Mối liên hệ giữa hồ sơ đánh giá tác động và chính sách bảo vệ dữ liệu cá nhân

Mối liên hệ giữa hồ sơ đánh giá tác động và chính sách bảo vệ dữ liệu cá nhân là mối quan hệ tương hỗ chặt chẽ, trong đó Chính sách là nền tảng quản trị nội bộ, còn Hồ sơ là tài liệu pháp lý chứng minh sự tuân thủ với cơ quan nhà nước. Hiểu rõ mối tương quan này là chìa khóa giúp doanh nghiệp xây dựng hệ thống tuân thủ bền vững, và DPO.VN cung cấp giải pháp toàn diện để thực thi hiệu quả. Lộ trình tuân thủ, quản trị rủi ro, bằng chứng pháp lý.

Mối quan hệ giữa Hồ sơ đánh giá tác động và Chính sách bảo vệ dữ liệu cá nhân được định nghĩa như thế nào?

Hồ sơ đánh giá tác động là bản khai báo pháp lý với cơ quan nhà nước, chứng minh các hoạt động xử lý dữ liệu của doanh nghiệp. Chính sách bảo vệ dữ liệu cá nhân là văn bản quản trị nội bộ và cam kết công khai, quy định các quy trình và biện pháp thực tế để thực thi những gì đã khai báo trong hồ sơ.

Trong hệ thống tuân thủ pháp luật về bảo vệ dữ liệu cá nhân, Hồ sơ đánh giá tác động và Chính sách bảo vệ dữ liệu cá nhân là hai tài liệu không thể tách rời, đóng vai trò bổ trợ cho nhau. Nếu Hồ sơ đánh giá tác động là phần nổi của tảng băng chìm, là văn bản pháp lý chính thức nộp cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an, thì Chính sách bảo vệ dữ liệu cá nhân chính là phần chìm, là toàn bộ hệ thống quy trình, biện pháp và cam kết mà doanh nghiệp xây dựng để đảm bảo những khai báo trong hồ sơ là đúng sự thật và có thể thực thi.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Nhiều doanh nghiệp mắc sai lầm khi chỉ tập trung hoàn thành Hồ sơ đánh giá tác động để nộp cho cơ quan chức năng mà không xây dựng một Chính sách bảo vệ dữ liệu cá nhân tương ứng. Đây là một rủi ro pháp lý lớn, bởi khi bị thanh tra, doanh nghiệp sẽ không có bằng chứng để chứng minh các biện pháp bảo vệ đã khai báo được triển khai trên thực tế. Hồ sơ đánh giá tác động trả lời câu hỏi CÁI GÌ (doanh nghiệp làm gì với dữ liệu), còn Chính sách bảo vệ dữ liệu cá nhân trả lời câu hỏi NHƯ THẾ NÀO (doanh nghiệp thực hiện điều đó bằng cách nào).

Chính sách bảo vệ dữ liệu cá nhân đóng vai trò nền tảng và bằng chứng cho Hồ sơ đánh giá tác động như thế nào?

Chính sách bảo vệ dữ liệu cá nhân cung cấp các quy trình, biện pháp và cơ sở thực tiễn chi tiết, đóng vai trò là dữ liệu đầu vào và bằng chứng xác thực để hoàn thiện các mục trong Hồ sơ đánh giá tác động, đặc biệt là phần mô tả biện pháp bảo vệ và đánh giá rủi ro.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì? Đó là một tài liệu pháp lý bắt buộc theo Điều 24 Nghị định 13/2023/NĐ-CP và Điều 21 Luật Bảo vệ dữ liệu cá nhân 2025. Để hoàn thiện hồ sơ này, doanh nghiệp không thể chỉ đơn thuần điền thông tin một cách lý thuyết. Các nội dung khai báo phải dựa trên một hệ thống quản trị dữ liệu thực tế, và hệ thống đó được quy định trong Chính sách bảo vệ dữ liệu cá nhân.

Mối liên kết này thể hiện rõ qua việc các nội dung trong chính sách trở thành nguồn thông tin trực tiếp để điền vào các mẫu hồ sơ như Mẫu Đ24-DLCN-01, Mẫu Đ24-DLCN-02, và Mẫu Đ24-DLCN-03.

Như vậy, Chính sách bảo vệ dữ liệu cá nhân không chỉ là một tài liệu nội bộ mà còn là bộ bằng chứng sống, đảm bảo tính xác thực và hợp pháp cho Hồ sơ đánh giá tác động. Nếu không có một chính sách vững chắc, mọi khai báo trong hồ sơ đều trở nên vô căn cứ.

Doanh nghiệp nên xây dựng Hồ sơ đánh giá tác động và Chính sách bảo vệ dữ liệu cá nhân theo quy trình nào để đảm bảo tính nhất quán?

Quy trình tối ưu là bắt đầu bằng việc rà soát và lập bản đồ dòng dữ liệu, sau đó xây dựng Chính sách bảo vệ dữ liệu cá nhân chi tiết, và cuối cùng sử dụng chính sách này làm cơ sở để hoàn thiện và nộp Hồ sơ đánh giá tác động cho cơ quan chức năng.

Để tránh mâu thuẫn và đảm bảo tính đồng bộ, việc xây dựng hai tài liệu này cần tuân theo một lộ trình làm việc logic. DPO.VN khuyến nghị một quy trình 4 bước sau đây, giúp các chuyên viên pháp chế và nhân sự phụ trách bảo vệ dữ liệu thực hiện một cách hiệu quả:

• Bước 1: Rà soát và Lập bản đồ Dữ liệu (Data Mapping): Trước tiên, doanh nghiệp cần xác định tất cả các loại dữ liệu cá nhân đang thu thập, mục đích sử dụng, nơi lưu trữ, ai có quyền truy cập, và quy trình luân chuyển dữ liệu trong và ngoài tổ chức. Đây là bước nền tảng để hiểu rõ bức tranh toàn cảnh về hoạt động xử lý dữ liệu của mình.
• Bước 2: Xây dựng Chính sách bảo vệ dữ liệu cá nhân : Dựa trên kết quả lập bản đồ dữ liệu, doanh nghiệp tiến hành xây dựng chính sách bảo vệ dữ liệu cá nhân cho doanh nghiệp. Chính sách này sẽ quy định chi tiết các quy trình quản lý, biện pháp kỹ thuật, vai trò trách nhiệm, và cách thức xử lý các yêu cầu của chủ thể dữ liệu. Đây là tài liệu gốc, định hình toàn bộ khung quản trị dữ liệu của công ty.
• Bước 3: Lập Hồ sơ đánh giá tác động: Với Chính sách bảo vệ dữ liệu cá nhân đã được xây dựng, việc hoàn thiện Hồ sơ đánh giá tác động trở nên đơn giản và chính xác. Doanh nghiệp chỉ cần trích xuất các thông tin và quy trình từ chính sách để điền vào các mục tương ứng của các Mẫu Đ24-DLCN-01, Đ24-DLCN-02, Đ24-DLCN-03. Ví dụ, phần biện pháp bảo vệ trong hồ sơ sẽ được mô tả dựa trên các biện pháp đã được quy định trong chính sách.
• Bước 4: Nộp hồ sơ, Triển khai và Rà soát định kỳ: Doanh nghiệp tiến hành nộp Hồ sơ đánh giá tác động cho Cục A05 theo Mẫu số 04a (đối với tổ chức) hoặc 04b (đối với cá nhân) trong thời hạn 60 ngày kể từ ngày bắt đầu xử lý dữ liệu (khoản 4 Điều 24 Nghị định 13/2023/NĐ-CP). Đồng thời, chính sách phải được phổ biến, đào tạo cho toàn bộ nhân viên và thường xuyên rà soát, cập nhật để phù hợp với thực tiễn.

Khi nào doanh nghiệp cần cập nhật đồng thời cả Hồ sơ đánh giá tác động và Chính sách bảo vệ dữ liệu cá nhân?

Doanh nghiệp phải cập nhật đồng thời cả hai tài liệu khi có bất kỳ thay đổi trọng yếu nào trong hoạt động xử lý dữ liệu, chẳng hạn như thay đổi mục đích xử lý, áp dụng công nghệ mới, hoặc thay đổi nhà cung cấp dịch vụ xử lý dữ liệu. Sau đó, phải nộp lại hồ sơ cập nhật cho cơ quan chức năng.

Việc duy trì sự tuân thủ không phải là hoạt động một lần mà là một quá trình liên tục. Cả Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025 đều có quy định về việc cập nhật hồ sơ. Mối liên hệ tương hỗ giữa hai tài liệu này đòi hỏi chúng phải được cập nhật song song để đảm bảo tính nhất quán.

Theo Điều 22 Luật Bảo vệ dữ liệu cá nhân 2025, hồ sơ phải được cập nhật định kỳ 06 tháng hoặc cập nhật ngay khi có thay đổi. Các trường hợp thay đổi cần cập nhật ngay bao gồm:

• Thay đổi về cơ cấu tổ chức (tái cấu trúc, giải thể, sáp nhập).
• Thay đổi về nhân sự hoặc bộ phận phụ trách bảo vệ dữ liệu cá nhân.
• Phát sinh hoặc thay đổi ngành nghề kinh doanh, dịch vụ liên quan đến xử lý dữ liệu cá nhân đã đăng ký.

Quy trình cập nhật nên diễn ra như sau: Khi có một thay đổi trong hoạt động (ví dụ, công ty bắt đầu sử dụng một phần mềm CRM mới để thu thập thêm dữ liệu cá nhân), bước đầu tiên là phải cập nhật Chính sách bảo vệ dữ liệu cá nhân để phản ánh quy trình xử lý mới này. Ngay sau đó, doanh nghiệp phải cập nhật Hồ sơ đánh giá tác động với các thông tin tương ứng và nộp Thông báo thay đổi nội dung hồ sơ theo Mẫu số 05a hoặc 05b cho Cục A05 theo quy định tại khoản 6 Điều 24 Nghị định 13/2023/NĐ-CP.

Các Câu Hỏi Thường Gặp Về Mối Liên Hệ Giữa Hồ sơ đánh giá tác động và Chính sách bảo vệ dữ liệu cá nhân

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật An ninh mạng 2018 số 24/2018/QH14.
• Hướng dẫn triển khai Nghị định 13/2023/NĐ-CP.
• International Association of Privacy Professionals (IAPP): What is a Data Protection Impact Assessment (DPIA)?
• Information Commissioner’s Office (ICO), UK: Data protection impact assessments.