(PLO)- Bên kiểm soát và xử lý dữ liệu không được thiết lập phương thức mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu.
Mới đây, Chính phủ ban hành Nghị định 356/2025 quy định chi tiết một số điều của Luật Bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 1-1-2026, thay thế cho Nghị định 13/2023.
Nghị định 356/2025 đã quy định nhiều nội dung mới liên quan đến quản lý và sử dụng dữ liệu cá nhân.
Thời gian thực hiện các quyền của chủ thể dữ liệu cá nhân
Điểm mới đầu tiên đó chính là Nghị định 356/2025 đã mở rộng thêm nội hàm của dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Cụ thể, trong dữ liệu cá nhân cơ bản theo quy định mới đã bổ sung thông tin về vợ/chồng. Quy định cũ chỉ quy định thông tin về mối quan hệ gia đình gồm: cha, mẹ và con cái.
Danh mục dữ liệu cá nhân nhạy cảm cũng bổ sung và làm rõ thêm như: Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng.
Trong lĩnh vực ngân hàng, dữ liệu cá nhân nhạy cảm gồm: Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động.
Lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác cũng được xếp vào dữ liệu cá nhân nhạy cảm.
Điểm mới tiếp theo là quy định cụ thể thời gian thực hiện các quyền của chủ thể dữ liệu cá nhân. Cụ thể, chủ thể dữ liệu có các quyền như rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, hạn chế xử lý dữ liệu cá nhân hay phản đối xử lý dữ liệu cá nhân thì bên kiểm soát/xử lý dữ liệu phải có phản hồi trong vòng 2 ngày làm việc. Đồng thời thực hiện các yêu cầu này trong 15 ngày (liên quan bên xử lý bên thứ ba thì trong vòng 20 ngày).
Đối với các yêu cầu xem/chỉnh sửa/cung cấp dữ liệu cá nhân thì bên kiểm soát/xử lý dữ liệu phải thực hiện trong 10 ngày. Trường hợp có yêu cầu xóa dữ liệu cá nhân thì thực hiện trong 20 ngày.
Bảo vệ dữ liệu cá nhân trong AI, Big Data, Blockchain
Nghị định 356/2025 đã bổ sung thêm nhiều điều khoản mới hoàn toàn so với quy định cũ là vấn đề bảo vệ dữ liệu cá nhân trong các lĩnh vực công nghệ để kịp thời điều chỉnh trong bối cảnh trí tuệ nhân tạo đang phát triển.
Cụ thể, với hệ thống trí tuệ nhân tạo (AI) và vũ trụ ảo (Metaverse), bên kiểm soát có trách nhiệm thông báo cho chủ thể về việc xử lý tự động. Đồng thời phải giải thích nguyên tắc hoạt động của thuật toán và cho phép chủ thể chọn không tham gia.
Về công nghệ Chuỗi khối (Blockchain), quy định không lưu trữ trực tiếp dữ liệu cá nhân trên chuỗi khối. Chỉ lưu trữ giá trị băm (hash) hoặc dữ liệu đã được khử định danh.
Với Điện toán đám mây (Cloud), quy định rõ trách nhiệm giữa bên thuê và bên cung cấp dịch vụ trong việc bảo mật. Đối với dữ liệu lớn (Big Data), chỉ thu thập, xử lý và lưu trữ dữ liệu cá nhân đúng phạm vi, phù hợp với mục đích cụ thể, rõ ràng. Đồng thời đưa ra các biện pháp xác thực mạnh, mã hóa và giám sát liên tục.
Đề cao sự đồng ý của chủ thể dữ liệu
Một trong những nguyên tắc quan trọng khi xử lý dữ liệu cá nhận là phải có sự đồng ý của chủ thể dữ liệu. Sự đồng ý phải dành cho các mục đích cụ thể đã được liệt kê và được thể hiện rõ ràng bằng văn bản, giọng nói hoặc đánh dấu vào ô đồng ý.
Bên kiểm soát và xử lý dữ liệu không được thiết lập phương thức mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu. Đồng thời phải lưu trữ sự đồng ý của chủ thể dữ liệu. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về bên kiểm soát/xử lý dữ liệu.
Quy định này đã chấm dứt hoàn toàn việc “ngầm hiểu” sự đồng ý của chủ thể dữ liệu, trao lại quyền cho cá nhân, chấm dứt các hành vi mập mờ như sử dụng các ô đồng ý được đánh dấu sẵn.
Tổ chức, cá nhân được cung cấp dịch vụ bảo vệ dữ liệu cá nhân
Theo đó, Nghị định 356/2025 đã thiết lập khung pháp lý cho hoạt động này. Tổ chức, cá nhân muốn kinh doanh dịch vụ xử lý dữ liệu cá nhân phải được Bộ Công an cấp Giấy chứng nhận đủ điều kiện kinh doanh và phải đáp ứng các điều kiện kèm theo.
Ví dụ, đối với cá nhân phải đáp ứng đủ các điều kiện năng lực như: Có trình độ cao đẳng trở lên; Có ít nhất 03 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, xử lý dữ liệu cá nhân, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ; Đã được đào tạo, bồi dưỡng chuyên sâu kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.
Đối với tổ chức thì phải là tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc ngành nghề, lĩnh vực kinh doanh về công nghệ, pháp lý hoặc tư vấn về công nghệ, pháp lý; Có tối thiểu 03 nhân sự đáp ứng đủ các điều kiện về năng lực; Đã cung cấp các sản phẩm, dịch vụ liên quan đến bảo mật, an ninh mạng, công nghệ thông tin, đánh giá tiêu chuẩn, tư vấn về bảo vệ dữ liệu cá nhân.
Dữ liệu cá nhân trong lĩnh vực tài chính, ngân hàng được bảo vệ nghiêm ngặt
Trong lĩnh vực tài chính, ngân hàng thì bên kiểm soát dữ liệu khi xin sự đồng ý của người dùng thì phải đảm bảo nêu rõ: Các mục đích xử lý dữ liệu cá nhân, bao gồm hoạt động chấm điểm, xếp hạng tín dụng, đánh giá thông tin tín dụng; Thời gian lưu trữ dữ liệu cá nhân; Nguồn thu thập dữ liệu cá nhân và các bên thu thập, chia sẻ dữ liệu cá nhân liên quan…
Trong thời hạn không quá 72 giờ sau khi phát hiện lộ, mất dữ liệu nhạy cảm của chủ thể dữ liệu cá nhân thì tổ chức, cá nhân trực tiếp thu thập dữ liệu cá nhân có trách nhiệm thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân và chủ thể dữ liệu cá nhân.
Nguồn: https://plo.vn/xu-ly-du-lieu-ca-nhan-nhieu-thay-doi-lon-tu-ngay-1-1-2026-nguoi-dan-can-biet-post889644.html
