Hướng Dẫn Lập Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân

Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là quy trình bắt buộc giúp doanh nghiệp tuân thủ pháp luật, xác định và giảm thiểu rủi ro quyền riêng tư. Để hoàn thiện thủ tục này một cách chính xác và hiệu quả, hãy tham khảo giải pháp chuyên nghiệp từ DPO.VN. Bài viết này sẽ cung cấp quy trình chi tiết, biểu mẫu chuẩn và các lưu ý quan trọng.

Tại sao doanh nghiệp phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Việc lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một nghĩa vụ pháp lý bắt buộc theo Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Đây là công cụ quan trọng giúp doanh nghiệp chứng minh sự tuân thủ, chủ động quản lý rủi ro và xây dựng niềm tin với khách hàng.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) không chỉ là một tài liệu hành chính, mà còn là một quy trình quản trị rủi ro chiến lược. Theo quy định tại Điều 24 Nghị định 13/2023/NĐ-CP, việc lập và lưu giữ hồ sơ này là trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân. Sắp tới, Điều 21 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 sẽ tiếp tục củng cố và làm rõ hơn nghĩa vụ này khi có hiệu lực từ ngày 01/01/2026.

Mục tiêu chính của việc lập hồ sơ là để:

• Chứng minh sự tuân thủ: Đây là bằng chứng hữu hình cho thấy doanh nghiệp đã xem xét cẩn trọng và tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
• Quản lý rủi ro: Giúp doanh nghiệp nhận diện, phân tích và đưa ra các biện pháp giảm thiểu những rủi ro tiềm ẩn đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu.
• Tăng cường uy tín: Việc chủ động thực hiện DPIA thể hiện sự chuyên nghiệp và cam kết của doanh nghiệp trong việc bảo vệ thông tin khách hàng, từ đó xây dựng lòng tin và nâng cao lợi thế cạnh tranh.

Cần sử dụng những biểu mẫu nào để lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Doanh nghiệp cần sử dụng các mẫu biểu chính thức ban hành kèm theo Nghị định 13/2023/NĐ-CP, tùy thuộc vào vai trò của mình trong hoạt động xử lý dữ liệu, bao gồm Mẫu Đ24-DLCN-01, Mẫu Đ24-DLCN-02, và Mẫu Đ24-DLCN-03.

Để đảm bảo tính pháp lý và đầy đủ, doanh nghiệp bắt buộc phải sử dụng các biểu mẫu do Chính phủ ban hành. Việc xác định đúng vai trò của mình là bước đầu tiên và quan trọng nhất để chọn đúng biểu mẫu.

DPO.VN lưu ý rằng, một doanh nghiệp có thể đóng nhiều vai trò. Ví dụ, khi xử lý dữ liệu khách hàng của chính mình, họ là Bên Kiểm soát và xử lý dữ liệu cá nhân (sử dụng Mẫu Đ24-DLCN-01). Nhưng khi xử lý dữ liệu cho một đối tác khác theo hợp đồng, họ lại là Bên Xử lý dữ liệu cá nhân (sử dụng Mẫu Đ24-DLCN-02).

Làm thế nào để điền đầy đủ và chính xác các mục trong Hồ sơ đánh giá tác động?

Để điền hồ sơ chính xác, doanh nghiệp cần phối hợp chặt chẽ giữa các phòng ban (Pháp chế, IT, Marketing, Nhân sự), mô tả chi tiết, cụ thể từng hoạt động xử lý dữ liệu và đánh giá tác động một cách khách quan dựa trên rủi ro thực tế.

Việc điền hồ sơ đòi hỏi sự tỉ mỉ và hiểu biết sâu sắc về cả hoạt động kinh doanh và yêu cầu pháp lý. Dưới đây là hướng dẫn chi tiết cho các mục quan trọng nhất trong Mẫu Đ24-DLCN-01.

Phần I, II, III: Làm sao để khai báo thông tin các bên liên quan một cách chuẩn xác?

Sử dụng thông tin pháp lý chính xác trên Giấy chứng nhận đăng ký doanh nghiệp, bao gồm tên đầy đủ, mã số thuế, địa chỉ trụ sở chính và người đại diện theo pháp luật. Đính kèm các văn bản pháp lý liên quan.

Đây là phần thông tin cơ bản nhưng lại thường xảy ra sai sót. Doanh nghiệp cần đảm bảo:

• Thông tin Bên Kiểm soát (Phần I): Khai báo đầy đủ thông tin về chính doanh nghiệp của bạn. Đặc biệt mục 14 và 15, cần nêu rõ thông tin bộ phận và nhân sự được phân công nhiệm vụ bảo vệ dữ liệu cá nhân, kèm theo quyết định phân công.
• Thông tin Bên Xử lý và Bên thứ ba (Phần II & III): Liệt kê tất cả các đối tác có liên quan đến hoạt động xử lý dữ liệu (ví dụ: nhà cung cấp dịch vụ cloud, agency marketing, đơn vị vận chuyển). Điều quan trọng là phải có hợp đồng hoặc thỏa thuận xử lý dữ liệu cá nhân với các bên này và đính kèm bản sao vào hồ sơ.

Phần V: Cần mô tả hoạt động xử lý dữ liệu cá nhân chi tiết đến mức nào?

Cần mô tả chi tiết toàn bộ vòng đời của dữ liệu: mục đích thu thập cụ thể, loại dữ liệu (cơ bản/nhạy cảm), hình thức lấy sự đồng ý, thời gian xử lý và lưu trữ, biện pháp bảo vệ, và kế hoạch xóa/hủy an toàn.

Đây là phần cốt lõi của hồ sơ, đòi hỏi sự minh bạch và chi tiết cao nhất.

• Mục 1 – Mục đích xử lý: Phải cụ thể, rõ ràng. Thay vì ghi “cải thiện trải nghiệm khách hàng”, hãy ghi “Phân tích lịch sử mua hàng để gợi ý sản phẩm phù hợp”.
• Mục 3 – Loại dữ liệu được xử lý: Tích chọn chính xác các loại dữ liệu cá nhân cơ bản và nhạy cảm. Nếu thu thập dữ liệu nhạy cảm (ví dụ: thông tin sức khỏe cho ứng dụng y tế), cần có cơ sở pháp lý vững chắc và biện pháp bảo vệ tương xứng.
• Mục 4 & 5 – Sự đồng ý của chủ thể dữ liệu: Mô tả chính xác cách thức bạn nhận được sự đồng ý. Ví dụ: “Khách hàng tích vào ô ‘Tôi đồng ý với Chính sách bảo mật’ sau khi đã đọc và hiểu rõ các điều khoản trước khi hoàn tất đăng ký tài khoản”. Đính kèm mẫu hợp đồng hoặc giao diện màn hình có cơ chế đồng ý.
• Mục 14 – Biện pháp bảo vệ dữ liệu cá nhân: Liệt kê cả biện pháp quản lý (ban hành quy chế, đào tạo nhân viên) và biện pháp kỹ thuật (mã hóa SSL/TLS khi truyền dữ liệu, mã hóa AES-256 khi lưu trữ, kiểm soát truy cập theo vai trò – RBAC, sử dụng tường lửa ứng dụng web – WAF).

Phần VI: Đánh giá tác động xử lý dữ liệu cá nhân cần thực hiện ra sao?

Thực hiện đánh giá một cách có hệ thống theo 5 bước: Xác định vấn đề, Mục tiêu, Đề xuất giải pháp, Đánh giá tác động của giải pháp (về kinh tế, xã hội, pháp lý), và Kiến nghị lựa chọn giải pháp tối ưu.

Phần này yêu cầu doanh nghiệp phải phân tích sâu sắc các rủi ro. Quá trình này nên được thực hiện bởi một nhóm đa chức năng.

Ví dụ thực tế: Một công ty fintech muốn ra mắt tính năng chấm điểm tín dụng tự động dựa trên AI, sử dụng dữ liệu giao dịch của người dùng.

1. Xác định vấn đề: Rủi ro thuật toán AI có thể phân biệt đối xử, dẫn đến quyết định sai, ảnh hưởng đến khả năng tiếp cận tín dụng của khách hàng. Rủi ro lộ lọt thông tin tài chính nhạy cảm.
2. Mục tiêu: Cung cấp dịch vụ chấm điểm tín dụng chính xác, công bằng, minh bạch và bảo mật.
3. Giải pháp đề xuất:
   • Giải pháp A: Sử dụng thuật toán AI với bộ dữ liệu đã được khử nhận dạng và kiểm tra thiên vị.
   • Giải pháp B: Thêm bước thẩm định thủ công bởi chuyên viên cho các trường hợp điểm số thấp.
4. Đánh giá tác động:
   • Giải pháp A: Chi phí thấp hơn, nhanh hơn nhưng rủi ro sai sót cao hơn.
   • Giải pháp B: Chi phí cao hơn, chậm hơn nhưng giảm thiểu rủi ro phân biệt đối xử và tăng độ chính xác.
5. Kiến nghị: Lựa chọn giải pháp B để đảm bảo quyền lợi của chủ thể dữ liệu và uy tín công ty, dù chi phí vận hành cao hơn.

Quy trình nộp Hồ sơ đánh giá tác động và các thủ tục liên quan bao gồm những gì?

Doanh nghiệp cần nộp 01 bản chính của hồ sơ đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an trong vòng 60 ngày kể từ ngày bắt đầu xử lý dữ liệu. Hồ sơ cần được cập nhật khi có thay đổi.

Sau khi hoàn tất việc lập hồ sơ, doanh nghiệp cần tuân thủ đúng quy trình nộp để đảm bảo tuân thủ.

Các bước nộp hồ sơ được thực hiện như thế nào?

Chuẩn bị đầy đủ bộ hồ sơ, nộp qua một trong ba hình thức (trực tuyến, trực tiếp, bưu chính), và chờ phản hồi từ cơ quan chức năng.

1. Bước 1: Chuẩn bị bộ hồ sơ đầy đủ. Bộ hồ sơ bao gồm:
   • Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Mẫu số 04a cho tổ chức hoặc Mẫu số 04b cho cá nhân) – 01 bản chính.
   • Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Mẫu Đ24-DLCN-01/02/03) – 01 bản chính.
   • Các tài liệu kèm theo (bản sao): Giấy chứng nhận đăng ký kinh doanh, quyết định phân công bộ phận bảo vệ dữ liệu, hợp đồng với các bên liên quan.
2. Bước 2: Nộp hồ sơ. Doanh nghiệp có thể lựa chọn một trong các cách thức sau:
   • Trực tuyến: Qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (sẽ được Bộ Công an thông báo).
   • Trực tiếp: Tại trụ sở Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.
   • Bưu chính: Gửi đến Bộ phận tiếp nhận và trả kết quả thủ tục hành chính tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.
3. Bước 3: Theo dõi và phản hồi. Cục An ninh mạng sẽ xem xét hồ sơ. Nếu hồ sơ chưa đầy đủ hoặc không đúng quy định, họ sẽ yêu cầu doanh nghiệp hoàn thiện.

Khi nào cần cập nhật hồ sơ đã nộp?

Doanh nghiệp phải cập nhật hồ sơ khi có bất kỳ thay đổi nào về nội dung đã gửi, ví dụ như thay đổi mục đích xử lý, thêm loại dữ liệu mới, hoặc thay đổi đối tác xử lý dữ liệu.

Theo Khoản 6 Điều 24 Nghị định 13/2023/NĐ-CP, việc cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là bắt buộc. Khi có thay đổi, doanh nghiệp cần lập “Thông báo thay đổi nội dung hồ sơ” (sử dụng Mẫu số 05a cho tổ chức hoặc Mẫu số 05b cho cá nhân) và nộp lại hồ sơ đã được cập nhật cho Cục An ninh mạng. LBVDLCN2025 (Điều 22) quy định rõ hơn về tần suất cập nhật định kỳ 06 tháng khi có thay đổi, hoặc cập nhật ngay khi có các thay đổi lớn như tổ chức lại doanh nghiệp hoặc thay đổi ngành nghề kinh doanh liên quan.

Các Câu Hỏi Thường Gặp Khi Lập Hồ Sơ Đánh Giá Tác Động

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP của Chính phủ quy định về bảo vệ dữ liệu cá nhân.
• Thủ tục Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Hướng dẫn về Đánh giá tác động bảo vệ dữ liệu (DPIA).
• Các tài nguyên về DPIA.