Doanh Nghiệp Nào Được Miễn Trừ Lập Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu?

Ngày đăng - 19/08/2025

Luật sư Nguyễn Lâm Sơn Tư vấn Luật bảo vệ dữ liệu cá nhân, Tư vấn Nghị định 13/2023/NĐ-CP

Doanh nghiệp nào được miễn trừ lập hồ sơ đánh giá tác động xử lý dữ liệu là một điểm mới quan trọng của Luật 2025, đặc biệt đối với doanh nghiệp nhỏ và siêu nhỏ. Tại DPVN, chúng tôi sẽ cung cấp danh sách và điều kiện miễn trừ chi tiết, giúp bạn xác định chính xác nghĩa vụ tuân thủ của mình, tránh các rủi ro không cần thiết.

Cơ sở pháp lý cho việc miễn trừ lập hồ sơ đánh giá tác động xử lý dữ liệu là gì?

Cơ sở pháp lý cốt lõi cho việc miễn trừ được quy định tại Điều 38 của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, sẽ có hiệu lực từ ngày 01/01/2026. Đây là một quy định hoàn toàn mới, nhằm giảm bớt gánh nặng tuân thủ cho các doanh nghiệp có quy mô nhỏ và hoạt động xử lý dữ liệu ít rủi ro, một điểm khác biệt lớn so với Nghị định 13/2023/NĐ-CP hiện hành.

Việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một trong những thủ tục hành chính phức tạp và tốn nhiều nguồn lực nhất. Thấu hiểu những khó khăn của doanh nghiệp về tuân thủ nghị định, các nhà làm luật đã đưa các quy định miễn trừ vào Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.

Về chuyên môn sâu, việc đưa ra các trường hợp miễn trừ cho thấy một cách tiếp cận dựa trên rủi ro (risk-based approach). Pháp luật tập trung vào việc quản lý các hoạt động xử lý dữ liệu có quy mô lớn, có hệ thống và tiềm ẩn nhiều rủi ro, đồng thời giảm bớt gánh nặng hành chính cho các doanh nghiệp nhỏ, siêu nhỏ và doanh nghiệp khởi nghiệp. Tuy nhiên, điều quan trọng cần nhấn mạnh là, việc được miễn lập hồ sơ không có nghĩa là được miễn trừ tất cả các nghĩa vụ khác.

Danh sách các doanh nghiệp được miễn lập hồ sơ đánh giá tác động xử lý dữ liệu theo quy định pháp luật Việt Nam là gì?

Theo Điều 38 Luật 91/2025/QH15, danh sách các đối tượng được miễn trừ bao gồm: (1) Hộ kinh doanh; (2) Doanh nghiệp siêu nhỏ; và (3) Doanh nghiệp nhỏ cùng với doanh nghiệp khởi nghiệp (với thời hạn miễn trừ có điều kiện). Tuy nhiên, các quy định miễn trừ này sẽ không áp dụng nếu doanh nghiệp thuộc các trường hợp có rủi ro cao.

Dưới đây là bảng tổng hợp chi tiết các đối tượng được miễn trừ và thời gian áp dụng, có hiệu lực từ ngày 01/01/2026.

Đối tượng được Miễn trừ Điều kiện Miễn trừ theo Luật 2025
Hộ kinh doanh và Doanh nghiệp siêu nhỏ Được miễn trừ vĩnh viễn nghĩa vụ lập hồ sơ ĐGTĐ (Điều 21) và chỉ định nhân sự bảo vệ dữ liệu (Khoản 2, Điều 33).
Doanh nghiệp nhỏ và Doanh nghiệp khởi nghiệp Được quyền lựa chọn miễn trừ có thời hạn, cụ thể là trong vòng 05 năm kể từ ngày 01/01/2026.

Điều kiện cụ thể nào khiến một doanh nghiệp nhỏ hoặc siêu nhỏ không được miễn trừ?

Đây là điểm cực kỳ quan trọng mà mọi doanh nghiệp nhỏ cần lưu ý. Việc miễn trừ sẽ KHÔNG được áp dụng nếu doanh nghiệp, dù có quy mô nhỏ, nhưng lại thuộc một trong ba trường hợp có rủi ro cao: (1) Kinh doanh dịch vụ xử lý dữ liệu cá nhân; (2) Trực tiếp xử lý dữ liệu cá nhân nhạy cảm; hoặc (3) Xử lý dữ liệu cá nhân của số lượng lớn chủ thể.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Trong quá trình tư vấn, chúng tôi nhấn mạnh rằng các ngoại lệ này còn quan trọng hơn cả quy tắc chung. Một câu chuyện thực tế: một phòng khám nha khoa tư nhân quy mô nhỏ, chỉ có 5 nhân viên (đủ điều kiện là doanh nghiệp siêu nhỏ), ban đầu cho rằng họ được miễn trừ. Tuy nhiên, họ xử lý hồ sơ bệnh án của khách hàng, vốn là dữ liệu cá nhân nhạy cảm. Do đó, quy định miễn trừ không áp dụng và họ vẫn phải thực hiện đầy đủ các nghĩa vụ, bao gồm cả việc lập hồ sơ ĐGTĐ.”

Dưới đây là phân tích chi tiết các trường hợp ngoại lệ:

  • Kinh doanh dịch vụ xử lý dữ liệu cá nhân: Một công ty khởi nghiệp nhỏ cung cấp dịch vụ email marketing cho các khách hàng khác. Mặc dù là doanh nghiệp khởi nghiệp, nhưng do bản chất kinh doanh là xử lý dữ liệu thay mặt người khác, họ không được miễn trừ.
  • Trực tiếp xử lý dữ liệu cá nhân nhạy cảm: Một công ty nhỏ phát triển một ứng dụng theo dõi sức khỏe, hoặc một cửa hàng nhỏ sử dụng hệ thống chấm công bằng dữ liệu vân tay. Các hoạt động này đều liên quan đến dữ liệu nhạy cảm và không được miễn trừ.
  • Xử lý dữ liệu của số lượng lớn chủ thể: Ngưỡng “số lượng lớn” sẽ được Chính phủ quy định chi tiết trong các văn bản hướng dẫn thi hành Luật. Tuy nhiên, các doanh nghiệp có tệp khách hàng lớn cần phải lưu ý đến điều kiện này.

Làm thế nào để một doanh nghiệp xác định mình có thuộc diện được miễn lập hồ sơ đánh giá tác động hay không?

Để xác định, doanh nghiệp cần thực hiện một quy trình tự đánh giá 2 bước: (1) Xác định quy mô của doanh nghiệp (siêu nhỏ, nhỏ, hay khởi nghiệp) theo quy định của Luật Hỗ trợ Doanh nghiệp nhỏ và vừa; và (2) Rà soát lại toàn bộ hoạt động xử lý dữ liệu của mình để kiểm tra xem có rơi vào một trong ba trường hợp ngoại lệ rủi ro cao hay không.

Dưới đây là một hướng dẫn chi tiết giúp bạn tự xác định:

  1. Bước 1: Xác định Quy mô Doanh nghiệp:Bạn cần đối chiếu các tiêu chí của công ty mình (số lao động tham gia BHXH bình quân năm, tổng doanh thu hoặc tổng nguồn vốn) với các quy định tại Nghị định 80/2021/NĐ-CP hướng dẫn Luật Hỗ trợ Doanh nghiệp nhỏ và vừa.
  2. Bước 2: Rà soát Hoạt động Xử lý Dữ liệu:Hãy trả lời 3 câu hỏi sau:
    • Công ty của bạn có cung cấp dịch vụ xử lý dữ liệu cho các công ty khác không?
    • Công ty của bạn có thu thập hoặc xử lý bất kỳ loại dữ liệu nào trong danh sách dữ liệu cá nhân nhạy cảm không?
    • Tệp khách hàng hoặc người dùng của bạn có lớn không? (Cần theo dõi hướng dẫn của Chính phủ về ngưỡng “lớn”).

Nếu bạn là doanh nghiệp siêu nhỏ/nhỏ/khởi nghiệp câu trả lời cho cả ba câu hỏi trên đều là “Không”, thì khả năng cao bạn sẽ được hưởng quy định miễn trừ từ ngày 01/01/2026. Nếu có bất kỳ câu trả lời nào là “Có”, bạn phải tuân thủ đầy đủ.

DPVN: Dịch Vụ Tư Vấn và Hỗ Trợ Xác Định Nghĩa Vụ Tuân Thủ

Việc xác định sai tình trạng miễn trừ có thể dẫn đến rủi ro không tuân thủ nghiêm trọng. Để có được sự chắc chắn về mặt pháp lý, việc tham vấn ý kiến chuyên gia là rất cần thiết.

Đội ngũ của DPVN sẽ giúp bạn phân tích mô hình kinh doanh, rà soát các hoạt động xử lý dữ liệu và đưa ra kết luận chính xác về các nghĩa vụ tuân thủ của bạn. Hãy liên hệ với Luật sư Nguyễn Lâm Sơn để được tư vấn:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Câu hỏi thường gặp về việc miễn trừ lập hồ sơ đánh giá tác động

1. Quy định miễn trừ này có hiệu lực ngay bây giờ không?

Không. Quy định miễn trừ này nằm trong Luật 91/2025/QH15 và sẽ chỉ có hiệu lực từ ngày 01/01/2026. Cho đến thời điểm đó, mọi doanh nghiệp vẫn phải tuân thủ theo Nghị định 13/2023/NĐ-CP, vốn không có các điều khoản miễn trừ này.

2. Nếu được miễn lập hồ sơ, chúng tôi có được miễn các nghĩa vụ khác không?

Không. Việc miễn trừ chỉ áp dụng cho nghĩa vụ lập và nộp hồ sơ ĐGTĐ và chỉ định nhân sự. Doanh nghiệp vẫn phải tuân thủ tất cả các nghĩa vụ khác, bao gồm việc tuân thủ các nguyên tắc, có cơ sở pháp lý, đáp ứng quyền của chủ thể dữ liệu, và áp dụng các biện pháp bảo vệ phù hợp.

3. “Doanh nghiệp khởi nghiệp” được xác định như thế nào?

Doanh nghiệp khởi nghiệp sáng tạo được xác định theo các quy định của Luật Hỗ trợ Doanh nghiệp nhỏ và vừa. Doanh nghiệp cần đối chiếu các tiêu chí của mình với luật này để xác định tư cách.

4. Hậu quả pháp lý nếu chúng tôi tự xác định sai và không lập hồ sơ là gì?

Nếu doanh nghiệp của bạn trên thực tế thuộc trường hợp bắt buộc phải lập hồ sơ nhưng lại không thực hiện, đây sẽ bị xem là hành vi không tuân thủ và có thể đối mặt với các biện pháp xử phạt vi phạm hành chính theo quy định.

5. Việc miễn trừ có áp dụng cho Hồ sơ Đánh giá Tác động Chuyển dữ liệu ra nước ngoài không?

Luật 91/2025/QH15 cũng có các quy định miễn trừ riêng cho việc lập hồ sơ chuyển dữ liệu ra nước ngoài. Tham khảo chi tiết tại: Khi nào được miễn lập hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài?

Nguồn tham khảo:

  1. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
  2. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  3. Nghị định 80/2021/NĐ-CP hướng dẫn Luật Hỗ trợ Doanh nghiệp nhỏ và vừa: https://thuvienphapluat.vn/van-ban/Doanh-nghiep/Nghi-dinh-80-2021-ND-CP-huong-dan-Luat-Ho-tro-doanh-nghiep-nho-va-vua-479110.aspx
  4. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  5. Luật Doanh nghiệp 2020: https://thuvienphapluat.vn/van-ban/Doanh-nghiep/Luat-Doanh-nghiep-2020-427533.aspx
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486