Doanh Nghiệp 1 Người Lao Động Có Phải Lập Hồ Sơ Đánh Giá Tác Động Không?

Doanh nghiệp 1 người lao động có phải lập hồ sơ đánh giá tác động không? Câu trả lời là có, nhưng bạn có thể được hưởng cơ chế miễn trừ đặc biệt trong 5 năm đầu hoạt động nếu đáp ứng đủ điều kiện. Hãy cùng DPO.VN giải mã chi tiết các quy định pháp lý mới nhất để đảm bảo doanh nghiệp siêu nhỏ của bạn vừa tuân thủ luật pháp, vừa tối ưu chi phí vận hành.

Doanh nghiệp siêu nhỏ có được miễn lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân không?

Có, theo Điều 38 Luật Bảo vệ dữ liệu cá nhân (hiệu lực từ 01/01/2026) và Điều 41 Nghị định 356/2025/NĐ-CP, doanh nghiệp siêu nhỏ được miễn lập hồ sơ này, trừ khi kinh doanh dịch vụ xử lý dữ liệu, xử lý dữ liệu nhạy cảm hoặc xử lý quy mô lớn (từ 100.000 chủ thể).

Đây là một tin vui lớn cho cộng đồng doanh nghiệp siêu nhỏ (bao gồm cả doanh nghiệp chỉ có 1 người lao động). Quy định này nhằm giảm bớt gánh nặng thủ tục hành chính, tạo điều kiện thuận lợi cho các doanh nghiệp quy mô nhỏ tập trung phát triển kinh doanh trong giai đoạn đầu. Tuy nhiên, sự “miễn trừ” này không phải là tuyệt đối và vĩnh viễn.

Cụ thể, Khoản 3 Điều 38 Luật Bảo vệ dữ liệu cá nhân quy định: “Hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện quy định tại Điều 21 [về Đánh giá tác động xử lý dữ liệu cá nhân], Điều 22 [về Cập nhật hồ sơ] và khoản 2 Điều 33 [về Chỉ định bộ phận/nhân sự bảo vệ dữ liệu] của Luật này”. Quy định này áp dụng vô thời hạn chừng nào doanh nghiệp vẫn còn giữ quy mô là “siêu nhỏ” và không vi phạm vào 3 điều kiện loại trừ quan trọng mà chúng ta sẽ phân tích kỹ ở phần sau.

Tiêu chí xác định “doanh nghiệp siêu nhỏ” là gì?

Theo quy định hiện hành của pháp luật Việt Nam (Nghị định 80/2021/NĐ-CP), doanh nghiệp siêu nhỏ được xác định dựa trên số lao động tham gia bảo hiểm xã hội bình quân năm và tổng doanh thu hoặc tổng nguồn vốn.

• Lĩnh vực Nông nghiệp, lâm nghiệp, thủy sản và Lĩnh vực Công nghiệp, xây dựng: Sử dụng không quá 10 người lao động VÀ (Tổng doanh thu không quá 3 tỷ đồng/năm HOẶC Tổng nguồn vốn không quá 3 tỷ đồng).
• Lĩnh vực Thương mại, dịch vụ: Sử dụng không quá 10 người lao động VÀ (Tổng doanh thu không quá 10 tỷ đồng/năm HOẶC Tổng nguồn vốn không quá 3 tỷ đồng).

Như vậy, một doanh nghiệp chỉ có 1 người lao động chắc chắn thuộc nhóm “siêu nhỏ” về tiêu chí nhân sự. Tuy nhiên, cần lưu ý cả tiêu chí về doanh thu và nguồn vốn để đảm bảo xác định đúng tư cách pháp lý của mình.

Khi nào doanh nghiệp 1 người lao động BẮT BUỘC phải lập hồ sơ dù là siêu nhỏ?

Dù là siêu nhỏ, bạn vẫn PHẢI lập hồ sơ nếu rơi vào 1 trong 3 trường hợp: Kinh doanh dịch vụ xử lý dữ liệu cá nhân; Trực tiếp xử lý dữ liệu cá nhân nhạy cảm; hoặc Xử lý dữ liệu của từ 100.000 chủ thể trở lên.

Quyền miễn trừ không phải là tấm khiên bảo vệ tuyệt đối. Điều 41 Nghị định 356/2025/NĐ-CP đã quy định rõ ràng 3 trường hợp ngoại lệ. Nếu doanh nghiệp của bạn chạm vào bất kỳ “vùng cấm” nào dưới đây, nghĩa vụ lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân sẽ được kích hoạt ngay lập tức, bất kể quy mô nhân sự.

1. Kinh doanh dịch vụ xử lý dữ liệu cá nhân

Nếu mô hình kinh doanh cốt lõi của bạn là kiếm tiền từ việc xử lý dữ liệu cho người khác, bạn không được miễn trừ. Điều này bao gồm các dịch vụ như:

• Cung cấp phần mềm quản lý nhân sự (HRM), quản lý khách hàng (CRM) dạng SaaS.
• Dịch vụ phân tích dữ liệu thuê, nghiên cứu thị trường dựa trên dữ liệu khách hàng.
• Các dịch vụ tiếp thị số (digital marketing) có thu thập và xử lý danh sách khách hàng mục tiêu cho đối tác.

2. Trực tiếp xử lý dữ liệu cá nhân nhạy cảm

Đây là “cái bẫy” mà nhiều doanh nghiệp nhỏ dễ mắc phải. Dữ liệu cá nhân nhạy cảm được định nghĩa tại Điều 4 Nghị định 356/2025/NĐ-CP bao gồm rất nhiều loại thông tin phổ biến:

• Thông tin tài khoản ngân hàng, lịch sử giao dịch, thông tin tín dụng (Rất phổ biến với các shop bán hàng online).
• Dữ liệu vị trí cá nhân qua dịch vụ định vị (GPS).
• Thông tin sức khỏe, tình trạng bệnh lý (Các phòng khám tư nhân nhỏ, dịch vụ chăm sóc sức khỏe tại nhà).
• Dữ liệu sinh trắc học (vân tay, khuôn mặt) dùng để chấm công hoặc xác thực.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: “Chỉ cần bạn lưu trữ số tài khoản ngân hàng của khách hàng để hoàn tiền hoặc đối soát, bạn đã đang xử lý dữ liệu nhạy cảm và mất quyền miễn trừ. Hãy rà soát thật kỹ loại dữ liệu mình đang nắm giữ.”

3. Xử lý dữ liệu quy mô lớn (từ 100.000 chủ thể)

Quy định này áp dụng cho các doanh nghiệp công nghệ, ứng dụng di động hoặc các trang thương mại điện tử có lượng người dùng lớn dù nhân sự vận hành rất ít. Nếu hệ thống của bạn tích lũy tổng lượng dữ liệu của từ 100.000 người dùng trở lên, bạn bắt buộc phải lập hồ sơ đánh giá tác động để đảm bảo an toàn cho kho dữ liệu khổng lồ đó.

Ngoài hồ sơ đánh giá tác động, doanh nghiệp 1 người còn phải làm gì?

Dù được miễn lập hồ sơ, bạn vẫn phải tuân thủ các nguyên tắc bảo vệ dữ liệu, đảm bảo quyền của chủ thể dữ liệu (sửa, xóa, rút lại đồng ý), áp dụng biện pháp bảo mật và thông báo vi phạm khi có sự cố.

Đừng nhầm lẫn giữa việc “miễn lập hồ sơ” với việc “miễn tuân thủ pháp luật”. Doanh nghiệp siêu nhỏ vẫn là một chủ thể quan trọng trong hệ sinh thái dữ liệu và phải chịu trách nhiệm đầy đủ về dữ liệu mình nắm giữ.

Hướng dẫn lập hồ sơ đánh giá tác động nếu bạn thuộc diện bắt buộc

Nếu không được miễn trừ, bạn cần lập Hồ sơ đánh giá tác động theo Mẫu 01a/01b, gửi về Cục A05 trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu. Hồ sơ cần mô tả chi tiết loại dữ liệu, mục đích, biện pháp bảo vệ và đánh giá rủi ro.

Đối với doanh nghiệp 1 người nhưng kinh doanh dịch vụ xử lý dữ liệu hoặc xử lý dữ liệu nhạy cảm, việc lập hồ sơ là bắt buộc. Quy trình thực hiện như sau:

• Bước 1: Chuẩn bị hồ sơ. Sử dụng Mẫu Đ24-DLCN-01 (dành cho Bên Kiểm soát và xử lý dữ liệu). Nội dung bao gồm thông tin doanh nghiệp, loại dữ liệu xử lý, mục đích, thời gian lưu trữ và các biện pháp bảo vệ đã áp dụng.
• Bước 2: Điền tờ khai thông báo. Sử dụng Mẫu số 02a (cho tổ chức) hoặc Mẫu số 02a (theo Nghị định 356/2025/NĐ-CP) để làm tờ trình gửi kèm hồ sơ.
• Bước 3: Nộp hồ sơ. Gửi 01 bản chính về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an. Bạn có thể nộp trực tiếp, qua bưu điện hoặc trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
• Bước 4: Theo dõi và cập nhật. Hồ sơ sẽ được thẩm định. Nếu có yêu cầu chỉnh sửa, bạn cần hoàn thiện trong vòng 30 ngày.

Tham khảo thêm hướng dẫn chi tiết tại: Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

Các câu hỏi thường gặp (FAQ)

Tài liệu tham khảo

• Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Chính phủ (2025), Nghị định số 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
• Chính phủ (2021), Nghị định số 80/2021/NĐ-CP quy định chi tiết và hướng dẫn thi hành một số điều của Luật Hỗ trợ doanh nghiệp nhỏ và vừa.
• Bộ Công an, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.