Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là tài liệu quan trọng giúp doanh nghiệp chuẩn hóa quy trình tuân thủ Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 một cách chính xác nhất. Để đảm bảo hồ sơ hợp lệ và được chấp thuận nhanh chóng, doanh nghiệp nên tham khảo quy trình chuẩn từ DPO.VN để tối ưu hóa thời gian và nguồn lực thực hiện các hoạt động tác động tới dữ liệu cá nhân.
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì?
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là tài liệu phân tích rủi ro và đề xuất giải pháp bảo vệ dữ liệu, bắt buộc phải lập và gửi cho Cục An ninh mạng (A05) trong vòng 60 ngày kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
Trong bối cảnh Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Nghị định 13/2023/NĐ-CP được ban hành, việc quản lý dữ liệu cá nhân đã trở thành một yêu cầu pháp lý nghiêm ngặt. Hồ sơ này không chỉ là một tập hợp giấy tờ hành chính mà là minh chứng cho cam kết của doanh nghiệp trong việc bảo vệ quyền riêng tư của khách hàng và nhân viên.
Theo Khoản 12, Điều 2 Luật Bảo vệ dữ liệu cá nhân, có thể hiểu hồ sơ đánh giá tác động xử lý dữ liệu cá nhân gắn liền với hoạt động phân tích, đánh giá các rủi ro tiềm ẩn trong quá trình xử lý dữ liệu. Mục tiêu cuối cùng là áp dụng các biện pháp quản lý và kỹ thuật phù hợp để giảm thiểu tối đa những rủi ro đó, bảo vệ quyền lợi của chủ thể dữ liệu.
Đây là nghĩa vụ bắt buộc đối với Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và Xử lý dữ liệu cá nhân. Hồ sơ này phải luôn có sẵn để phục vụ công tác kiểm tra và phải được gửi một bản chính đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an.
Tại sao việc lập hồ sơ này lại quan trọng đối với doanh nghiệp?
Lập hồ sơ đánh giá tác động không chỉ là một thủ tục hành chính, mà còn giúp doanh nghiệp tránh các mức phạt hành chính nặng nề mà còn là cơ hội để rà soát quy trình, nâng cao hiệu quả quản trị và xây dựng lòng tin bền vững với khách hàng trong kỷ nguyên số.
Việc chủ động thực hiện đánh giá tác động xử lý dữ liệu cá nhân mang lại lợi ích kép cho doanh nghiệp. Về mặt pháp lý, đây là lá chắn bảo vệ doanh nghiệp trước các rủi ro pháp lý, là bằng chứng rõ ràng nhất về sự tuân thủ và trách nhiệm giải trình. Về mặt kinh doanh, một quy trình xử lý dữ liệu minh bạch và an toàn là yếu tố then chốt để thu hút và giữ chân khách hàng, đặc biệt khi người tiêu dùng ngày càng nhạy cảm với vấn đề bảo mật thông tin.
- Giảm thiểu rủi ro pháp lý: Tránh các mức phạt vi phạm hành chính có thể lên tới hàng tỷ đồng.
- Củng cố niềm tin: Khẳng định uy tín thương hiệu thông qua cam kết bảo vệ dữ liệu khách hàng.
- Tối ưu hóa vận hành: Phát hiện và khắc phục các lỗ hổng trong quy trình xử lý dữ liệu nội bộ.
Đối tượng nào bắt buộc phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?
Căn cứ Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, Bên Kiểm soát và Bên Kiểm soát kiêm Xử lý dữ liệu cá nhân chịu trách nhiệm chính trong việc lập, lưu trữ và gửi Hồ sơ đánh giá tác động đến A05. Đối với Bên Xử lý dữ liệu cá nhân thực hiện xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu cá nhân lập và lưu giữ hồ sơ đánh giá tác động được thực hiện căn cứ vào thỏa thuận, hợp đồng với Bên Kiểm soát.
Tuy nhiên, theo Điều 38 Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (có hiệu lực từ 01/01/2026), nhằm giảm áp lực tuân thủ, pháp luật áp dụng cơ chế miễn trừ cho hai nhóm đối tượng:
- Doanh nghiệp nhỏ và Doanh nghiệp khởi nghiệp: Được quyền lựa chọn không thực hiện trong 05 năm đầu tiên.
- Hộ kinh doanh và Doanh nghiệp siêu nhỏ: Được miễn hoàn toàn nghĩa vụ này.
Lưu ý: Các quyền miễn trừ nêu trên sẽ không còn hiệu lực (tức là đơn vị vẫn bắt buộc phải lập hồ sơ) nếu Doanh nghiệp hoặc Hộ kinh doanh thuộc một trong các trường hợp: Kinh doanh dịch vụ xử lý dữ liệu cá nhân; Xử lý dữ liệu cá nhân nhạy cảm; Xử lý dữ liệu của số lượng lớn chủ thể dữ liệu.
Thành phần bộ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm những gì?
Một bộ hồ sơ đầy đủ bao gồm 3 nhóm thành phần chính: Các mẫu biểu quy định (Thông báo và Hồ sơ đánh giá), Nội dung chi tiết bên trong mẫu đánh giá tác động, và Các tài liệu chứng minh đi kèm của chủ hồ sơ.
Để hồ sơ được cơ quan chức năng chấp thuận, doanh nghiệp cần chuẩn bị đầy đủ và chính xác các thành phần theo quy định. DPO.VN khuyến nghị doanh nghiệp phân loại hồ sơ thành 3 nhóm sau để dễ dàng quản lý và kiểm tra. Theo hướng dẫn tại Cổng dịch vụ công quốc gia, tổ chức hoặc cá nhân gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm các tài liệu sau:
1. Thành phần các mẫu biểu trong bộ hồ sơ
Đây là các văn bản hành chính bắt buộc theo mẫu của Bộ Công an, Nghị định Quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân, dùng để thông báo và trình bày nội dung đánh giá.
| Loại mẫu biểu | Mã hiệu | Đối tượng sử dụng |
|---|---|---|
| Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Dùng để làm tờ trình hồ sơ khi gửi) |
Mẫu số 02a | Đối với Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân là Tổ chức, Doanh nghiệp |
| Mẫu số 02b | Dành cho Cá nhân | |
| Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Nội dung chính) |
Mẫu Đ24-DLCN-01 | Bên Kiểm soát dữ liệu, Bên Kiểm soát & Xử lý dữ liệu |
| Mẫu Đ24-DLCN-02 | Bên trực tiếp Xử lý dữ liệu | |
| Mẫu Đ24-DLCN-03 | Bên thứ Ba |
2. Thành phần nội dung hồ sơ trong mẫu hồ sơ đánh giá tác động (Mẫu Đ24)
Trong thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, phần nội dung bên trong Mẫu Đ24-DLCN-01 (hoặc 02/03) là quan trọng nhất. Doanh nghiệp cần điền đầy đủ các thông tin sau:
- Thông tin chủ thể hồ sơ: Thu thập thông tin và chi tiết liên lạc như tên, địa chỉ, người đại diện pháp luật, thông tin liên hệ của Bên Kiểm soát/Xử lý.
- Thông tin bộ phận bảo vệ dữ liệu (DPO): Tên nhân sự hoặc bộ phận phụ trách bảo vệ dữ liệu cá nhân của Bên Kiểm soát/Xử lý dữ liệu cá nhân.
- Mục đích xử lý dữ liệu: Liệt kê chi tiết các mục đích (ví dụ: quản lý nhân sự, cung cấp dịch vụ, marketing).
- Loại dữ liệu xử lý: Phân loại rõ ràng dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
- Quy trình xử lý: Mô tả thời gian cho phép xử lý dữ liệu, cách thức thu thập, lưu trữ, sử dụng, chuyển giao và xóa dữ liệu
- Tổ chức, cá nhân có liên quan: Danh sách các bên thứ ba nhận dữ liệu (nếu có).
- Hoạt động chuyển dữ liệu ra nước ngoài: Khai báo nếu có chuyển dữ liệu xuyên biên giới.
- Biện pháp bảo vệ: Mô tả các biện pháp quản lý và kỹ thuật đang áp dụng (mã hóa, tường lửa, quy chế nội bộ).
- Đánh giá tác động và rủi ro: Phân tích, đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân, các rủi ro có thể xảy ra với chủ thể dữ liệu và biện pháp giảm thiểu.
3. Thành phần các tài liệu, giấy tờ liên quan của chủ hồ sơ
Để chứng minh tính xác thực của các thông tin đã kê khai, hồ sơ cần đính kèm các tài liệu sau (bản sao có chứng thực hoặc sao y bản chính):
- Giấy chứng nhận đăng ký doanh nghiệp hoặc Giấy phép đầu tư.
- Căn cước công dân/Hộ chiếu của chủ hồ sơ là cá nhân hoặc người đại diện theo pháp luật.
- Quyết định thành lập hoặc văn bản chỉ định bộ phận/nhân sự bảo vệ dữ liệu cá nhân (DPO).
- Các hợp đồng, thỏa thuận xử lý dữ liệu với đối tác, bên thứ ba (nếu có).
- Biểu mẫu thể hiện sự đồng ý của chủ thể dữ liệu (ví dụ: mẫu form đăng ký, điều khoản sử dụng).
- Các quy chế, chính sách nội bộ về bảo vệ dữ liệu cá nhân đã ban hành.
Hướng dẫn lập và nộp hồ sơ đánh giá tác động chi tiết từng bước
Quá trình hoàn thiện hồ sơ gồm hai giai đoạn chính: Xây dựng nội dung đánh giá tác động trên mẫu biểu và Thực hiện thủ tục nộp hồ sơ lên cơ quan chức năng.
1. Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Việc điền mẫu Đ24 không chỉ là điền vào chỗ trống mà là kết quả của một quá trình rà soát toàn diện. Cần chuẩn bị kỹ lưỡng các nội dung DPO.VN chia sẻ Dưới đây là các bước thực hiện:
- Bước 1: Rà soát luồng dữ liệu: Xác định dữ liệu đi vào từ đâu, lưu trữ ở đâu, ai truy cập, và được chia sẻ cho ai. Điều này giúp điền chính xác phần “Loại dữ liệu” và “Quy trình xử lý”.
- Bước 2: Xác định căn cứ pháp lý: Đối với mỗi mục đích xử lý, hãy xác định xem doanh nghiệp dựa trên sự đồng ý của chủ thể hay các căn cứ khác (như thực hiện hợp đồng). Điều này phục vụ cho phần “Mục đích xử lý”.
- Bước 3: Thực hiện đánh giá rủi ro: Phân tích các mối đe dọa (rò rỉ, mất mát) và tác động của nó đến quyền riêng tư. Đây là nội dung cốt lõi của phần “Đánh giá tác động”.
- Bước 4: Hoàn thiện mẫu biểu: Sử dụng thông tin đã thu thập để điền vào Mẫu Đ24-DLCN-01 (hoặc 02/03). Ngôn ngữ cần rõ ràng, mạch lạc, tránh dùng từ ngữ mơ hồ.
💡 Luật sư Nguyễn Tiến Hảo chia sẻ: “Hãy tập trung vào các biện pháp giảm thiểu rủi ro thực tế. Ví dụ, nếu xử lý dữ liệu sức khỏe, biện pháp mã hóa và kiểm soát truy cập nghiêm ngặt là bắt buộc phải nêu rõ.”
2. Hướng dẫn cách thức nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
Sau khi hoàn thiện bộ hồ sơ với đầy đủ các thành phần nêu trên, doanh nghiệp thực hiện thủ tục Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy trình sau:
- Chuẩn bị bản cứng: In 01 bộ hồ sơ chính bao gồm Mẫu 02a (đã ký đóng dấu), Mẫu Đ24 (đã điền đủ thông tin) và các tài liệu kèm theo.
- Nộp hồ sơ: Gửi hồ sơ đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an là cơ quan chuyên trách về bảo vệ dữ liệu cá nhân tại Việt Nam. Doanh nghiệp có thể lựa chọn một trong ba hình thức:
- Trực tiếp: Nộp tại trụ sở Cục A05.
- Qua đường bưu chính: Gửi bảo đảm qua bưu điện.
- Trực tuyến: Nộp qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (khi hệ thống vận hành chính thức).
- Theo dõi và bổ sung: Sau khi nộp, Cục A05 sẽ tiếp nhận và thẩm định. Nếu hồ sơ chưa đầy đủ hoặc cần làm rõ, A05 sẽ yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân hoàn thiện bổ sung bộ hồ sơ. Doanh nghiệp cần phản hồi và hoàn thiện hồ sơ trong thời hạn quy định.
- Lưu trữ: Theo Điều 21 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, tổ chức hoặc cá nhân có hoạt động xử lý dữ liệu cá nhân tại Việt Nam bắt buộc phải lưu trữ 01 bản sao của bộ hồ sơ tại trụ sở để phục vụ hoạt động kiểm tra, thanh tra định kỳ của cơ quan chức năng.
Các Câu Hỏi Thường Gặp
1. Nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân ở đâu?
Trả lời: Hồ sơ cần được gửi đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an. Địa chỉ cụ thể và cổng nộp trực tuyến sẽ được công bố chính thức trên các kênh của Bộ Công an.
2. Thời hạn gửi hồ sơ là bao lâu?
Trả lời: Theo Điều 24 Nghị định 13/2023/NĐ-CP, doanh nghiệp phải nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong vòng 60 ngày kể từ thời điểm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân tiến hành xử lý dữ liệu cá nhân.
3. Thủ tục Thông báo gửi hồ sơ đánh giá tác động có khác với Thủ tục nộp Hồ sơ đánh giá tác động không?
Trả lời: Có, khác nhau hoàn toàn. Hồ sơ đánh giá tác động: Là tập hợp tài liệu bạn cần soạn thảo (gồm Tờ khai, Báo cáo đánh giá, Hợp đồng…). Thủ tục thông báo: Là quy trình thông báo đến A05 về việc thực hiện nộp bộ hồ sơ đó (quy định về thời hạn gửi trong 60 ngày, cách thức nộp qua mạng/bưu điện và nơi nhận là A05).
4. Nếu không nộp hồ sơ thì doanh nghiệp sẽ bị xử phạt như thế nào?
Trả lời: Hành vi không lập, không gửi hồ sơ đánh giá tác động là vi phạm pháp luật. Mức phạt tiền tối đa có thể lên đến 03 tỷ đồng đối với tổ chức, theo quy định tại Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025.
5. Sự khác biệt chính giữa hồ sơ của Bên Kiểm soát và Bên Xử lý là gì?
Trả lời: Hồ sơ của Bên Kiểm soát (Mẫu Đ24-DLCN-01) tập trung vào mục đích và phương tiện xử lý dữ liệu cá nhân, sự đồng ý của chủ thể. Hồ sơ của Bên Xử lý (Mẫu Đ24-DLCN-02) tập trung vào việc mô tả các hoạt động xử lý theo ủy quyền và biện pháp kỹ thuật tuân thủ chỉ đạo của Bên Kiểm soát.
6. Có thể thuê một đơn vị bên ngoài để lập hồ sơ được không?
Trả lời: Hoàn toàn được. Doanh nghiệp có thể sử dụng dịch vụ tư vấn lập hồ sơ từ các đơn vị chuyên nghiệp như DPO.VN để đảm bảo hồ sơ chính xác, chuyên sâu. Tuy nhiên, trách nhiệm pháp lý cuối cùng vẫn thuộc về doanh nghiệp sở hữu hồ sơ.
Đồng Hành Cùng Doanh Nghiệp Trong Kỷ Nguyên Số
Để đảm bảo tuân thủ pháp luật và xây dựng chiến lược bảo vệ dữ liệu hiệu quả, hãy liên hệ với chuyên gia của DPO.VN. Chúng tôi, Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia, cùng Luật sư Nguyễn Tiến Hảo, cam kết mang đến giải pháp toàn diện và chuyên nghiệp nhất cho doanh nghiệp của bạn.
Website: dpo.vn
Hotline: 0914.315.886
Email: info@dpo.vn
Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Yên Hoà, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam.
Tài liệu tham khảo
- Chính phủ (2023), Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 về bảo vệ dữ liệu cá nhân. Có tại: Cổng Thông tin điện tử Chính phủ.
- Chính phủ (2025), Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân /2025/NĐ-CP. (Văn bản hướng dẫn chi tiết Luật 91/2025/QH15 – Dự Thảo).
- Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. (Văn bản pháp luật mới nhất về bảo vệ dữ liệu tại Việt Nam).
- Bộ Công an, Thủ tục thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Có tại: Cổng Dịch vụ công Bộ Công an.
- DPO.VN, Các biểu mẫu hồ sơ đánh giá tác động (Đ24-DLCN-01, 02, 03). Có tại: Website DPO.VN.
Cho mình hỏi công ty có làm dịch vụ tư vấn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân không ạ?
Mình cảm ơn.
DPO có hỗ trợ nộp hồ sơ trực tuyến không ạ? Hướng dẫn mình với
Bên mình đang chuẩn bị nộp hồ sơ đánh giá tác động, không biết bên bạn có hỗ trợ tư vấn không?
Không biết bên bạn có hỗ trợ tư vấn không?
Bên mình có mẫu hồ sơ cụ thể không, cho mình xin báo giá
việc lập hồ sơ đánh giá tác động xử lý cá nhân có thể thuê bên ngoài được không ạ?
Các yếu tố rủi ro đặc thù nào phải được đánh giá thêm khi dữ liệu được chuyển ra ngoài lãnh thổ so với chuyển dữ liệu trong nước?