Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì?

Ngày đăng - 26/09/2024

Luật sư Nguyễn Lâm Sơn Tư vấn Nghị định 13/2023/NĐ-CP, Tư vấn Luật bảo vệ dữ liệu cá nhân

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một tài liệu pháp lý bắt buộc, phân tích và đưa ra giải pháp cho các rủi ro từ hoạt động xử lý dữ liệu. Tại DPVN, chúng tôi sẽ giải thích hồ sơ đánh giá và cung cấp một cẩm nang toàn diện giúp doanh nghiệp hiểu rõ khái niệm, mục đích và cấu trúc của loại hồ sơ quan trọng này.

Định nghĩa chính thức và mục đích của Hồ sơ Đánh giá Tác động Xử lý Dữ liệu cá nhân là gì?

Hồ sơ Đánh giá Tác động Xử lý Dữ liệu cá nhân (DPIA) là một bộ tài liệu mô tả chi tiết hoạt động xử lý dữ liệu cá nhân của một tổ chức, đồng thời phân tích, đánh giá các tác động và rủi ro tiềm tàng đối với quyền và lợi ích của chủ thể dữ liệu. Mục đích chính của nó là để phòng ngừa rủi ro, đưa ra các biện pháp giảm thiểu và chứng minh sự tuân thủ của doanh nghiệp.

Theo quy định tại Điều 24 Nghị định 13/2023/NĐ-CP và được củng cố tại Điều 21 Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, đây không chỉ là một thủ tục hành chính. Về bản chất, hồ sơ này là một công cụ quản trị rủi ro chiến lược. Nó buộc doanh nghiệp phải dừng lại, xem xét và cân nhắc một cách có hệ thống trước khi bắt đầu bất kỳ hoạt động nào liên quan đến thông tin dữ liệu cá nhân.

Về chuyên môn sâu, việc lập hồ sơ đánh giá tác động hiện thực hóa nguyên tắc “Bảo vệ quyền riêng tư ngay từ khâu thiết kế” (Privacy by Design), một khái niệm nền tảng trong lĩnh vực bảo vệ dữ liệu toàn cầu. Thay vì xem bảo mật như một lớp áo khoác thêm vào sau cùng, nguyên tắc này yêu cầu các biện pháp bảo vệ phải được tích hợp vào chính cấu trúc của hệ thống và quy trình ngay từ những bước đầu tiên. Hồ sơ ĐGTĐ chính là tài liệu ghi lại quá trình tư duy và triển khai nguyên tắc đó.

Yêu cầu pháp lý và nghĩa vụ của doanh nghiệp liên quan đến Hồ sơ đánh giá tác động là gì?

Pháp luật yêu cầu mọi Bên Kiểm soát và Bên Xử lý dữ liệu phải lập và lưu giữ Hồ sơ ĐGTĐ kể từ khi bắt đầu xử lý dữ liệu. Đồng thời, doanh nghiệp có nghĩa vụ nộp 01 bản chính của hồ sơ này đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) trong vòng 60 ngày.

Nghĩa vụ này áp dụng rộng rãi cho hầu hết các doanh nghiệp tại Việt Nam, trừ một số trường hợp được miễn trừ theo Luật 91/2025/QH15. Các yêu cầu pháp lý cốt lõi bao gồm:

  • Trách nhiệm lập hồ sơ: Cả Bên Kiểm soát dữ liệu (Data Controller) và Bên Xử lý dữ liệu (Data Processor) đều phải lập hồ sơ riêng, tương ứng với vai trò của mình.
  • Thời điểm lập: Hồ sơ phải được lập “kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân”. Điều này có nghĩa là việc đánh giá phải diễn ra trước hoặc song song với việc triển khai một hoạt động xử lý mới.
  • Nghĩa vụ nộp hồ sơ: Doanh nghiệp có 60 ngày kể từ ngày bắt đầu xử lý để gửi hồ sơ đến Cục A05.
  • Nghĩa vụ lưu trữ và cập nhật: Hồ sơ phải luôn sẵn sàng để phục vụ hoạt động thanh tra, kiểm tra và phải được cập nhật khi có thay đổi lớn trong hoạt động xử lý.

Nội dung và cấu trúc của một Hồ sơ đánh giá tác động theo mẫu chuẩn bao gồm những gì?

Một Hồ sơ ĐGTĐ chuẩn theo Mẫu Đ24-DLCN-01 (dành cho Bên Kiểm soát) có cấu trúc gồm 7 phần chính, bao gồm: thông tin về các bên liên quan, mô tả chi tiết hoạt động xử lý, các biện pháp bảo vệ được áp dụng, và phần quan trọng nhất là đánh giá chuyên sâu về các tác động có thể xảy ra.

Việc soạn thảo hồ sơ không chỉ là điền thông tin mà là một quá trình thu thập và phân tích có hệ thống. Dưới đây là cấu trúc chi tiết của một hồ sơ dành cho Bên Kiểm soát Dữ liệu.

Mục trong Hồ sơ Nội dung chính cần trình bày
Mục I, II, III, IV Thông tin các bên liên quan: Cung cấp thông tin pháp lý chi tiết về Bên Kiểm soát, Bên Xử lý, Bên thứ ba và các nhà phát triển (nếu có). Cần nộp kèm các tài liệu như Giấy ĐKKD, hợp đồng…
Mục V Mô tả hoạt động xử lý: Đây là phần “trái tim” của hồ sơ, mô tả rõ mục đích xử lý, các loại dữ liệu (cơ bản, nhạy cảm), cách thức lấy sự đồng ý, thời gian lưu trữ và các biện pháp bảo vệ kỹ thuật và quản lý đang áp dụng.
Mục VI Đánh giá tác động: Phần phân tích chuyên sâu nhất, yêu cầu doanh nghiệp phải đánh giá các tác động về quyền của chủ thể dữ liệu, kinh tế, xã hội, thủ tục hành chính và hệ thống pháp luật. Phải xác định rủi ro, đề xuất giải pháp và kiến nghị lựa chọn.
Mục VII Liệt kê văn bản pháp luật: Trích dẫn các quy định pháp luật trong và ngoài nước mà doanh nghiệp phải tuân thủ.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “”Khi soạn thảo Mục VI, doanh nghiệp không nên chỉ mô tả một cách chung chung. Cần phải thực sự phân tích. Ví dụ, nếu bạn triển khai hệ thống chấm công bằng khuôn mặt, bạn phải xác định rủi ro là ‘nguy cơ lộ lọt dữ liệu sinh trắc học, có thể bị sử dụng để mạo danh’. Giải pháp đề xuất có thể là ‘lưu trữ dữ liệu khuôn mặt dưới dạng mã hash không thể giải mã ngược’ và ‘chỉ cho phép nhân sự có thẩm quyền truy cập log chấm công’. Sau đó, bạn đánh giá tác động của giải pháp này và đưa ra kiến nghị.””

Quy trình thực hiện đánh giá và lập hồ sơ gồm những bước nào?

Một quy trình hiệu quả để thực hiện đánh giá và lập hồ sơ bao gồm 4 giai đoạn chính với 10 bước cụ thể, từ khâu chuẩn bị, thu thập thông tin, soạn thảo, cho đến khi hoàn thiện và nộp hồ sơ cho cơ quan chức năng. Đây là một dự án cần sự phối hợp liên phòng ban.

Để có một cái nhìn tổng quan và dễ thực hiện, DPVN đề xuất một quy trình chi tiết như sau:

  1. Giai đoạn 1: Chuẩn bị (Bước 1-3): Thành lập tổ công tác, xác định vai trò và phạm vi.
  2. Giai đoạn 2: Thu thập & Phân tích (Bước 4-5): Thu thập tài liệu pháp lý, lập bản đồ luồng dữ liệu.
  3. Giai đoạn 3: Soạn thảo & Đánh giá (Bước 6-8): Điền thông tin vào mẫu hồ sơ, thực hiện phần đánh giá tác động chuyên sâu và rà soát nội bộ.
  4. Giai đoạn 4: Hoàn thiện & Nộp (Bước 9-10): Phê duyệt, chuẩn bị bộ hồ sơ hoàn chỉnh và nộp cho Cục A05.

Để có hướng dẫn chi tiết từng bước, bạn có thể tham khảo bài viết đầy đủ của chúng tôi về Quy trình lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

DPVN: Dịch Vụ Tư Vấn và Soạn Thảo Hồ Sơ đánh giá tác động Chuyên Nghiệp

Việc hiểu rõ khái niệm và tự soạn thảo một bộ hồ sơ ĐGTĐ đầy đủ, chuyên sâu là một thách thức lớn, đòi hỏi kiến thức đa ngành. Để đảm bảo tuân thủ chính xác và tiết kiệm nguồn lực, hãy để các chuyên gia của chúng tôi hỗ trợ.

DPVN cung cấp dịch vụ trọn gói, được phụ trách bởi Luật sư Nguyễn Lâm Sơn. Tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Câu hỏi thường gặp về Hồ sơ Đánh giá Tác động Xử lý Dữ liệu cá nhân

1. Hồ sơ đánh giá tác động có phải được công khai không?

Không. Đây là tài liệu nội bộ của doanh nghiệp và là hồ sơ nộp cho cơ quan chuyên trách. Doanh nghiệp không có nghĩa vụ phải công khai hồ sơ này cho công chúng.

2. Sự khác biệt chính giữa hồ sơ của Bên Kiểm soát (Mẫu Đ24-01) và Bên Xử lý (Mẫu Đ24-02) là gì?

Sự khác biệt lớn nhất là hồ sơ của Bên Kiểm soát có Mục VI – Đánh giá tác động một cách toàn diện. Hồ sơ của Bên Xử lý không có mục này vì họ không quyết định mục đích xử lý, do đó không phải là người chịu trách nhiệm đánh giá tác động tổng thể. Họ chỉ cần mô tả hoạt động xử lý theo hợp đồng.

3. Doanh nghiệp siêu nhỏ có phải lập hồ sơ đánh giá tác động không?

Theo Nghị định 13/2023/NĐ-CP, doanh nghiệp siêu có phải lập. Tuy nhiên, từ ngày 01/01/2026 khi Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 có hiệu lực, doanh nghiệp siêu nhỏ sẽ được miễn trừ, trừ khi họ kinh doanh dịch vụ xử lý dữ liệu hoặc xử lý dữ liệu nhạy cảm.

4. Lợi ích của việc lập hồ sơ ĐGTĐ là gì ngoài việc tuân thủ pháp luật?

Ngoài tuân thủ, việc lập hồ sơ giúp doanh nghiệp có cái nhìn tổng thể về cách mình đang sử dụng dữ liệu, từ đó tối ưu hóa quy trình, giảm thiểu lãng phí trong thu thập dữ liệu, tăng cường bảo mật và quan trọng nhất là xây dựng được lòng tin với khách hàng và đối tác.

5. Hồ sơ Đánh giá Tác động Xử Lý Dữ Liệu Cá Nhân và Hồ sơ Đánh giá Tác động Chuyển dữ liệu cá nhân ra nước ngoài có giống nhau không?

Không. Đây là hai loại hồ sơ riêng biệt. Hồ sơ đánh giá tác động (Mẫu Đ24) áp dụng cho mọi hoạt động xử lý dữ liệu cá nhân. Nếu trong các hoạt động đó có việc chuyển dữ liệu ra nước ngoài, doanh nghiệp phải lập thêm một Hồ sơ Đánh giá Tác động Chuyển dữ liệu cá nhân ra nước ngoài riêng và nộp theo Mẫu số 06.

Nguồn tham khảo

  1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân: https://baovedlcn.gov.vn/thu-tuc-hanh-chinh/ho-so-danh-gia-tac-dong-xu-ly-du-lieu
  2. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  3. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/
  4. Data Protection Impact Assessments – European Data Protection Board (EDPB): https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-data-protection-impact-assessment-dpia-and-determining_en
  5. Cổng Dịch vụ công Bộ Công an: https://dichvucong.bocongan.gov.vn/
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486