Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì, một câu hỏi then chốt mà mọi doanh nghiệp cần nắm rõ, đây là tài liệu pháp lý bắt buộc theo Nghị định 13/2023/NĐ-CP nhằm phân tích rủi ro và chứng minh sự tuân thủ. Để đảm bảo quy trình này được thực hiện chính xác và hiệu quả, các chuyên gia tại DPO.VN cung cấp giải pháp toàn diện, giúp doanh nghiệp hoàn thành nghĩa vụ báo cáo A05 và bảo vệ dữ liệu một cách chuyên nghiệp.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì và có vai trò như thế nào?
Đây là một bộ tài liệu pháp lý bắt buộc mà doanh nghiệp phải lập để phân tích, đánh giá các rủi ro phát sinh từ hoạt động xử lý dữ liệu cá nhân, đồng thời đưa ra các biện pháp quản lý và kỹ thuật để giảm thiểu rủi ro đó. Hồ sơ này đóng vai trò là bằng chứng cốt lõi chứng minh trách nhiệm tuân thủ của doanh nghiệp trước cơ quan nhà nước.
Theo quy định tại Điều 24 Nghị định 13/2023/NĐ-CP và được tái khẳng định tại Điều 21 của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, “Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân” (sau đây gọi tắt là Hồ sơ ĐGTĐ) là một yêu cầu không thể thiếu đối với các tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Về bản chất, đây là một quy trình tự đánh giá có cấu trúc nhằm giúp doanh nghiệp:
- Nhận diện rủi ro: Chủ động xác định các nguy cơ, hậu quả và thiệt hại không mong muốn có thể xảy ra đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu (khách hàng, nhân viên, đối tác).
- Đề xuất giải pháp: Xây dựng và mô tả các biện pháp bảo vệ dữ liệu cá nhân đã và sẽ được áp dụng để giảm thiểu hoặc loại bỏ các rủi ro đã nhận diện.
- Chứng minh tuân thủ (Trách nhiệm giải trình): Hồ sơ ĐGTĐ là công cụ pháp lý quan trọng nhất để doanh nghiệp chứng minh với cơ quan chức năng (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – A05) rằng mình đã thực hiện đầy đủ nghĩa vụ bảo vệ dữ liệu một cách có trách nhiệm.
💡 Luật sư Nguyễn Tiến Hảo chia sẻ: “Nhiều doanh nghiệp ban đầu xem Hồ sơ ĐGTĐ chỉ là một thủ tục hành chính. Tuy nhiên, trong quá trình tư vấn, DPO.VN luôn nhấn mạnh rằng đây là một cơ hội vàng để doanh nghiệp rà soát lại toàn bộ quy trình dữ liệu của mình. Việc lập hồ sơ một cách nghiêm túc giúp phát hiện những lỗ hổng bảo mật tiềm ẩn, tối ưu hóa quy trình và xây dựng một nền tảng vững chắc cho sự phát triển bền vững, thay vì chỉ đối phó với các yêu cầu pháp lý.”
Doanh nghiệp nào bắt buộc phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?
Theo pháp luật hiện hành, hầu hết các tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân, đặc biệt là Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, và Bên Xử lý dữ liệu cá nhân, đều phải lập và lưu giữ Hồ sơ ĐGTĐ, trừ một số trường hợp được miễn trừ theo quy định.
Ai là người chịu trách nhiệm chính trong việc lập hồ sơ?
Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân là hai đối tượng chịu trách nhiệm chính trong việc lập, lưu giữ và nộp Hồ sơ ĐGTĐ cho cơ quan chức năng.
Khoản 1, Điều 24 Nghị định 13/2023/NĐ-CP quy định rất rõ: “Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.” Điều này có nghĩa là, bất kỳ doanh nghiệp nào quyết định mục đích và phương tiện xử lý dữ liệu (ví dụ: thu thập thông tin khách hàng để bán hàng, quản lý thông tin nhân viên để trả lương) đều phải thực hiện nghĩa vụ này.
Bên Xử lý dữ liệu cá nhân có cần lập hồ sơ này không?
Có, Bên Xử lý dữ liệu cá nhân (tổ chức xử lý dữ liệu thay mặt cho Bên Kiểm soát, ví dụ: dịch vụ tính lương, dịch vụ email marketing) cũng phải lập và lưu giữ Hồ sơ ĐGTĐ trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu.
Khoản 2, Điều 24 Nghị định 13/2023/NĐ-CP nêu rõ Bên Xử lý dữ liệu cá nhân cũng có nghĩa vụ này. Hồ sơ của họ sẽ tập trung vào các hoạt động xử lý được mô tả trong hợp đồng với Bên Kiểm soát. Điều này đảm bảo rằng mọi mắt xích trong chuỗi xử lý dữ liệu đều phải tuân thủ và có trách nhiệm giải trình.
Có trường hợp nào được miễn trừ lập hồ sơ không?
Có, pháp luật Việt Nam có quy định miễn trừ đối với một số đối tượng cụ thể như cơ quan nhà nước, hộ kinh doanh, doanh nghiệp siêu nhỏ, nhỏ và khởi nghiệp dưới những điều kiện nhất định.
Để hỗ trợ và giảm gánh nặng hành chính, pháp luật đã có những quy định miễn trừ:
- Theo Nghị định 13/2023/NĐ-CP (Điều 43): Doanh nghiệp siêu nhỏ, nhỏ, vừa, và khởi nghiệp được miễn trừ quy định về chỉ định nhân sự và bộ phận bảo vệ dữ liệu cá nhân trong 02 năm đầu thành lập. Tuy nhiên, điều này không miễn trừ nghĩa vụ lập Hồ sơ ĐGTĐ.
- Theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (Điều 38): Quy định này rõ ràng và có lợi hơn cho doanh nghiệp. Cụ thể:
- Doanh nghiệp nhỏ và khởi nghiệp: Được lựa chọn không thực hiện quy định về Hồ sơ ĐGTĐ (Điều 21) trong 05 năm kể từ ngày Luật có hiệu lực.
- Hộ kinh doanh, doanh nghiệp siêu nhỏ: Không phải thực hiện quy định về Hồ sơ ĐGTĐ.
Lưu ý quan trọng: Việc miễn trừ không áp dụng nếu các doanh nghiệp này kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm, hoặc xử lý dữ liệu của số lượng lớn chủ thể.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm những nội dung gì?
Hồ sơ phải bao gồm thông tin chi tiết về bên kiểm soát/xử lý dữ liệu, mô tả hoạt động xử lý dữ liệu (mục đích, loại dữ liệu, thời gian xử lý), các biện pháp bảo vệ được áp dụng, và một bản đánh giá toàn diện về các tác động có thể xảy ra.
Nội dung chi tiết của Hồ sơ ĐGTĐ được quy định tại Điều 24 Nghị định 13/2023/NĐ-CP và được cụ thể hóa trong các biểu mẫu đi kèm. Doanh nghiệp cần điền đầy đủ và chính xác thông tin theo các mẫu chính thức do Cục A05 ban hành.
| Đối Tượng | Mẫu Biểu Áp Dụng | Nội Dung Cốt Lõi |
|---|---|---|
| Bên Kiểm soát, Bên Kiểm soát và Xử lý dữ liệu cá nhân | Mẫu Đ24-DLCN-01 | Thông tin chi tiết về tổ chức, bộ phận/nhân sự bảo vệ dữ liệu, thông tin về bên xử lý/bên thứ ba (nếu có), mục đích và loại dữ liệu xử lý, biện pháp bảo vệ, đánh giá tác động toàn diện. |
| Bên Xử lý dữ liệu cá nhân | Mẫu Đ24-DLCN-02 | Thông tin về tổ chức, thông tin về bên kiểm soát (theo hợp đồng), mô tả các hoạt động xử lý theo hợp đồng, biện pháp bảo vệ, đánh giá tác động. |
| Bên thứ ba | Mẫu Đ24-DLCN-03 | Thông tin về tổ chức, vai trò trong chuỗi xử lý dữ liệu, các hoạt động xử lý được phép, biện pháp bảo vệ, đánh giá tác động. |
Để có hướng dẫn lập hồ sơ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân chi tiết, doanh nghiệp cần bám sát các mục trong biểu mẫu, đặc biệt là phần đánh giá tác động (Phần VI của Mẫu Đ24-DLCN-01), yêu cầu phân tích sâu về các tác động tới quyền của chủ thể dữ liệu, kinh tế, xã hội và hệ thống pháp luật.
Quy trình lập, nộp và cập nhật hồ sơ đánh giá tác động được thực hiện như thế nào?
Quy trình bao gồm 4 bước chính: Lập hồ sơ theo mẫu, chuẩn bị bộ hồ sơ hoàn chỉnh, nộp cho Cục A05 trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu, và cập nhật hồ sơ khi có thay đổi.
Việc tuân thủ đúng quy trình không chỉ đảm bảo tính pháp lý mà còn giúp doanh nghiệp hệ thống hóa công tác bảo vệ dữ liệu.
- Bước 1: Lập Hồ sơ ĐGTĐ
Doanh nghiệp tự điền đầy đủ thông tin vào các biểu mẫu tương ứng (Mẫu Đ24-DLCN-01, 02, hoặc 03). Đây là giai đoạn quan trọng nhất, đòi hỏi sự tham gia của các bộ phận pháp chế, IT, và các phòng ban liên quan. - Bước 2: Chuẩn bị bộ hồ sơ nộp
Ngoài Hồ sơ ĐGTĐ, doanh nghiệp cần chuẩn bị một bộ hồ sơ đầy đủ để gửi đến cơ quan chức năng, bao gồm:- Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (theo Mẫu số 04a cho tổ chức hoặc 04b cho cá nhân).
- Bản sao Giấy chứng nhận đăng ký kinh doanh/quyết định thành lập.
- Các tài liệu liên quan khác như hợp đồng xử lý dữ liệu, quyết định phân công bộ phận bảo vệ dữ liệu.
- Bước 3: Nộp hồ sơ đến Cục A05 – Bộ Công an
Doanh nghiệp phải nộp 01 bản chính của bộ hồ sơ trong vòng 60 ngày kể từ ngày bắt đầu xử lý dữ liệu. Các hình thức nộp bao gồm:- Trực tuyến: Qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (khi đi vào hoạt động).
- Trực tiếp: Tại trụ sở Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.
- Qua bưu chính.
- Bước 4: Cập nhật hồ sơ khi cần thiết
Doanh nghiệp phải cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và gửi thông báo thay đổi (theo Mẫu số 05a/05b) cho Cục A05 khi có sự thay đổi về nội dung đã gửi (Điều 24.6 NĐ13). Luật mới (Điều 22 LBVDLCN2025) quy định rõ hơn về việc cập nhật định kỳ 06 tháng hoặc ngay lập tức khi có thay đổi lớn (tái cấu trúc, thay đổi ngành nghề kinh doanh).
Phân biệt Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài như thế nào?
Điểm khác biệt cốt lõi nằm ở phạm vi áp dụng: Hồ sơ ĐGTĐ xử lý dữ liệu cá nhân áp dụng cho các hoạt động xử lý trong nước, trong khi Hồ sơ ĐGTĐ chuyển dữ liệu cá nhân ra nước ngoài chỉ áp dụng cho các hoạt động chuyển dữ liệu xuyên biên giới.
Đây là một điểm quan trọng mà nhiều doanh nghiệp có thể nhầm lẫn. Việc phân biệt đánh giá tác động xử lý dữ liệu cá nhân với các loại hình khác là cần thiết để áp dụng đúng quy định.
| Tiêu Chí | Hồ Sơ ĐGTĐ Xử Lý Dữ Liệu Cá Nhân | Hồ Sơ ĐGTĐ Chuyển Dữ Liệu Cá Nhân Ra Nước Ngoài |
|---|---|---|
| Phạm vi áp dụng | Tất cả các hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam diễn ra trên lãnh thổ Việt Nam. | Chỉ áp dụng khi có hoạt động chuyển dữ liệu cá nhân của công dân Việt Nam ra khỏi lãnh thổ Việt Nam. |
| Căn cứ pháp lý | Điều 24 Nghị định 13/2023/NĐ-CP; Điều 21 Luật 91/2025/QH15. | Điều 25 Nghị định 13/2023/NĐ-CP; Điều 20 Luật 91/2025/QH15. |
| Mẫu biểu | Mẫu Đ24-DLCN-01, 02, 03. | Mẫu Đ25-DLCN-04. |
| Nội dung đặc thù | Tập trung vào các rủi ro chung của hoạt động xử lý dữ liệu trong nước. | Tập trung vào rủi ro liên quan đến việc chuyển dữ liệu qua biên giới, bao gồm việc đánh giá tác động tới an ninh quốc gia và cam kết của bên nhận dữ liệu ở nước ngoài. |
Một doanh nghiệp có thể phải lập cả hai loại hồ sơ nếu vừa xử lý dữ liệu trong nước, vừa có hoạt động chuyển dữ liệu ra nước ngoài (ví dụ: sử dụng dịch vụ máy chủ đám mây đặt tại Singapore).
Các Câu Hỏi Thường Gặp Về Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân
1. Lập Hồ sơ ĐGTĐ có phức tạp và tốn kém không?
Trả lời: Quá trình lập hồ sơ đòi hỏi sự hiểu biết sâu về pháp luật và quy trình hoạt động của doanh nghiệp, có thể phức tạp nếu tự thực hiện lần đầu. Tuy nhiên, việc đầu tư vào lập hồ sơ bài bản sẽ giúp giảm thiểu rủi ro bị phạt và các chi phí khắc phục sự cố sau này, vốn lớn hơn rất nhiều.
2. Nếu nộp hồ sơ muộn sau 60 ngày thì có bị xử phạt không?
Trả lời: Có. Việc không nộp hoặc nộp muộn Hồ sơ ĐGTĐ là hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và có thể bị xử phạt vi phạm hành chính theo quy định tại Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, với mức phạt tối đa lên đến 3 tỷ đồng đối với tổ chức.
3. Hồ sơ ĐGTĐ có giá trị trong bao lâu?
Trả lời: Theo Điều 21 Luật 91/2025/QH15, Hồ sơ ĐGTĐ được thực hiện một lần cho suốt thời gian hoạt động của doanh nghiệp. Tuy nhiên, hồ sơ này phải được cập nhật định kỳ 06 tháng hoặc ngay lập tức khi có các thay đổi quan trọng trong hoạt động xử lý dữ liệu.
4. Cơ quan nhà nước có phải lập hồ sơ này không?
Trả lời: Không. Theo khoản 6 Điều 21 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, cơ quan nhà nước có thẩm quyền không phải thực hiện quy định về đánh giá tác động xử lý dữ liệu cá nhân.
5. DPO.VN có thể hỗ trợ doanh nghiệp lập Hồ sơ ĐGTĐ không?
Trả lời: Chắc chắn có. DPO.VN cung cấp dịch vụ tư vấn và hỗ trợ toàn diện, từ việc rà soát quy trình, đánh giá rủi ro, đến việc hoàn thiện và nộp Hồ sơ ĐGTĐ theo đúng quy định của pháp luật, giúp doanh nghiệp tiết kiệm thời gian, nguồn lực và đảm bảo tuân thủ một cách chính xác nhất.
Giải Pháp Toàn Diện Về Tuân Thủ Bảo Vệ Dữ Liệu Cá Nhân Cùng DPO.VN
Việc lập và nộp Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân là một nghĩa vụ pháp lý quan trọng và phức tạp. Để đảm bảo quy trình tuân thủ được thực hiện chính xác, nhanh chóng và hiệu quả, hãy liên hệ với các chuyên gia hàng đầu tại DPO.VN. Chúng tôi, Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia, cùng với Luật sư Nguyễn Tiến Hảo, sẽ đồng hành cùng doanh nghiệp của bạn.
Website: dpo.vn
Hotline: 0914.315.886
Email: info@dpo.vn
Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Yên Hoà, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam.
Tài liệu tham khảo
- Thủ tục Thông báo gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
- Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
- Luật Bảo vệ Dữ liệu cá nhân 91/2025/QH15.
- Hướng dẫn về Đánh giá Tác động Bảo vệ Dữ liệu (DPIA) theo GDPR.
- Vai trò của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao: Bộ Công an
Luật sư Nguyễn Tiến Hảo
Với kinh nghiệm tư vấn pháp lý về bảo vệ dữ liệu cá nhân cho gần 100 doanh nghiệp trong nước và quốc tế, Luật sư Nguyễn Tiến Hảo đã khẳng định vị thế là một trong những chuyên gia pháp lý hàng đầu tại Việt Nam về quản trị rủi ro và tuân thủ pháp lý trong lĩnh vực Bảo vệ dữ liệu cá nhân. Với chuyên môn sâu sắc trong việc diễn giải và áp dụng các quy định về Bảo vệ Dữ liệu Cá nhân, thể hiện qua năng lực xây dựng các Hồ sơ Đánh giá Tác động Xử Lý Dữ Liệu Cá Nhân đạt tiêu chuẩn và có tính ứng dụng cao. Các giải pháp cung cấp cho doanh nghiệp không chỉ đảm bảo sự tuân thủ nghiêm ngặt với pháp luật Việt Nam mà còn tương thích với các thông lệ quốc tế tốt nhất. Mang lại cho khách hàng sự bảo vệ pháp lý toàn diện và một lợi thế cạnh tranh rõ rệt. Tiểu sử tác giảBài viết liên quan
DPO Là Gì? Vai Trò Và Trách Nhiệm Theo Luật Việt Nam
Nghĩa vụ của chủ thể dữ liệu cá nhân gồm những gì?
Doanh nghiệp thực hiện Luật bảo vệ dữ liệu cá nhân như thế nào?
Quy định về bảo vệ dữ liệu sinh trắc học theo luật mới
Quản lý Rủi ro và Xử lý Vi phạm về Bảo vệ Dữ liệu cá nhân
Bảo Vệ Dữ Liệu Cá Nhân Trong Ngành Giáo Dục