Lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là nghĩa vụ pháp lý bắt buộc, giúp doanh nghiệp chứng minh sự tuân thủ và sẵn sàng cho các cuộc kiểm tra của cơ quan chức năng. Để thực hiện đúng quy định và bảo vệ doanh nghiệp, DPO.VN cung cấp giải pháp toàn diện giúp bạn hoàn thiện thủ tục này một cách chính xác và hiệu quả. Trách nhiệm lưu trữ, thời hạn bảo quản, quy trình tuân thủ.

Trách nhiệm lập và lưu trữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân thuộc về bên nào?

Trách nhiệm lập và lưu trữ hồ sơ thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, và Bên Xử lý dữ liệu cá nhân. Các bên phải chủ động thực hiện nghĩa vụ này ngay từ khi bắt đầu hoạt động xử lý dữ liệu.

Việc xác định rõ trách nhiệm trong việc lưu trữ hồ sơ là bước đầu tiên và quan trọng nhất để đảm bảo tuân thủ Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân (có hiệu lực từ 01/01/2026). Quy định này không chỉ là một thủ tục hành chính mà còn là bằng chứng cốt lõi cho nguyên tắc trách nhiệm giải trình của doanh nghiệp.

Theo Điều 18 và Điều 19 Nghị định 356/2025/NĐ-CP, trách nhiệm lập và lưu trữ được phân định rõ ràng như sau:

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Việc phân định rõ trách nhiệm này là cực kỳ quan trọng. Bên Kiểm soát dữ liệu không thể ủy thác hoàn toàn nghĩa vụ này cho Bên Xử lý. Trong hợp đồng xử lý dữ liệu, cần có điều khoản quy định rõ việc Bên Xử lý phải cung cấp đầy đủ thông tin để Bên Kiểm soát hoàn thiện và lưu trữ hồ sơ tổng thể. Đây là cơ sở để bảo vệ doanh nghiệp khi có tranh chấp hoặc thanh tra.

Doanh nghiệp cần đáp ứng các yêu cầu nào về hình thức, thời hạn và biện pháp bảo quản hồ sơ?

Hồ sơ phải được lập bằng văn bản có giá trị pháp lý, luôn có sẵn, và được bảo vệ bằng các biện pháp quản lý, kỹ thuật phù hợp để đảm bảo tính toàn vẹn, bảo mật và sẵn sàng cung cấp cho cơ quan chức năng khi được yêu cầu.

Việc lưu trữ hồ sơ không chỉ đơn thuần là cất giữ tài liệu mà phải tuân thủ các quy định cụ thể về hình thức, thời gian và biện pháp bảo vệ để đảm bảo giá trị pháp lý và tính hữu dụng của nó.

Về Hình thức và Thời hạn Lưu trữ thì sao?

Hồ sơ phải được lập dưới dạng văn bản (giấy hoặc điện tử có giá trị pháp lý) và lưu trữ trong suốt thời gian hoạt động xử lý dữ liệu của doanh nghiệp.

Căn cứ Điều 20 Nghị định 356/2025/NĐ-CP, Hồ sơ đánh giá tác động phải được xác lập bằng văn bản có giá trị pháp lý. Điều này có nghĩa là:

• Đối với hồ sơ giấy: Phải có đầy đủ chữ ký, đóng dấu của người đại diện theo pháp luật hoặc người được ủy quyền của doanh nghiệp.
• Đối với hồ sơ điện tử: Phải được ký bằng chữ ký số theo quy định của pháp luật về giao dịch điện tử để đảm bảo tính xác thực và toàn vẹn.

Về thời hạn, pháp luật yêu cầu hồ sơ phải được lưu giữ kể từ thời điểm bắt đầu xử lý dữ liệu và trong suốt quá trình hoạt động. Điều này có nghĩa là không có thời hạn kết thúc cụ thể, miễn là doanh nghiệp còn xử lý dữ liệu cá nhân theo các mục đích đã nêu trong hồ sơ.

Các biện pháp bảo quản hồ sơ cần áp dụng là gì?

Doanh nghiệp phải kết hợp các biện pháp quản lý và kỹ thuật như kiểm soát truy cập, mã hóa, sao lưu định kỳ và quy định nội bộ rõ ràng để bảo vệ hồ sơ khỏi các nguy cơ mất mát, hư hỏng hoặc truy cập trái phép.

Khoản 4 Điều 20 Nghị định 356/2025/NĐ-CP yêu cầu hồ sơ phải “luôn có sẵn”. Để đáp ứng yêu cầu này, DPO.VN khuyến nghị doanh nghiệp triển khai các biện pháp bảo quản sau:

• Biện pháp quản lý:
  • Xây dựng quy chế nội bộ về việc lưu trữ, truy cập và bảo quản hồ sơ.
  • Phân quyền truy cập hồ sơ một cách chặt chẽ, chỉ những cá nhân, bộ phận có trách nhiệm (như bộ phận pháp chế, DPO) mới được phép truy cập.
  • Ghi lại nhật ký các lần truy cập, chỉnh sửa hồ sơ để phục vụ việc truy vết khi cần thiết.
• Biện pháp kỹ thuật:
  • Đối với hồ sơ điện tử, cần lưu trữ trên các hệ thống an toàn, có kiểm soát truy cập bằng mật khẩu mạnh và xác thực đa yếu tố.
  • Thực hiện mã hóa các tệp hồ sơ chứa thông tin nhạy cảm.
  • Thực hiện sao lưu (backup) hồ sơ định kỳ và lưu trữ bản sao ở một vị trí an toàn khác để phòng ngừa rủi ro mất mát dữ liệu do sự cố kỹ thuật hoặc tấn công mạng.

Mục đích của việc lưu trữ và quy trình cung cấp hồ sơ cho cơ quan chức năng được quy định như thế nào?

Mục đích chính là để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an, chứng minh sự tuân thủ của doanh nghiệp. Doanh nghiệp phải đảm bảo hồ sơ luôn sẵn có và cung cấp kịp thời khi có yêu cầu từ cơ quan có thẩm quyền.

Việc lưu trữ hồ sơ không phải là một nghĩa vụ hình thức. Nó đóng vai trò trung tâm trong cơ chế giám sát và thực thi pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam.

Khoản 4 Điều 20 Nghị định 356/2025/NĐ-CP nêu rõ hồ sơ “phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an”. Cụ thể:

• Mục đích: Là tài liệu gốc để cơ quan chức năng, cụ thể là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), đối chiếu, kiểm tra và đánh giá việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân của doanh nghiệp.
• Nghĩa vụ cung cấp: Khi nhận được yêu cầu kiểm tra từ Bộ Công an, doanh nghiệp có nghĩa vụ cung cấp đầy đủ, chính xác và kịp thời bộ hồ sơ đang được lưu trữ. Việc chậm trễ hoặc không cung cấp được hồ sơ có thể bị xem là hành vi không hợp tác hoặc cản trở hoạt động của cơ quan có thẩm quyền.

DPO.VN nhận thấy, một bộ hồ sơ được chuẩn bị kỹ lưỡng, đầy đủ và được lưu trữ khoa học không chỉ giúp doanh nghiệp dễ dàng vượt qua các cuộc kiểm tra mà còn thể hiện sự chuyên nghiệp và nghiêm túc trong việc tuân thủ pháp luật, tạo dựng niềm tin với cơ quan quản lý.

Khi cập nhật hồ sơ, doanh nghiệp có phải lưu trữ lại các phiên bản cũ không?

Pháp luật hiện hành không quy định bắt buộc phải lưu trữ các phiên bản cũ, tuy nhiên, việc lưu trữ này được khuyến khích mạnh mẽ như một thông lệ tốt nhất để phục vụ việc truy vết, kiểm toán và chứng minh lịch sử tuân thủ.

Cả Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân đều yêu cầu doanh nghiệp phải cập nhật, bổ sung Hồ sơ đánh giá tác động khi có sự thay đổi về nội dung đã gửi cho Bộ Công an (Điều 20 Nghị định 356/2025/NĐ-CP, Điều 22 Luật Bảo vệ dữ liệu cá nhân). Tuy nhiên, quy định về việc có phải lưu trữ các phiên bản cũ hay không chưa được nêu rõ.

Dựa trên kinh nghiệm tư vấn và thực tiễn quốc tế (như GDPR), DPO.VN đưa ra khuyến nghị sau:

• Nên lưu trữ phiên bản cũ: Việc lưu trữ các phiên bản hồ sơ đã được phê duyệt và nộp trước đây là một thực hành quản trị rủi ro thông minh. Nó tạo ra một “dấu vết kiểm toán” (audit trail) rõ ràng, giúp doanh nghiệp:
  • Chứng minh được sự tuân thủ tại các thời điểm khác nhau trong quá khứ.
  • Giải trình được lý do và thời điểm của các thay đổi trong hoạt động xử lý dữ liệu.
  • Phục vụ công tác điều tra nội bộ hoặc giải quyết tranh chấp nếu có sự cố xảy ra liên quan đến các hoạt động xử lý dữ liệu trong quá khứ.
• Cách thức quản lý phiên bản: Doanh nghiệp nên xây dựng một hệ thống quản lý tài liệu có kiểm soát phiên bản (version control). Mỗi phiên bản hồ sơ cần được đánh số, ghi ngày tháng hiệu lực và lưu trữ một cách có tổ chức, dễ dàng truy xuất khi cần.

Doanh nghiệp đối mặt với rủi ro và chế tài nào nếu không lưu trữ hoặc lưu trữ hồ sơ không đúng cách?

Không lưu trữ hoặc không thể xuất trình hồ sơ khi bị kiểm tra là một vi phạm nghiêm trọng, có thể dẫn đến xử phạt hành chính lên đến 3 tỷ đồng, bị xem là tình tiết tăng nặng trong các vi phạm khác và gây tổn hại lớn đến uy tín doanh nghiệp.

Hậu quả của việc không tuân thủ nghĩa vụ lưu trữ hồ sơ là rất đáng kể và có thể ảnh hưởng nghiêm trọng đến hoạt động kinh doanh.

1. Xử phạt vi phạm hành chính:

Hành vi không lập, lưu trữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là vi phạm quy định tại Điều 19 Nghị định 356/2025/NĐ-CP. Theo Điều 8 Luật Bảo vệ dữ liệu cá nhân, đây được xếp vào nhóm “các hành vi vi phạm khác”, với mức phạt tiền tối đa đối với tổ chức là 03 tỷ đồng.

2. Rủi ro pháp lý khác:

• Mất khả năng chứng minh tuân thủ: Khi không có hồ sơ, doanh nghiệp sẽ không có bằng chứng để chứng minh rằng mình đã thực hiện trách nhiệm giải trình và tuân thủ các nguyên tắc bảo vệ dữ liệu. Điều này sẽ là một bất lợi cực lớn trong bất kỳ cuộc kiểm tra hoặc tranh chấp pháp lý nào.
• Tình tiết tăng nặng: Nếu doanh nghiệp có các vi phạm khác (ví dụ: để xảy ra sự cố lộ, mất dữ liệu), việc không có hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì có thể bị coi là một tình tiết tăng nặng, dẫn đến mức phạt cao hơn.
• Tổn hại uy tín: Việc không tuân thủ một nghĩa vụ cơ bản như lưu trữ hồ sơ cho thấy sự thiếu chuyên nghiệp và thiếu tôn trọng pháp luật, có thể làm suy giảm nghiêm trọng niềm tin của khách hàng, đối tác và nhà đầu tư.

Việc tuân thủ nghiêm ngặt các quy định về lưu trữ hồ sơ không chỉ là nghĩa vụ pháp lý mà còn là một khoản đầu tư chiến lược vào sự bền vững và uy tín của doanh nghiệp.

Các Câu Hỏi Thường Gặp Về Lưu Trữ Hồ Sơ Đánh Giá Tác Động

Tài liệu tham khảo

• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành luật bảo vệ dữ liệu cá nhân.
• Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân.
• Thư Viện Pháp Luật: Luật An ninh mạng 2018 số 24/2018/QH14.
• International Association of Privacy Professionals (IAPP): The importance of data retention policies.
• Thủ tục hành chính về bảo vệ dữ liệu cá nhân.