Thông Báo Gửi Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân Là Gì?

Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một thủ tục hành chính bắt buộc, giúp doanh nghiệp chứng minh sự tuân thủ quy định pháp luật và bảo vệ uy tín. Để hoàn thành nghĩa vụ này một cách chính xác và hiệu quả, doanh nghiệp có thể tìm đến sự hỗ trợ toàn diện từ DPO.VN, đơn vị chuyên sâu về bảo vệ dữ liệu cá nhân. Hoàn thiện hồ sơ, tuân thủ pháp luật, bảo vệ doanh nghiệp.

Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì?

Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là thủ tục hành chính mà tổ chức, cá nhân thực hiện để nộp Hồ sơ đánh giá tác động (HSĐGTĐ) đến cơ quan chức năng, cụ thể là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an. Đây là nghĩa vụ pháp lý bắt buộc theo Nghị định 13/2023/NĐ-CP, giúp doanh nghiệp chứng minh trách nhiệm giải trình và quản lý rủi ro một cách chủ động.

Theo quy định tại khoản 4 Điều 24 Nghị định số 13/2023/NĐ-CP, việc gửi thông báo kèm theo hồ sơ đánh giá tác động xử lý dữ liệu cá nhân không chỉ là một thủ tục hành chính đơn thuần. Nó là một bước đi chiến lược, thể hiện sự minh bạch và cam kết của doanh nghiệp trong việc bảo vệ quyền riêng tư của khách hàng, đối tác và nhân viên. Hoàn thành thủ tục này một cách chính xác và đúng hạn mang lại nhiều lợi ích thiết thực:

• Giảm thiểu rủi ro pháp lý: Việc nộp hồ sơ đúng quy định giúp doanh nghiệp tránh được các khoản phạt hành chính nặng, có thể lên đến 3 tỷ đồng theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Nâng cao uy tín thương hiệu: Một doanh nghiệp chủ động tuân thủ pháp luật về bảo vệ dữ liệu sẽ xây dựng được hình ảnh chuyên nghiệp, đáng tin cậy trong mắt khách hàng và đối tác.
• Tăng cường an ninh nội bộ: Quá trình lập hồ sơ buộc doanh nghiệp phải rà soát lại toàn bộ quy trình xử lý dữ liệu, từ đó phát hiện và khắc phục các lỗ hổng bảo mật, nâng cao khả năng phòng vệ trước các cuộc tấn công mạng.
• Chứng minh trách nhiệm giải trình: Hồ sơ đã nộp là bằng chứng hữu hình, giúp doanh nghiệp chứng minh sự tuân thủ của mình khi có tranh chấp hoặc khi cơ quan chức năng kiểm tra.

Quy trình 4 bước nộp Thông báo và Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân như thế nào?

Quy trình nộp hồ sơ bao gồm 4 bước chính: (1) Chuẩn bị đầy đủ thành phần hồ sơ theo mẫu quy định; (2) Lựa chọn cách thức nộp phù hợp (trực tuyến, trực tiếp hoặc bưu chính); (3) Đảm bảo nộp đúng thời hạn 60 ngày kể từ ngày bắt đầu xử lý dữ liệu; (4) Theo dõi và phản hồi yêu cầu từ cơ quan chức năng.

Để đảm bảo thủ tục được thực hiện suôn sẻ và đúng pháp luật, doanh nghiệp cần tuân thủ một quy trình rõ ràng. DPO.VN đã tổng hợp và chi tiết hóa các bước dựa trên hướng dẫn chính thức từ cơ quan chức năng.

Bước 1: Chuẩn bị thành phần hồ sơ đầy đủ và chính xác

Một bộ hồ sơ hợp lệ cần bao gồm Thông báo gửi hồ sơ, Hồ sơ đánh giá tác động chi tiết theo vai trò (Bên Kiểm soát, Bên Xử lý, Bên thứ ba), và các tài liệu pháp lý, kỹ thuật liên quan.

Đây là bước quan trọng nhất quyết định sự thành công của thủ tục. Một bộ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân chuẩn cần có các thành phần sau:

Bước 2: Lựa chọn và thực hiện cách thức nộp hồ sơ phù hợp

Doanh nghiệp có thể lựa chọn nộp hồ sơ qua ba hình thức: Trực tuyến qua Cổng thông tin quốc gia, nộp trực tiếp tại trụ sở A05, hoặc gửi qua đường bưu chính.

Pháp luật hiện hành cung cấp sự linh hoạt cho doanh nghiệp trong việc lựa chọn phương thức nộp hồ sơ:

• Trực tuyến: Đây là phương thức được khuyến khích nhất vì tính tiện lợi và nhanh chóng. Doanh nghiệp sẽ truy cập và nộp hồ sơ qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (địa chỉ cụ thể sẽ được Bộ Công an thông báo).
• Trực tiếp: Nộp hồ sơ tại trụ sở Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
• Bưu chính: Gửi hồ sơ qua dịch vụ bưu chính đến địa chỉ: “Bộ phận tiếp nhận và trả kết quả thủ tục hành chính về bảo vệ dữ liệu cá nhân tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an”.

Thời gian tiếp nhận hồ sơ là giờ hành chính các ngày làm việc từ thứ 2 đến thứ 6, trừ các ngày nghỉ lễ, Tết.

Bước 3: Tuân thủ nghiêm ngặt thời hạn nộp hồ sơ

Thời hạn nộp hồ sơ là 60 ngày, được tính từ ngày đầu tiên doanh nghiệp tiến hành xử lý dữ liệu cá nhân.

Đây là một trong những yêu cầu quan trọng nhất. Theo khoản 4 Điều 24 Nghị định 13/2023/NĐ-CP, doanh nghiệp phải gửi hồ sơ “trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân”. “Ngày tiến hành xử lý dữ liệu cá nhân” được hiểu là ngày đầu tiên doanh nghiệp thực hiện bất kỳ hoạt động nào tác động đến dữ liệu cá nhân như thu thập, ghi, phân tích, lưu trữ… Việc nộp hồ sơ trễ hạn có thể bị coi là hành vi vi phạm và có nguy cơ bị xử phạt.

Bước 4: Theo dõi quá trình xử lý và phản hồi từ cơ quan chức năng

Sau khi nộp, Cục A05 sẽ đánh giá và có thể yêu cầu bổ sung, hoàn thiện hồ sơ nếu chưa đầy đủ. Doanh nghiệp cần chủ động theo dõi và phản hồi kịp thời.

Sau khi nhận được hồ sơ, Cục A05 sẽ tiến hành đánh giá. Theo quy định, thời hạn giải quyết là không quá 10 ngày làm việc. Kết quả sẽ được thông báo qua Cổng thông tin quốc gia hoặc gửi văn bản trực tiếp. Trong trường hợp hồ sơ chưa đầy đủ hoặc chưa đúng quy định, Cục A05 sẽ yêu cầu doanh nghiệp hoàn thiện (khoản 5 Điều 24 Nghị định 13/2023/NĐ-CP). Doanh nghiệp cần nhanh chóng bổ sung theo yêu cầu để hoàn tất thủ tục.

Cơ quan nào chịu trách nhiệm tiếp nhận và xử lý hồ sơ?

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, hiện là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) thuộc Bộ Công an, là đơn vị đầu mối tiếp nhận và xử lý hồ sơ.

Điều 29 Nghị định 13/2023/NĐ-CP quy định rõ, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an. Đây là đơn vị có trách nhiệm giúp Bộ Công an thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân. Do đó, mọi hồ sơ, thông báo, báo cáo liên quan đến việc xử lý dữ liệu cá nhân, bao gồm cả Thông báo gửi HSĐGTĐ, đều phải được gửi đến cơ quan này.

Doanh nghiệp nào được miễn trừ nghĩa vụ nộp hồ sơ đánh giá tác động?

Theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, hộ kinh doanh, doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được miễn trừ nghĩa vụ này trong một thời gian nhất định, trừ một số trường hợp đặc biệt.

Nhằm tạo điều kiện cho các doanh nghiệp có quy mô nhỏ, pháp luật đã có những quy định miễn trừ lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Cụ thể, Điều 38 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (có hiệu lực từ 01/01/2026) quy định:

• Hộ kinh doanh, doanh nghiệp siêu nhỏ: Không phải thực hiện quy định về đánh giá tác động xử lý dữ liệu cá nhân (Điều 21).
• Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp: Được quyền lựa chọn không thực hiện quy định này trong thời gian 05 năm kể từ ngày Luật có hiệu lực (tức là đến hết ngày 31/12/2030).

Lưu ý quan trọng: Việc miễn trừ này không áp dụng nếu các doanh nghiệp trên kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm, hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu.

Các Câu Hỏi Thường Gặp Về Thủ Tục Nộp Hồ Sơ

Tài liệu tham khảo

• Thủ tục Thông báo gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
• Nghị định số 13/2023/NĐ-CP của Chính phủ quy định về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15
• Information Commissioner’s Office (ICO), UK: Hướng dẫn về Đánh giá tác động bảo vệ dữ liệu (DPIA)
• Cổng thông tin điện tử Bộ Công an.