Quy trình lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân như thế nào?

Quy trình lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một thủ tục pháp lý bắt buộc, đòi hỏi sự chuẩn bị và thực hiện bài bản theo từng bước cụ thể. Tại DPVN, chúng tôi sẽ cung cấp một sơ đồ quy trình chi tiết, giúp doanh nghiệp của bạn hoàn thành các bước lập hồ sơ đánh giá một cách chính xác, đảm bảo tuân thủ đầy đủ quy định.

Việc tiếp cận việc lập hồ sơ như một dự án có cấu trúc sẽ giúp doanh nghiệp quản lý công việc hiệu quả, phân bổ nguồn lực hợp lý và đảm bảo không bỏ sót bất kỳ yêu cầu nào của pháp luật. Đây không chỉ đơn thuần là việc điền vào một biểu mẫu, mà là một quá trình rà soát và phân tích sâu rộng toàn bộ hoạt động xử lý dữ liệu của tổ chức.

Dựa trên kinh nghiệm thực tiễn hỗ trợ nhiều doanh nghiệp, DPVN đã xây dựng một quy trình 4 giai đoạn với các bước cụ thể bên trong. Việc tuân thủ quy trình này sẽ giúp đảm bảo vai trò của hồ sơ đánh giá tác động được phát huy tối đa, không chỉ để tuân thủ mà còn để cải thiện thực chất hệ thống quản trị dữ liệu của doanh nghiệp.

Sự chuẩn bị kỹ lưỡng ở giai đoạn này sẽ giúp quá trình thu thập thông tin và soạn thảo hồ sơ ở các giai đoạn sau diễn ra trôi chảy và chính xác hơn.

Bước 1: Thành lập Tổ công tác và Chỉ định nhân sự phụ trách

Việc lập hồ sơ ĐGTĐ không phải là nhiệm vụ của riêng bộ phận Pháp chế hay IT. Nó đòi hỏi sự tham gia và cung cấp thông tin từ nhiều phòng ban khác nhau. Do đó, việc đầu tiên là thành lập một Tổ công tác.

Thành phần Tổ công tác nên bao gồm đại diện từ:

• Pháp chế/Tuân thủ: Đóng vai trò chủ trì, đảm bảo các nội dung tuân thủ quy định pháp luật.
• Công nghệ thông tin/An ninh mạng: Cung cấp thông tin về hạ tầng, hệ thống và các biện pháp bảo mật kỹ thuật.
• Nhân sự: Cung cấp thông tin về quy trình xử lý dữ liệu người lao động.
• Kinh doanh/Marketing: Cung cấp thông tin về mục đích và quy trình xử lý dữ liệu khách hàng.
• Ban Lãnh đạo: Người bảo trợ cho dự án, phê duyệt cuối cùng và cung cấp nguồn lực.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Một trong những văn bản pháp lý đầu tiên doanh nghiệp cần ban hành là Quyết định thành lập Tổ công tác và Phân công nhân sự phụ trách bảo vệ dữ liệu cá nhân. Bản sao của quyết định này là một tài liệu bắt buộc phải nộp kèm trong bộ hồ sơ gửi Cục A05. Thiếu văn bản này, hồ sơ của bạn sẽ bị xem là không hợp lệ.”

Bước 2: Xác định chính xác vai trò của doanh nghiệp

Doanh nghiệp phải xác định rõ mình là Bên Kiểm soát Dữ liệu, Bên Xử lý Dữ liệu, hay cả hai, vì mỗi vai trò sẽ có mẫu hồ sơ và trách nhiệm khác nhau. Tiêu chí quan trọng nhất để phân biệt là: Ai là người quyết định mục đích và phương tiện xử lý dữ liệu?

• Nếu bạn quyết định, bạn là Bên Kiểm soát (sử dụng Mẫu Đ24-DLCN-01).
• Nếu bạn chỉ xử lý theo chỉ thị của một công ty khác, bạn là Bên Xử lý (sử dụng Mẫu Đ24-DLCN-02).

Tham khảo bài viết chi tiết của chúng tôi về 6 tiêu chí phân biệt giữa Bên Kiểm soát và Bên Xử lý dữ liệu cá nhân để xác định đúng vai trò.

Bước 3: Xác định phạm vi và lập bản đồ luồng dữ liệu

Tổ công tác cần tiến hành rà soát để xác định tất cả các hoạt động xử lý dữ liệu cá nhân đang diễn ra trong doanh nghiệp. Kỹ thuật “Lập bản đồ luồng dữ liệu” (Data Mapping) là rất hữu ích ở bước này, giúp trả lời các câu hỏi:

• Chúng ta thu thập loại dữ liệu cá nhân nào? (Họ tên, email, số điện thoại, dữ liệu nhạy cảm…)
• Dữ liệu được thu thập từ đâu? (Website, ứng dụng, sự kiện…)
• Dữ liệu được lưu trữ ở đâu? (Máy chủ nội bộ, cloud nước ngoài…)
• Dữ liệu được chia sẻ cho những ai? (Đối tác vận chuyển, agency marketing…)
• Dữ liệu được lưu trữ trong bao lâu?

Dựa trên kết quả của Giai đoạn 1, Tổ công tác sẽ bắt đầu điền thông tin vào mẫu hồ sơ đã chọn. Quá trình này bao gồm các bước sau:

1. Bước 4: Thu thập các tài liệu pháp lý liên quan:
   • Bản sao Giấy chứng nhận đăng ký kinh doanh.
   • Quyết định thành lập bộ phận/phân công nhân sự bảo vệ dữ liệu.
   • Bản sao hợp đồng/thỏa thuận với tất cả các Bên Xử lý dữ liệu và Bên thứ ba đã được xác định.
   • Mẫu hợp đồng dịch vụ, chính sách bảo mật, các biểu mẫu thu thập sự đồng ý đang sử dụng.
2. Bước 5: Hoàn thiện các Mục thông tin chung (Mục I đến IV): Kê khai đầy đủ, chính xác thông tin về doanh nghiệp và các đối tác liên quan.
3. Bước 6: Mô tả chi tiết hoạt động xử lý dữ liệu (Mục V): Đây là phần trọng tâm, cần mô tả một cách chi tiết và trung thực về mục đích, các loại dữ liệu, cách thức lấy sự đồng ý, thời gian lưu trữ, và các biện pháp bảo vệ đang áp dụng.
4. Bước 7: Thực hiện đánh giá tác động (Mục VI – đối với Bên Kiểm soát):

   Đây là phần phức tạp và đòi hỏi chuyên môn cao nhất. Tổ công tác cần tổ chức các buổi làm việc để:

   • Xác định các rủi ro tiềm tàng đối với quyền của chủ thể dữ liệu (ví dụ: nguy cơ rò rỉ, nguy cơ bị theo dõi, nguy cơ bị phân biệt đối xử).
   • Đánh giá mức độ nghiêm trọng và khả năng xảy ra của từng rủi ro.
   • Đề xuất các giải pháp khả thi để giảm thiểu rủi ro (về pháp lý, kỹ thuật, tổ chức).
   • Phân tích ưu, nhược điểm của từng giải pháp và kiến nghị lựa chọn giải pháp tối ưu.

Để đảm bảo thủ tục hành chính được thực hiện thành công, hãy thực hiện cẩn thận các bước cuối cùng của quy trình lập hồ sơ:

• Bước 8: Rà soát và Phê duyệt nội bộ: Sau khi soạn thảo xong, bản dự thảo hồ sơ cần được gửi cho các thành viên Tổ công tác để rà soát chéo. Sau đó, trình Ban Lãnh đạo để xem xét và phê duyệt. Người đại diện theo pháp luật sẽ là người ký tên và chịu trách nhiệm cuối cùng.
• Bước 9: Chuẩn bị bộ hồ sơ nộp: Sắp xếp các tài liệu theo đúng thứ tự: (1) Thông báo gửi hồ sơ (Mẫu số 04a hoặc 04b); (2) Hồ sơ ĐGTĐ chi tiết (Mẫu Đ24-DLCN); (3) Các tài liệu pháp lý kèm theo.
• Bước 10: Nộp hồ sơ và Lưu trữ: Nộp hồ sơ đến Cục A05 qua một trong ba kênh (trực tuyến, bưu chính, trực tiếp). Đồng thời, phải lưu trữ một bản chính của bộ hồ sơ đã nộp tại doanh nghiệp để phục vụ cho các hoạt động kiểm tra sau này.

DPVN: Dịch Vụ Tư Vấn và Hỗ Trợ Lập Hồ Sơ ĐGTĐ Trọn Gói

Quy trình lập hồ sơ đánh giá tác động là một thủ tục phức tạp, đòi hỏi sự am hiểu sâu sắc về cả pháp lý và hoạt động thực tiễn của doanh nghiệp.

Để đảm bảo quá trình này diễn ra hiệu quả và tuân thủ tuyệt đối, đội ngũ của DPVN do Luật sư Nguyễn Lâm Sơn phụ trách sẵn sàng cung cấp dịch vụ tư vấn trọn gói. Hãy tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Nguồn tham khảo:

1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân: https://baovedlcn.gov.vn/thu-tuc-hanh-chinh/ho-so-danh-gia-tac-dong-xu-ly-du-lieu
2. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
3. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/
4. Data Protection Impact Assessments (DPIAs) by ICO (UK): https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/
5. Cổng Dịch vụ công Bộ Công an: https://dichvucong.bocongan.gov.vn/