Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân Mới Nhất

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một nghĩa vụ pháp lý trọng yếu theo Nghị định 13/2023/NĐ-CP, giúp doanh nghiệp nhận diện và giảm thiểu rủi ro trước khi tiến hành các hoạt động xử lý thông tin. Để đảm bảo tuân thủ chính xác và toàn diện, hãy tham khảo hướng dẫn chuyên sâu từ DPO.VN, mang lại giải pháp an toàn và hiệu quả nhất cho doanh nghiệp của bạn. Lập báo cáo tác động, tuân thủ pháp luật, bảo vệ thông tin.

Khi nào doanh nghiệp bắt buộc phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Doanh nghiệp phải lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân kể từ thời điểm bắt đầu xử lý dữ liệu, áp dụng cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, và cả Bên Xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng.

khi-nao-doanh-nghiep-phai-lap-ho-so-danh-gia-tac-dong-xu-ly-du-lieu-ca-nhan

Theo quy định tại Điều 24 của Nghị định 13/2023/NĐ-CP, nghĩa vụ lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (ĐGĐTXLDLCN) là một yêu cầu bắt buộc và có phạm vi áp dụng rộng rãi. Đây không phải là một lựa chọn mà là một trách nhiệm pháp lý cốt lõi nhằm đảm bảo nguyên tắc trách nhiệm giải trình trong bảo vệ dữ liệu. Cụ thể, các đối tượng sau đây phải thực hiện nghĩa vụ này:

  • Bên Kiểm soát dữ liệu cá nhân: Là tổ chức hoặc cá nhân quyết định mục đích (TẠI SAO) và phương tiện (BẰNG CÁCH NÀO) xử lý dữ liệu. Đây là đối tượng chính yếu phải lập và lưu giữ hồ sơ này ngay từ khi bắt đầu hoạt động xử lý.
  • Bên Kiểm soát và xử lý dữ liệu cá nhân: Là các tổ chức, cá nhân vừa quyết định mục đích, phương tiện, vừa trực tiếp xử lý dữ liệu. Họ cũng phải tuân thủ yêu cầu lập hồ sơ tương tự như Bên Kiểm soát.
  • Bên Xử lý dữ liệu cá nhân: Là tổ chức, cá nhân xử lý dữ liệu thay mặt cho Bên Kiểm soát thông qua hợp đồng. Họ cũng phải lập và lưu giữ Hồ sơ ĐGĐTXLDLCN riêng, tập trung vào các hoạt động xử lý theo hợp đồng.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Nhiều doanh nghiệp lầm tưởng rằng chỉ khi xử lý dữ liệu quy mô lớn hoặc dữ liệu nhạy cảm mới cần lập hồ sơ này. Thực tế, quy định hiện hành áp dụng cho mọi hoạt động xử lý dữ liệu cá nhân ngay từ thời điểm bắt đầu, trừ các trường hợp được miễn trừ cụ thể. Việc chủ động lập hồ sơ không chỉ là tuân thủ pháp luật mà còn là một công cụ quản trị rủi ro hiệu quả, giúp doanh nghiệp nhận diện các lỗ hổng tiềm ẩn trong quy trình bảo vệ dữ liệu của mình.

Doanh nghiệp cần chuẩn bị những thành phần nào và lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân ra sao?

Doanh nghiệp cần chuẩn bị bộ hồ sơ gồm Thông báo gửi hồ sơ (theo Mẫu số 04a hoặc 04b) và Hồ sơ đánh giá tác động chi tiết theo các mẫu biểu Mẫu Đ24-DLCN-01, Mẫu Đ24-DLCN-02, hoặc Mẫu Đ24-DLCN-03 tùy thuộc vào vai trò của mình trong hoạt động xử lý dữ liệu.

doanh-nghiep-can-chuan-bi-nhung-thanh-phan-ho-so-danh-gia-tac-dong-nao

Việc lập hồ sơ đòi hỏi sự chi tiết và đầy đủ thông tin theo quy định của pháp luật. Thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được quy định rõ ràng trong Nghị định 13/2023/NĐ-CP và các văn bản hướng dẫn. DPO.VN hướng dẫn quy trình lập hồ sơ theo các bước sau:

Bước 1: Xác định vai trò và lựa chọn mẫu biểu phù hợp

Doanh nghiệp cần xác định chính xác vai trò của mình trong chu trình xử lý dữ liệu để chọn đúng mẫu hồ sơ:

Vai Trò Mẫu Biểu Cần Sử Dụng Mô Tả
Bên Kiểm soát dữ liệu cá nhân / Bên Kiểm soát và xử lý dữ liệu cá nhân Mẫu Đ24-DLCN-01 Dành cho đơn vị quyết định mục đích và phương tiện xử lý dữ liệu.
Bên Xử lý dữ liệu cá nhân Mẫu Đ24-DLCN-02 Dành cho đơn vị xử lý dữ liệu theo hợp đồng cho Bên Kiểm soát.
Bên thứ ba Mẫu Đ24-DLCN-03 Dành cho các bên khác được phép xử lý dữ liệu ngoài các vai trò trên.

Bước 2: Chuẩn bị thông tin và điền hồ sơ chi tiết

Nội dung của hồ sơ rất chi tiết, bao gồm các phần chính sau đây:

  • Thông tin pháp nhân: Tên, địa chỉ, mã số thuế, người đại diện của Bên Kiểm soát, Bên Xử lý và Bên thứ ba (nếu có).
  • Thông tin bộ phận và nhân sự bảo vệ dữ liệu: Cung cấp chi tiết về bộ phận và cá nhân được phân công nhiệm vụ bảo vệ dữ liệu cá nhân (kèm quyết định phân công).
  • Mô tả hoạt động xử lý dữ liệu: Đây là phần quan trọng nhất, cần nêu rõ:
    • Mục đích xử lý: Phải cụ thể, rõ ràng và hợp pháp.
    • Loại dữ liệu được xử lý: Phân loại rõ dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
    • Thời gian xử lý: Thời gian bắt đầu và thời gian dự kiến kết thúc xử lý.
    • Chuyển dữ liệu ra nước ngoài: Nêu rõ có hay không và tuân thủ quy định tại Điều 25 Nghị định 13.
    • Các biện pháp bảo vệ được áp dụng: Mô tả cả biện pháp quản lý và biện pháp kỹ thuật.
  • Đánh giá tác động xử lý dữ liệu cá nhân: Phân tích các tác động tiềm tàng đến quyền của chủ thể dữ liệu, kinh tế, xã hội, thủ tục hành chính và hệ thống pháp luật. Phần này yêu cầu doanh nghiệp phải đánh giá rủi ro, hậu quả có thể xảy ra và đề xuất các biện pháp giảm thiểu.

Bước 3: Tập hợp các tài liệu chứng minh kèm theo

Ngoài các mẫu biểu đã điền, doanh nghiệp cần chuẩn bị các giấy tờ sau để nộp kèm:

  • Bản sao Giấy chứng nhận đăng ký kinh doanh hoặc quyết định thành lập.
  • Bản sao Quyết định phân công bộ phận/nhân sự phụ trách bảo vệ dữ liệu cá nhân.
  • Bản sao các hợp đồng, thỏa thuận liên quan đến việc xử lý dữ liệu với các bên khác (nếu có).

Quy trình và thủ tục nộp Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cho cơ quan chức năng được thực hiện như thế nào?

Doanh nghiệp phải nộp 01 bộ hồ sơ bản chính cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an trong thời hạn 60 ngày kể từ ngày bắt đầu xử lý dữ liệu, thông qua các hình thức trực tuyến, trực tiếp hoặc bưu chính.

Thủ tục nộp hồ sơ được hướng dẫn chi tiết nhằm tạo điều kiện thuận lợi cho các tổ chức, cá nhân tuân thủ. Doanh nghiệp cần nắm rõ các mốc thời gian và địa chỉ để thực hiện đúng quy định.

  1. Thời hạn nộp hồ sơ: Trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân (Điều 24.4 Nghị định 13/2023/NĐ-CP). Đây là thời hạn bắt buộc và việc chậm trễ có thể bị xem là vi phạm.
  2. Cơ quan tiếp nhận: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an. Đây là cơ quan chuyên trách về bảo vệ dữ liệu cá nhân tại Việt Nam.
  3. Hình thức nộp hồ sơ: Doanh nghiệp có thể lựa chọn một trong các hình thức sau:
    • Trực tuyến: Thông qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (sẽ được Bộ Công an thông báo và triển khai trong thời gian tới). Đây là hình thức được khuyến khích để tối ưu hóa thời gian và thủ tục.
    • Trực tiếp: Nộp hồ sơ tại trụ sở Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.
    • Bưu chính: Gửi hồ sơ qua đường bưu điện đến địa chỉ của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.
  4. Phản hồi từ cơ quan chức năng: Sau khi nhận hồ sơ, Cục A05 sẽ đánh giá và có thể yêu cầu doanh nghiệp hoàn thiện nếu hồ sơ chưa đầy đủ hoặc không đúng quy định. Thời gian giải quyết phản hồi thông thường không quá 10 ngày làm việc.

Những trường hợp nào được miễn trừ nghĩa vụ lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Cơ quan nhà nước, hộ kinh doanh, doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp có thể được miễn trừ nghĩa vụ lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, trừ trường hợp họ kinh doanh dịch vụ xử lý dữ liệu, xử lý dữ liệu nhạy cảm hoặc quy mô lớn.

Để giảm gánh nặng tuân thủ cho các đơn vị quy mô nhỏ, pháp luật Việt Nam đã có những quy định miễn trừ linh hoạt, đặc biệt là trong Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (có hiệu lực từ 01/01/2026). Các trường hợp miễn trừ cụ thể như sau:

  • Cơ quan nhà nước có thẩm quyền: Theo Điều 21.6 Luật 91/2025/QH15, các cơ quan này không phải thực hiện quy định về đánh giá tác động xử lý dữ liệu cá nhân.
  • Doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp: Điều 38.2 Luật 91/2025/QH15 cho phép các doanh nghiệp này được quyền lựa chọn không thực hiện quy định về lập Hồ sơ ĐGĐTXLDLCN (Điều 21) trong thời gian 05 năm kể từ ngày Luật có hiệu lực.
  • Hộ kinh doanh và doanh nghiệp siêu nhỏ: Điều 38.3 Luật 91/2025/QH15 quy định các đối tượng này không phải thực hiện nghĩa vụ lập hồ sơ.

Lưu ý quan trọng: Quy định miễn trừ KHÔNG áp dụng nếu các doanh nghiệp nhỏ, siêu nhỏ, khởi nghiệp hoặc hộ kinh doanh thuộc một trong các trường hợp sau:

  • Kinh doanh dịch vụ xử lý dữ liệu cá nhân.
  • Trực tiếp xử lý dữ liệu cá nhân nhạy cảm.
  • Xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu (Chính phủ sẽ quy định chi tiết).

Doanh nghiệp cần cập nhật, bổ sung Hồ sơ đánh giá tác động khi nào và theo thủ tục nào?

Doanh nghiệp phải cập nhật hồ sơ định kỳ 06 tháng khi có thay đổi hoặc cập nhật ngay lập tức khi có thay đổi lớn về cơ cấu tổ chức, nhà cung cấp dịch vụ, hoặc ngành nghề kinh doanh liên quan đến xử lý dữ liệu cá nhân, thông qua Mẫu số 05a hoặc 05b.

Hồ sơ đánh giá tác động không phải là một tài liệu tĩnh. Nó phải phản ánh đúng thực trạng hoạt động xử lý dữ liệu của doanh nghiệp. Cả Nghị định 13/2023/NĐ-CP và Luật 91/2025/QH15 đều quy định rõ về việc cập nhật hồ sơ.

Các trường hợp cần cập nhật hồ sơ

Theo Điều 22 Luật 91/2025/QH15, hồ sơ cần được cập nhật trong các trường hợp sau:

  • Cập nhật định kỳ: 06 tháng một lần khi có bất kỳ sự thay đổi nào so với hồ sơ đã nộp.
  • Cập nhật ngay lập tức khi có những thay đổi trọng yếu sau:
    • Tổ chức lại, chấm dứt hoạt động, giải thể, phá sản.
    • Thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.
    • Phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký.

Thủ tục cập nhật hồ sơ

Thủ tục cập nhật được thực hiện tương tự như lần nộp đầu tiên, nhưng sử dụng các mẫu biểu dành cho việc thay đổi:

  1. Chuẩn bị Thông báo thay đổi nội dung hồ sơ theo Mẫu số 05a (dành cho tổ chức) hoặc Mẫu số 05b (dành cho cá nhân).
  2. Đính kèm bản cập nhật của Hồ sơ ĐGĐTXLDLCN (Mẫu Đ24-DLCN-01, 02, hoặc 03) và các tài liệu chứng minh cho sự thay đổi.
  3. Nộp bộ hồ sơ cập nhật cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) qua các kênh đã hướng dẫn.

Việc tuân thủ nghiêm ngặt các quy định về lập, nộp và cập nhật Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là yếu tố then chốt giúp doanh nghiệp đảm bảo hoạt động kinh doanh an toàn, bền vững và đúng pháp luật trong kỷ nguyên số.

Các Câu Hỏi Thường Gặp Về Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân

1. Sự khác biệt chính giữa hồ sơ của Bên Kiểm soát (Mẫu Đ24-DLCN-01) và Bên Xử lý (Mẫu Đ24-DLCN-02) là gì?

Trả lời: Sự khác biệt cốt lõi nằm ở phạm vi trách nhiệm. Hồ sơ của Bên Kiểm soát (Mẫu Đ24-DLCN-01) bao quát toàn bộ hoạt động, từ việc xác định mục đích, loại dữ liệu, cho đến quản lý các bên liên quan. Trong khi đó, hồ sơ của Bên Xử lý (Mẫu Đ24-DLCN-02) chỉ tập trung vào việc mô tả các hoạt động xử lý dữ liệu theo hợp đồng đã ký với Bên Kiểm soát, nhấn mạnh vào các biện pháp kỹ thuật và tuân thủ theo thỏa thuận.

2. Nếu doanh nghiệp bỏ lỡ thời hạn 60 ngày nộp hồ sơ thì sẽ đối mặt với rủi ro gì?

Trả lời: Việc không nộp hoặc nộp chậm Hồ sơ đánh giá tác động là một hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân. Theo Điều 8 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, doanh nghiệp có thể bị xử phạt vi phạm hành chính với mức phạt tối đa lên đến 03 tỷ đồng. Quan trọng hơn, đây là bằng chứng cho thấy sự thiếu tuân thủ, có thể làm tăng nặng các chế tài khác nếu xảy ra sự cố rò rỉ dữ liệu.

3. Hồ sơ đánh giá tác động có cần phải công khai cho khách hàng không?

Trả lời: Không. Pháp luật hiện hành quy định hồ sơ này phải được lập, lưu giữ tại doanh nghiệp và nộp cho cơ quan chuyên trách (Cục A05 – Bộ Công an) để phục vụ công tác quản lý và kiểm tra. Đây là tài liệu nội bộ và quản lý nhà nước, không có yêu cầu phải công khai cho khách hàng. Tuy nhiên, các thông tin tóm lược về mục đích xử lý và các biện pháp bảo vệ nên được thể hiện trong Chính sách quyền riêng tư công khai của doanh nghiệp.

4. Một công ty có nhiều hoạt động kinh doanh khác nhau thì cần lập bao nhiêu bộ hồ sơ?

Trả lời: Theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, việc đánh giá tác động được thực hiện 01 lần cho suốt thời gian hoạt động của doanh nghiệp (Điều 21.2). Do đó, doanh nghiệp chỉ cần lập 01 bộ hồ sơ duy nhất, nhưng trong đó phải mô tả đầy đủ tất cả các mục đích và hoạt động xử lý dữ liệu cá nhân tương ứng với từng lĩnh vực kinh doanh của mình. Khi có sự thay đổi hoặc bổ sung hoạt động, doanh nghiệp cần cập nhật vào bộ hồ sơ chung đó.

5. Phân biệt giữa Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài như thế nào?

Trả lời: Đây là hai bộ hồ sơ riêng biệt với hai mục đích khác nhau. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Điều 24 NĐ13) áp dụng cho mọi hoạt động xử lý dữ liệu trong nước. Trong khi đó, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (Điều 25 NĐ13) là một nghĩa vụ bổ sung, chỉ áp dụng khi doanh nghiệp có hoạt động chuyển dữ liệu của công dân Việt Nam ra khỏi lãnh thổ Việt Nam.

Tìm Hiểu Thêm Về Bảo Vệ Dữ Liệu Cá Nhân Cùng DPO.VN

Để xây dựng một chiến lược tuân thủ pháp luật về bảo vệ dữ liệu cá nhân hiệu quả, đảm bảo an toàn thông tin và uy tín cho doanh nghiệp, hãy liên hệ với chuyên gia của DPO.VN. Chúng tôi, Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia, với sự đồng hành của Luật sư Nguyễn Tiến Hảo, cam kết mang đến giải pháp toàn diện và chuyên nghiệp nhất.

Website: dpo.vn

Hotline: 0914.315.886

Email: info@dpo.vn

Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Yên Hoà, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam.

Tài liệu tham khảo

  • Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
  • Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15
  • Cổng Dịch vụ công Bộ Công an: Thủ tục hành chính liên quan đến bảo vệ dữ liệu cá nhân
  • IBM: Báo cáo Chi phí Vi phạm Dữ liệu 2023 (Cost of a Data Breach Report 2023)
  • Ủy ban Châu Âu: Quy định chung về bảo vệ dữ liệu (GDPR)