Doanh Nghiệp 1 Người Lao Động Có Phải Lập Hồ Sơ Đánh Giá Tác Động Không?

Avatar of baovedlcn

Ngày đăng -

baovedlcn Tư vấn Luật bảo vệ dữ liệu cá nhân

Câu hỏi Doanh nghiệp 1 người lao động có phải lập hồ sơ đánh giá tác động không là thắc mắc phổ biến của các công ty siêu nhỏ, hộ kinh doanh trong bối cảnh Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 chính thức có hiệu lực từ 01/01/2026. DPVN sẽ giúp bạn giải đáp chính xác, xác định rõ trường hợp được miễn trừ và những tình huống ngoại lệ bắt buộc phải tuân thủ để tránh rủi ro pháp lý đáng tiếc.

Cập nhật quan trọng 2026: Nghị định 356/2025/NĐ-CP đã có những điều chỉnh đáng kể về quy định miễn trừ cho doanh nghiệp nhỏ và siêu nhỏ so với các dự thảo trước đây, nhằm tạo điều kiện thuận lợi cho khởi nghiệp nhưng vẫn đảm bảo an toàn dữ liệu.

Doanh nghiệp siêu nhỏ có được miễn lập hồ sơ đánh giá tác động không?

CÓ, nhưng có điều kiện. Theo Điều 38 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Điều 41 Nghị định 356/2025/NĐ-CP, doanh nghiệp siêu nhỏ, hộ kinh doanh (như doanh nghiệp chỉ có 1 lao động) được quyền lựa chọn không thực hiện lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong thời gian 05 năm đầu kể từ ngày thành lập hoặc từ ngày luật có hiệu lực, TRỪ KHI thuộc các trường hợp ngoại lệ quy định.

Chính sách này thể hiện sự linh hoạt của nhà nước nhằm giảm bớt gánh nặng hành chính cho các mô hình kinh doanh nhỏ lẻ. Tuy nhiên, DPVN lưu ý rằng “được quyền lựa chọn không thực hiện” không đồng nghĩa với việc được miễn trừ hoàn toàn trách nhiệm bảo vệ dữ liệu. Doanh nghiệp vẫn phải tuân thủ các nguyên tắc bảo mật cơ bản và tôn trọng quyền của chủ thể dữ liệu.

Quý khách có thể tìm hiểu thêm về các đối tượng được ưu đãi này tại bài viết: Doanh nghiệp nào được miễn trừ lập hồ sơ đánh giá tác động xử lý dữ liệu?.

Khi nào doanh nghiệp 1 người BẮT BUỘC phải lập hồ sơ đánh giá tác động?

Doanh nghiệp siêu nhỏ sẽ MẤT QUYỀN MIỄN TRỪ và bắt buộc phải lập hồ sơ nếu hoạt động kinh doanh thuộc một trong hai trường hợp: (1) Trực tiếp kinh doanh dịch vụ xử lý dữ liệu cá nhân; hoặc (2) Xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu với quy mô lớn (từ 100.000 chủ thể dữ liệu trở lên).

Đây là điểm mấu chốt mà nhiều chủ doanh nghiệp thường bỏ qua. Dù chỉ có 1 nhân sự, nhưng nếu bản chất hoạt động của bạn tiềm ẩn rủi ro cao đối với dữ liệu cá nhân, pháp luật vẫn yêu cầu sự tuân thủ nghiêm ngặt nhất. Cụ thể:

  • Kinh doanh dịch vụ xử lý dữ liệu: Ví dụ bạn là một Freelancer hoặc công ty một thành viên cung cấp dịch vụ chạy quảng cáo (Marketing Agency), phân tích dữ liệu khách hàng, hoặc cung cấp phần mềm quản lý nhân sự (SaaS). Lúc này, dữ liệu là “tài sản” kinh doanh chính, và bạn buộc phải thực hiện đánh giá tác động.
  • Xử lý dữ liệu nhạy cảm: Nếu bạn vận hành một phòng khám tư nhân nhỏ, một dịch vụ tư vấn tâm lý, hay một ứng dụng hẹn hò… dù quy mô nhân sự nhỏ, bạn đang nắm giữ thông tin sức khỏe, đời sống riêng tư – thuộc nhóm Dữ liệu cá nhân nhạy cảm là gì?. Rủi ro lộ lọt là rất lớn, do đó không được miễn trừ.

Hồ sơ đánh giá tác động gồm những gì và nộp như thế nào?

Nếu doanh nghiệp của bạn thuộc diện bắt buộc phải lập hồ sơ, đừng quá lo lắng. Quy trình này tuy chặt chẽ nhưng đã được quy định rõ ràng. Dưới đây là hướng dẫn từ DPVN:

Thành phần hồ sơ (Theo Điều 19 Nghị định 356/2025/NĐ-CP):

  • Báo cáo đánh giá tác động xử lý dữ liệu cá nhân: Sử dụng Mẫu số 10 ban hành kèm theo Nghị định. Nội dung bao gồm mục đích xử lý, loại dữ liệu, thời gian lưu trữ, và quan trọng nhất là các biện pháp bảo vệ dữ liệu được áp dụng.
  • Tài liệu minh chứng: Các quy trình nội bộ, cam kết bảo mật, hợp đồng với đối tác (nếu có chuyển giao dữ liệu).
  • Thông báo gửi hồ sơ: Sử dụng Mẫu số 02a (dành cho tổ chức).

Quý khách có thể tham khảo chi tiết hơn tại bài viết: Thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân gồm những gì?.

Thời hạn và cách thức nộp:

Hồ sơ phải được lập ngay từ thời điểm bắt đầu xử lý dữ liệu và gửi về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) trong vòng 60 ngày. Doanh nghiệp có thể nộp trực tiếp, qua đường bưu chính hoặc nộp trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.

Ngoài hồ sơ đánh giá tác động, doanh nghiệp 1 người cần làm gì để tuân thủ?

Dù được miễn lập hồ sơ, doanh nghiệp vẫn phải thực hiện các nghĩa vụ cốt lõi: Thông báo cho khách hàng về việc xử lý dữ liệu; Lấy sự đồng ý hợp lệ; Bảo đảm an toàn dữ liệu (bảo mật); và Thực hiện các quyền của chủ thể dữ liệu (xóa, chỉnh sửa, cung cấp dữ liệu) khi có yêu cầu.

Sự miễn trừ về thủ tục hành chính (lập hồ sơ) không đồng nghĩa với miễn trừ trách nhiệm bảo vệ. DPVN khuyến nghị các chủ doanh nghiệp siêu nhỏ thực hiện ngay các bước sau:

  1. Xây dựng Chính sách bảo mật (Privacy Policy): Công khai rõ ràng trên website hoặc tại địa điểm kinh doanh về cách thức bạn thu thập và sử dụng thông tin khách hàng. Tham khảo: Xây dựng chính sách bảo vệ dữ liệu cá nhân cho khách hàng.
  2. Thiết lập cơ chế lấy sự đồng ý (Consent): Đảm bảo khách hàng tích chọn “Đồng ý” hoặc ký tên xác nhận trước khi bạn thu thập dữ liệu của họ. Tránh các ô tích sẵn hoặc sự đồng ý ngầm định.
  3. Bảo mật thông tin cơ bản: Đặt mật khẩu mạnh cho máy tính, sử dụng phần mềm diệt virus, không chia sẻ file dữ liệu khách hàng bừa bãi qua Zalo/Facebook.
  4. Sẵn sàng phản hồi yêu cầu: Khi khách hàng yêu cầu xóa dữ liệu hoặc xem thông tin, bạn phải thực hiện ngay theo quy định về Thời Gian Thực Hiện Quyền Của Chủ Thể Dữ Liệu Là Bao Lâu?.

Bạn vẫn băn khoăn liệu doanh nghiệp mình có thuộc diện phải lập hồ sơ?

Đừng để sự mơ hồ về luật pháp gây rủi ro cho công việc kinh doanh của bạn. Hãy liên hệ ngay với DPVN để được đánh giá tình trạng tuân thủ miễn phí.

DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân

Hotline: 0982976486

Email: info@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Liên hệ tư vấn ngay

Câu hỏi thường gặp (FAQ)

1. Tôi kinh doanh online tại nhà, không có nhân viên, có cần lập hồ sơ không?

Nếu bạn chỉ bán hàng thông thường, bạn được miễn trong 5 năm đầu. Nhưng nếu bạn kinh doanh dịch vụ chạy quảng cáo (xử lý dữ liệu thuê) hoặc thu thập dữ liệu nhạy cảm, bạn vẫn phải lập hồ sơ.

2. Thời gian miễn trừ 5 năm tính từ khi nào?

Tính từ ngày doanh nghiệp được cấp giấy chứng nhận đăng ký kinh doanh. Đối với doanh nghiệp đã hoạt động trước ngày 01/01/2026, thời gian 5 năm được tính từ ngày Luật có hiệu lực.

3. Mức phạt nếu không lập hồ sơ khi thuộc diện bắt buộc là bao nhiêu?

Theo Nghị định về xử phạt vi phạm hành chính, hành vi không lập hồ sơ đánh giá tác động có thể bị phạt tiền từ hàng chục đến hàng trăm triệu đồng, tùy mức độ vi phạm.

4. Tôi có thể tự lập hồ sơ hay phải thuê dịch vụ?

Bạn hoàn toàn có thể tự lập hồ sơ theo Mẫu số 10 của Nghị định 356. Tuy nhiên, việc thuê đơn vị tư vấn như DPVN sẽ giúp hồ sơ chuyên nghiệp, đầy đủ và dễ được chấp thuận hơn.

5. Dữ liệu nhân viên của chính tôi có cần đánh giá tác động không?

Có. Dữ liệu người lao động (dù chỉ 1 người) cũng là dữ liệu cá nhân cần được bảo vệ. Bạn cần có quy định nội bộ về bảo vệ dữ liệu nhân sự.

Nguồn tham khảo:

  • Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
  • Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
  • Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
  • DPVN: Hướng dẫn tuân thủ pháp luật về bảo vệ dữ liệu cho doanh nghiệp SME.
  • Cục An toàn thông tin: Hướng dẫn bảo đảm an toàn hệ thống thông tin theo cấp độ.
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486