Khi Nào Doanh Nghiệp Phải Cập Nhật Hồ Sơ Đánh Giá Tác Động Đã Nộp?

Ngày đăng - 19/08/2025

Luật sư Nguyễn Lâm Sơn Tư vấn Luật bảo vệ dữ liệu cá nhân, Tư vấn Nghị định 13/2023/NĐ-CP

Việc khi nào doanh nghiệp phải cập nhật hồ sơ đánh giá tác động đã nộp là một nghĩa vụ pháp lý quan trọng, đảm bảo sự tuân thủ liên tục của doanh nghiệp. Tại DPVN, chúng tôi sẽ cung cấp hướng dẫn chi tiết về các thời điểm bắt buộc và thủ tục cập nhật hồ sơ, giúp bạn duy trì một hồ sơ tuân thủ chính xác.

Quy định pháp luật nào yêu cầu doanh nghiệp phải cập nhật hồ sơ đánh giá tác động đã nộp?

Cơ sở pháp lý chính là Khoản 6 của Điều 24 và Điều 25 trong Nghị định 13/2023/NĐ-CP. Các quy định này yêu cầu Bên Kiểm soát, Bên Xử lý và Bên chuyển dữ liệu ra nước ngoài phải cập nhật, bổ sung hồ sơ ĐGTĐ khi có sự thay đổi về nội dung hồ sơ đã gửi cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05).

Việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân không phải là một công việc làm một lần rồi thôi. Pháp luật yêu cầu hồ sơ này phải là một “tài liệu sống” (living document), phản ánh trung thực và chính xác các hoạt động xử lý dữ liệu đang diễn ra tại doanh nghiệp. Khi các hoạt động này thay đổi, hồ sơ cũng phải được thay đổi tương ứng.

Về chuyên môn sâu, nghĩa vụ cập nhật này thực thi nguyên tắc Trách nhiệm giải trình (Accountability). Nó đảm bảo rằng doanh nghiệp không chỉ tuân thủ tại thời điểm nộp hồ sơ ban đầu, mà còn duy trì sự tuân thủ đó một cách liên tục. Yêu cầu này càng trở nên quan trọng hơn với sự ra đời của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, vốn sẽ có các chế tài xử phạt nghiêm khắc hơn cho các hành vi không tuân thủ.

Những thời điểm nào được xem là bắt buộc phải cập nhật lại hồ sơ đánh giá tác động đã nộp?

Doanh nghiệp phải cập nhật hồ sơ ngay lập tức khi có bất kỳ sự “thay đổi về nội dung hồ sơ đã gửi”. Các thay đổi này có thể bao gồm việc thay đổi mục đích xử lý, bổ sung loại dữ liệu thu thập, thay đổi các bên liên quan (Bên Xử lý, Bên thứ ba), hoặc áp dụng các biện pháp bảo vệ mới.

Mặc dù Nghị định 13 không liệt kê một danh sách cụ thể các “thay đổi”, nhưng dựa trên cấu trúc của hồ sơ và kinh nghiệm thực tiễn, DPVN đã xác định các tình huống phổ biến nhất đòi hỏi doanh nghiệp phải tiến hành thủ tục cập nhật hồ sơ.

Các thay đổi liên quan đến hoạt động xử lý dữ liệu

Đây là nhóm thay đổi phổ biến và quan trọng nhất.

  • Thay đổi mục đích xử lý: Doanh nghiệp quyết định sử dụng dữ liệu khách hàng đã có cho một mục đích mới chưa được kê khai. Ví dụ: Ban đầu thu thập email để gửi hóa đơn, nay muốn dùng để gửi email marketing.
  • Thu thập thêm loại dữ liệu mới: Đặc biệt là khi bắt đầu thu thập dữ liệu cá nhân nhạy cảm. Ví dụ: Một ứng dụng thể thao cập nhật thêm tính năng theo dõi nhịp tim.
  • Áp dụng công nghệ xử lý mới: Triển khai một hệ thống trí tuệ nhân tạo (AI) để phân tích hành vi khách hàng hoặc một hệ thống chấm công bằng nhận dạng khuôn mặt.
  • Thay đổi về thời gian lưu trữ: Quyết định kéo dài thời gian lưu trữ dữ liệu so với những gì đã kê khai ban đầu.

Các thay đổi liên quan đến các bên tham gia

  • Thay đổi Bên Xử lý Dữ liệu: Chuyển từ việc sử dụng dịch vụ email marketing của Mailchimp sang SendGrid, hoặc chuyển nhà cung cấp dịch vụ đám mây từ AWS sang Google Cloud.
  • Thêm hoặc thay đổi Bên thứ ba: Bắt đầu chia sẻ dữ liệu cho một đối tác mới chưa được liệt kê trong hồ sơ ban đầu.
  • Thay đổi liên quan đến việc chuyển dữ liệu ra nước ngoài: Thay đổi quốc gia nơi dữ liệu được chuyển đến, hoặc thay đổi pháp nhân nhận dữ liệu ở nước ngoài.

Các thay đổi liên quan đến thông tin của chính doanh nghiệp

  • Thay đổi thông tin pháp lý: Thay đổi tên công ty, địa chỉ trụ sở, người đại diện theo pháp luật.
  • Thay đổi nhân sự phụ trách bảo vệ dữ liệu: Cử một người mới làm trưởng bộ phận bảo vệ dữ liệu hoặc nhân viên phụ trách.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Một tình huống thực tế chúng tôi đã xử lý: một chuỗi bán lẻ đã nộp hồ sơ ĐGTĐ rất đầy đủ. Sáu tháng sau, họ quyết định hợp tác với một công ty phân tích dữ liệu để tìm hiểu sâu hơn về hành vi mua sắm của khách hàng. Việc chia sẻ dữ liệu cho đối tác mới này là một ‘thay đổi về nội dung hồ sơ’ (cụ thể là Mục III – Thông tin về Bên Thứ Ba). Chúng tôi đã ngay lập tức tư vấn cho họ phải thực hiện thủ tục cập nhật hồ sơ bằng Mẫu số 05 để thông báo cho Cục A05 về sự thay đổi này. Sự chủ động này giúp họ duy trì trạng thái tuân thủ liên tục.”

Thủ tục và quy trình cập nhật hồ sơ đánh giá tác động đã nộp được thực hiện như thế nào?

Thủ tục cập nhật hồ sơ được thực hiện bằng cách lập và nộp một bộ hồ sơ thông báo thay đổi đến Cục A05. Bộ hồ sơ này bao gồm công văn thông báo theo Mẫu số 05 Phụ lục Nghị định 13, kèm theo các tài liệu mô tả và chứng minh cho sự thay đổi đó.

Quy trình cập nhật tương đối đơn giản hơn so với việc lập hồ sơ lần đầu, nhưng vẫn đòi hỏi sự chính xác.

  1. Bước 1: Chuẩn bị hồ sơ thông báo thay đổi:
    • Thông báo thay đổi nội dung hồ sơ (theo Mẫu số 05): Đây là văn bản bắt buộc. Trong đó, doanh nghiệp cần kê khai lại thông tin của mình, mô tả tóm tắt nội dung thay đổi và lý do thay đổi.
    • Tài liệu kèm theo: Các tài liệu chứng minh cho sự thay đổi. Ví dụ: hợp đồng mới với Bên Xử lý dữ liệu, quyết định bổ nhiệm nhân sự mới, bản cập nhật của chính sách bảo vệ dữ liệu…
  2. Bước 2: Nộp hồ sơ đến Cục A05: Doanh nghiệp nộp 01 bộ hồ sơ (bản chính) qua các kênh tương tự như lần nộp đầu tiên (trực tuyến, bưu chính, hoặc trực tiếp).
  3. Bước 3: Lưu trữ hồ sơ: Doanh nghiệp phải lưu một bản sao của bộ hồ sơ cập nhật đã nộp cùng với hồ sơ gốc để đảm bảo tính nhất quán và phục vụ cho việc tra cứu, kiểm tra sau này.

Tải về Mẫu số 05 – Thông báo thay đổi nội dung hồ sơ tại đây

Hậu quả pháp lý khi doanh nghiệp không cập nhật hồ sơ đánh giá tác động là gì?

Việc không cập nhật hồ sơ khi có thay đổi là một hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân. Doanh nghiệp có thể đối mặt với xử phạt vi phạm hành chính, và quan trọng hơn, hồ sơ ĐGTĐ đã nộp sẽ không còn phản ánh đúng thực tế, làm mất đi giá trị chứng minh sự tuân thủ và có thể bị xem là một yếu tố tăng nặng khi có sự cố xảy ra.

Thay vì tập trung vào các chế tài, việc nhìn nhận dưới góc độ lợi ích của việc cập nhật sẽ giúp doanh nghiệp chủ động hơn.

  • Duy trì Tuân thủ Liên tục: Đảm bảo doanh nghiệp luôn ở trong trạng thái tuân thủ, giảm thiểu rủi ro pháp lý khi xử lý dữ liệu cá nhân.
  • Quản trị Rủi ro Chính xác: Giúp doanh nghiệp luôn có một bức tranh cập nhật về các rủi ro liên quan đến dữ liệu, từ đó có các biện pháp quản trị phù hợp.
  • Tăng cường Minh bạch: Thể hiện sự chuyên nghiệp và minh bạch trong việc báo cáo với cơ quan quản lý nhà nước.

DPVN: Dịch Vụ Hỗ Trợ Rà Soát và Cập nhật Hồ sơ ĐGTĐ

Việc theo dõi các thay đổi và thực hiện thủ tục cập nhật đòi hỏi một quy trình giám sát nội bộ hiệu quả. Nhiều doanh nghiệp có thể bỏ sót nghĩa vụ này do không có nhân sự chuyên trách.

DPVN cung cấp dịch vụ rà soát tuân thủ định kỳ và hỗ trợ thực hiện các thủ tục cập nhật hồ sơ một cách nhanh chóng, chính xác. Hãy liên hệ với Luật sư Nguyễn Lâm Sơn để đảm bảo chương trình tuân thủ của bạn luôn được cập nhật:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Câu hỏi thường gặp về việc cập nhật hồ sơ đánh giá tác động

1. Có cần cập nhật hồ sơ định kỳ ngay cả khi không có thay đổi gì không?

Nghị định 13 chỉ yêu cầu cập nhật “khi có sự thay đổi”. Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định cập nhật “định kỳ 06 tháng khi có sự thay đổi”. Do đó, nếu trong 6 tháng không có bất kỳ thay đổi nào về nội dung đã kê khai, bạn không bắt buộc phải nộp hồ sơ cập nhật.

2. Thủ tục cập nhật Hồ sơ ĐGTĐ và Hồ sơ ĐGTĐ Chuyển dữ liệu ra nước ngoài có giống nhau không?

Về cơ bản là giống nhau. Cả hai đều sử dụng Mẫu số 05 để thông báo. Trong mẫu này, bạn sẽ phải ghi rõ tên hồ sơ cần thay đổi là “Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân” hay “Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài”.

3. Nếu chúng tôi chỉ thay đổi một chi tiết nhỏ, ví dụ như số điện thoại của nhân sự phụ trách, có cần cập nhật không?

Có. Bất kỳ sự thay đổi nào về nội dung đã kê khai trong hồ sơ đều cần được cập nhật để đảm bảo thông tin mà cơ quan quản lý nắm giữ là chính xác. Việc này thể hiện sự nghiêm túc và chuyên nghiệp trong công tác tuân thủ.

4. Thời hạn để nộp hồ sơ cập nhật là bao lâu sau khi có thay đổi?

Pháp luật hiện hành chưa quy định một thời hạn cụ thể (ví dụ: 30 ngày hay 60 ngày) cho việc nộp hồ sơ cập nhật. Tuy nhiên, doanh nghiệp nên thực hiện việc này một cách sớm nhất có thể sau khi sự thay đổi có hiệu lực để đảm bảo tính tuân thủ liên tục.

5. Cập nhật hồ sơ có cần phải soạn lại toàn bộ hồ sơ gốc không?

Không cần. Bạn chỉ cần nộp Mẫu số 05 và các tài liệu liên quan trực tiếp đến nội dung thay đổi. Tuy nhiên, bạn phải cập nhật và lưu trữ một phiên bản mới, đầy đủ của hồ sơ ĐGTĐ tại nội bộ doanh nghiệp của mình.

Nguồn tham khảo:

  1. Thủ tục Thay đổi nội dung Hồ sơ ĐGTĐ Chuyển dữ liệu: https://baovedlcn.gov.vn/thu-tuc-hanh-chinh/thay-doi-noi-dung-ho-so-danh-gia-tac-dong-chuyen-du-lieu-ca-nhan-ra-nuoc-ngoai
  2. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  3. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
  4. Cổng Dịch vụ công Bộ Công an: https://dichvucong.bocongan.gov.vn/
  5. ICO (UK) – When do we need to review our DPIA?: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/when-do-we-need-to-review-our-dpia/
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486