Có cần nộp lại hồ sơ đánh giá tác động theo Luật Bảo vệ dữ liệu cá nhân không?

Việc xác định có cần nộp lại hồ sơ đánh giá tác động theo Luật Bảo vệ dữ liệu cá nhân không là một thắc mắc phổ biến của nhiều doanh nghiệp trong quá trình chuyển đổi sang quy định mới. DPO.VN sẽ cung cấp câu trả lời chính xác, chi tiết về các trường hợp bắt buộc phải cập nhật hoặc nộp lại hồ sơ, giúp doanh nghiệp đảm bảo tuân thủ pháp luật và tránh các rủi ro không đáng có.

Khi nào doanh nghiệp bắt buộc phải nộp lại hoặc cập nhật Hồ sơ đánh giá tác động?

Doanh nghiệp bắt buộc phải cập nhật hồ sơ định kỳ mỗi 6 tháng nếu có thay đổi, hoặc cập nhật ngay lập tức trong vòng 10 ngày làm việc nếu có các thay đổi quan trọng về cơ cấu tổ chức, thông tin liên hệ hoặc ngành nghề kinh doanh liên quan đến xử lý dữ liệu.

Theo quy định của Luật Bảo vệ dữ liệu cá nhân và các văn bản hướng dẫn, hồ sơ đánh giá tác động không phải là tài liệu “làm một lần rồi xong”. Nó là một tài liệu sống, cần phản ánh chính xác thực trạng hoạt động xử lý dữ liệu của doanh nghiệp tại mọi thời điểm.

Điều 20 Nghị định 356/2025/NĐ-CP hướng dẫn Luật Bảo vệ dữ liệu cá nhân quy định rõ ràng về việc cập nhật hồ sơ. Doanh nghiệp cần lưu ý hai mốc thời gian quan trọng:

• Cập nhật định kỳ 06 tháng: Áp dụng khi có phát sinh mục đích xử lý/chuyển dữ liệu mới hoặc thay đổi về các bên tham gia (Bên kiểm soát, Bên xử lý, Bên thứ ba).
• Cập nhật ngay trong vòng 10 ngày làm việc: Áp dụng cho các thay đổi mang tính hệ trọng như tổ chức lại doanh nghiệp (sáp nhập, giải thể), thay đổi đơn vị cung cấp dịch vụ bảo vệ dữ liệu, hoặc thay đổi ngành nghề kinh doanh có liên quan đến xử lý dữ liệu đã đăng ký.

Thay đổi mục đích xử lý dữ liệu có yêu cầu nộp lại hồ sơ không?

Có. Bất kỳ sự thay đổi hoặc bổ sung nào về mục đích xử lý dữ liệu so với hồ sơ ban đầu đều yêu cầu doanh nghiệp phải thực hiện cập nhật hồ sơ đánh giá tác động.

Mục đích xử lý là yếu tố cốt lõi xác định phạm vi và tính hợp pháp của hoạt động xử lý dữ liệu. Ví dụ, nếu doanh nghiệp ban đầu chỉ thu thập dữ liệu để “cung cấp dịch vụ”, nhưng sau đó muốn sử dụng dữ liệu đó để “chạy quảng cáo” hoặc “chia sẻ cho đối tác”, đây là một mục đích mới chưa được đánh giá rủi ro trong hồ sơ cũ. Do đó, việc cập nhật hồ sơ là bắt buộc để đảm bảo tính minh bạch và tuân thủ pháp luật.

Nếu doanh nghiệp thay đổi đối tác xử lý dữ liệu (Bên xử lý), có cần cập nhật hồ sơ không?

Chắc chắn là có. Việc thay đổi Bên xử lý dữ liệu hoặc Bên thứ ba là một trong những trường hợp được quy định cụ thể phải cập nhật hồ sơ định kỳ.

Khi thay đổi đối tác, rủi ro liên quan đến việc chuyển giao và xử lý dữ liệu cũng thay đổi. Doanh nghiệp cần đánh giá lại năng lực bảo vệ dữ liệu của đối tác mới và cập nhật thông tin này vào hồ sơ để cơ quan chức năng quản lý. Điều này giúp đảm bảo chuỗi cung ứng xử lý dữ liệu luôn được kiểm soát chặt chẽ.

Doanh nghiệp đã nộp hồ sơ theo Nghị định 13/2023/NĐ-CP thì có cần làm lại theo Luật mới không?

Không cần làm lại từ đầu. Hồ sơ đã nộp theo Nghị định 13 vẫn có giá trị. Tuy nhiên, doanh nghiệp cần tuân thủ quy định về cập nhật hồ sơ theo Luật mới khi có sự thay đổi phát sinh sau ngày Luật có hiệu lực.

Điều 39 Luật Bảo vệ dữ liệu cá nhân quy định chuyển tiếp rất rõ ràng: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài đã được cơ quan chuyên trách tiếp nhận trước ngày Luật có hiệu lực (01/01/2026) thì tiếp tục được sử dụng. Doanh nghiệp không phải lập lại hồ sơ mới. Tuy nhiên, nghĩa vụ cập nhật hồ sơ (theo Điều 22 của Luật) sẽ bắt đầu áp dụng cho các hồ sơ này kể từ ngày Luật có hiệu lực.

Quy trình và thủ tục cập nhật, nộp lại hồ sơ diễn ra như thế nào?

Doanh nghiệp thực hiện cập nhật bằng cách gửi Thông báo thay đổi nội dung hồ sơ (Mẫu số 03a cho tổ chức hoặc 03b cho cá nhân) kèm theo các tài liệu chứng minh tới Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao qua Cổng thông tin quốc gia hoặc bưu chính.

Để hỗ trợ doanh nghiệp thực hiện đúng quy định, dưới đây là quy trình chi tiết từng bước:

Lưu ý quan trọng: Theo Điều 20.3 của Nghị định 356/2025/NĐ-CP, thời hạn cập nhật cho các thay đổi quan trọng (như tổ chức lại doanh nghiệp) là rất ngắn, chỉ trong vòng 10 ngày làm việc. Doanh nghiệp cần chuẩn bị sẵn sàng để đáp ứng thời hạn này.

Rủi ro pháp lý khi không cập nhật hồ sơ đúng quy định là gì?

Việc không cập nhật hồ sơ khi có thay đổi bị coi là hành vi vi phạm pháp luật, có thể dẫn đến việc bị xử phạt vi phạm hành chính, và trong trường hợp xảy ra sự cố lộ lọt dữ liệu, đây sẽ là tình tiết tăng nặng trách nhiệm pháp lý của doanh nghiệp.

Việc lơ là cập nhật hồ sơ không chỉ là vấn đề thủ tục hành chính mà còn tiềm ẩn rủi ro pháp lý lớn.

• Xử phạt vi phạm hành chính: Hành vi không lập, không cập nhật hồ sơ đánh giá tác động có thể bị xử phạt theo quy định tại Nghị định về xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ dữ liệu cá nhân.
• Trách nhiệm khi xảy ra sự cố: Nếu xảy ra rò rỉ dữ liệu liên quan đến một quy trình mới chưa được cập nhật trong hồ sơ, doanh nghiệp sẽ khó chứng minh được mình đã thực hiện đầy đủ các biện pháp bảo vệ cần thiết và đánh giá rủi ro đầy đủ, dẫn đến trách nhiệm bồi thường và pháp lý nặng nề hơn.
• Ảnh hưởng đến uy tín: Việc không tuân thủ quy định cập nhật hồ sơ cho thấy sự thiếu chuyên nghiệp trong quản trị dữ liệu, gây mất niềm tin đối với khách hàng và đối tác.

Các Câu Hỏi Thường Gặp Về Việc Nộp Lại Hồ Sơ Đánh Giá Tác Động

Tài liệu tham khảo

• Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Chính phủ (2025), Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
• Chính phủ (2023), Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Bộ Công an (2023), Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
• DPO.VN (2025), Hướng dẫn lập và cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân