Hồ Sơ Đánh Giá Tác Động Không Đạt Cần Hoàn Thiện Trong Bao Lâu?

Avatar of baovedlcn

Ngày đăng -

baovedlcn Tư vấn Luật bảo vệ dữ liệu cá nhân

Câu hỏi Hồ sơ đánh giá tác động không đạt cần hoàn thiện trong bao lâu? là mối quan tâm hàng đầu của nhiều doanh nghiệp khi nhận được thông báo yêu cầu sửa đổi từ Cục An ninh mạng (A05). Theo quy định tại Điều 18 và Điều 19 Nghị định 356/2025/NĐ-CP, thời hạn tối đa để doanh nghiệp hoàn thiện hồ sơ là 30 ngày. DPVN sẽ cung cấp hướng dẫn chi tiết giúp Quý doanh nghiệp nắm vững quy trình, tránh các sai sót phổ biến và đảm bảo tính tuân thủ pháp luật một cách nhanh chóng nhất.

Thông tin quan trọng: Thời hạn 30 ngày là thời gian “vàng” để doanh nghiệp bổ sung tài liệu và giải trình. Quá thời hạn này mà không hoàn thiện, doanh nghiệp có thể đối mặt với các chế tài xử phạt hành chính nghiêm khắc.

Thời hạn cụ thể để hoàn thiện hồ sơ đánh giá tác động là bao nhiêu ngày?

Theo quy định tại khoản 6 Điều 18 (đối với hồ sơ chuyển dữ liệu ra nước ngoài) và khoản 6 Điều 19 (đối với hồ sơ xử lý dữ liệu nội địa) của Nghị định 356/2025/NĐ-CP, doanh nghiệp có thời hạn 30 ngày để hoàn thiện hồ sơ kể từ ngày nhận được yêu cầu của Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

Việc xác định đúng mốc thời gian là vô cùng quan trọng. Thời hạn 30 ngày này áp dụng cho cả hai loại hồ sơ quan trọng nhất hiện nay:

  • Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA): Dành cho Bên Kiểm soát và Bên Xử lý dữ liệu hoạt động tại Việt Nam.
  • Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (Transfer Impact Assessment – TIA): Dành cho doanh nghiệp có hoạt động chuyển dữ liệu ra nước ngoài.

Trong quá trình tư vấn, DPVN thường gặp trường hợp doanh nghiệp nhầm lẫn giữa thời hạn hoàn thiện hồ sơ (30 ngày) và thời hạn nộp hồ sơ lần đầu (60 ngày kể từ khi bắt đầu xử lý). Sự nhầm lẫn này có thể dẫn đến việc chậm trễ, bị coi là không chấp hành yêu cầu của cơ quan chức năng.

Để tránh rơi vào tình huống này, Quý doanh nghiệp nên tham khảo chi tiết về quy trình ban đầu tại bài viết Quy trình lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân như thế nào? để làm đúng ngay từ đầu.

Hậu quả pháp lý nếu doanh nghiệp không hoàn thiện hồ sơ đúng hạn là gì?

Nếu quá thời hạn 30 ngày mà doanh nghiệp không thực hiện hoàn thiện hồ sơ theo đúng quy định, Cơ quan chuyên trách bảo vệ dữ liệu cá nhân sẽ xem xét áp dụng các quy định về xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.

Chế tài xử phạt không chỉ dừng lại ở mức phạt tiền. Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025 quy định rất nghiêm khắc về các hành vi không tuân thủ:

  • Phạt tiền: Mức phạt có thể lên tới 5% tổng doanh thu năm tài chính liền kề (đối với vi phạm về chuyển dữ liệu ra nước ngoài) hoặc phạt tiền đến hàng trăm triệu đồng cho các vi phạm hành chính khác.
  • Đình chỉ hoạt động: Cơ quan chức năng có quyền yêu cầu ngừng chuyển dữ liệu ra nước ngoài hoặc ngừng xử lý dữ liệu cho đến khi hồ sơ được hoàn thiện.
  • Công khai vi phạm: Tên doanh nghiệp vi phạm có thể bị công bố trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, gây ảnh hưởng lớn đến uy tín thương hiệu.

Đây là rủi ro pháp lý rất lớn mà không doanh nghiệp nào muốn đối mặt. Do đó, việc chủ động rà soát và hoàn thiện hồ sơ ngay khi nhận được thông báo là ưu tiên hàng đầu. Quý vị có thể tìm hiểu thêm về các mức phạt cụ thể tại bài viết Quy định xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân.

Những lỗi thường gặp khiến hồ sơ bị đánh giá là “không đạt”?

Các lỗi phổ biến bao gồm: Xác định sai vai trò (Bên Kiểm soát/Bên Xử lý); Thiếu biện pháp bảo vệ dữ liệu tương xứng (như mã hóa, khử nhận dạng); Đánh giá rủi ro sơ sài; Thiếu tài liệu minh chứng (hợp đồng, chính sách nội bộ); hoặc Kê khai thông tin không thống nhất giữa các biểu mẫu.

Dựa trên kinh nghiệm hỗ trợ nhiều khách hàng, DPVN tổng hợp các điểm yếu chí mạng trong hồ sơ mà doanh nghiệp cần đặc biệt lưu ý khi sửa đổi:

Lỗi thường gặp Cách khắc phục
Xác định sai vai trò Cần phân tích kỹ dòng chảy dữ liệu và quyền quyết định mục đích xử lý để chọn đúng Mẫu số 10 (cho Bên Kiểm soát) hay các mẫu khác. Tham khảo: Cách xác định vai trò của doanh nghiệp trong xử lý dữ liệu cá nhân.
Thiếu biện pháp kỹ thuật Bổ sung chi tiết về giải pháp mã hóa, tường lửa, và đặc biệt là khử nhận dạng dữ liệu cá nhân nếu xử lý dữ liệu nhạy cảm.
Đánh giá rủi ro chung chung Phải chỉ rõ rủi ro cụ thể (lộ lọt, tấn công mạng…) và hậu quả đối với chủ thể dữ liệu, kèm theo biện pháp giảm thiểu.

Một sai lầm khác là việc doanh nghiệp không cập nhật kịp thời các thay đổi. Ví dụ, khi thay đổi đối tác cung cấp dịch vụ Cloud, hồ sơ cũ sẽ không còn giá trị. Doanh nghiệp cần lưu ý quy định về Thời Gian Cập Nhật Định Kỳ Hồ Sơ Đánh Giá Tác Động Là Bao Lâu? để chủ động tuân thủ.

Quy trình và cách thức nộp lại hồ sơ đã hoàn thiện như thế nào?

Doanh nghiệp nộp lại bộ hồ sơ đã bổ sung, chỉnh sửa kèm theo văn bản giải trình qua một trong ba hình thức: Trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân; Trực tiếp tại trụ sở Cục An ninh mạng (A05); hoặc qua đường bưu chính. Hồ sơ phải tuân thủ đúng biểu mẫu mới nhất (Mẫu số 09, Mẫu số 10) ban hành kèm theo Nghị định 356/2025/NĐ-CP.

Quy trình nộp lại hồ sơ cần được thực hiện cẩn trọng để đảm bảo tính pháp lý:

  1. Rà soát lại toàn bộ hồ sơ: Đối chiếu từng điểm yêu cầu trong văn bản thông báo của A05 với hồ sơ đã sửa đổi.
  2. Chuẩn bị văn bản giải trình: Nêu rõ các nội dung đã tiếp thu, chỉnh sửa và các tài liệu bổ sung tương ứng.
  3. Sử dụng biểu mẫu chuẩn: Đảm bảo sử dụng đúng Mẫu số 10 (Báo cáo đánh giá tác động xử lý dữ liệu cá nhân) hoặc Mẫu số 09 (Báo cáo đánh giá tác động chuyển dữ liệu xuyên biên giới).
  4. Gửi hồ sơ: Chọn phương thức gửi đảm bảo có xác nhận ngày giờ nhận (dấu bưu điện hoặc xác nhận nộp online) để chứng minh việc nộp đúng hạn 30 ngày.

Nếu Quý doanh nghiệp vẫn còn băn khoăn về cách điền biểu mẫu, hãy tham khảo bài viết Hướng dẫn soạn Mẫu 09 theo Nghị định 356/2025/NĐ-CP để có hướng dẫn chi tiết từng mục.

Phân biệt thời hạn “hoàn thiện hồ sơ” và “cập nhật hồ sơ”

“Hoàn thiện hồ sơ” là nghĩa vụ sửa đổi trong vòng 30 ngày khi hồ sơ bị đánh giá là chưa đạt yêu cầu. Trong khi đó, “Cập nhật hồ sơ” là nghĩa vụ định kỳ 06 tháng/lần hoặc ngay trong vòng 10 ngày khi có sự thay đổi thông tin (về bên xử lý, loại dữ liệu…) theo Điều 22 Luật 91/2025/QH15.

Sự phân biệt này giúp doanh nghiệp xây dựng kế hoạch tuân thủ dài hạn. Hoàn thiện là phản ứng tức thời trước yêu cầu của cơ quan chức năng, còn cập nhật là quy trình quản trị nội bộ thường xuyên.

Ví dụ minh họa:

  • Tình huống 1: Ngày 01/03, Doanh nghiệp nhận được văn bản của A05 yêu cầu bổ sung hợp đồng xử lý dữ liệu. -> Doanh nghiệp phải nộp bổ sung trước ngày 31/03 (Thời hạn hoàn thiện).
  • Tình huống 2: Ngày 15/06, Doanh nghiệp thay đổi đơn vị cung cấp dịch vụ tính lương (Bên xử lý dữ liệu). -> Doanh nghiệp phải nộp thông báo cập nhật hồ sơ trước ngày 25/06 (Thời hạn cập nhật khi có thay đổi).

Hồ sơ của bạn đang bị yêu cầu sửa đổi? Đừng để quá hạn 30 ngày!

Việc giải trình và hoàn thiện hồ sơ đòi hỏi sự am hiểu sâu sắc về pháp lý và kỹ thuật bảo mật. Hãy để đội ngũ chuyên gia của DPVN hỗ trợ bạn vượt qua “cửa ải” này một cách suôn sẻ nhất.

DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân

Hotline: 0982976486

Email: info@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Liên hệ tư vấn ngay

Câu hỏi thường gặp (FAQ)

1. Có được xin gia hạn thêm thời gian hoàn thiện hồ sơ quá 30 ngày không?

Hiện tại, Nghị định 356/2025/NĐ-CP chưa có quy định cụ thể cho phép gia hạn thêm ngoài thời hạn 30 ngày. Do đó, doanh nghiệp cần nỗ lực tối đa để hoàn thành đúng hạn nhằm tránh rủi ro bị phạt.

2. Nếu hồ sơ vẫn chưa đạt sau lần sửa đổi đầu tiên thì sao?

Nếu sau khi sửa đổi mà hồ sơ vẫn chưa đạt, cơ quan chức năng có thể tiếp tục yêu cầu sửa đổi hoặc tiến hành thanh tra, kiểm tra thực tế tại doanh nghiệp để làm rõ các vấn đề còn tồn tại.

3. Doanh nghiệp siêu nhỏ có được miễn lập hồ sơ đánh giá tác động không?

Có. Theo Điều 38 Luật 91/2025/QH15, doanh nghiệp siêu nhỏ được miễn lập hồ sơ trong 5 năm đầu, TRỪ KHI kinh doanh dịch vụ xử lý dữ liệu hoặc xử lý dữ liệu nhạy cảm/số lượng lớn (từ 100.000 chủ thể trở lên).

4. Tôi cần dùng mẫu nào để thông báo cập nhật hồ sơ?

Doanh nghiệp sử dụng Mẫu số 03a (đối với tổ chức) ban hành kèm theo Nghị định 356/2025/NĐ-CP để thực hiện thủ tục thông báo thay đổi nội dung hồ sơ.

5. Dịch vụ tư vấn của DPVN có cam kết hồ sơ đạt yêu cầu không?

DPVN cam kết đồng hành cùng doanh nghiệp trong suốt quá trình từ rà soát, lập hồ sơ đến khi giải trình và hoàn thiện theo yêu cầu của cơ quan chức năng, đảm bảo tỷ lệ thành công cao nhất.

Nguồn tham khảo:

  • Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
  • Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
  • Bộ Công an: Hướng dẫn thực hiện Nghị định bảo vệ dữ liệu cá nhân.
  • DPVN: Tổng hợp biểu mẫu và quy trình tuân thủ pháp luật dữ liệu.
  • Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao: Các lưu ý khi lập hồ sơ đánh giá tác động.
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486