Với sự phát triển mạnh mẽ của công nghệ thông tin, các rủi ro về xâm phạm dữ liệu cá nhân của các chủ thể, đặc biệt khi tham gia vào hoạt động thương mại điện tử, cũng ngày càng gia tăng. Do vậy, việc bảo vệ dữ liệu cá nhân đang trở thành mối quan tâm và vấn đề cấp thiết trong thời đại kỷ nguyên số. Nhằm thiết lập khung pháp lý toàn diện hơn về bảo vệ dữ liệu cá nhân tại Việt Nam, ngày 01/01/2026 Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 và Nghị định 356/2025/NĐ-CP chính thức có hiệu lực áp dụng. Trong đó, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (gọi tắt là DPIA), là một trong những hồ sơ quan trọng mà các doanh nghiệp cần phải rà soát và thực hiện. Để hiểu rõ tổng quan hơn về DPIA, cũng như đối tượng áp dụng và hồ sơ thủ tục thì Luật Danh Tiếng xin đưa ra một số hướng dẫn dưới đây.
1. Đánh giá tác động xử lý dữ liệu cá nhân là gì?
Đánh giá tác động xử lý dữ liệu cá nhân là việc phân tích, đánh giá rủi ro có thể xảy ra trong quá trình xử lý dữ liệu cá nhân để áp dụng các biện pháp giảm thiểu rủi ro, bảo vệ dữ liệu cá nhân.
Có thể hiểu, DPIA là tài liệu do Bên Kiểm soát hoặc Bên Kiểm soát và Xử lý dữ liệu cá nhân lập ra để phân tích, đánh giá các rủi ro tiềm ẩn và các tác động có thể xảy ra đối với quyền của chủ thể dữ liệu trong quá trình xử lý dữ liệu, từ đó đề ra các biện pháp quản lý và kỹ thuật phù hợp để giảm thiểu những rủi ro đó.
2. Những đối tượng nào bắt buộc phải lập hồ sơ DPIA?
Theo Luật Bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và Xử lý dữ liệu cá nhân là hai đối tượng chính có nghĩa vụ lập, lưu trữ và gửi Hồ sơ DPIA cho cơ quan chuyên trách. Bên Xử lý dữ liệu cá nhân thực hiện xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu cá nhân cũng phải lập và lưu trữ hồ sơ này theo thỏa thuận với Bên Kiểm soát. Để hiểu rõ hơn:
- Bên Kiểm soát dữ liệu cá nhân: Là tổ chức hoặc cá nhân quyết định mục đích (TẠI SAO) và phương tiện (BẰNG CÁCH NÀO) xử lý dữ liệu. Đây là đối tượng chính yếu phải lập và lưu giữ hồ sơ này ngay từ khi bắt đầu hoạt động xử lý.
- Bên Kiểm soát và xử lý dữ liệu cá nhân: Là các tổ chức, cá nhân vừa quyết định mục đích, phương tiện, vừa trực tiếp xử lý dữ liệu. Họ cũng phải tuân thủ yêu cầu lập hồ sơ tương tự như Bên Kiểm soát.
- Bên Xử lý dữ liệu cá nhân: Là tổ chức, cá nhân xử lý dữ liệu thay mặt cho Bên Kiểm soát thông qua hợp đồng. Họ cũng phải lập và lưu giữ hồ sơ DPIA riêng, tập trung vào các hoạt động xử lý theo hợp đồng.
Tuy nhiên, không phải mọi doanh nghiệp đều có cùng nghĩa vụ như nhau trong mọi trường hợp. Nghĩa vụ lập, lưu trữ, cập nhật và gửi hồ sơ DPIA cần được xác định dựa trên vai trò pháp lý của doanh nghiệp và tính chất hoạt động xử lý dữ liệu cá nhân. Ngoài ra, pháp luật cũng có những quy định miễn trừ nhằm giảm gánh nặng tuân thủ cho một số đối tượng nhất định. Cụ thể, theo Điều 38 của Luật Bảo vệ dữ liệu cá nhân:
- Doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp: Được quyền lựa chọn không thực hiện quy định này trong 05 năm đầu kể từ ngày Luật có hiệu lực.
- Hộ kinh doanh và doanh nghiệp siêu nhỏ: Không phải thực hiện quy định này.
(Các trường hợp miễn trừ trên không áp dụng đối với các doanh nghiệp, hộ kinh doanh kinh doanh dịch vụ xử lý dữ liệu cá nhân, hoặc có hoạt động xử lý dữ liệu cá nhân nhạy cảm, hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu).
3. Thành phần cơ bản của hồ sơ DPIA và quy trình lập hồ sơ
Doanh nghiệp cần chuẩn bị bộ hồ sơ gồm Thông báo gửi hồ sơ (theo Mẫu số 02a hoặc 02b) và Báo cáo đánh giá tác động xử lý dữ liệu cá nhân Mẫu số 9 và Mẫu số 10 ban hành kèm theo Nghị định số 356/2025/NĐ-CP.
Quy trình lập hồ sơ DPIA cho doanh nghiệp
Bước 1: Xác định phạm vi xử lý dữ liệu cá nhân
Doanh nghiệp cần xác định các hoạt động xử lý dữ liệu cá nhân đang diễn ra trong tổ chức, bao gồm xử lý dữ liệu khách hàng, người lao động, đối tác, nhà cung cấp, người dùng website hoặc người dùng ứng dụng.
Bước 2: Xác định vai trò pháp lý của doanh nghiệp
Doanh nghiệp cần xác định mình là bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân hay bên kiểm soát và xử lý dữ liệu cá nhân trong từng hoạt động cụ thể.
Bước 3: Lập bản đồ dữ liệu
Bản đồ dữ liệu nên thể hiện các thông tin như nguồn thu thập, hệ thống lưu trữ, bộ phận sử dụng, bên thứ ba tiếp nhận, thời hạn lưu trữ, cơ chế xóa dữ liệu và yếu tố chuyển dữ liệu xuyên biên giới nếu có.
Bước 4: Đánh giá rủi ro
Doanh nghiệp cần đánh giá rủi ro pháp lý, rủi ro kỹ thuật, rủi ro vận hành và rủi ro đối với quyền của chủ thể dữ liệu. Việc đánh giá nên có sự phối hợp giữa bộ phận pháp chế, công nghệ thông tin, an toàn thông tin, nhân sự, marketing, kinh doanh và các bộ phận đang trực tiếp xử lý dữ liệu.
Bước 5: Đề xuất biện pháp giảm thiểu rủi ro
Sau khi xác định rủi ro, doanh nghiệp cần đưa ra biện pháp giảm thiểu phù hợp. Các biện pháp này có thể bao gồm điều chỉnh biểu mẫu lấy sự đồng ý, cập nhật chính sách quyền riêng tư, giới hạn quyền truy cập, bổ sung điều khoản hợp đồng với nhà cung cấp, rút ngắn thời hạn lưu trữ, thiết lập quy trình xóa dữ liệu hoặc tăng cường biện pháp bảo mật kỹ thuật.
Bước 6: Hoàn thiện hồ sơ và lưu trữ nội bộ
Doanh nghiệp cần hoàn thiện hồ sơ DPIA theo yêu cầu pháp luật và lưu trữ để phục vụ hoạt động quản trị nội bộ, giải trình hoặc kiểm tra khi cần thiết.
Bước 7: Gửi hồ sơ trong trường hợp thuộc diện phải gửi
Trong trường hợp thuộc diện phải gửi hồ sơ cho cơ quan có thẩm quyền, doanh nghiệp cần thực hiện đúng thời hạn và hình thức theo quy định pháp luật. Doanh nghiệp nên chuẩn bị tài liệu giải trình, thông tin liên hệ và người phụ trách để kịp thời phản hồi khi có yêu cầu bổ sung hoặc làm rõ hồ sơ.
Thủ tục nộp hồ sơ Doanh nghiệp cần nắm rõ các mốc thời gian và địa chỉ để thực hiện đúng quy định.
Thời hạn nộp hồ sơ: Trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân (Khoản 6 Điều 19 Nghị định 356/2025/NĐ-CP). Đây là thời hạn bắt buộc và việc chậm trễ có thể bị xem là vi phạm.
Cơ quan tiếp nhận: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an. Đây là cơ quan chuyên trách về bảo vệ dữ liệu cá nhân tại Việt Nam.
Hình thức nộp hồ sơ: Doanh nghiệp có thể lựa chọn một trong các hình thức sau:
- Trực tuyến: Thông qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (sẽ được Bộ Công an thông báo và triển khai trong thời gian tới). Đây là hình thức được khuyến khích để tối ưu hóa thời gian và thủ tục.
- Trực tiếp: Nộp hồ sơ tại trụ sở Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.
- Bưu chính: Gửi hồ sơ qua đường bưu điện đến địa chỉ của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.
Phản hồi từ cơ quan chức năng: Sau khi nhận hồ sơ, Cục A05 sẽ đánh giá và có thể yêu cầu doanh nghiệp hoàn thiện nếu hồ sơ chưa đầy đủ hoặc không đúng quy định. Thời gian giải quyết phản hồi thông thường không quá 10 ngày làm việc.
4. Doanh nghiệp cần cập nhật, bổ sung Hồ sơ đánh giá tác động khi nào và theo thủ tục nào?
Doanh nghiệp phải cập nhật hồ sơ định kỳ 06 tháng khi có thay đổi hoặc cập nhật ngay lập tức khi có thay đổi lớn về cơ cấu tổ chức, nhà cung cấp dịch vụ, hoặc ngành nghề kinh doanh liên quan đến xử lý dữ liệu cá nhân, thông qua Mẫu số 05a hoặc 05b.
Các trường hợp cần cập nhật hồ sơ
Theo Điều 22 Luật 91/2025/QH15, hồ sơ cần được cập nhật trong các trường hợp sau:
- Cập nhật định kỳ: 06 tháng một lần khi có bất kỳ sự thay đổi nào so với hồ sơ đã nộp.
- Cập nhật ngay lập tức khi có những thay đổi trọng yếu sau:
- Tổ chức lại, chấm dứt hoạt động, giải thể, phá sản.
- Thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.
- Phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký.
Thủ tục cập nhật hồ sơ
Thủ tục cập nhật được thực hiện tương tự như lần nộp đầu tiên, nhưng sử dụng các mẫu biểu dành cho việc thay đổi:
- Chuẩn bị Thông báo thay đổi nội dung hồ sơ theo Mẫu số 03a (dành cho tổ chức) hoặc Mẫu số 03b (dành cho cá nhân).
- Nộp bộ hồ sơ cập nhật cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) qua các kênh đã hướng dẫn.
Việc lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một nhiệm vụ phức tạp, đòi hỏi sự am hiểu sâu sắc về cả pháp lý và kỹ thuật. Nếu có vướng mắc, doanh nghiệp nên tham khảo ý kiến chuyên gia để hoàn thiện hồ sơ một cách chính xác và hiệu quả nhất.
| Trên đây là bài viết của Công ty Luật TNHH Danh Tiếng. Mọi thắc mắc cần được tư vấn của quý khách hàng xin vui lòng liên hệ qua số điện thoại, email hoặc liên hệ trực tiếp tại Công ty để được hỗ trợ.
CÔNG TY LUẬT TNHH DANH TIẾNG Địa chỉ: Tầng 3, số 372 Lê Văn Sỹ, Phường Tân Sơn Hoà, Thành phố Hồ Chí Minh. Hotline: 0838.612.333 – 0973.231.333 Email: luatdanhtieng@gmail.com |