Khi nào cần đánh giá tác động xử lý dữ liệu cá nhân?

Khi nào cần đánh giá tác động xử lý dữ liệu cá nhân là yêu cầu pháp lý quan trọng mà mọi doanh nghiệp cần xác định rõ để tuân thủ Nghị định 13 và Luật Bảo vệ dữ liệu cá nhân 2025. Hãy cùng DPO.VN tìm hiểu chi tiết thời điểm, đối tượng và quy trình thực hiện để đảm bảo an toàn pháp lý cho doanh nghiệp.

Ai là đối tượng bắt buộc phải lập Hồ sơ Đánh giá Tác động Xử lý Dữ liệu Cá nhân?

Theo quy định, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, và Bên Xử lý dữ liệu cá nhân đều có trách nhiệm phải lập và lưu trữ Hồ sơ Đánh giá Tác động Xử lý Dữ liệu Cá nhân.

Việc xác định đúng vai trò và trách nhiệm của mình là bước đầu tiên và quan trọng nhất để doanh nghiệp biết liệu mình có thuộc đối tượng phải thực hiện nghĩa vụ này hay không. Cả Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đều quy định rõ về các bên liên quan trong hoạt động xử lý dữ liệu cá nhân.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Nhiều doanh nghiệp vẫn còn nhầm lẫn về vai trò của mình. Cần phân biệt rõ: nếu bạn quyết định mục đích và phương tiện xử lý dữ liệu (ví dụ: thu thập thông tin khách hàng để làm gì), bạn là Bên Kiểm soát. Nếu bạn chỉ xử lý dữ liệu theo hợp đồng cho một bên khác (ví dụ: một công ty marketing chạy quảng cáo dựa trên danh sách khách hàng có sẵn), bạn là Bên Xử lý. Nắm rõ vai trò giúp xác định chính xác nghĩa vụ pháp lý, bao gồm cả việc lập hồ sơ.

Cụ thể, trách nhiệm được phân định như sau:

• Bên Kiểm soát dữ liệu cá nhân & Bên Kiểm soát và xử lý dữ liệu cá nhân: Theo khoản 1 Điều 24 Nghị định 13/2023/NĐ-CP, hai đối tượng này phải lập, lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân kể từ thời điểm bắt đầu xử lý và phải gửi 01 bản chính cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an.
• Bên Xử lý dữ liệu cá nhân: Theo khoản 2 Điều 24 Nghị định 13/2023/NĐ-CP, bên này cũng phải lập và lưu giữ hồ sơ đánh giá tác động trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu.
• Bên thứ ba: Mặc dù không trực tiếp lập hồ sơ gửi A05, Bên thứ ba vẫn phải tuân thủ các quy định về bảo vệ dữ liệu cá nhân và có trách nhiệm liên đới theo thỏa thuận với các bên.

Để giúp doanh nghiệp dễ dàng xác định và kê khai thông tin, pháp luật đã ban hành các mẫu hồ sơ riêng biệt cho từng đối tượng:

Thời điểm và thời hạn nộp Hồ sơ Đánh giá Tác động Xử lý Dữ liệu cá nhân là khi nào?

Doanh nghiệp phải lập Hồ sơ Đánh giá Tác động ngay từ thời điểm bắt đầu xử lý dữ liệu cá nhân và phải nộp cho Cục A05 – Bộ Công an trong vòng 60 ngày kể từ ngày đó.

Tuân thủ về mặt thời gian là yếu tố then chốt để tránh các rủi ro pháp lý. Việc chậm trễ nộp hồ sơ có thể bị coi là hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.

Cụ thể, khoản 4 Điều 24 Nghị định 13/2023/NĐ-CP quy định:

Thời điểm lập hồ sơ: Phải được lập và lưu giữ kể từ thời điểm doanh nghiệp, tổ chức bắt đầu tiến hành xử lý dữ liệu cá nhân. Thời điểm này được tính là ngày đầu tiên doanh nghiệp thực hiện một trong các hoạt động như thu thập, ghi, phân tích, lưu trữ… dữ liệu cá nhân.

Thời hạn nộp hồ sơ: Phải gửi 01 bản chính tới Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

Quy trình nộp hồ sơ được thực hiện theo các bước sau:

1. Bước 1: Chuẩn bị hồ sơ: Doanh nghiệp tải và điền đầy đủ thông tin vào các biểu mẫu tương ứng (Mẫu Đ24-DLCN-01, Mẫu Đ24-DLCN-02, Mẫu Đ24-DLCN-03). Kèm theo đó là các tài liệu chứng minh như Giấy chứng nhận đăng ký kinh doanh, quyết định phân công bộ phận bảo vệ dữ liệu, hợp đồng xử lý dữ liệu…
2. Bước 2: Lập Thông báo gửi hồ sơ: Doanh nghiệp điền Mẫu số 04a (đối với tổ chức) hoặc Mẫu số 04b (đối với cá nhân) để làm văn bản chính thức gửi kèm bộ hồ sơ.
3. Bước 3: Nộp hồ sơ: Doanh nghiệp có thể lựa chọn một trong các hình thức sau:
   • Trực tuyến: Qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (khi được Bộ Công an chính thức công bố và vận hành).
   • Trực tiếp: Tại trụ sở Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
   • Bưu chính: Gửi đến Bộ phận tiếp nhận và trả kết quả thủ tục hành chính về bảo vệ dữ liệu cá nhân tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
4. Bước 4: Nhận kết quả: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao sẽ phản hồi thông tin về kết quả lập hồ sơ trong thời hạn quy định. Nếu hồ sơ chưa đầy đủ, cơ quan chức năng sẽ yêu cầu doanh nghiệp hoàn thiện.

Có những trường hợp nào được miễn trừ nghĩa vụ lập Hồ sơ Đánh giá Tác động?

Cơ quan nhà nước có thẩm quyền không phải thực hiện đánh giá tác động. Ngoài ra, hộ kinh doanh, doanh nghiệp siêu nhỏ, nhỏ, và khởi nghiệp được hưởng chính sách miễn trừ có thời hạn, trừ một số trường hợp đặc biệt.

Việc hiểu rõ các trường hợp miễn trừ là cực kỳ quan trọng, giúp các doanh nghiệp, đặc biệt là các doanh nghiệp quy mô nhỏ, giảm bớt gánh nặng hành chính và tập trung nguồn lực vào hoạt động kinh doanh cốt lõi.

Thứ nhất, đối với cơ quan nhà nước: Khoản 6 Điều 21 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định rõ: Cơ quan nhà nước có thẩm quyền không phải thực hiện quy định về đánh giá tác động xử lý dữ liệu cá nhân. Đây là một điểm mới và quan trọng, giúp các cơ quan nhà nước linh hoạt hơn trong việc thực hiện nhiệm vụ quản lý.

Thứ hai, đối với doanh nghiệp: Cả Nghị định 13/2023/NĐ-CPvà Luật Bảo vệ dữ liệu cá nhân 2025 đều có chính sách hỗ trợ các doanh nghiệp quy mô nhỏ và khởi nghiệp.

Tuy nhiên, DPO.VN đặc biệt lưu ý rằng chính sách miễn trừ này KHÔNG ÁP DỤNG đối với các trường hợp sau:

• Doanh nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân.
• Doanh nghiệp trực tiếp xử lý dữ liệu cá nhân nhạy cảm.
• Doanh nghiệp xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu.

Chính phủ sẽ có quy định chi tiết về các trường hợp này. Do đó, ngay cả khi là doanh nghiệp nhỏ, nếu hoạt động của bạn liên quan đến các lĩnh vực trên, việc lập Hồ sơ Đánh giá Tác động vẫn là một nghĩa vụ bắt buộc để đảm bảo tuân thủ.

Hồ sơ Đánh giá Tác động cần được lập một lần hay cho từng hoạt động xử lý dữ liệu?

Tin vui cho doanh nghiệp: Hồ sơ Đánh giá Tác động Xử lý Dữ liệu Cá nhân chỉ cần được thực hiện 01 lần duy nhất cho toàn bộ thời gian hoạt động và được cập nhật khi có thay đổi.

Đây là một trong những điểm quy định tiến bộ và rõ ràng nhất của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, giúp giảm thiểu đáng kể gánh nặng thủ tục hành chính cho doanh nghiệp. Thay vì phải lập một bộ hồ sơ mới cho mỗi chiến dịch marketing, mỗi lần tuyển dụng nhân sự hay mỗi dự án mới, doanh nghiệp chỉ cần xây dựng một bộ hồ sơ tổng thể, bao quát tất cả các hoạt động xử lý dữ liệu cá nhân của mình.

Khoản 2 Điều 21 Luật Bảo vệ dữ liệu cá nhân 2025 nêu rõ: Đánh giá tác động xử lý dữ liệu cá nhân được thực hiện 01 lần cho suốt thời gian hoạt động của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân.

Điều này có nghĩa là, bộ hồ sơ ban đầu sẽ là tài liệu khung, ghi nhận toàn bộ các quy trình, biện pháp bảo vệ, và đánh giá rủi ro liên quan đến dữ liệu cá nhân trong toàn bộ tổ chức. Tuy nhiên, điều này không có nghĩa là hồ sơ sẽ được lập một lần và không bao giờ thay đổi. Doanh nghiệp vẫn có nghĩa vụ duy trì tính cập nhật và chính xác của hồ sơ theo các quy định của pháp luật.

Những thay đổi nào trong hoạt động kinh doanh đòi hỏi phải cập nhật Hồ sơ Đánh giá Tác động?

Doanh nghiệp phải cập nhật hồ sơ định kỳ 06 tháng khi có thay đổi, hoặc cập nhật ngay lập tức khi có những thay đổi lớn như tái cấu trúc, thay đổi ngành nghề kinh doanh liên quan đến xử lý dữ liệu cá nhân.

Việc duy trì một bộ hồ sơ tuân thủ không phải là một công việc tĩnh. Môi trường kinh doanh và các hoạt động xử lý dữ liệu luôn biến đổi, và hồ sơ đánh giá tác động phải phản ánh chính xác thực trạng đó. Điều 22 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định cụ thể về việc cập nhật hồ sơ.

1. Cập nhật định kỳ:

Hồ sơ cần được rà soát và cập nhật định kỳ 06 tháng một lần nếu có bất kỳ sự thay đổi nào về nội dung so với hồ sơ đã nộp cho cơ quan chuyên trách. Các thay đổi nhỏ có thể bao gồm: cập nhật thông tin liên lạc của nhân sự phụ trách, thay đổi một nhà cung cấp dịch vụ xử lý dữ liệu nhỏ, hoặc điều chỉnh một số biện pháp kỹ thuật bảo mật.

2. Cập nhật ngay lập tức:

Doanh nghiệp phải tiến hành cập nhật ngay khi xảy ra một trong các sự kiện quan trọng sau đây:

• Thay đổi về cơ cấu tổ chức: Khi doanh nghiệp được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản.
• Thay đổi về nhân sự hoặc đối tác bảo vệ dữ liệu: Khi có sự thay đổi thông tin về tổ chức hoặc cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.
• Thay đổi về hoạt động kinh doanh: Khi phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh có liên quan trực tiếp đến hoạt động xử lý dữ liệu cá nhân đã đăng ký trong hồ sơ. Ví dụ, một công ty bán lẻ bắt đầu triển khai thêm dịch vụ tài chính tiêu dùng, đòi hỏi thu thập dữ liệu tài chính nhạy cảm của khách hàng.

Việc cập nhật được thực hiện bằng cách nộp Thông báo thay đổi nội dung hồ sơ (theo Mẫu số 05a đối với tổ chức hoặc Mẫu số 05b đối với cá nhân) kèm theo bộ hồ sơ đã được chỉnh sửa, bổ sung.

Các Câu Hỏi Thường Gặp Về Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân
• Luật An ninh mạng số 24/2018/QH14
• Luật Bảo vệ dữ liệu cá nhân số 91/QH15/2025.
• Information Commissioner’s Office (ICO) UK: Data protection impact assessments
• International Association of Privacy Professionals (IAPP): What is a DPIA?