Miễn trừ lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi nào?

Miễn trừ lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là quy định quan trọng giúp giảm gánh nặng tuân thủ cho một số đối tượng đặc thù, tuy nhiên cần hiểu đúng để tránh rủi ro pháp lý. Để đảm bảo hoạt động đúng luật, DPO.VN cung cấp giải pháp giúp doanh nghiệp xác định chính xác quyền miễn trừ và các nghĩa vụ tuân thủ tối thiểu. Quy định miễn trừ, điều kiện áp dụng, các trường hợp ngoại lệ.

Doanh nghiệp nào được miễn trừ lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Theo pháp luật hiện hành và tương lai, các doanh nghiệp siêu nhỏ, nhỏ, vừa và khởi nghiệp được quyền lựa chọn miễn trừ nghĩa vụ lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong một khoảng thời gian nhất định, trừ một số trường hợp đặc biệt.

Việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một trong những nghĩa vụ cốt lõi nhằm đảm bảo trách nhiệm giải trình của doanh nghiệp theo quy định của pháp luật Việt Nam. Tuy nhiên, nhận thấy gánh nặng hành chính đối với các doanh nghiệp có quy mô hạn chế, cả Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đều có những quy định miễn trừ linh hoạt.

Cụ thể, các đối tượng doanh nghiệp được hưởng quyền miễn trừ bao gồm:

• Doanh nghiệp siêu nhỏ
• Doanh nghiệp nhỏ
• Doanh nghiệp vừa
• Doanh nghiệp khởi nghiệp

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Quy định miễn trừ này thể hiện sự thấu hiểu của nhà làm luật đối với các doanh nghiệp mới thành lập hoặc có nguồn lực hạn chế. Mục tiêu là tạo điều kiện thuận lợi để doanh nghiệp phát triển trong giai đoạn đầu, nhưng vẫn phải đảm bảo các nguyên tắc bảo vệ dữ liệu cá nhân cơ bản. Doanh nghiệp cần xác định đúng loại hình của mình theo các quy định của Luật Hỗ trợ Doanh nghiệp nhỏ và vừa để áp dụng chính xác.

Điều kiện và thời hạn áp dụng miễn trừ được quy định như thế nào?

Thời hạn miễn trừ là 02 năm theo Nghị định 13/2023/NĐ-CP và sẽ được kéo dài lên 05 năm theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Doanh nghiệp cần dựa vào các tiêu chí về lao động, nguồn vốn hoặc doanh thu để xác định quy mô của mình.

Việc áp dụng quyền miễn trừ không phải là vĩnh viễn và đi kèm với các điều kiện cụ thể về thời gian. Doanh nghiệp cần nắm rõ các mốc thời gian và quy định pháp lý để có kế hoạch tuân thủ phù hợp.

Thời hạn miễn trừ theo quy định hiện hành và tương lai là bao lâu?

Thời hạn miễn trừ hiện tại là 02 năm kể từ khi thành lập doanh nghiệp theo Nghị định 13, và sẽ là 05 năm kể từ ngày Luật 91/2025/QH15 có hiệu lực (tức là đến 01/01/2031).

Pháp luật đã có sự điều chỉnh quan trọng để hỗ trợ doanh nghiệp tốt hơn. Dưới đây là bảng so sánh chi tiết:

Sau khi hết thời hạn miễn trừ, các doanh nghiệp này sẽ phải thực hiện đầy đủ nghĩa vụ lập, lưu trữ và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định chung.

Cần đáp ứng tiêu chí nào để được xem là doanh nghiệp nhỏ, siêu nhỏ?

Tiêu chí xác định doanh nghiệp siêu nhỏ, nhỏ và vừa được quy định tại Luật Hỗ trợ doanh nghiệp nhỏ và vừa và các văn bản hướng dẫn, dựa trên số lao động tham gia bảo hiểm xã hội, tổng nguồn vốn hoặc tổng doanh thu của năm trước liền kề.

Cả Nghị định 13 và Luật 91/2025/QH15 đều không định nghĩa trực tiếp các loại hình doanh nghiệp này mà dẫn chiếu đến các quy định pháp luật chuyên ngành. Doanh nghiệp cần căn cứ vào Nghị định 80/2021/NĐ-CP để xác định quy mô của mình. Ví dụ, trong lĩnh vực thương mại, dịch vụ, một doanh nghiệp siêu nhỏ có số lao động tham gia BHXH bình quân năm không quá 10 người và tổng doanh thu không quá 10 tỷ đồng hoặc tổng nguồn vốn không quá 3 tỷ đồng.

Trường hợp nào doanh nghiệp không được hưởng quyền miễn trừ dù có quy mô nhỏ?

Doanh nghiệp nhỏ, siêu nhỏ, vừa và khởi nghiệp sẽ không được miễn trừ nếu hoạt động kinh doanh chính là xử lý dữ liệu cá nhân, hoặc trực tiếp xử lý dữ liệu cá nhân nhạy cảm, hoặc xử lý dữ liệu của số lượng lớn chủ thể dữ liệu.

Đây là điểm cực kỳ quan trọng mà nhiều doanh nghiệp có thể bỏ sót, dẫn đến rủi ro pháp lý lớn. Quy định này nhằm đảm bảo rằng các hoạt động xử lý dữ liệu có rủi ro cao phải được giám sát chặt chẽ ngay từ đầu, bất kể quy mô doanh nghiệp.

Cả Điều 43 Khoản 3 Nghị định 13/2023/NĐ-CP và Điều 38 Khoản 2, 3 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đều nhấn mạnh các trường hợp ngoại lệ sau:

• Kinh doanh dịch vụ xử lý dữ liệu cá nhân: Nếu hoạt động kinh doanh chính của doanh nghiệp là cung cấp dịch vụ xử lý dữ liệu cho các bên khác (ví dụ: công ty marketing, phân tích dữ liệu, cung cấp nền tảng SaaS), doanh nghiệp đó phải lập Hồ sơ đánh giá tác động ngay lập tức.
• Trực tiếp xử lý dữ liệu cá nhân nhạy cảm: Các dữ liệu như tình trạng sức khỏe, thông tin tài chính, quan điểm chính trị, dữ liệu sinh trắc học… có mức độ rủi ro cao. Bất kỳ doanh nghiệp nào, dù quy mô nhỏ, nếu xử lý các loại dữ liệu này đều không được miễn trừ. Ví dụ: một phòng khám tư nhỏ, một ứng dụng tài chính cá nhân khởi nghiệp.
• Xử lý dữ liệu của số lượng lớn chủ thể dữ liệu: Mặc dù pháp luật chưa định nghĩa cụ thể “số lượng lớn”, nhưng nếu hoạt động của doanh nghiệp liên quan đến dữ liệu của hàng chục ngàn hoặc hàng trăm ngàn người dùng, doanh nghiệp đó có khả năng cao sẽ không được miễn trừ.

Cơ quan nhà nước có được miễn trừ nghĩa vụ này không?

Có. Theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, cơ quan nhà nước có thẩm quyền không phải thực hiện quy định về đánh giá tác động xử lý dữ liệu cá nhân. Tuy nhiên, họ vẫn phải tuân thủ các nguyên tắc bảo vệ dữ liệu khác.

Điều 21 Khoản 6 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định rõ: “Cơ quan nhà nước có thẩm quyền không phải thực hiện quy định về đánh giá tác động xử lý dữ liệu cá nhân quy định tại Điều này”. Đây là một điểm mới và quan trọng, giúp các cơ quan nhà nước tinh gọn thủ tục hành chính khi thực hiện các nhiệm vụ quản lý. Tuy nhiên, cần lưu ý rằng việc miễn trừ này chỉ áp dụng cho nghĩa vụ lập Hồ sơ đánh giá tác động. Các cơ quan nhà nước vẫn phải tuân thủ đầy đủ các nguyên tắc cốt lõi về bảo vệ dữ liệu, đảm bảo an toàn, bảo mật thông tin công dân và chịu trách nhiệm về hoạt động xử lý dữ liệu của mình.

Dù được miễn trừ, doanh nghiệp vẫn cần tuân thủ những nghĩa vụ tối thiểu nào?

Việc miễn trừ lập hồ sơ không đồng nghĩa với việc được miễn trừ toàn bộ trách nhiệm. Doanh nghiệp vẫn phải tuân thủ các nguyên tắc bảo vệ dữ liệu, có được sự đồng ý hợp lệ, bảo vệ quyền của chủ thể dữ liệu và áp dụng các biện pháp bảo mật cần thiết.

DPO.VN nhấn mạnh rằng, việc được miễn lập Hồ sơ đánh giá tác động chỉ là một sự giảm nhẹ về thủ tục hành chính, không phải là “giấy phép” để bỏ qua các nghĩa vụ bảo vệ dữ liệu cá nhân cơ bản. Các doanh nghiệp thuộc diện miễn trừ vẫn phải đảm bảo tuân thủ nghiêm ngặt các quy định sau:

• Tuân thủ các nguyên tắc bảo vệ dữ liệu: Vẫn phải tuân thủ 8 nguyên tắc trong Nghị định 13 (và 6 nguyên tắc trong Luật 91/2025/QH15), bao gồm tính hợp pháp, giới hạn mục đích, tối thiểu hóa dữ liệu, chính xác, bảo mật và giới hạn lưu trữ.
• Có được sự đồng ý hợp lệ: Phải có sự đồng ý của chủ thể dữ liệu một cách tự nguyện, rõ ràng và cụ thể trước khi xử lý dữ liệu, trừ các trường hợp pháp luật cho phép không cần sự đồng ý (Điều 11, Điều 17 Nghị định 13).
• Bảo vệ quyền của chủ thể dữ liệu: Phải đảm bảo các quyền của chủ thể dữ liệu như quyền được biết, truy cập, chỉnh sửa, xóa dữ liệu… (Điều 9 Nghị định 13).
• Áp dụng các biện pháp bảo vệ: Phải thực hiện các biện pháp quản lý và kỹ thuật cần thiết để bảo vệ dữ liệu cá nhân khỏi bị truy cập trái phép, mất mát hoặc phá hủy (Điều 26, 27 Nghị định 13).
• Thông báo khi có vi phạm: Nghĩa vụ thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao trong vòng 72 giờ khi xảy ra vi phạm vẫn được áp dụng (Điều 23 Nghị định 13).

Việc hiểu rõ phạm vi miễn trừ và các nghĩa vụ còn lại là chìa khóa để doanh nghiệp vừa tối ưu hóa nguồn lực, vừa đảm bảo hoạt động kinh doanh an toàn, bền vững và tuân thủ pháp luật.

Các Câu Hỏi Thường Gặp Về Miễn Trừ Lập Hồ Sơ Đánh Giá Tác Động

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Thủ tục Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
• Luật Hỗ trợ doanh nghiệp nhỏ và vừa 2017.
• Nghị định 80/2021/NĐ-CP hướng dẫn Luật Hỗ trợ doanh nghiệp nhỏ và vừa.
• Cổng thông tin điện tử Bộ Công an Việt Nam.