Chính thức áp dụng yêu cầu nghiêm ngặt về bảo vệ dữ liệu cá nhân trong lĩnh vực tài chính, ngân hàng

Nghị định 356/2025/NĐ-CP hướng dẫn các quy định của Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ đầu năm 2026 đã thay đổi danh mục dữ liệu cá nhân nhạy cảm. Theo đó, dữ liệu vi phạm pháp luật của cá nhân sẽ được coi là dữ liệu nhạy cảm. Không chỉ có vậy, Nghị định còn quy định cụ thể hơn dữ liệu trong lĩnh vực ngân hàng, gồm: Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng…

Thông tin hoạt động, giao dịch trong lĩnh vực chứng khoán, bảo hiểm tại các công ty chứng khoán, công ty bảo hiểm của khách hàng cũng được coi là dữ liệu cá nhân nhạy cảm; không chỉ là thông tin giao dịch tại các ngân hàng như trước đây.

Mặc khác, Nghị định 356/2025 đã nhấn mạnh, trong quá trình xử lý dữ liệu cá nhân nhạy cảm, cơ quan, tổ chức phải thiết lập quy định phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật.

Bên cạnh đó, Nghị định 356/2025 còn quy định chi tiết về “chuyển giao dữ liệu cá nhân, đó là phải xác lập thỏa thuận chuyển giao và liệt kê tối thiểu các nội dung (mục đích; loại dữ liệu; thời hạn; cơ sở pháp lý; trách nhiệm bảo vệ; trách nhiệm thực hiện quyền chủ thể; phối hợp khi vi phạm…)

Việc chuyển giao dữ liệu nhạy cảm phải đảm bảo yêu cầu bảo mật vật lý, mã hóa/ẩn danh, biện pháp khác;

Trường hợp chuyển giao có thu phí để cung cấp dịch vụ/ phục vụ lợi ích hợp pháp của chủ thể: Phải thiết lập hệ thống kỹ thuật, cơ chế minh bạch để chủ thể dữ liệu cá nhân đồng ý chính xác, rõ ràng theo từng lần chuyển giao; Chỉ được xử lý dữ liệu cá nhân đúng cho mục đích chuyển giao được chủ thể dữ liệu cá nhân đồng ý, phù hợp với ngành, nghề đăng ký kinh doanh…

Chia sẻ dữ liệu cá nhân trong nội bộ phải xây dựng quy trình kiểm soát việc chia sẻ, sử dụng dữ liệu cá nhân đúng quy định; Dữ liệu cá nhân phải khử nhận dạng trước khi giao dịch trên sàn dữ liệu;

Đặc biệt, Nghị định 356/2025 đã đưa ra yêu cầu nghiêm ngặt về bảo vệ dữ liệu cá nhân trong từng lĩnh vực. Cụ thể, về việc bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng (Điều 8), trong thời hạn không quá 72 giờ sau khi phát hiện lộ, mất dữ liệu nhạy cảm của chủ thể dữ liệu cá nhân, ngân hàng phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân và chủ thể dữ liệu cá nhân;

Về bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn (Điều 9), cơ quan, tổ chức, cá nhân phải sử dụng phương thức xác thực mạnh, yêu cầu tối thiểu xác thực đa yếu tố (mật khẩu, mã PIN kết hợp với mật khẩu dùng một lần, thiết bị ký số hoặc yếu tố sinh trắc học), phân quyền truy cập để đảm bảo chỉ những người có quyền mới có thể truy cập dữ liệu cá nhân…

Ngoài ra, Nghị định 356/2025 còn quy định về điều kiện của nhân sự bảo vệ dữ liệu cá nhân trong doanh nghiệp như: Có trình độ cao đẳng trở lên; Có ít nhất 2 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ; Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân…

Huệ Linh