Khi nào cần lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Ngày đăng - 26/09/2024

Luật sư Nguyễn Lâm Sơn Tư vấn Nghị định 13/2023/NĐ-CP, Tư vấn Luật bảo vệ dữ liệu cá nhân

Khi nào cần lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là câu hỏi then chốt đối với mọi doanh nghiệp để đảm bảo tuân thủ pháp luật về bảo vệ dữ liệu cá nhân. Tại DPVN, chúng tôi sẽ làm rõ thời điểm bắt buộc, các điều kiện pháp lý và những trường hợp cụ thể yêu cầu doanh nghiệp phải thực hiện thủ tục quan trọng này, giúp bạn có một lộ trình tuân thủ rõ ràng.

Căn cứ pháp lý nào quy định về thời điểm và trường hợp phải lập hồ sơ đánh giá tác động?

Căn cứ pháp lý chính là Điều 24 của Nghị định 13/2023/NĐ-CP và Điều 21 của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. Các văn bản này quy định rõ rằng Bên Kiểm soát và Bên Xử lý dữ liệu cá nhân phải lập và lưu giữ hồ sơ đánh giá tác động kể từ thời điểm bắt đầu xử lý dữ liệu và nộp cho cơ quan chuyên trách trong vòng 60 ngày.

Nghị định 13/2023/NĐ-CP đã tạo ra một hành lang pháp lý đầu tiên và toàn diện tại Việt Nam về bảo vệ dữ liệu cá nhân. Trong đó, yêu cầu lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) là một trong những nghĩa vụ cốt lõi. Đây không phải là một quy định tùy chọn, mà là một yêu cầu tuân thủ bắt buộc đối với hầu hết các doanh nghiệp.

Về chuyên môn, quy định này cho thấy Việt Nam đang tiệm cận với các tiêu chuẩn quốc tế như GDPR của Châu Âu, nơi Đánh giá tác động bảo vệ dữ liệu cũng là một yêu cầu trọng tâm. Việc hiểu rõ các văn bản pháp luật này là bước đầu tiên để doanh nghiệp xác định chính xác nghĩa vụ của mình và tránh các rủi ro pháp lý trong hoạt động xử lý dữ liệu cá nhân.

Thời điểm nào doanh nghiệp bắt buộc phải lập và nộp hồ sơ đánh giá tác động?

Doanh nghiệp phải lập và lưu giữ hồ sơ đánh giá tác động “kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân”. Sau đó, doanh nghiệp có thời hạn 60 ngày kể từ ngày bắt đầu xử lý để nộp 01 bản chính của hồ sơ này đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05).

Việc quy định rõ ràng về thời điểm này có ý nghĩa rất quan trọng, buộc doanh nghiệp phải có tư duy “phòng ngừa” thay vì “khắc phục”.

  • Lập hồ sơ “kể từ thời điểm bắt đầu”: Điều này có nghĩa là, trước khi hoặc ngay khi doanh nghiệp bắt đầu một hoạt động xử lý dữ liệu mới (ví dụ: ra mắt một ứng dụng mới, triển khai hệ thống CRM), hồ sơ ĐGTĐ phải được tiến hành lập. Nó không phải là một công việc làm sau.
  • Nộp hồ sơ trong “60 ngày”: Đây là thời hạn hành chính để doanh nghiệp hoàn thiện và gửi hồ sơ đến cơ quan chức năng. Đây không phải là thời gian để bắt đầu soạn thảo.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Trong quá trình tư vấn, chúng tôi luôn khuyên các doanh nghiệp nên tích hợp việc lập hồ sơ đánh giá tác động vào ngay trong quy trình phát triển sản phẩm hoặc dự án mới. Một câu chuyện thực tế: Một công ty fintech đã phát triển xong một ứng dụng cho vay nhưng đến lúc chuẩn bị ra mắt mới tiến hành làm hồ sơ ĐGTĐ. Họ phát hiện ra luồng xử lý dữ liệu tài chính của mình có rủi ro cao và không tuân thủ. Kết quả là họ phải tạm dừng việc ra mắt và tốn thêm nhiều tuần để thiết kế lại hệ thống, gây thiệt hại lớn về chi phí và cơ hội kinh doanh. Nếu họ lập hồ sơ ngay từ đầu, vấn đề này đã được giải quyết.”

Những tiêu chí và trường hợp cụ thể nào yêu cầu phải lập hồ sơ đánh giá tác động?

Về cơ bản, mọi Bên Kiểm soát và Bên Xử lý dữ liệu cá nhân tại Việt Nam đều phải lập hồ sơ ĐGTĐ. Tuy nhiên, việc đánh giá cần được thực hiện đặc biệt cẩn trọng đối với các hoạt động có rủi ro cao, chẳng hạn như xử lý dữ liệu cá nhân nhạy cảm trên quy mô lớn, áp dụng công nghệ mới để theo dõi, hoặc chuyển dữ liệu cá nhân ra nước ngoài.

Mặc dù quy định của Nghị định 13 mang tính áp dụng rộng, không liệt kê các trường hợp cụ thể như GDPR, nhưng dựa trên tinh thần của luật và thông lệ quốc tế, việc lập hồ sơ ĐGTĐ là đặc biệt cấp thiết trong các trường hợp sau:

Trường hợp xử lý rủi ro cao Ví dụ thực tế
Xử lý dữ liệu cá nhân nhạy cảm trên quy mô lớn Một chuỗi bệnh viện đa khoa xử lý hồ sơ bệnh án điện tử của hàng chục ngàn bệnh nhân; Một ngân hàng xử lý dữ liệu sinh trắc học để xác thực giao dịch.
Áp dụng công nghệ mới để theo dõi, giám sát Một trung tâm thương mại lắp đặt hệ thống camera thông minh sử dụng AI để phân tích hành vi, độ tuổi, giới tính của khách hàng; Một ứng dụng di động theo dõi vị trí của người dùng liên tục.
Xử lý dữ liệu để ra quyết định tự động có ảnh hưởng pháp lý Một công ty tài chính sử dụng thuật toán để tự động chấm điểm tín dụng và quyết định duyệt hoặc từ chối một khoản vay; Một công ty sử dụng phần mềm để sàng lọc và tự động loại bỏ hồ sơ ứng viên.
Xử lý dữ liệu của các đối tượng yếu thế (như trẻ em) Một công ty phát triển ứng dụng game hoặc nền tảng học tập trực tuyến dành cho trẻ em.
Chuyển dữ liệu cá nhân ra nước ngoài Bất kỳ doanh nghiệp nào sử dụng các dịch vụ lưu trữ đám mây có máy chủ ở nước ngoài (AWS, Google Cloud), hoặc gửi dữ liệu về cho công ty mẹ ở quốc gia khác.

Có trường hợp nào doanh nghiệp được miễn trừ nghĩa vụ lập hồ sơ đánh giá tác động không?

Nghị định 13/2023/NĐ-CP không quy định trường hợp miễn trừ nào. Tuy nhiên, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (hiệu lực từ 01/01/2026) đã có những quy định miễn trừ nhất định cho doanh nghiệp nhỏ, siêu nhỏ và một số trường hợp đặc thù khác, trừ khi họ kinh doanh dịch vụ xử lý dữ liệu hoặc xử lý dữ liệu nhạy cảm.

Đây là một điểm mới rất quan trọng nhằm giảm gánh nặng tuân thủ cho các doanh nghiệp có quy mô nhỏ và hoạt động xử lý dữ liệu ít rủi ro. Cụ thể, Điều 38 của Luật 91/2025/QH15 quy định:

  • Doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp: Được quyền lựa chọn không thực hiện quy định về lập hồ sơ ĐGTĐ (Điều 21) trong vòng 05 năm kể từ ngày Luật có hiệu lực.
  • Hộ kinh doanh và doanh nghiệp siêu nhỏ: Không phải thực hiện quy định về lập hồ sơ ĐGTĐ.

Lưu ý quan trọng: Việc miễn trừ này KHÔNG áp dụng nếu các doanh nghiệp nói trên thuộc một trong các trường hợp sau:

  • Kinh doanh dịch vụ xử lý dữ liệu cá nhân.
  • Trực tiếp xử lý dữ liệu cá nhân nhạy cảm.
  • Xử lý dữ liệu cá nhân của số lượng lớn chủ thể (ngưỡng “lớn” sẽ được Chính phủ quy định chi tiết).

Do đó, ngay cả khi là doanh nghiệp nhỏ, nếu bạn hoạt động trong lĩnh vực y tế, tài chính, hoặc có một tệp khách hàng lớn, khả năng cao bạn vẫn phải thực hiện nghĩa vụ này. Tìm hiểu chi tiết hơn tại bài viết Doanh nghiệp nào được miễn trừ lập hồ sơ đánh giá tác động xử lý dữ liệu?

DPVN: Hỗ trợ Xác định Nghĩa vụ và Lập Hồ sơ ĐGTĐ

Việc xác định khi nào cần lập hồ sơ và phạm vi đánh giá là một bước đi quan trọng và phức tạp. Một quyết định sai có thể dẫn đến việc tuân thủ thiếu sót hoặc lãng phí nguồn lực.

Đội ngũ chuyên gia của DPVN, với kinh nghiệm thực tiễn của Luật sư Nguyễn Lâm Sơn, sẽ giúp Quý doanh nghiệp phân tích chính xác các hoạt động xử lý dữ liệu và xác định các nghĩa vụ tuân thủ cần thiết. Hãy tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Câu hỏi thường gặp về thời điểm lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

1. Nếu công ty chúng tôi đã hoạt động từ lâu, trước khi Nghị định 13 có hiệu lực, thì thời hạn 60 ngày được tính như thế nào?

Đối với các hoạt động xử lý dữ liệu đã và đang diễn ra, thời hạn 60 ngày được tính từ ngày Nghị định 13/2023/NĐ-CP có hiệu lực (01/7/2023). Các doanh nghiệp thuộc đối tượng này cần khẩn trương hoàn thành nghĩa vụ của mình.

2. Có phải mỗi khi có một chiến dịch marketing mới, chúng tôi đều phải lập một hồ sơ ĐGTĐ mới không?

Không nhất thiết. Nếu các chiến dịch marketing mới có cùng bản chất, cùng loại dữ liệu và cùng mục đích xử lý như những gì đã được mô tả trong hồ sơ ĐGTĐ đã nộp, bạn không cần lập hồ sơ mới. Tuy nhiên, nếu chiến dịch mới có sự thay đổi lớn (ví dụ: bắt đầu thu thập thêm dữ liệu nhạy cảm, hoặc chia sẻ dữ liệu cho một đối tác mới), bạn sẽ phải cập nhật hồ sơ đánh giá tác động đã nộp.

3. Quy định miễn trừ cho doanh nghiệp nhỏ có hiệu lực ngay bây giờ không?

Không. Quy định miễn trừ này nằm trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, sẽ chỉ có hiệu lực từ ngày 01/01/2026. Cho đến thời điểm đó, tất cả các doanh nghiệp vẫn phải tuân thủ theo Nghị định 13/2023/NĐ-CP, vốn không có điều khoản miễn trừ.

4. Lập hồ sơ có phải là xin phép cơ quan nhà nước không?

Không. Đây là một cơ chế thông báo và hậu kiểm. Doanh nghiệp chủ động đánh giá và nộp hồ sơ để thực hiện nghĩa vụ pháp lý và chứng minh sự tuân thủ, chứ không phải là một thủ tục xin cấp phép hoạt động.

5. Nếu tôi không chắc chắn hoạt động của mình có rủi ro cao hay không, tôi nên làm gì?

Thực tiễn tốt nhất là khi có sự không chắc chắn, bạn nên tiến hành lập hồ sơ đánh giá tác động. Quá trình này sẽ giúp bạn làm rõ các rủi ro và có biện pháp xử lý phù hợp. Việc lập hồ sơ một cách chủ động luôn tốt hơn là không làm gì và đối mặt với rủi ro pháp lý về sau. Để có sự đánh giá chính xác nhất, bạn nên tham vấn ý kiến từ các chuyên gia pháp lý.

Nguồn tham khảo:

  1. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  2. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/
  3. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  4. Article 35 of GDPR – Data protection impact assessment: https://gdpr-info.eu/art-35-gdpr/
  5. Luật Doanh nghiệp 2020 (để xác định loại hình doanh nghiệp): https://thuvienphapluat.vn/van-ban/Doanh-nghiep/Luat-Doanh-nghiep-2020-427533.aspx
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486