Miễn trừ lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là quy định quan trọng giúp giảm gánh nặng tuân thủ cho một số đối tượng đặc thù, tuy nhiên cần hiểu đúng để tránh rủi ro pháp lý. Để đảm bảo hoạt động đúng luật, DPO.VN cung cấp giải pháp giúp doanh nghiệp xác định chính xác quyền miễn trừ và các nghĩa vụ tuân thủ tối thiểu. Quy định miễn trừ, điều kiện áp dụng, các trường hợp ngoại lệ.
Doanh nghiệp nào được miễn trừ lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?
Theo pháp luật hiện hành và tương lai, các doanh nghiệp siêu nhỏ, nhỏ, vừa và khởi nghiệp được quyền lựa chọn miễn trừ nghĩa vụ lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong một khoảng thời gian nhất định, trừ một số trường hợp đặc biệt.
Việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một trong những nghĩa vụ cốt lõi nhằm đảm bảo trách nhiệm giải trình của doanh nghiệp theo quy định của pháp luật Việt Nam. Tuy nhiên, nhận thấy gánh nặng hành chính đối với các doanh nghiệp có quy mô hạn chế, cả Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đều có những quy định miễn trừ linh hoạt.
Cụ thể, các đối tượng doanh nghiệp được hưởng quyền miễn trừ bao gồm:
- Doanh nghiệp siêu nhỏ
- Doanh nghiệp nhỏ
- Doanh nghiệp vừa
- Doanh nghiệp khởi nghiệp
💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Quy định miễn trừ này thể hiện sự thấu hiểu của nhà làm luật đối với các doanh nghiệp mới thành lập hoặc có nguồn lực hạn chế. Mục tiêu là tạo điều kiện thuận lợi để doanh nghiệp phát triển trong giai đoạn đầu, nhưng vẫn phải đảm bảo các nguyên tắc bảo vệ dữ liệu cá nhân cơ bản. Doanh nghiệp cần xác định đúng loại hình của mình theo các quy định của Luật Hỗ trợ Doanh nghiệp nhỏ và vừa để áp dụng chính xác.
Điều kiện và thời hạn áp dụng miễn trừ được quy định như thế nào?
Thời hạn miễn trừ là 05 năm theo Nghị định 356/2025/NĐ-CP kể từ ngày Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành, trừ doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý. Doanh nghiệp cần dựa vào các tiêu chí về lao động, nguồn vốn hoặc doanh thu để xác định quy mô của mình.
Việc áp dụng quyền miễn trừ không phải là vĩnh viễn và đi kèm với các điều kiện cụ thể về thời gian và mô hình doanh nghiệp. Do đó, doanh nghiệp cần nắm rõ các mốc thời gian và quy định pháp lý để có kế hoạch tuân thủ phù hợp.
Sau khi hết thời hạn miễn trừ, các doanh nghiệp này sẽ phải thực hiện đầy đủ nghĩa vụ lập, lưu trữ và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định chung.
Cần đáp ứng tiêu chí nào để được xem là doanh nghiệp nhỏ, siêu nhỏ?
Tiêu chí xác định doanh nghiệp siêu nhỏ, nhỏ và vừa được quy định tại Luật Hỗ trợ doanh nghiệp nhỏ và vừa và các văn bản hướng dẫn, dựa trên số lao động tham gia bảo hiểm xã hội, tổng nguồn vốn hoặc tổng doanh thu của năm trước liền kề.
Cả Nghị định 356/2025/NĐ-CP và Luật 91/2025/QH15 đều không định nghĩa trực tiếp các loại hình doanh nghiệp này mà dẫn chiếu đến các quy định pháp luật chuyên ngành. Doanh nghiệp cần căn cứ vào Nghị định 80/2021/NĐ-CP để xác định quy mô của mình. Ví dụ, trong lĩnh vực thương mại, dịch vụ, một doanh nghiệp siêu nhỏ có số lao động tham gia BHXH bình quân năm không quá 10 người và tổng doanh thu không quá 10 tỷ đồng hoặc tổng nguồn vốn không quá 3 tỷ đồng.
Trường hợp nào doanh nghiệp không được hưởng quyền miễn trừ dù có quy mô nhỏ?
Doanh nghiệp nhỏ, siêu nhỏ, vừa và khởi nghiệp sẽ không được miễn trừ nếu hoạt động kinh doanh chính là xử lý dữ liệu cá nhân, hoặc trực tiếp xử lý dữ liệu cá nhân nhạy cảm, hoặc xử lý dữ liệu của số lượng lớn chủ thể dữ liệu.
Đây là điểm cực kỳ quan trọng mà nhiều doanh nghiệp có thể bỏ sót, dẫn đến rủi ro pháp lý lớn. Quy định này nhằm đảm bảo rằng các hoạt động xử lý dữ liệu có rủi ro cao phải được giám sát chặt chẽ ngay từ đầu, bất kể quy mô doanh nghiệp.
Cả Khoản 1 Điều 41 Nghị định 356/2025/NĐ-CP và Điều 38 Khoản 2, 3 Luật Bảo vệ dữ liệu cá nhân đều nhấn mạnh các trường hợp ngoại lệ sau:
- Kinh doanh dịch vụ xử lý dữ liệu cá nhân: Nếu hoạt động kinh doanh chính của doanh nghiệp là cung cấp dịch vụ xử lý dữ liệu cho các bên khác (ví dụ: công ty marketing, phân tích dữ liệu, cung cấp nền tảng SaaS), doanh nghiệp đó phải lập Hồ sơ đánh giá tác động ngay lập tức.
- Trực tiếp xử lý dữ liệu cá nhân nhạy cảm: Các dữ liệu như tình trạng sức khỏe, thông tin tài chính, quan điểm chính trị, dữ liệu sinh trắc học… có mức độ rủi ro cao. Bất kỳ doanh nghiệp nào, dù quy mô nhỏ, nếu xử lý các loại dữ liệu này đều không được miễn trừ. Ví dụ: một phòng khám tư nhỏ, một ứng dụng tài chính cá nhân khởi nghiệp.
- Xử lý dữ liệu của số lượng lớn chủ thể dữ liệu: Được hiểu là khi doanh nghiệp xử lý dữ liệu cá nhân có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.
Cơ quan nhà nước có được miễn trừ nghĩa vụ này không?
Có. Theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, cơ quan nhà nước có thẩm quyền không phải thực hiện quy định về đánh giá tác động xử lý dữ liệu cá nhân. Tuy nhiên, họ vẫn phải tuân thủ các nguyên tắc bảo vệ dữ liệu khác.
Khoản 6 Điều 21 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định rõ: “Cơ quan nhà nước có thẩm quyền không phải thực hiện quy định về đánh giá tác động xử lý dữ liệu cá nhân quy định tại Điều này”. Đây là một điểm mới và quan trọng, giúp các cơ quan nhà nước tinh gọn thủ tục hành chính khi thực hiện các nhiệm vụ quản lý. Tuy nhiên, cần lưu ý rằng việc miễn trừ này chỉ áp dụng cho nghĩa vụ lập Hồ sơ đánh giá tác động. Các cơ quan nhà nước vẫn phải tuân thủ đầy đủ các nguyên tắc cốt lõi về bảo vệ dữ liệu, đảm bảo an toàn, bảo mật thông tin công dân và chịu trách nhiệm về hoạt động xử lý dữ liệu của mình.
Dù được miễn trừ, doanh nghiệp vẫn cần tuân thủ những nghĩa vụ tối thiểu nào?
Việc miễn trừ lập hồ sơ không đồng nghĩa với việc được miễn trừ toàn bộ trách nhiệm. Doanh nghiệp vẫn phải tuân thủ các nguyên tắc bảo vệ dữ liệu, có được sự đồng ý hợp lệ, bảo vệ quyền của chủ thể dữ liệu và áp dụng các biện pháp bảo mật cần thiết.
DPO.VN nhấn mạnh rằng, việc được miễn lập Hồ sơ đánh giá tác động chỉ là một sự giảm nhẹ về thủ tục hành chính, không phải là “giấy phép” để bỏ qua các nghĩa vụ bảo vệ dữ liệu cá nhân cơ bản. Các doanh nghiệp thuộc diện miễn trừ vẫn phải đảm bảo tuân thủ nghiêm ngặt các quy định sau:
- Tuân thủ các nguyên tắc bảo vệ dữ liệu: Phải tuân thủ 6 nguyên tắc trong Luật 91/2025/QH15, bao gồm tính hợp pháp, giới hạn mục đích, tối thiểu hóa dữ liệu, chính xác, bảo mật và giới hạn lưu trữ.
- Có được sự đồng ý hợp lệ: Phải có sự đồng ý của chủ thể dữ liệu một cách tự nguyện, rõ ràng và cụ thể trước khi xử lý dữ liệu, trừ các trường hợp pháp luật cho phép không cần sự đồng ý (Điều 6 Nghị định 356/2025/NĐ-CP).
- Bảo vệ quyền của chủ thể dữ liệu: Phải đảm bảo các quyền của chủ thể dữ liệu như quyền được biết, truy cập, chỉnh sửa, xóa dữ liệu… (Điều 5 Nghị định 356/2025/NĐ-CP).
- Áp dụng các biện pháp bảo vệ: Phải thực hiện các biện pháp quản lý và kỹ thuật cần thiết để bảo vệ dữ liệu cá nhân khỏi bị truy cập trái phép, mất mát hoặc phá hủy (Điều 18, 19 Nghị định 356/2025/NĐ-CP).
- Thông báo khi có vi phạm: Nghĩa vụ thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao trong vòng 72 giờ khi xảy ra vi phạm vẫn được áp dụng (Điều 28 Nghị định 356/2025/NĐ-CP).
Việc hiểu rõ phạm vi miễn trừ và các nghĩa vụ còn lại là chìa khóa để doanh nghiệp vừa tối ưu hóa nguồn lực, vừa đảm bảo hoạt động kinh doanh an toàn, bền vững và tuân thủ pháp luật.
Các Câu Hỏi Thường Gặp Về Miễn Trừ Lập Hồ Sơ Đánh Giá Tác Động
1. Hộ kinh doanh có được miễn trừ lập hồ sơ đánh giá tác động không?
Trả lời: Có. Theo khoản 3 Điều 38 Luật Bảo vệ dữ liệu cá nhân năm 2025, hộ kinh doanh không phải thực hiện quy định về đánh giá tác động xử lý dữ liệu cá nhân, trừ trường hợp hộ kinh doanh đó kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu nhạy cảm hoặc xử lý dữ liệu của số lượng lớn chủ thể dữ liệu. Đồng thời, theo quy định tại Điều
2. Sau khi hết thời hạn miễn trừ, doanh nghiệp phải làm gì?
Trả lời: Sau khi hết thời hạn miễn trừ (05 năm theo Luật bảo vệ dữ liệu cá nhân), doanh nghiệp phải ngay lập tức tuân thủ đầy đủ các quy định. Cụ thể, doanh nghiệp phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và gửi 01 bản chính cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao trong vòng 60 ngày kể từ ngày hết hạn miễn trừ.
3. Việc miễn trừ có áp dụng cho Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới không?
Trả lời: Có. Các quy định tại Điều 41 Nghị định 356/2025/NĐ-CP và Điều 38 Luật 91/2025/QH15 có quy định rằng các doah nghiệp nhỏ, doanh nghiệp khởi nghiệp có quyền lựa chọn thực hiện hoặc không thực hiện quy định tại Điều 21, 22 và khoản 2 Điều 33 Luật Bảo vệ dữ liệu cá nhân. Theo đó, Điều 22 Luật Bảo vệ dữ liệu cá nhân năm 2025 quy định về hoạt động lập hồ sơ đánh giá tác động khi chuyển dữ liệu cá nhân xuyên biên giới. Vậy nên, có thể kết luận rằng các trường hợp miễn trừ cũng được áp dụng cho nghĩa vụ lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.
4. Làm thế nào để biết hoạt động của công ty có bị coi là “kinh doanh dịch vụ xử lý dữ liệu cá nhân” hay không?
Trả lời: Doanh nghiệp được xem là kinh doanh dịch vụ xử lý dữ liệu cá nhân khi hoạt động chính là thực hiện việc xử lý dữ liệu thay mặt cho một bên khác thông qua hợp đồng hoặc thỏa thuận (vai trò Bên Xử lý dữ liệu cá nhân). Ví dụ điển hình là các công ty cung cấp dịch vụ marketing, nghiên cứu thị trường, phân tích dữ liệu, dịch vụ lưu trữ đám mây… Nếu doanh nghiệp bạn thuộc trường hợp này, bạn sẽ không được miễn trừ.
5. Nếu công ty tôi được miễn trừ, tôi có cần thông báo cho cơ quan nhà nước về việc này không?
Trả lời: Pháp luật hiện hành không quy định thủ tục thông báo về việc áp dụng quyền miễn trừ. Đây là quyền lựa chọn của doanh nghiệp. Tuy nhiên, doanh nghiệp phải tự xác định chính xác mình có thuộc đối tượng được miễn trừ hay không và sẵn sàng giải trình với cơ quan chức năng khi được yêu cầu kiểm tra. Việc lưu trữ các tài liệu chứng minh quy mô (báo cáo tài chính, báo cáo lao động) là rất cần thiết.
Tìm Hiểu Thêm Về Bảo Vệ Dữ Liệu Cá Nhân Cùng DPO.VN
Để xây dựng một chiến lược tuân thủ pháp luật về bảo vệ dữ liệu cá nhân hiệu quả, đảm bảo an toàn thông tin và uy tín cho doanh nghiệp, hãy liên hệ với chuyên gia của DPO.VN. Chúng tôi, Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia, với sự đồng hành của Luật sư Nguyễn Tiến Hảo, cam kết mang đến giải pháp toàn diện và chuyên nghiệp nhất.
Website: dpo.vn
Hotline: 0914.315.886
Email: info@dpo.vn
Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Cầu Giấy, Thành phố Hà Nội, Việt Nam.
Tài liệu tham khảo
- Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
- Nghị định 356/2025/NĐ-CP của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật bảo vệ dữ liệu cá nhân.
- Nghị định 13/2023/NĐ-CP của Chính phủ về Bảo vệ dữ liệu cá nhân.
- Thủ tục Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
- Luật Hỗ trợ doanh nghiệp nhỏ và vừa 2017.
- Nghị định 80/2021/NĐ-CP hướng dẫn Luật Hỗ trợ doanh nghiệp nhỏ và vừa.
- Cổng thông tin điện tử Bộ Công an Việt Nam.
Công ty tôi mới hết thời hạn miễn trừ 1 tháng, trong bao lâu thì tôi phải làm hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?
Nếu công ty chỉ thu thập thông tin khách hàng để chăm sóc sau bán hàng thì có cần làm hồ sơ đánh giá không?
Công ty mình cần check có thuộc diện miễn trừ hay không. Ad hỗ trợ mình với
Bên mình có cung cấp mẫu hồ sơ đánh giá tác động xử lý dữ liệu cá nhân không ạ?
Công ty có 2 nhân sự thì được miễn trừ chưa, có phải làm thủ tục miễn trừ không?