Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân Theo Luật Mới

Đánh giá tác động xử lý dữ liệu cá nhân theo luật mới là một nghĩa vụ pháp lý trọng yếu, giúp doanh nghiệp chủ động nhận diện và giảm thiểu rủi ro trước khi tiến hành các hoạt động xử lý. Để quá trình tuân thủ được thuận lợi và chính xác, DPO.VN mang đến giải pháp toàn diện giúp doanh nghiệp hoàn thiện hồ sơ một cách chuyên nghiệp. Việc lập hồ sơ đánh giá tác động không chỉ là yêu cầu bắt buộc mà còn là công cụ quản trị rủi ro hiệu quả.

Doanh nghiệp nào bắt buộc phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo Luật mới, và trường hợp nào được miễn trừ?

Theo Luật Bảo vệ dữ liệu cá nhân mới, Bên Kiểm soát và Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập hồ sơ, trừ cơ quan nhà nước. Doanh nghiệp siêu nhỏ, nhỏ, và khởi nghiệp được miễn trừ có thời hạn, trừ trường hợp kinh doanh dịch vụ xử lý dữ liệu, xử lý dữ liệu nhạy cảm hoặc quy mô lớn.

Việc xác định đúng đối tượng phải tuân thủ nghĩa vụ lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (HSDGTĐ) là ưu tiên hàng đầu của các doanh nghiệp. Cả Nghị định số 13/2023/NĐ-CP (Nghị định 13) và Luật Bảo vệ dữ liệu cá nhân sắp có hiệu lực đều có những quy định rõ ràng về vấn đề này, trong đó có các điều khoản miễn trừ quan trọng.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: “Nhiều doanh nghiệp nhỏ và vừa thường băn khoăn liệu mình có thuộc diện phải lập hồ sơ hay không. Điểm cốt lõi cần xác định là bản chất hoạt động kinh doanh. Nếu doanh nghiệp của bạn trực tiếp kinh doanh dịch vụ xử lý dữ liệu cá nhân hoặc xử lý các loại dữ liệu nhạy cảm như thông tin sức khỏe, tài chính, thì khả năng cao sẽ không thuộc diện được miễn trừ, dù quy mô còn nhỏ.”

Dưới đây là bảng so sánh chi tiết về đối tượng bắt buộc và các trường hợp được miễn trừ theo quy định hiện hành và luật mới:

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo Luật mới có gì khác so với Nghị định 13/2023/NĐ-CP?

Về cơ bản, Luật mới kế thừa cấu trúc và nội dung cốt lõi của hồ sơ theo Nghị định 13. Tuy nhiên, Luật nhấn mạnh tính pháp lý cao hơn, quy định rõ ràng hơn về thời gian thực hiện (một lần cho suốt quá trình hoạt động) và các trường hợp miễn trừ cụ thể.

Luật Bảo vệ dữ liệu cá nhân được xây dựng trên nền tảng kế thừa và hoàn thiện các quy định của Nghị định 13. Do đó, nội dung của hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì không có sự thay đổi đột phá, mà tập trung vào việc chuẩn hóa và nâng cao tính thực thi. Các doanh nghiệp đã quen thuộc với Mẫu Đ24-DLCN-01, Mẫu Đ24-DLCN-02, và Mẫu Đ24-DLCN-03 của Nghị định 13 sẽ có một nền tảng vững chắc để chuyển đổi sang quy định của Luật mới.

Điểm mới quan trọng nhất là Luật quy định việc đánh giá này được thực hiện một lần duy nhất cho toàn bộ thời gian hoạt động của doanh nghiệp, thay vì có thể hiểu là phải thực hiện cho từng hoạt động xử lý riêng lẻ. Điều này giúp giảm gánh nặng thủ tục hành chính, nhưng đồng thời yêu cầu hồ sơ ban đầu phải được lập một cách toàn diện và bao quát nhất có thể.

Hướng dẫn chi tiết cách lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo từng bước là gì?

Quy trình lập hồ sơ gồm 4 bước chính: Kê khai thông tin các bên, mô tả chi tiết hoạt động xử lý dữ liệu, đánh giá tác động và các biện pháp giảm thiểu rủi ro, và rà soát các quy định pháp luật liên quan phải tuân thủ.

Việc lập hồ sơ đánh giá tác động là một quy trình đòi hỏi sự cẩn trọng và chi tiết. Dựa trên cấu trúc các mẫu biểu hiện hành (Mẫu Đ24-DLCN-01, Mẫu Đ24-DLCN-02), DPO.VN hướng dẫn doanh nghiệp thực hiện theo các bước sau để đảm bảo tính đầy đủ và chính xác.

Bước 1: Kê khai thông tin cơ bản của các bên liên quan như thế nào?

Đây là bước nền tảng để xác định rõ vai trò và trách nhiệm của từng chủ thể. Doanh nghiệp cần điền đầy đủ và chính xác thông tin vào các mục tương ứng trong hồ sơ:

• Mục I: Thông tin về Bên Kiểm soát/Bên Kiểm soát và xử lý dữ liệu cá nhân: Bao gồm tên, địa chỉ, mã số thuế, người đại diện, và đặc biệt là thông tin chi tiết về bộ phận, nhân sự được giao nhiệm vụ bảo vệ dữ liệu cá nhân.
• Mục II: Thông tin của Bên Xử lý dữ liệu cá nhân (nếu có): Kê khai thông tin của các đối tác xử lý dữ liệu theo hợp đồng. Cần kèm theo bản sao hợp đồng để chứng minh mối quan hệ và các thỏa thuận về trách nhiệm.
• Mục III: Thông tin của Bên thứ ba (nếu có): Tương tự, kê khai thông tin của các bên thứ ba được phép xử lý dữ liệu và cung cấp tài liệu chứng minh.

Bước 2: Mô tả hoạt động xử lý dữ liệu cá nhân ra sao cho chính xác?

Phần này là trái tim của hồ sơ, cần được mô tả một cách minh bạch và toàn diện:

• Mục đích xử lý: Nêu rõ ràng, cụ thể từng mục đích xử lý dữ liệu, đảm bảo phù hợp với ngành nghề kinh doanh đã đăng ký.
• Loại dữ liệu được xử lý: Tích chọn chính xác các loại dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm mà doanh nghiệp xử lý, căn cứ theo danh mục tại Điều 2 Nghị định 13.
• Thời gian xử lý: Ghi rõ thời gian bắt đầu, thời gian kết thúc xử lý, và thời gian dự kiến để xóa hoặc hủy dữ liệu.
• Chuyển dữ liệu ra nước ngoài: Nêu rõ có hay không hoạt động chuyển dữ liệu cá nhân ra nước ngoài. Nếu có, cần chuẩn bị cho việc lập hồ sơ riêng theo quy định.
• Biện pháp bảo vệ: Mô tả các biện pháp quản lý và kỹ thuật đang được áp dụng để bảo vệ dữ liệu.

Bước 3: Đánh giá tác động và các biện pháp giảm thiểu rủi ro cần thực hiện những gì?

Đây là phần phân tích chuyên sâu, đòi hỏi sự đánh giá khách quan về các rủi ro tiềm ẩn và đề xuất giải pháp khả thi. Doanh nghiệp cần đánh giá trên nhiều khía cạnh:

• Tác động về quyền của chủ thể dữ liệu: Phân tích các hoạt động xử lý có thể ảnh hưởng đến các quyền như quyền riêng tư, quyền được biết, quyền truy cập…
• Tác động về kinh tế, xã hội: Đánh giá các ảnh hưởng tiềm tàng đến kinh doanh, việc làm, sức khỏe, môi trường…
• Tác động về thủ tục hành chính và hệ thống pháp luật: Xem xét sự phù hợp và chi phí tuân thủ.
• Đề xuất giải pháp: Với mỗi rủi ro được xác định, cần đề xuất các biện pháp giảm thiểu hoặc loại bỏ, ví dụ như mã hóa dữ liệu nhạy cảm, giới hạn quyền truy cập của nhân viên, hoặc áp dụng các công nghệ tăng cường quyền riêng tư.

Quy trình nộp, cập nhật và lưu trữ hồ sơ đánh giá tác động được quy định như thế nào?

Doanh nghiệp phải nộp hồ sơ cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao trong 60 ngày kể từ khi bắt đầu xử lý. Hồ sơ phải được cập nhật định kỳ 6 tháng hoặc khi có thay đổi lớn và phải luôn sẵn có để phục vụ kiểm tra.

Hoàn thành việc lập hồ sơ chỉ là bước đầu. Việc tuân thủ các quy định về thủ tục hành chính sau đó cũng quan trọng không kém để đảm bảo trách nhiệm giải trình của doanh nghiệp.

Thủ tục nộp hồ sơ lần đầu được thực hiện ra sao?

Theo quy định tại Điều 24 Nghị định 13 và Điều 21 Luật Bảo vệ dữ liệu cá nhân, quy trình nộp hồ sơ được thực hiện như sau:

1. Thời hạn nộp: Trong vòng 60 ngày kể từ ngày bắt đầu tiến hành xử lý dữ liệu cá nhân.
2. Cơ quan tiếp nhận: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an.
3. Thành phần hồ sơ: Doanh nghiệp cần chuẩn bị 01 bản chính Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (theo Mẫu số 04a cho tổ chức hoặc Mẫu số 04b cho cá nhân) kèm theo 01 bản chính Hồ sơ đánh giá tác động (theo Mẫu Đ24-DLCN-01/02/03 tương ứng) và các tài liệu chứng minh khác.
4. Hình thức nộp: Doanh nghiệp có thể nộp trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (khi đi vào hoạt động), nộp trực tiếp, hoặc qua đường bưu chính.

Khi nào doanh nghiệp cần cập nhật hồ sơ đánh giá tác động?

Luật Bảo vệ dữ liệu cá nhân (Điều 22) đã hệ thống hóa rõ ràng các trường hợp và tần suất cập nhật hồ sơ:

• Cập nhật định kỳ: 06 tháng một lần khi có sự thay đổi.
• Cập nhật ngay lập tức: Khi có các thay đổi lớn, bao gồm:
  • Tổ chức lại, giải thể, phá sản.
  • Thay đổi thông tin về bộ phận/nhân sự bảo vệ dữ liệu.
  • Phát sinh hoặc thay đổi ngành nghề kinh doanh liên quan đến xử lý dữ liệu đã đăng ký.

Thủ tục cập nhật được thực hiện bằng cách nộp Thông báo thay đổi nội dung hồ sơ (Mẫu số 05a hoặc Mẫu số 05b) kèm theo hồ sơ đã được cập nhật.

Trách nhiệm lập và lưu trữ hồ sơ đánh giá tác động giữa Bên Kiểm soát và Bên Xử lý dữ liệu cá nhân được phân định ra sao?

Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân chịu trách nhiệm chính trong việc lập, lưu trữ và nộp hồ sơ cho cơ quan chức năng. Bên Xử lý dữ liệu cá nhân chỉ lập và lưu trữ hồ sơ theo yêu cầu và thỏa thuận trong hợp đồng với Bên Kiểm soát.

Việc phân định rõ ràng trách nhiệm giúp các bên phối hợp hiệu quả và đảm bảo tuân thủ đầy đủ. Cả Nghị định 13 và Luật Bảo vệ dữ liệu cá nhân đều quy định rất rõ về vấn đề này.

Đối với Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân:

Họ là người quyết định mục đích và phương tiện xử lý, do đó, chịu trách nhiệm cao nhất. Theo Điều 24 Nghị định 13 và Điều 21 Luật Bảo vệ dữ liệu cá nhân, họ phải:

• Chủ động lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (sử dụng Mẫu Đ24-DLCN-01) kể từ khi bắt đầu xử lý.
• Gửi 01 bản chính tới cơ quan chuyên trách (Cục A05) trong thời hạn 60 ngày.
• Đảm bảo hồ sơ luôn sẵn có để phục vụ hoạt động kiểm tra, đánh giá.

Đối với Bên Xử lý dữ liệu cá nhân:

Bên Xử lý chỉ thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát. Do đó, trách nhiệm của họ mang tính phái sinh và được quy định trong hợp đồng:

• Chỉ tiến hành lập và lưu giữ hồ sơ đánh giá tác động (sử dụng Mẫu Đ24-DLCN-02) khi có thỏa thuận hoặc hợp đồng với Bên Kiểm soát.
• Họ không có nghĩa vụ tự nộp hồ sơ này cho cơ quan chức năng, mà chỉ cung cấp cho Bên Kiểm soát khi được yêu cầu để chứng minh sự tuân thủ.

Việc tuân thủ quy định về đánh giá tác động xử lý dữ liệu cá nhân không chỉ là một nghĩa vụ pháp lý mà còn là một bước đi chiến lược, giúp doanh nghiệp xây dựng nền tảng vững chắc cho việc quản trị dữ liệu, nâng cao uy tín và tạo lợi thế cạnh tranh trong bối cảnh kinh tế số.

Các Câu Hỏi Thường Gặp Về Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Thủ tục Thông báo gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15
• International Association of Privacy Professionals (IAPP): The What, Why, and How of Privacy Impact Assessments