Hướng Dẫn Soạn Mẫu 09 Nghị Định 356/2025/NĐ-CP Chi Tiết Nhất

Avatar of baovedlcn

Ngày đăng -

baovedlcn Tư vấn Luật bảo vệ dữ liệu cá nhân

Việc nắm vững hướng dẫn soạn Mẫu 09 Nghị định 356/2025/NĐ-CP là bước quan trọng giúp doanh nghiệp hoàn thiện hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới một cách chính xác, tránh bị Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) yêu cầu giải trình hoặc từ chối chấp thuận. DPVN sẽ cung cấp hướng dẫn chi tiết từng mục, giúp bạn tự tin hoàn thành thủ tục pháp lý quan trọng này.

Nội dung chính: Hướng dẫn chi tiết cách điền Mẫu số 09 (Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới), các tài liệu cần đính kèm và những lưu ý quan trọng để đảm bảo hồ sơ hợp lệ ngay từ lần nộp đầu tiên.

Mẫu 09 Nghị định 356/2025/NĐ-CP là gì và dùng trong trường hợp nào?

Mẫu 09 (ban hành kèm theo Nghị định 356/2025/NĐ-CP) là biểu mẫu bắt buộc dùng để lập Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới. Doanh nghiệp phải sử dụng mẫu này khi thực hiện một trong ba hoạt động: chuyển dữ liệu ra nước ngoài để lưu trữ, chuyển cho tổ chức nước ngoài, hoặc sử dụng nền tảng nước ngoài để xử lý dữ liệu của công dân Việt Nam.

Theo quy định tại Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Điều 18 Nghị định 356/2025/NĐ-CP, việc lập và nộp hồ sơ đánh giá tác động là nghĩa vụ bắt buộc đối với Bên Chuyển dữ liệu (Bên Kiểm soát, Bên Kiểm soát và Xử lý dữ liệu). Mẫu 09 thay thế hoàn toàn cho Mẫu Đ24-DLCN-04 của Nghị định 13/2023/NĐ-CP trước đây.

Doanh nghiệp cần phân biệt rõ ràng: Mẫu 09 dùng cho hoạt động chuyển dữ liệu ra nước ngoài (Cross-border data transfer), còn Mẫu 10 dùng cho hoạt động xử lý dữ liệu nội địa (Data Processing Impact Assessment – DPIA). Nếu bạn đang thực hiện cả hai hoạt động, bạn cần lập cả hai loại hồ sơ này.

Để hiểu rõ hơn về bối cảnh áp dụng, bạn có thể tham khảo bài viết Khi nào cần lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?.

Hướng dẫn chi tiết cách điền thông tin trong Mẫu 09

Mẫu 09 được chia thành 03 phần chính. Dưới đây là hướng dẫn cụ thể cho từng phần:

Phần A: Hồ sơ đánh giá tác động của Bên Chuyển (Tại Việt Nam)

  • Mục I. Thông tin cơ bản của Bên Chuyển:

    Điền đầy đủ, chính xác tên tiếng Việt, tiếng nước ngoài (nếu có), mã số thuế, địa chỉ trụ sở chính.

    Lưu ý: Tại mục 8 “Bộ phận/Nhân sự bảo vệ dữ liệu cá nhân”, bạn phải điền thông tin của DPO (Data Protection Officer) hoặc bộ phận được chỉ định. Nếu chưa có, doanh nghiệp cần thực hiện bổ nhiệm ngay. Tham khảo thêm về DPO là gì? để biết yêu cầu về nhân sự này.

  • Mục II. Hoạt động chuyển dữ liệu cá nhân xuyên biên giới:

    Chọn đúng hình thức chuyển dữ liệu (Lưu trữ máy chủ nước ngoài / Lưu trữ Cloud / Chuyển cho bên thứ 3…).

    Mô tả chi tiết “Luồng chuyển dữ liệu”: Vẽ sơ đồ hoặc mô tả bằng lời văn quy trình dữ liệu đi từ điểm thu thập tại Việt Nam -> Hệ thống lưu trữ -> Đường truyền -> Máy chủ tại nước ngoài.

    Phân loại dữ liệu: Tích chọn và liệt kê cụ thể các trường dữ liệu cơ bản (Họ tên, SĐT, Email…) và dữ liệu nhạy cảm (Sinh trắc học, Tài chính, Sức khỏe…) sẽ được chuyển đi.

  • Mục III. Đánh giá tác động chuyển dữ liệu:

    Đây là phần quan trọng nhất. Doanh nghiệp phải phân tích 03 khía cạnh tác động:

    1. Tác động đến chủ thể dữ liệu: Nguy cơ bị lộ lọt, sử dụng sai mục đích, ảnh hưởng đến quyền riêng tư.
    2. Tác động đến an ninh hệ thống: Rủi ro bị tấn công mạng, mất dữ liệu trong quá trình truyền tải.
    3. Tác động đến an ninh quốc gia (nếu dữ liệu lớn/nhạy cảm): Phân tích theo hướng dẫn tại mục 2.3 của Mẫu.

    Với mỗi rủi ro, phải đề xuất biện pháp giảm thiểu tương ứng (ví dụ: Mã hóa đường truyền, Hợp đồng cam kết bảo mật…).

Phần B: Thông tin các bên liên quan (Bên Nhận tại nước ngoài)

  • Kê khai đầy đủ thông tin của đối tác nước ngoài: Tên tổ chức, Quốc gia, Địa chỉ, Mã số thuế/đăng ký kinh doanh.
  • Thông tin liên hệ của người phụ trách bảo vệ dữ liệu tại Bên Nhận.
  • Mục 3. Đánh giá mức độ bảo vệ dữ liệu của Bên Nhận:

    Bạn phải mô tả các biện pháp bảo vệ mà đối tác nước ngoài đang áp dụng (Chứng chỉ ISO 27001, GDPR, các biện pháp mã hóa, tường lửa…). Đây là cơ sở để A05 đánh giá xem dữ liệu chuyển đi có được bảo vệ an toàn hay không.

Hồ sơ đính kèm Mẫu 09 gồm những gì?

Ngoài Mẫu 09, hồ sơ bắt buộc phải có: Hợp đồng/Thỏa thuận chuyển giao dữ liệu giữa các bên; Tài liệu mô tả biện pháp bảo vệ dữ liệu (Chính sách bảo mật, Sơ đồ hệ thống…); và Văn bản chỉ định nhân sự bảo vệ dữ liệu.

Điều 18 Nghị định 356 quy định rõ thành phần hồ sơ. Để tránh bị trả hồ sơ, doanh nghiệp cần chuẩn bị kỹ các tài liệu sau:

  • Hợp đồng chuyển giao dữ liệu (Data Transfer Agreement): Phải có các điều khoản ràng buộc trách nhiệm bảo mật, mục đích sử dụng và quyền của chủ thể dữ liệu. Tham khảo thêm về Yêu cầu về hợp đồng chuyển giao dữ liệu cá nhân xuyên biên giới.
  • Tài liệu chứng minh biện pháp kỹ thuật: Sơ đồ hệ thống mạng, tài liệu mô tả giải pháp mã hóa (Encryption), khử nhận dạng (De-identification) đang áp dụng.
  • Quyết định bổ nhiệm/phân công nhân sự: Văn bản chứng minh doanh nghiệp đã có bộ phận chuyên trách về bảo vệ dữ liệu.

Quy trình nộp hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài

Hồ sơ được nộp về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an. Có 03 hình thức nộp: Trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân; Trực tiếp tại trụ sở A05; hoặc qua đường bưu chính. Thời hạn thẩm định là 15 ngày làm việc.

Quy trình thực hiện cụ thể như sau:

  1. Bước 1: Soạn thảo Mẫu 09 và chuẩn bị đầy đủ tài liệu đính kèm.
  2. Bước 2: Lập Thông báo gửi hồ sơ theo Mẫu số 01a (dành cho tổ chức) hoặc Mẫu 01b (dành cho cá nhân).
  3. Bước 3: Nộp toàn bộ hồ sơ (01 bộ chính) về A05 trong thời hạn 60 ngày kể từ ngày bắt đầu hoạt động chuyển dữ liệu.
  4. Bước 4: Theo dõi tiến độ và nhận kết quả thông báo hồ sơ đầy đủ/hợp lệ. Nếu hồ sơ chưa đạt, doanh nghiệp có 30 ngày để hoàn thiện theo yêu cầu.

Nếu bạn gặp khó khăn trong quá trình này, Dịch Vụ Tư Vấn Lập Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân của DPVN sẽ hỗ trợ bạn từ A-Z, đảm bảo hồ sơ “chuẩn chỉnh” ngay từ lần nộp đầu tiên.

5 lưu ý “vàng” khi soạn Mẫu 09 để không bị trả hồ sơ

Dựa trên kinh nghiệm thực tế tư vấn cho hàng trăm doanh nghiệp, DPVN đúc kết 5 điểm yếu thường gặp nhất:

  • Thiếu sự đồng ý của chủ thể dữ liệu: Hãy chắc chắn rằng bạn đã có bằng chứng (Log file, Form đồng ý) chứng minh chủ thể dữ liệu đã đồng ý cho phép chuyển dữ liệu ra nước ngoài.
  • Mô tả biện pháp bảo vệ sơ sài: Đừng chỉ viết chung chung “có biện pháp bảo mật”. Hãy nêu rõ tên giải pháp (ví dụ: AES-256, SSL/TLS, ISO 27001…).
  • Không đánh giá rủi ro định lượng: Cố gắng đưa ra các con số hoặc mức độ (Thấp/Trung bình/Cao) khi đánh giá tác động, thay vì chỉ mô tả định tính.
  • Quên cập nhật hồ sơ: Lưu ý rằng hồ sơ phải được cập nhật định kỳ 06 tháng/lần hoặc khi có thay đổi lớn. Tham khảo: Thời Gian Cập Nhật Định Kỳ Hồ Sơ Đánh Giá Tác Động Là Bao Lâu?.
  • Nhầm lẫn giữa Bên Chuyển và Bên Nhận: Xác định sai vai trò sẽ dẫn đến việc kê khai thông tin sai lệch toàn bộ báo cáo.

Bạn vẫn cảm thấy Mẫu 09 quá phức tạp và rủi ro?

Đừng để sai sót nhỏ trong hồ sơ làm gián đoạn hoạt động kinh doanh quốc tế của bạn. Hãy để đội ngũ chuyên gia pháp lý và công nghệ của DPVN đồng hành cùng bạn.

DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân

Hotline: 0982976486

Email: info@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Liên hệ tư vấn ngay

Câu hỏi thường gặp (FAQ)

1. Tôi có thể tải Mẫu 09 (file Word) ở đâu?

Mẫu 09 được ban hành kèm theo Phụ lục Nghị định 356/2025/NĐ-CP. Bạn có thể tải file văn bản chính thức tại Cổng thông tin điện tử Chính phủ hoặc liên hệ DPVN để nhận bản Word đã được định dạng chuẩn.

2. Chuyển dữ liệu cho công ty mẹ ở nước ngoài có cần lập hồ sơ không?

Có. Đây được coi là hành vi chuyển dữ liệu cho bên thứ ba ở nước ngoài và bắt buộc phải lập hồ sơ đánh giá tác động, trừ khi thuộc các trường hợp miễn trừ đặc biệt theo quy định pháp luật.

3. Không nộp hồ sơ đánh giá tác động bị phạt bao nhiêu?

Hành vi vi phạm quy định về chuyển dữ liệu ra nước ngoài (không lập, không nộp hồ sơ) có thể bị phạt tiền lên đến 5% tổng doanh thu năm tài chính liền kề của doanh nghiệp theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.

4. Doanh nghiệp nhỏ có được miễn lập hồ sơ không?

Có, nhưng có điều kiện. Doanh nghiệp siêu nhỏ, hộ kinh doanh được miễn trong 05 năm đầu, TRỪ KHI kinh doanh dịch vụ xử lý dữ liệu hoặc xử lý dữ liệu nhạy cảm/số lượng lớn (Điều 41 Nghị định 356/2025/NĐ-CP).

5. Thời hạn thẩm định hồ sơ là bao lâu?

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân sẽ đánh giá và trả kết quả trong thời hạn 15 ngày kể từ ngày nhận đủ hồ sơ hợp lệ. Nếu hồ sơ cần sửa đổi, doanh nghiệp có 30 ngày để hoàn thiện.

Nguồn tham khảo:

  • Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
  • Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
  • Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
  • DPVN: Hướng dẫn tuân thủ pháp luật dữ liệu cá nhân.
  • Luật Việt Nam: Các biểu mẫu hành chính mới nhất 2026.
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486