Sai Lầm Thường Gặp Khi Lập Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân

Sai lầm thường gặp khi lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là rào cản khiến doanh nghiệp đối mặt với rủi ro pháp lý và chậm trễ trong việc tuân thủ. Để hoàn thiện hồ sơ một cách chính xác, giải pháp toàn diện từ DPO.VN sẽ giúp doanh nghiệp đảm bảo tuân thủ Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và các văn bản hướng dẫn thi hành khác nhằm hạn chế các rủi ro pháp lý trong việc kê khai, phân tích rủi ro, tuân thủ quy định.

5 Sai lầm nghiêm trọng cần tránh khi lập Hồ sơ Đánh giá Tác động Xử lý Dữ liệu Cá nhân là gì?

5 sai lầm nghiêm trọng nhất bao gồm: mô tả hoạt động xử lý dữ liệu một cách chung chung, đánh giá thiếu sót hoặc sai lệch về tác động và rủi ro, vi phạm các quy trình thủ tục và thời hạn nộp hồ sơ, phân định không rõ ràng vai trò các bên, và bỏ qua nghĩa vụ cập nhật hồ sơ khi có thay đổi.

Việc lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một nghĩa vụ pháp lý bắt buộc đối với hầu hết các doanh nghiệp theo quy định tại Điều 19 Nghị định 356/2025/NĐ-CP và Điều 21 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Đây không chỉ là một thủ tục hành chính mà còn là công cụ cốt lõi để doanh nghiệp tự rà soát, nhận diện và giảm thiểu rủi ro, thể hiện trách nhiệm giải trình của mình. Tuy nhiên, quá trình này tiềm ẩn nhiều lỗi sai có thể khiến hồ sơ bị trả lại, gây tốn kém thời gian, nguồn lực và nghiêm trọng hơn là đối mặt với các chế tài pháp lý. Dưới đây là phân tích chi tiết 5 sai lầm phổ biến nhất mà các doanh nghiệp cần nhận diện và khắc phục.

Sai lầm 1: Mô tả mục đích và hoạt động xử lý dữ liệu chung chung, thiếu chi tiết có phải là lỗi phổ biến nhất không?

Đúng vậy, đây là sai lầm cơ bản và phổ biến nhất. Hồ sơ yêu cầu sự minh bạch và cụ thể tuyệt đối, việc mô tả sơ sài sẽ bị coi là không đáp ứng yêu cầu và dẫn đến việc hồ sơ bị từ chối.

Nhiều doanh nghiệp thường mắc lỗi khi chỉ kê khai các hạng mục trong hồ sơ một cách đại khái. Cơ quan chức năng yêu cầu sự rõ ràng để có thể đánh giá chính xác mức độ tuân thủ và các rủi ro liên quan. Việc mô tả chung chung cho thấy doanh nghiệp chưa thực sự hiểu rõ hoặc cố tình che giấu hoạt động xử lý dữ liệu của mình.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ kinh nghiệm: Một hồ sơ bị trả lại mà chúng tôi từng xử lý có mục “Mục đích xử lý dữ liệu” chỉ ghi là “Phục vụ hoạt động kinh doanh”. Cách ghi này hoàn toàn không đạt yêu cầu. Thay vào đó, phải chi tiết hóa từng mục đích nhỏ, ví dụ:

• Xử lý đơn hàng và giao sản phẩm cho khách hàng.
• Gửi thông tin khuyến mãi, bản tin marketing qua email.
• Phân tích hành vi mua sắm để cá nhân hóa trải nghiệm người dùng trên website.
• Chăm sóc khách hàng và giải quyết khiếu nại.

Làm thế nào để nhận diện và đánh giá đúng các tác động và rủi ro trong hồ sơ?

Doanh nghiệp cần thực hiện một phân tích toàn diện, xem xét các kịch bản xấu có thể xảy ra và lượng hóa tác động về kinh tế, xã hội, pháp lý và quyền của chủ thể dữ liệu, thay vì đánh giá hời hợt hoặc cho rằng không có rủi ro.

Trong Mẫu số 10 yêu cầu “Đánh giá tác động xử lý dữ liệu cá nhân” là phần phức tạp nhất và cũng là nơi doanh nghiệp dễ mắc sai lầm nhất. Một lỗi nghiêm trọng là tuyên bố hoạt động xử lý dữ liệu “không có rủi ro” hoặc “tác động không đáng kể”. Điều này thể hiện sự thiếu hiểu biết về bản chất của rủi ro dữ liệu và làm giảm nghiêm trọng độ tin cậy của hồ sơ.

Để đánh giá đúng, DPO.VN khuyến nghị doanh nghiệp cần tiếp cận một cách có hệ thống:

1. Xác định các kịch bản rủi ro: Liệt kê các tình huống có thể xảy ra như: hệ thống bị tấn công mạng, nhân viên làm lộ dữ liệu, dữ liệu bị mất do lỗi kỹ thuật, bên thứ ba lạm dụng dữ liệu…
2. Phân tích tác động đa chiều: Đối với mỗi kịch bản, hãy đánh giá hậu quả theo các khía cạnh được yêu cầu trong mẫu hồ sơ:
   • Tác động về quyền của chủ thể dữ liệu: Họ có thể bị mất quyền kiểm soát thông tin, bị theo dõi, bị phân biệt đối xử.
   • Tác động về kinh tế: Doanh nghiệp bị phạt, mất doanh thu, chi phí khắc phục sự cố. Khách hàng bị lừa đảo tài chính.
   • Tác động về xã hội: Doanh nghiệp mất uy tín, khách hàng hoang mang, mất niềm tin.
3. Đề xuất biện pháp giảm thiểu: Tương ứng với mỗi rủi ro, cần nêu rõ các biện pháp đã và sẽ áp dụng. Ví dụ: Rủi ro lộ dữ liệu nhạy cảm -> Biện pháp: Mã hóa dữ liệu khi lưu trữ và truyền tải (AES-256), thực hiện kiểm tra thâm nhập (pentest) định kỳ, đào tạo nhận thức an toàn thông tin cho nhân viên.

Doanh nghiệp thường mắc những lỗi nào về quy trình, thủ tục và thời hạn nộp hồ sơ?

Các lỗi hành chính phổ biến bao gồm nộp hồ sơ trễ hạn 60 ngày, sử dụng sai mẫu biểu, thiếu chữ ký hoặc con dấu của người đại diện theo pháp luật, và gửi hồ sơ không đúng cơ quan tiếp nhận là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.

Dù nội dung hồ sơ có được chuẩn bị kỹ lưỡng đến đâu, những sai sót về mặt thủ tục hành chính vẫn có thể khiến toàn bộ nỗ lực của doanh nghiệp trở nên vô ích.

Dựa trên hướng dẫn tại văn bản “Thủ tục thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân”, doanh nghiệp cần đặc biệt lưu ý:

• Thời hạn nộp hồ sơ: Khoản 4 Điều 19 Nghị định 356/2025/NĐ-CP quy định rõ, doanh nghiệp phải gửi 01 bản chính hồ sơ cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân. Nhiều doanh nghiệp bỏ qua hoặc tính sai thời hạn này, dẫn đến vi phạm ngay từ đầu.
• Sử dụng đúng mẫu biểu: Doanh nghiệp phải sử dụng Mẫu số 02a (dành cho tổ chức) hoặc Mẫu số 02b (dành cho cá nhân) để làm văn bản thông báo nộp hồ sơ, kèm theo hồ sơ chi tiết theo Mẫu số 09/Mẫu số 10 tùy mục đích.
• Tính pháp lý của hồ sơ: Văn bản nộp phải có đầy đủ chữ ký, ghi rõ họ tên của người đại diện theo pháp luật và đóng dấu của tổ chức. Thiếu một trong các yếu tố này sẽ làm mất giá trị pháp lý của hồ sơ.
• Địa chỉ nộp hồ sơ: Hồ sơ phải được gửi đến đúng cơ quan tiếp nhận là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an, qua các hình thức trực tuyến (trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân), trực tiếp hoặc qua đường bưu chính.

Tại sao việc phân định sai vai trò Bên Kiểm soát và Bên Xử lý dữ liệu lại là một sai lầm nghiêm trọng?

Phân định sai vai trò dẫn đến việc kê khai trách nhiệm và nghĩa vụ pháp lý không chính xác. Bên Kiểm soát là người quyết định mục đích và phương tiện xử lý, chịu trách nhiệm cao nhất, trong khi Bên Xử lý chỉ thực hiện theo hợp đồng và có trách nhiệm thấp hơn.

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (Điều 2) định nghĩa rất rõ các vai trò, nhưng nhiều doanh nghiệp vẫn nhầm lẫn. Việc xác định sai vai trò sẽ kéo theo hàng loạt sai sót trong việc mô tả trách nhiệm, nghĩa vụ và các biện pháp bảo vệ tương ứng trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

Nếu một công ty là Bên Kiểm soát nhưng lại khai mình là Bên Xử lý, họ sẽ bỏ qua các trách nhiệm quan trọng như đảm bảo quyền của chủ thể dữ liệu, lựa chọn bên xử lý phù hợp và chịu trách nhiệm cao nhất trước pháp luật. Ngược lại, một Bên Xử lý nếu khai sai vai trò có thể sẽ phải gánh những nghĩa vụ pháp lý không thuộc về mình.

Doanh nghiệp có bắt buộc phải cập nhật Hồ sơ Đánh giá Tác động sau khi đã nộp lần đầu không?

Có, đây là nghĩa vụ bắt buộc. Doanh nghiệp phải cập nhật hồ sơ khi có sự thay đổi về nội dung đã gửi cho cơ quan chức năng, nếu không sẽ bị xem là vi phạm quy định.

Nhiều doanh nghiệp cho rằng việc lập và nộp hồ sơ là một công việc chỉ thực hiện một lần. Đây là một quan niệm sai lầm nguy hiểm. Hoạt động kinh doanh luôn thay đổi, và các hoạt động xử lý dữ liệu cũng vậy. Pháp luật yêu cầu hồ sơ phải phản ánh đúng thực trạng hoạt động của doanh nghiệp tại mọi thời điểm.

Theo Điều 22 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và chi tiết hơn tại Điều 20 Nghị định 356/2025/NĐ-CP, doanh nghiệp phải cập nhật, bổ sung hồ sơ khi có sự thay đổi. Các trường hợp thay đổi cần cập nhật ngay bao gồm:

• Thay đổi về mục đích xử lý dữ liệu (ví dụ: bắt đầu sử dụng dữ liệu khách hàng để phân tích cho một sản phẩm mới).
• Bổ sung loại dữ liệu cá nhân được xử lý (ví dụ: bắt đầu thu thập dữ liệu sinh trắc học).
• Thay đổi về các bên tham gia xử lý (ví dụ: thuê một Bên Xử lý dữ liệu mới).
• Thay đổi về biện pháp bảo vệ dữ liệu (ví dụ: chuyển đổi hệ thống lưu trữ từ máy chủ vật lý sang điện toán đám mây).

Thủ tục cập nhật được thực hiện bằng cách nộp Mẫu số 03a (cho tổ chức) hoặc 03b (cho cá nhân) kèm theo hồ sơ đã được chỉnh sửa. Việc không cập nhật kịp thời không chỉ khiến hồ sơ trở nên lỗi thời mà còn đặt doanh nghiệp vào tình thế vi phạm pháp luật.

Làm thế nào để doanh nghiệp xây dựng một Hồ sơ Đánh giá Tác động Xử lý Dữ liệu Cá nhân chuẩn pháp lý và hiệu quả?

Để xây dựng một hồ sơ chuẩn, doanh nghiệp cần tuân theo một quy trình 4 bước: (1) Xác định chính xác vai trò; (2) Kê khai chi tiết và minh bạch theo mẫu biểu; (3) Phân tích và đánh giá tác động toàn diện; (4) Hoàn thiện và nộp hồ sơ đúng thủ tục.

Tránh được những sai lầm kể trên đòi hỏi một cách tiếp cận bài bản và cẩn trọng. DPO.VN đề xuất một quy trình 4 bước tinh gọn giúp các Trưởng phòng Pháp chế, Giám đốc Công nghệ thông tin, và các cấp quản lý có thể tự tin dẫn dắt doanh nghiệp của mình tuân thủ đúng quy định.

1. Xác định chính xác vai trò và trách nhiệm: Trước khi lập hồ sơ, doanh nghiệp cần rà soát và xác định rõ vai trò của mình trong hoạt động xử lý dữ liệu cá nhân, cụ thể là Bên kiểm soát dữ liệu cá nhân, Bên xử lý dữ liệu cá nhân hoặc Bên chuyển dữ liệu cá nhân xuyên biên giới. Việc xác định này dựa trên tiêu chí ai quyết định mục đích, phương tiện xử lý và có hay không hoạt động chuyển dữ liệu ra nước ngoài. Trên cơ sở đó, doanh nghiệp lựa chọn và lập Báo cáo đánh giá tác động xử lý dữ liệu cá nhân theo Mẫu số 10 hoặc Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo Mẫu số 09 ban hành kèm theo Nghị định 356/2025/NĐ-CP.
2. Kê khai chi tiết và minh bạch: Tập hợp một đội ngũ liên phòng ban (pháp chế, IT, marketing, nhân sự) để rà soát toàn bộ quy trình xử lý dữ liệu. Lập một bản đồ dòng dữ liệu (data mapping) để xác định: dữ liệu gì được thu thập, từ đâu, xử lý như thế nào, lưu trữ ở đâu, ai có quyền truy cập, và khi nào thì xóa. Dựa vào bản đồ này để điền thông tin vào các mục của hồ sơ một cách chi tiết nhất.
3. Phân tích và đánh giá tác động thực tế: Tổ chức các buổi làm việc để “brainstorm” về các rủi ro tiềm ẩn. Đừng chỉ nhìn từ góc độ của doanh nghiệp, hãy đặt mình vào vị trí của khách hàng. Nếu dữ liệu của họ bị lộ thì sao? Hậu quả sẽ như thế nào? Ghi lại tất cả các kịch bản và biện pháp khắc phục tương ứng.
4. Hoàn thiện và nộp hồ sơ đúng thủ tục: Rà soát lại hồ sơ lần cuối về cả nội dung và hình thức. Đảm bảo tất cả các tài liệu kèm theo (giấy phép kinh doanh, hợp đồng, quyết định phân công…) đã đầy đủ và hợp lệ. Kiểm tra lại chữ ký và con dấu trước khi gửi theo đúng hướng dẫn của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.

Các Câu Hỏi Thường Gặp Về Lập Hồ Sơ Đánh Giá Tác Động

Tài liệu tham khảo

• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành luật bảo vệ dữ liệu cá nhân.
• Thủ tục về bảo vệ dữ liệu cá nhân.
• Luật An ninh mạng 24/2018/QH14.
• Cổng thông tin điện tử Chính phủ.