Có Cần Nộp Lại Hồ Sơ Đánh Giá Tác Động Theo Luật Bảo Vệ Dữ Liệu Cá Nhân Không?

Avatar of baovedlcn

Ngày đăng -

baovedlcn Tư vấn Luật bảo vệ dữ liệu cá nhân

Câu hỏi Có cần nộp lại hồ sơ đánh giá tác động theo Luật Bảo vệ dữ liệu cá nhân không? đang là mối quan tâm hàng đầu của nhiều doanh nghiệp khi Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 chính thức có hiệu lực từ 01/01/2026. DPVN khẳng định: Về nguyên tắc, doanh nghiệp KHÔNG phải nộp lại toàn bộ hồ sơ đã được tiếp nhận hợp lệ trước đó, nhưng BẮT BUỘC phải cập nhật hồ sơ khi có sự thay đổi hoặc theo định kỳ.

Điểm nhấn pháp lý: Bài viết này phân tích dựa trên Điều 39 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Điều 22, Điều 42 Nghị định 356/2025/NĐ-CP, giúp doanh nghiệp nắm rõ lộ trình chuyển tiếp và nghĩa vụ tuân thủ.

Doanh nghiệp đã nộp hồ sơ theo Nghị định 13/2023/NĐ-CP có phải làm lại từ đầu không?

Không. Theo khoản 2 Điều 39 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ chuyển dữ liệu ra nước ngoài đã được Cơ quan chuyên trách (A05) tiếp nhận trước ngày 01/01/2026 theo Nghị định 13/2023/NĐ-CP sẽ tiếp tục được sử dụng và có giá trị pháp lý. Doanh nghiệp không cần lập mới hoàn toàn.

Đây là tin vui giúp doanh nghiệp tiết kiệm đáng kể thời gian và chi phí. Tuy nhiên, điều này không đồng nghĩa với việc doanh nghiệp có thể “kê cao gối ngủ”. Luật mới đặt ra yêu cầu khắt khe hơn về việc cập nhật hồ sơ. Nếu trước đây Nghị định 13 chưa quy định rõ về tần suất cập nhật định kỳ, thì nay Luật 91/2025/QH15 và Nghị định 356/2025/NĐ-CP đã luật hóa nghĩa vụ này một cách cụ thể.

Do đó, thay vì lo lắng về việc nộp lại, Quý doanh nghiệp cần tập trung rà soát xem hồ sơ hiện tại có cần cập nhật hồ sơ đánh giá tác động đã nộp hay không để đảm bảo tính chính xác và tuân thủ.

Khi nào doanh nghiệp BẮT BUỘC phải cập nhật, nộp bổ sung hồ sơ?

Doanh nghiệp phải cập nhật hồ sơ trong 02 trường hợp chính: (1) Cập nhật ngay trong vòng 10 ngày khi có thay đổi quan trọng (tổ chức lại doanh nghiệp, thay đổi đối tác xử lý, thay đổi loại dữ liệu…); và (2) Cập nhật định kỳ 06 tháng/lần đối với hồ sơ chuyển dữ liệu ra nước ngoài hoặc khi có phát sinh mới theo quy định tại Điều 22 Luật 91/2025/QH15 và Điều 20 Nghị định 356/2025/NĐ-CP.

Dưới đây là danh sách các trường hợp thay đổi phổ biến yêu cầu doanh nghiệp phải thực hiện thủ tục cập nhật hồ sơ ngay lập tức:

Loại thay đổi Ví dụ cụ thể
Thay đổi về tổ chức Doanh nghiệp sáp nhập, chia tách, giải thể, đổi tên, thay đổi người đại diện pháp luật.
Thay đổi về hoạt động xử lý dữ liệu Thu thập thêm loại dữ liệu mới (ví dụ: bắt đầu thu thập dữ liệu sinh trắc học chấm công); thay đổi mục đích sử dụng dữ liệu.
Thay đổi đối tác (Bên thứ ba) Thay đổi nhà cung cấp dịch vụ Cloud, thay đổi công ty tính lương, thay đổi đối tác nhận dữ liệu ở nước ngoài.
Thay đổi hệ thống/công nghệ Nâng cấp hệ thống bảo mật, thay đổi server lưu trữ từ trong nước ra nước ngoài.

Nếu doanh nghiệp có bất kỳ thay đổi nào nêu trên mà không cập nhật hồ sơ, doanh nghiệp sẽ đối mặt với rủi ro bị xử phạt vi phạm hành chính vì hành vi khai báo không trung thực hoặc không cập nhật thông tin theo quy định.

Quy trình và biểu mẫu cập nhật hồ sơ theo luật mới như thế nào?

Doanh nghiệp sử dụng Mẫu số 03a (Thông báo cập nhật hồ sơ đánh giá tác động đối với tổ chức) ban hành kèm theo Nghị định 356/2025/NĐ-CP. Hồ sơ có thể nộp trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc nộp trực tiếp/bưu điện về Cục An ninh mạng (A05).

Quy trình cập nhật được thực hiện tinh gọn hơn so với lập mới, nhưng đòi hỏi sự chính xác cao. Cụ thể các bước như sau:

  • Bước 1: Rà soát nội dung thay đổi. Xác định rõ các điểm khác biệt giữa hiện trạng thực tế và hồ sơ đã nộp trước đây.
  • Bước 2: Điền Mẫu số 03a. Cung cấp thông tin hồ sơ gốc (mã hồ sơ đã nộp) và chi tiết nội dung thay đổi, lý do thay đổi.
  • Bước 3: Chuẩn bị tài liệu minh chứng. Kèm theo các văn bản chứng minh sự thay đổi (ví dụ: Hợp đồng với đối tác mới, Quyết định bổ nhiệm nhân sự DPO mới…).
  • Bước 4: Nộp hồ sơ và lưu trữ. Nộp về Bộ Công an và lưu trữ bằng chứng đã nộp để phục vụ thanh tra, kiểm tra.

Để đảm bảo thực hiện đúng quy trình này, Quý doanh nghiệp có thể tham khảo dịch vụ Dịch Vụ Tư Vấn Lập Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân của DPVN để được hỗ trợ rà soát và cập nhật hồ sơ chuyên nghiệp.

Có phải nộp hồ sơ định kỳ ngay cả khi không có thay đổi gì không?

Đối với Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (nội bộ), luật không yêu cầu nộp lại định kỳ nếu không có thay đổi. Tuy nhiên, đối với Hồ sơ chuyển dữ liệu ra nước ngoài, Điều 22 Luật 91/2025/QH15 yêu cầu phải được cập nhật định kỳ 06 tháng/lần.

Đây là điểm khác biệt quan trọng cần lưu ý. Hoạt động chuyển dữ liệu xuyên biên giới luôn tiềm ẩn rủi ro cao hơn, do đó cơ quan quản lý yêu cầu sự giám sát chặt chẽ hơn. Ngay cả khi doanh nghiệp cảm thấy “không có gì thay đổi lớn”, việc rà soát và báo cáo định kỳ 6 tháng vẫn là nghĩa vụ bắt buộc để xác nhận lại trạng thái an toàn của dòng dữ liệu.

Luật sư DPVN chia sẻ: “Nhiều doanh nghiệp thường bỏ qua mốc 6 tháng này vì nghĩ rằng mình vẫn làm như cũ. Tuy nhiên, trong 6 tháng đó, có thể quy định pháp luật của nước sở tại (nơi nhận dữ liệu) đã thay đổi, hoặc danh sách nhân sự tiếp cận dữ liệu đã biến động. Việc cập nhật định kỳ chính là lúc để doanh nghiệp ‘khám sức khỏe’ lại cho hệ thống tuân thủ của mình.”

Doanh nghiệp của bạn đã sẵn sàng cho kỳ cập nhật hồ sơ đầu tiên theo Luật mới chưa?

Đừng để sự chủ quan dẫn đến các khoản phạt không đáng có. Hãy để DPVN đồng hành cùng bạn trong việc rà soát và chuẩn hóa hồ sơ bảo vệ dữ liệu.

DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân

Hotline: 0982976486

Email: info@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Liên hệ tư vấn ngay

Câu hỏi thường gặp (FAQ)

1. Tôi chưa nộp hồ sơ theo Nghị định 13 thì giờ nộp theo biểu mẫu nào?

Từ ngày 01/01/2026, doanh nghiệp bắt buộc phải sử dụng các biểu mẫu mới ban hành kèm theo Nghị định 356/2025/NĐ-CP (Mẫu số 09 cho báo cáo đánh giá tác động chuyển dữ liệu ra nước ngoài và Mẫu số 10 cho báo cáo đánh giá tác động xử lý dữ liệu).

2. Thời hạn nộp hồ sơ cập nhật là bao lâu khi có thay đổi?

Theo khoản 2 Điều 20 Nghị định 356/2025/NĐ-CP, doanh nghiệp phải cập nhật hồ sơ trong thời hạn 10 ngày kể từ khi có sự thay đổi.

3. Doanh nghiệp siêu nhỏ có được miễn nộp hồ sơ không?

Có. Theo Điều 38 Luật 91/2025/QH15 và Điều 41 Nghị định 356, doanh nghiệp siêu nhỏ, hộ kinh doanh được miễn thực hiện đánh giá tác động trong 05 năm đầu, trừ khi kinh doanh dịch vụ xử lý dữ liệu hoặc xử lý dữ liệu nhạy cảm/số lượng lớn.

4. Phí thẩm định hồ sơ là bao nhiêu?

Hiện tại, pháp luật chưa quy định thu phí đối với việc tiếp nhận và thẩm định hồ sơ đánh giá tác động bảo vệ dữ liệu cá nhân.

5. Nộp hồ sơ ở đâu?

Hồ sơ được nộp về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc qua đường bưu chính/trực tiếp.

Nguồn tham khảo:

  • Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
  • Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP.
  • Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
  • DPVN: Các hướng dẫn thực thi pháp luật về dữ liệu.
  • Báo Chính phủ: Các điểm mới của Luật Bảo vệ dữ liệu cá nhân 2025.
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486