企业必须有书面文件指定个人数据保护人员或个人数据保护部门 。
Đồng thời, nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức phải đảm bảo đáp ứng các điều kiện được quy định như sau:
同时,机构、组织内的个人数据保护人员及个人数据保护部门必须确保满足以下规定条件:
– Có trình độ cao đẳng trở lên;
具有大专或以上学历 ;
– Có ít nhất 02 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ;
自毕业之日起,拥有至少两年在以下任一领域相关的工作经验:法制、信息技术、网络安全、数据安全、风险管理、合规控制、人事管理、干部组织 ;
– Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.
已经接受过关于个人数据保护的法律知识和专业技能的培训或进修 。
Ngoài ra, doanh nghiệp phải ký thỏa thuận trách nhiệm bảo mật với nhân sự bảo vệ dữ liệu cá nhân.
此外,企业必须与个人数据保护人员签订保密责任协议 。
4. Quy định về kiểm tra hoạt động bảo vệ dữ liệu cá nhân
4. 关于检查个人数据保护活动的规定
Điều 31 Nghị định 356/2025/NĐ-CP quy định, trường hợp kiểm tra hoạt động bảo vệ dữ liệu cá nhân được tiến hành thường xuyên, đột xuất thì phải có các điều kiện sau đây:
第356/2025/NĐ-CP号法令第31条规定,对于定期或突击进行的个人数据保护活动检查,必须满足以下条件:
– Có căn cứ nghi vấn về hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;
有依据怀疑存在违反个人数据保护法律的行为 ;
– Có chỉ đạo của cơ quan, người có thẩm quyền quản lý nhà nước về bảo vệ dữ liệu cá nhân;
有主管个人数据保护的国家管理机关或有权人员的指示 ;
– Thực hiện công tác quản lý nhà nước theo quy định của pháp luật.
根据法律规定执行国家管理工作 。
Trong đó, đối tượng kiểm tra hoạt động bảo vệ dữ liệu cá nhân gồm có:
其中,个人数据保护活动的检查对象包括 :
– Cơ quan, tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân;
开展个人数据处理活动的机关、组织、个人 ;
– Tổ chức, cá nhân kinh doanh dịch vụ xử lý dữ liệu cá nhân;
经营个人数据处理服务的组织、个人 ;
– Cơ quan, tổ chức, cá nhân phải thực hiện hoạt động đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới;
须进行个人数据处理影响评估和跨境转移个人数据影响评估的机关、组织、个人 ;
– Cơ quan, tổ chức, cá nhân có liên quan đến các vụ, việc vi phạm quy định về bảo vệ dữ liệu cá nhân.
与违反个人数据保护规定相关的事件、案件有关的机关、组织、个人 。
5. Hướng dẫn áp dụng quy định về bảo vệ dữ liệu cá nhân với doanh nghiệp nhỏ
5. 关于对小微企业适用个人数据保护规定的指导
Theo đó, Điều 41 Nghị định 356/2025/NĐ-CP hướng dẫn áp dụng quy định về bảo vệ dữ liệu cá nhân với doanh nghiệp nhỏ, doanh nghiệp siêu nhỏ, doanh nghiệp khởi nghiệp như sau:
据此,第356/2025/NĐ-CP号法令第41条对小微企业、超小型企业及初创企业适用个人数据保护规定作出如下指导:
– Với doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp: Doanh nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện việc:
对于中小企业和初创企业:企业有权选择执行或不执行以下事项 :
+)Đánh giá tác động xử lý dữ liệu cá nhân
进行个人数据处理影响评估
+)Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới
更新个人数据处理影响评估档案及跨境转移个人数据影响评估档案
+)Chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân trong thời gian 05 năm kể từ ngày Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành.
自《个人数据保护法》生效之日起五年内,指定具备个人数据保护能力条件的部门、人员,或聘请提供个人数据保护服务的组织、个人。
Quy định này không áp dụng với doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.
该规定不适用于经营个人数据处理服务、直接处理敏感个人数据、或自处理的数据规模根据已处理个人数据总量累计结果达到10万个以上个人数据主体之日起的中小企业和初创企业 。
– Doanh nghiệp siêu nhỏ không phải thực hiện các công việc sau:
超小型企业无需执行以下工作 :
+)Đánh giá tác động xử lý dữ liệu cá nhân
个人数据处理影响评估
+)Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới
更新个人数据处理影响评估档案及跨境转移个人数据影响评估档案
+)Chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân trong thời gian 05 năm kể từ ngày Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành.
自《个人数据保护法》生效之日起五年内,指定具备个人数据保护能力条件的部门、人员,或聘请提供个人数据保护服务的组织、个人。
Đáng lưu ý: Quy định này cũng không áp dụng với doanh nghiệp siêu nhỏ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.
值得注意的是:该规定同样不适用于经营个人数据处理服务、直接处理敏感个人数据、或自处理的数据规模根据已处理个人数据总量累计结果达到10万个以上个人数据主体之日起的超小型企业。
6. Hướng dẫn cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
6. 关于更新个人数据处理影响评估档案的指导
Cụ thể, theo Điều 20 Nghị định 356/2025/NĐ-CP, hồ sơ chuyển dữ liệu cá nhân xuyên biên giới và hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được cập nhật định kỳ 06 tháng kể từ lần đầu nộp hồ sơ.
具体而言,根据第356/2025/NĐ-CP号法令第20条,跨境传输个人数据档案和个人数据处理影响评估档案自首次提交之日起,每6个月定期更新一次 。
Trong đó, các trường hợp áp dụng quy định này gồm:
其中,适用该规定的情形包括:
– Khi phát sinh mục đích chuyển dữ liệu cá nhân mới, mục đích xử lý dữ liệu cá nhân mới;
当产生新的个人数据跨境传输目的、新的个人数据处理目的时 ;
– Khi phát sinh hoặc thay đổi bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba.
当产生或变更个人数据控制者、个人数据控制者兼处理者、个人数据处理者、第三方时 。
Các trường hợp thay đổi cần cập nhật ngay trong thời hạn 10 ngày bao gồm:
需要立即在10天内进行更新的变更情形包括 :
– Khi cơ quan, tổ chức, đơn vị được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật;
当机关、组织、单位根据法律规定进行重组、终止运营、解散、破产时 ;
– Khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;
当提供个人数据保护服务的组织或个人的信息发生变更时 ;
– Khi phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.
当与个人数据处理相关的已登记行业、业务或服务在个人数据处理影响评估档案或跨境传输个人数据影响评估档案中发生产生或变更时 。
Trong đó, mẫu Thông báo cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là Mẫu số 03a/03b được ban hành tại Phụ lục của Nghị định 356/2025/NĐ-CP được nộp cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân bằng một trong các hình thức: Online hoặc trực tiếp hoặc qua dịch vụ bưu chính.
其中,用于通知更新个人数据处理影响评估档案的表格为第356/2025/NĐ-CP号法令附录中颁布的03a/03b号表格,该通知应以在线、直接或通过邮政服务等方式之一提交给主管个人数据保护的专门机构。
Lưu ý: Theo quy định tại Mục III Phần B Phụ lục I.7 Nghị quyết 22/2026/NQ-CP, thông báo cập nhật hồ sơ đánh giá tác động về dữ liệu cá nhân do Bộ Công an tiếp nhận, phân loại hồ sơ và chuyển Công an tỉnh, thành phố để xử lý theo địa bàn, quy mô, lĩnh vực.
注意:根据第22/2026/NQ-CP号决议附录I.7部分B节第III条的规定,更新个人数据影响评估档案的通知由公安部接收、分类档案,并转交省、市公安局根据地域、规模、领域进行处理。
Nguồn Luatvietnam
