Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân 2025

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một tài liệu pháp lý quan trọng mà mọi doanh nghiệp cần soạn thảo để tuân thủ pháp luật, nhưng việc thực hiện đúng và đủ có thể là một thách thức lớn. Để giúp doanh nghiệp vượt qua rào cản này, DPVN cung cấp hướng dẫn toàn diện, từng bước để hoàn thiện bộ hồ sơ theo quy định, đảm bảo tuân thủ pháp luật và quản lý rủi ro hiệu quả.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì?

Theo quy định tại Điều 21 của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, việc lập và lưu trữ hồ sơ này là một nghĩa vụ bắt buộc đối với hầu hết các tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Đây không chỉ là một thủ tục hành chính mà còn là một công cụ quản trị rủi ro chiến lược, giúp doanh nghiệp chủ động xác định các lỗ hổng trong quy trình xử lý dữ liệu và có biện pháp khắc phục kịp thời trước khi sự cố xảy ra. Hồ sơ này phải được lập và lưu trữ kể từ thời điểm bắt đầu xử lý dữ liệu và phải được gửi một bản chính đến Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, tức Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an, trong vòng 60 ngày.

Tại sao việc lập hồ sơ này lại quan trọng đối với doanh nghiệp?

Việc chủ động thực hiện đánh giá tác động và xây dựng hồ sơ mang lại nhiều lợi ích thiết thực cho doanh nghiệp, vượt xa mục đích đối phó với quy định:

• Giảm thiểu rủi ro pháp lý: Hoàn thành hồ sơ là bằng chứng cho thấy doanh nghiệp đã thực hiện trách nhiệm của mình một cách nghiêm túc, là cơ sở vững chắc để giải trình trước cơ quan chức năng khi có thanh tra, kiểm tra hoặc xảy ra sự cố.
• Xây dựng niềm tin với khách hàng và đối tác: Một quy trình xử lý dữ liệu minh bạch, có trách nhiệm sẽ giúp củng cố niềm tin của khách hàng và đối tác, yếu tố then chốt trong kinh doanh hiện đại.
• Nâng cao hiệu quả quản trị nội bộ: Quá trình đánh giá giúp doanh nghiệp rà soát lại toàn bộ luồng dữ liệu, từ đó tối ưu hóa quy trình, xác định rõ trách nhiệm của từng bộ phận và tăng cường các biện pháp bảo mật.
• Tạo lợi thế cạnh tranh: Trong bối cảnh người tiêu dùng ngày càng quan tâm đến quyền riêng tư, việc tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân sẽ là một điểm cộng lớn, giúp doanh nghiệp nổi bật so với các đối thủ.

Những đối tượng nào bắt buộc phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Tuy nhiên, pháp luật cũng có những quy định miễn trừ nhằm giảm gánh nặng tuân thủ cho một số đối tượng nhất định. Cụ thể, theo Điều 38 của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, có hiệu lực từ ngày 01/01/2026:

• Doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp: Được quyền lựa chọn không thực hiện quy định này trong 05 năm đầu kể từ ngày Luật có hiệu lực.
• Hộ kinh doanh và doanh nghiệp siêu nhỏ: Không phải thực hiện quy định này.

Lưu ý quan trọng: Các trường hợp miễn trừ trên không áp dụng đối với các doanh nghiệp, hộ kinh doanh kinh doanh dịch vụ xử lý dữ liệu cá nhân, hoặc có hoạt động xử lý dữ liệu cá nhân nhạy cảm, hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm những thành phần cốt lõi nào?

Nội dung chi tiết của hồ sơ được quy định tại Khoản 1, Điều 24 Nghị định 13/2023/NĐ-CP và được chuẩn hóa trong các mẫu biểu do Bộ Công an ban hành. Dưới đây là bảng tóm tắt các thành phần chính mà doanh nghiệp cần chuẩn bị:

Hướng dẫn chi tiết 5 bước lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Để đảm bảo hồ sơ được đầy đủ và chính xác, doanh nghiệp nên tuân thủ một quy trình chặt chẽ. Dưới đây là 5 bước mà DPVN khuyến nghị:

1. Bước 1: Xác định vai trò và phạm vi
   Doanh nghiệp cần xác định rõ vai trò của mình là Bên Kiểm soát, Bên Xử lý, hay đồng thời cả hai. Từ đó, xác định phạm vi của các hoạt động xử lý dữ liệu cá nhân cần được đánh giá, bao gồm các hệ thống, quy trình, và các bộ phận liên quan trong tổ chức.
2. Bước 2: Thu thập thông tin chi tiết
   Thành lập một nhóm làm việc bao gồm đại diện từ các phòng ban liên quan (pháp chế, IT, nhân sự, kinh doanh) để thu thập đầy đủ thông tin theo các đầu mục đã nêu ở phần trên. Việc này đòi hỏi sự phối hợp chặt chẽ để mô tả chính xác luồng dữ liệu trong toàn bộ tổ chức.
3. Bước 3: Phân tích và đánh giá tác động
   Đây là bước quan trọng nhất. Doanh nghiệp cần xác định các mối đe dọa tiềm ẩn (ví dụ: truy cập trái phép, rò rỉ dữ liệu, sử dụng sai mục đích) và đánh giá mức độ rủi ro dựa trên khả năng xảy ra và mức độ nghiêm trọng của hậu quả. Từ đó, đề xuất các biện pháp kiểm soát và giảm thiểu rủi ro phù hợp.

   💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Một sai lầm phổ biến là chỉ liệt kê các biện pháp kỹ thuật như tường lửa hay mã hóa. Một hồ sơ mạnh cần thể hiện cả các biện pháp quản lý, ví dụ như ban hành quy chế nội bộ về bảo vệ dữ liệu, tổ chức đào tạo nhận thức cho nhân viên, và quy định rõ ràng về quy trình xử lý khi có sự cố.”

4. Bước 4: Soạn thảo hồ sơ theo mẫu chuẩn
   Sau khi đã có đầy đủ thông tin và phân tích, tiến hành điền vào mẫu hồ sơ chính thức do Bộ Công an ban hành. Cần lưu ý sử dụng đúng mẫu biểu tương ứng với vai trò của doanh nghiệp (ví dụ Mẫu Đ24-DLCN-01 cho Bên Kiểm soát, Mẫu Đ24-DLCN-02 cho Bên Xử lý). Ngôn ngữ sử dụng cần rõ ràng, chính xác và nhất quán.
5. Bước 5: Nộp hồ sơ và lưu trữ
   Doanh nghiệp nộp 01 bản chính của Hồ sơ đánh giá tác động đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an trong thời hạn 60 ngày kể từ ngày bắt đầu xử lý dữ liệu. Đồng thời, doanh nghiệp phải lưu trữ một bản sao của hồ sơ để sẵn sàng phục vụ công tác thanh tra, kiểm tra.

Những sai lầm phổ biến nào cần tránh khi lập hồ sơ?

Dựa trên kinh nghiệm tư vấn cho nhiều doanh nghiệp, DPVN đã tổng hợp 5 sai lầm phổ biến mà các tổ chức thường mắc phải trong quá trình chuẩn bị hồ sơ:

• Mục đích xử lý không rõ ràng: Ghi mục đích chung chung như “để cải thiện dịch vụ” là không đủ. Cần phải chi tiết hóa, ví dụ: “để phân tích hành vi mua sắm của khách hàng nhằm cá nhân hóa các đề xuất sản phẩm trên website”.
• Thiếu sót trong việc liệt kê các bên liên quan: Bỏ quên việc kê khai các nhà cung cấp dịch vụ bên thứ ba (như dịch vụ cloud, marketing agency,…) cũng tham gia vào quá trình xử lý dữ liệu.
• Đánh giá rủi ro một cách hình thức: Chỉ nêu các rủi ro ở mức độ bề mặt mà không đi sâu phân tích nguyên nhân gốc rễ và tác động cụ thể đến chủ thể dữ liệu.
• Biện pháp bảo vệ không tương xứng: Các biện pháp được mô tả không đủ mạnh mẽ hoặc không phù hợp với mức độ nhạy cảm của loại dữ liệu đang được xử lý (ví dụ: xử lý dữ liệu sức khỏe nhưng chỉ có các biện pháp bảo vệ cơ bản).
• Không cập nhật hồ sơ: Lập hồ sơ một lần rồi quên. Theo luật định, hồ sơ phải được cập nhật khi có thay đổi đáng kể trong hoạt động xử lý dữ liệu.

Khi nào doanh nghiệp cần cập nhật hồ sơ đánh giá tác động đã nộp?

Việc cập nhật hồ sơ là một nghĩa vụ liên tục để đảm bảo tính chính xác và phù hợp của các biện pháp bảo vệ dữ liệu. Cụ thể, các trường hợp cần cập nhật ngay bao gồm:

• Khi doanh nghiệp có sự thay đổi về cơ cấu tổ chức như chia, tách, sáp nhập, giải thể, phá sản.
• Khi có sự thay đổi về thông tin của tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có).
• Khi phát sinh hoặc thay đổi ngành nghề, dịch vụ kinh doanh liên quan trực tiếp đến các hoạt động xử lý dữ liệu cá nhân đã đăng ký trong hồ sơ.

Việc cập nhật có thể được thực hiện trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc trực tiếp tại cơ quan chuyên trách.

Câu hỏi thường gặp về hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Việc lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một nhiệm vụ phức tạp, đòi hỏi sự am hiểu sâu sắc về cả pháp lý và kỹ thuật. Để đảm bảo tuân thủ đầy đủ và hiệu quả, việc tìm đến sự hỗ trợ từ các chuyên gia là một lựa chọn khôn ngoan.

Để tìm hiểu thêm về quy trình và nhận được sự tư vấn chuyên sâu, hãy xem thêm các bài viết tại website baovedlcn.vn hoặc liên hệ trực tiếp với DPVN.