Cập Nhật Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân

Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là nghĩa vụ pháp lý bắt buộc khi có thay đổi trong hoạt động của doanh nghiệp, giúp đảm bảo tuân thủ và giảm thiểu rủi ro. Để quy trình này diễn ra thuận lợi, DPO.VN cung cấp giải pháp toàn diện, giúp doanh nghiệp hoàn thiện tài liệu đánh giá rủi ro và thực hiện đúng thủ tục cập nhật hồ sơ.

Khi nào doanh nghiệp bắt buộc phải cập nhật Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Doanh nghiệp phải cập nhật hồ sơ định kỳ 06 tháng một lần theo Luật mới, hoặc cập nhật ngay lập tức khi có các thay đổi lớn như tổ chức lại công ty, thay đổi mục đích xử lý, hoặc phát sinh ngành nghề kinh doanh mới liên quan đến dữ liệu.

Việc duy trì một Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) cập nhật không chỉ là một yêu cầu tuân thủ mà còn là một hoạt động quản trị rủi ro thông minh. Pháp luật Việt Nam, cụ thể là Nghị định 13/2023/NĐ-CP và sắp tới là Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, đã quy định rất rõ ràng các thời điểm và trường hợp mà doanh nghiệp phải thực hiện nghĩa vụ này. Việc chủ động rà soát và cập nhật giúp doanh nghiệp tránh được các chế tài nghiêm khắc và thể hiện trách nhiệm với dữ liệu của khách hàng.

Cập nhật định kỳ theo quy định mới là gì?

Theo Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, hồ sơ phải được cập nhật định kỳ mỗi 06 tháng một lần khi có sự thay đổi, đảm bảo tính chính xác và phù hợp liên tục.

Một trong những điểm mới và quan trọng nhất của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, có hiệu lực từ ngày 01/01/2026, là quy định về việc cập nhật định kỳ. Cụ thể, tại Khoản 1 Điều 22, Luật nêu rõ: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới được cập nhật định kỳ 06 tháng khi có sự thay đổi. Điều này có nghĩa là, doanh nghiệp không chỉ cập nhật khi có biến động lớn, mà còn phải thực hiện rà soát và cập nhật đều đặn để đảm bảo hồ sơ luôn phản ánh chính xác thực trạng hoạt động xử lý dữ liệu của mình.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Việc quy định cập nhật định kỳ 6 tháng cho thấy nhà làm luật mong muốn các doanh nghiệp coi việc bảo vệ dữ liệu cá nhân là một quy trình liên tục, không phải là một nghĩa vụ chỉ thực hiện một lần. Chúng tôi tại DPO.VN khuyến nghị các doanh nghiệp nên thiết lập một lịch rà soát tuân thủ định kỳ, ví dụ vào cuối mỗi quý, để kịp thời phát hiện các thay đổi và chuẩn bị cho việc cập nhật hồ sơ, tránh bị động khi đến hạn.

Những thay đổi nào trong hoạt động kinh doanh yêu cầu cập nhật hồ sơ ngay lập tức?

Doanh nghiệp phải cập nhật hồ sơ ngay khi có thay đổi lớn về cơ cấu tổ chức, thay đổi thông tin về bộ phận/nhân sự bảo vệ dữ liệu, hoặc thay đổi, phát sinh ngành nghề kinh doanh liên quan đến xử lý dữ liệu cá nhân.

Bên cạnh việc cập nhật định kỳ, cả Nghị định 13/2023/NĐ-CP (Khoản 6 Điều 24) và Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (Khoản 2 Điều 22) đều yêu cầu doanh nghiệp phải cập nhật hồ sơ ngay khi có những thay đổi quan trọng. Đây là những tình huống có thể làm thay đổi đáng kể bản chất hoặc quy mô của hoạt động xử lý dữ liệu, đòi hỏi phải được đánh giá lại tác động.

Quy trình và thủ tục cập nhật hồ sơ được thực hiện như thế nào?

Doanh nghiệp cần hoàn thiện Thông báo thay đổi nội dung hồ sơ theo Mẫu số 05a hoặc 05b, kèm theo hồ sơ đánh giá tác động đã được cập nhật và các tài liệu chứng minh, sau đó nộp cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an.

Nắm rõ quy trình cập nhật giúp doanh nghiệp thực hiện nghĩa vụ một cách chính xác và hiệu quả. Thủ tục này được quy định chi tiết trong Nghị định 13/2023/NĐ-CP và các văn bản hướng dẫn của Bộ Công an.

Doanh nghiệp cần sử dụng biểu mẫu nào để thông báo thay đổi?

Doanh nghiệp sử dụng Mẫu số 05a (dành cho tổ chức) hoặc Mẫu số 05b (dành cho cá nhân) ban hành kèm theo Phụ lục của Nghị định 13/2023/NĐ-CP để thông báo thay đổi nội dung hồ sơ.

Pháp luật đã quy định các mẫu biểu cụ thể để đảm bảo tính thống nhất và đầy đủ thông tin khi doanh nghiệp thực hiện thông báo. Việc sử dụng đúng mẫu biểu là bước đầu tiên và quan trọng nhất trong quy trình cập nhật.

• Đối với tổ chức, doanh nghiệp: Sử dụng Mẫu số 05a – Thông báo thay đổi nội dung hồ sơ.
• Đối với cá nhân: Sử dụng Mẫu số 05b – Thông báo thay đổi nội dung hồ sơ.

Các mẫu này yêu cầu điền đầy đủ thông tin về tổ chức/cá nhân, mô tả tóm tắt nội dung và lý do thay đổi, đồng thời phải có chữ ký, ghi rõ họ tên và đóng dấu (đối với tổ chức) để đảm bảo tính pháp lý.

Nội dung cần kê khai trong thông báo thay đổi bao gồm những gì?

Thông báo thay đổi phải bao gồm thông tin định danh của doanh nghiệp, mô tả rõ ràng nội dung thay đổi, lý do thay đổi và danh mục các tài liệu chứng minh kèm theo.

Theo Mẫu số 05a và 05b, nội dung chính của một thông báo thay đổi cần có:

1. Thông tin về tổ chức, doanh nghiệp: Tên, địa chỉ, thông tin đăng ký kinh doanh, thông tin liên lạc và chi tiết về nhân sự/bộ phận chịu trách nhiệm bảo vệ dữ liệu cá nhân.
2. Mô tả tóm tắt thay đổi: Nêu rõ ràng, súc tích phần nội dung đã thay đổi trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Ví dụ: Thay đổi mục đích xử lý từ giao hàng sang phân tích hành vi khách hàng; bổ sung loại dữ liệu nhạy cảm là dữ liệu sinh trắc học.
3. Lý do thay đổi: Giải trình nguyên nhân dẫn đến sự thay đổi. Ví dụ: Do công ty triển khai hệ thống chấm công bằng nhận diện khuôn mặt; do ra mắt chương trình khách hàng thân thiết mới.
4. Tài liệu kèm theo: Liệt kê các hồ sơ, văn bản chứng minh cho sự thay đổi, bao gồm bản cập nhật của Hồ sơ đánh giá tác động (Mẫu Đ24-DLCN-01, 02, hoặc 03) và các giấy tờ liên quan khác.

Hồ sơ cập nhật được nộp cho cơ quan nào và bằng cách nào?

Hồ sơ được nộp cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an thông qua ba hình thức: Trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, nộp trực tiếp, hoặc qua đường bưu chính.

Dựa trên văn bản “Thủ tục thông báo thay đổi nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân”, doanh nghiệp có thể lựa chọn một trong các phương thức sau để nộp hồ sơ cập nhật:

• Trực tuyến: Thông qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (khi được Bộ Công an chính thức công bố và đưa vào hoạt động). Đây là phương thức được khuyến khích vì tính tiện lợi và nhanh chóng.
• Trực tiếp: Nộp hồ sơ tại trụ sở Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
• Bưu chính: Gửi hồ sơ đến Bộ phận tiếp nhận và trả kết quả thủ tục hành chính về bảo vệ dữ liệu cá nhân tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.

Sau khi nhận hồ sơ, Cục A05 sẽ phản hồi kết quả trong thời hạn không quá 10 ngày làm việc.

Quy định cập nhật hồ sơ giữa Nghị định 13 và Luật mới có gì khác biệt?

Điểm khác biệt lớn nhất là Luật mới bổ sung yêu cầu cập nhật định kỳ 06 tháng khi có thay đổi, trong khi Nghị định 13 chỉ yêu cầu cập nhật khi có sự thay đổi về nội dung. Luật mới cũng làm rõ hơn các trường hợp phải cập nhật ngay lập tức.

Mặc dù tinh thần chung là duy trì hồ sơ chính xác, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đã nâng cao và cụ thể hóa yêu cầu so với Nghị định 13/2023/NĐ-CP.

Ai chịu trách nhiệm theo dõi và thực hiện cập nhật hồ sơ trong doanh nghiệp?

Trách nhiệm chính thuộc về bộ phận hoặc nhân sự được chỉ định chức năng bảo vệ dữ liệu cá nhân (DPO), với sự phối hợp chặt chẽ từ các phòng ban liên quan như Pháp chế, IT, Nhân sự, và Kinh doanh.

Việc xác định rõ trách nhiệm nội bộ là yếu tố then chốt để đảm bảo tuân thủ. Theo Điều 28 và Điều 33 của Nghị định 13 và Luật mới, các tổ chức có trách nhiệm chỉ định bộ phận hoặc nhân sự chuyên trách.

• Bộ phận/Nhân sự bảo vệ dữ liệu cá nhân (DPO): Đây là đầu mối chính, chịu trách nhiệm theo dõi các thay đổi trong hoạt động của công ty, rà soát, đề xuất và chủ trì việc cập nhật hồ sơ.
• Phòng Pháp chế: Đảm bảo các thay đổi và nội dung cập nhật tuân thủ đúng quy định của pháp luật.
• Phòng Công nghệ thông tin (IT): Cung cấp thông tin về các thay đổi kỹ thuật, hệ thống, các biện pháp bảo mật mới được áp dụng.
• Các phòng ban nghiệp vụ (Kinh doanh, Marketing, Nhân sự): Thông báo cho DPO về các chiến dịch, sản phẩm, quy trình mới có liên quan đến việc thu thập và xử lý dữ liệu cá nhân.

DPO.VN khuyến nghị doanh nghiệp nên xây dựng một quy chế phối hợp nội bộ, quy định rõ quy trình báo cáo và cung cấp thông tin giữa các phòng ban cho DPO để việc cập nhật hồ sơ được thực hiện kịp thời và chính xác.

Doanh nghiệp đối mặt với rủi ro pháp lý nào nếu không cập nhật hồ sơ đúng hạn?

Không cập nhật hồ sơ là hành vi vi phạm quy định về đánh giá tác động, có thể bị xử phạt hành chính lên đến 3 tỷ đồng, đồng thời ảnh hưởng đến tính hợp pháp của các hoạt động xử lý dữ liệu mới và làm giảm uy tín của doanh nghiệp.

Việc không cập nhật hoặc cập nhật chậm trễ hồ sơ không phải là một sai sót nhỏ mà là một hành vi vi phạm pháp luật nghiêm trọng. Theo Mẫu số 03a – Thông báo vi phạm quy định bảo vệ dữ liệu cá nhân, hành vi “Vi phạm quy định về đánh giá tác động xử lý dữ liệu cá nhân” là một trong các hành vi vi phạm cụ thể.

Hậu quả pháp lý có thể bao gồm:

• Xử phạt hành chính: Theo Khoản 5, Điều 8 của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, mức phạt tiền tối đa cho các hành vi vi phạm trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng đối với tổ chức.
• Mất tính hợp pháp: Các hoạt động xử lý dữ liệu phát sinh từ những thay đổi chưa được cập nhật trong hồ sơ có thể bị coi là không hợp pháp, dẫn đến các rủi ro tranh chấp và yêu cầu bồi thường thiệt hại từ chủ thể dữ liệu.
• Ảnh hưởng uy tín: Việc bị cơ quan chức năng xử phạt sẽ gây tổn hại nghiêm trọng đến hình ảnh và niềm tin của khách hàng, đối tác đối với doanh nghiệp.

Do đó, việc tuân thủ nghiêm ngặt nghĩa vụ cập nhật hồ sơ là một khoản đầu tư cần thiết để bảo vệ doanh nghiệp khỏi những thiệt hại tài chính và phi tài chính to lớn.

Các Câu Hỏi Thường Gặp Về Cập Nhật Hồ Sơ Đánh Giá Tác Động

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15
• Thủ tục hành chính liên quan đến bảo vệ dữ liệu cá nhân
• Cổng Thông tin điện tử Bộ Công an
• Các văn bản pháp luật về An ninh mạng và Bảo vệ dữ liệu