Nhiều doanh nghiệp lầm tưởng rằng việc nộp hồ sơ đánh giá tác động là bước cuối cùng, nhưng thực tế nghĩa vụ sau khi nộp hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới mới là giai đoạn quyết định sự tuân thủ lâu dài theo Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. DPVN sẽ làm rõ các trách nhiệm cập nhật hồ sơ, giải trình và xử lý sự cố mà doanh nghiệp bắt buộc phải thực hiện để tránh rủi ro pháp lý.
Nội dung chính: Hướng dẫn chi tiết về các nghĩa vụ cập nhật hồ sơ định kỳ, hoàn thiện hồ sơ, lưu trữ và báo cáo vi phạm sau khi đã nộp hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài.
Khi nào doanh nghiệp phải cập nhật hồ sơ đánh giá tác động đã nộp?
Theo Điều 22 Luật 91/2025/QH15 và Điều 20 Nghị định 356/2025/NĐ-CP, doanh nghiệp có 02 nghĩa vụ cập nhật: Cập nhật định kỳ 06 tháng/lần kể từ lần đầu nộp hồ sơ; và Cập nhật ngay trong vòng 10 ngày khi có các thay đổi quan trọng về tổ chức, nhân sự bảo vệ dữ liệu hoặc ngành nghề kinh doanh.
Việc cập nhật hồ sơ không phải là sự lựa chọn mà là nghĩa vụ bắt buộc. Hồ sơ đánh giá tác động (DPIA Cross-border) được xem là một tài liệu “sống”, phản ánh hiện trạng xử lý dữ liệu thực tế tại doanh nghiệp. Nếu thông tin trong hồ sơ đã nộp không còn khớp với thực tế, doanh nghiệp sẽ bị coi là vi phạm nghĩa vụ trung thực và minh bạch.
Cụ thể, doanh nghiệp cần thực hiện cập nhật trong các trường hợp sau:
- Thay đổi Bên nhận dữ liệu: Ví dụ, doanh nghiệp chuyển từ sử dụng Google Drive (Mỹ) sang AWS (Singapore).
- Thay đổi loại dữ liệu: Bắt đầu thu thập thêm dữ liệu sinh trắc học (vân tay, khuôn mặt) để chấm công và chuyển về công ty mẹ.
- Thay đổi mục đích chuyển: Trước đây chỉ chuyển để lưu trữ, nay chuyển để phân tích hành vi tiêu dùng.
Để thực hiện thủ tục này, doanh nghiệp sử dụng Mẫu số 03a (dành cho tổ chức) ban hành kèm theo Nghị định 356. Quý vị có thể tìm hiểu thêm chi tiết tại bài viết Thời Gian Cập Nhật Định Kỳ Hồ Sơ Đánh Giá Tác Động Là Bao Lâu?.
Phải làm gì khi Cơ quan chuyên trách yêu cầu hoàn thiện hồ sơ?
Khi nhận được yêu cầu sửa đổi, bổ sung từ Bộ Công an, doanh nghiệp có thời hạn tối đa 30 ngày để hoàn thiện hồ sơ. Nếu quá thời hạn mà không thực hiện, doanh nghiệp sẽ bị xem xét xử phạt vi phạm hành chính (Khoản 6 Điều 18 Nghị định 356/2025/NĐ-CP).
Sau khi nộp, hồ sơ sẽ được Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) thẩm định. Trong vòng 15 ngày, A05 sẽ phản hồi kết quả. Nếu hồ sơ bị đánh giá là “Chưa đạt”, doanh nghiệp cần nhanh chóng rà soát lại các điểm yếu, thường nằm ở:
- Thiếu đánh giá rủi ro cụ thể cho từng loại dữ liệu nhạy cảm.
- Biện pháp bảo vệ của bên nhận nước ngoài chưa tương xứng (ví dụ: thiếu mã hóa, cam kết bảo mật lỏng lẻo).
- Chưa có sự đồng ý rõ ràng của chủ thể dữ liệu cho việc chuyển ra nước ngoài.
Luật sư DPVN chia sẻ kinh nghiệm: “Đừng đợi đến ngày thứ 29 mới bắt đầu sửa. Hãy liên hệ ngay với đơn vị tư vấn hoặc chuyên gia để phân tích yêu cầu của A05. Việc giải trình không thuyết phục có thể dẫn đến việc bị đình chỉ hoạt động chuyển dữ liệu.” Để tránh tình huống này, Quý doanh nghiệp có thể tham khảo Hồ Sơ Đánh Giá Tác Động Không Đạt Cần Hoàn Thiện Trong Bao Lâu?.
Doanh nghiệp có phải lưu trữ hồ sơ tại trụ sở không?
Có. Khoản 4 Điều 18 Nghị định 356 quy định hồ sơ đánh giá tác động phải “luôn có sẵn” để phục vụ hoạt động kiểm tra, đánh giá của cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Điều này áp dụng cho cả bản cứng và bản điện tử.
Nghĩa vụ này nhằm đảm bảo tính minh bạch và khả năng giải trình (Accountability) của doanh nghiệp bất cứ lúc nào. Khi có đoàn thanh tra, kiểm tra đột xuất (ví dụ khi có sự cố lộ lọt dữ liệu), việc không xuất trình được hồ sơ ngay lập tức sẽ bị coi là vi phạm nghiêm trọng.
Doanh nghiệp cần lưu ý bảo quản hồ sơ cẩn thận, bao gồm:
- Báo cáo đánh giá tác động (Mẫu 09) đã nộp.
- Hợp đồng chuyển giao dữ liệu với đối tác nước ngoài.
- Các văn bản chấp thuận của chủ thể dữ liệu.
- Nhật ký chuyển dữ liệu (Data transfer logs).
Quý doanh nghiệp cần chuẩn bị kỹ lưỡng cho các đợt thanh tra này, tham khảo thêm tại 10 Việc Cần Chuẩn Bị Khi Thanh Tra Bảo Vệ Dữ Liệu Cá Nhân.
Xử lý thế nào khi xảy ra sự cố trong quá trình chuyển dữ liệu?
Doanh nghiệp phải thông báo cho Bộ Công an (Cục A05) chậm nhất là 72 giờ kể từ khi phát hiện hành vi vi phạm hoặc sự cố lộ mất dữ liệu (Điều 23 Luật 91/2025). Đồng thời, phải thông báo cho chủ thể dữ liệu nếu sự cố gây rủi ro cao đến quyền và lợi ích của họ.
Trong quá trình chuyển dữ liệu ra nước ngoài, rủi ro bị tấn công mạng (Cyber attack) hoặc rò rỉ dữ liệu là rất lớn. Khi sự cố xảy ra, nghĩa vụ báo cáo là ưu tiên hàng đầu. Doanh nghiệp sử dụng Mẫu số 08 (Thông báo vi phạm) để gửi báo cáo.
Ngoài ra, nếu sự cố liên quan đến dữ liệu nhạy cảm như thông tin sức khỏe, tài chính, doanh nghiệp cần kích hoạt ngay quy trình ứng phó khẩn cấp, bao gồm việc tạm ngừng chuyển dữ liệu và phối hợp với bên nhận tại nước ngoài để khắc phục.
Chi tiết về quy trình này được hướng dẫn tại Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân: Trình tự, hồ sơ.
Khi nào bị yêu cầu ngừng chuyển dữ liệu ra nước ngoài?
Bộ Công an có quyền yêu cầu ngừng chuyển dữ liệu nếu phát hiện dữ liệu được sử dụng vào hoạt động xâm phạm an ninh quốc gia, quốc phòng, hoặc khi doanh nghiệp có hành vi vi phạm pháp luật bảo vệ dữ liệu gây hậu quả nghiêm trọng (Khoản 5 Điều 20 Luật 91/2025; Khoản 2 Điều 17 Nghị định 356).
Đây là chế tài mạnh nhất nhằm bảo vệ chủ quyền dữ liệu quốc gia. Khi nhận được văn bản yêu cầu ngừng chuyển, doanh nghiệp phải chấp hành ngay lập tức. Việc cố tình tiếp tục chuyển dữ liệu sau khi có lệnh cấm sẽ bị coi là tình tiết tăng nặng và có thể bị xử lý hình sự.
Tìm hiểu thêm về thẩm quyền này tại bài viết Ai có quyền yêu cầu doanh nghiệp ngừng chuyển dữ liệu cá nhân xuyên biên giới?.
Doanh nghiệp bạn đã xây dựng quy trình hậu kiểm sau khi nộp hồ sơ chưa?
Đừng để sự chủ quan sau khi nộp hồ sơ dẫn đến những án phạt không đáng có. Hãy để DPVN đồng hành cùng bạn trong việc duy trì sự tuân thủ liên tục và bền vững.
DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân
Hotline: 0982976486
Email: info@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp (FAQ)
1. Có phải nộp lại hồ sơ đánh giá tác động hàng năm không?
Không. Hồ sơ chỉ cần lập 01 lần. Tuy nhiên, bạn phải cập nhật hồ sơ định kỳ 06 tháng/lần hoặc khi có thay đổi. Việc nộp lại toàn bộ hồ sơ mới chỉ xảy ra khi có sự thay đổi bản chất hoạt động xử lý dữ liệu quá lớn.
2. Nếu không có thay đổi gì, tôi có cần báo cáo định kỳ không?
Mặc dù Luật quy định cập nhật khi có thay đổi, nhưng thực tế việc rà soát định kỳ 06 tháng là bắt buộc để đảm bảo không bỏ sót bất kỳ thay đổi nhỏ nào. Nếu không có thay đổi, doanh nghiệp nên lưu biên bản rà soát nội bộ để giải trình khi cần.
3. Mẫu số 09 trong Nghị định 356 khác gì với mẫu cũ của Nghị định 13?
Mẫu số 09 mới chi tiết hơn, yêu cầu đánh giá sâu hơn về rủi ro an ninh quốc gia và các biện pháp kỹ thuật như khử nhận dạng, mã hóa đối với dữ liệu chuyển ra nước ngoài.
4. Chuyển dữ liệu cho công ty con ở nước ngoài có được miễn thủ tục không?
Không. Mọi hành vi chuyển dữ liệu ra khỏi lãnh thổ Việt Nam đều phải lập hồ sơ đánh giá tác động, bất kể mối quan hệ giữa bên chuyển và bên nhận, trừ các trường hợp miễn trừ đặc biệt (như đi công tác, du học…).
5. Ai chịu trách nhiệm nếu bên nhận ở nước ngoài làm lộ dữ liệu?
Bên chuyển dữ liệu tại Việt Nam (Bên Kiểm soát) chịu trách nhiệm chính trước pháp luật Việt Nam và chủ thể dữ liệu. Do đó, hợp đồng chuyển giao cần quy định rõ trách nhiệm bồi thường của đối tác nước ngoài.
Nguồn tham khảo:
- Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
- Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
- Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
- DPVN: Các bài viết chuyên sâu về tuân thủ pháp luật dữ liệu.
- EDPB: Guidelines on Data Transfer Impact Assessment.
