Những sai lầm thường gặp khi lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân có thể khiến hồ sơ không hợp lệ và dẫn đến rủi ro pháp lý. Tại DPVN, chúng tôi sẽ chỉ ra các lỗi thường gặp nhất và cung cấp cách khắc phục sai lầm, giúp doanh nghiệp của bạn lập hồ sơ đúng cách ngay từ đầu, đảm bảo tuân thủ chặt chẽ.
Tại sao việc lập Hồ sơ Đánh giá Tác động (ĐGTĐ) lại dễ xảy ra sai sót?
Việc lập hồ sơ ĐGTĐ dễ xảy ra sai sót vì đây là một thủ tục hành chính hoàn toàn mới, phức tạp, đòi hỏi sự kết hợp kiến thức đa ngành từ pháp lý, công nghệ thông tin đến quản trị quy trình. Hầu hết các doanh nghiệp Việt Nam đều chưa có kinh nghiệm thực tiễn trong việc thực hiện một bản đánh giá toàn diện như vậy.
Nghị định 13/2023/NĐ-CP đã tạo ra một yêu cầu pháp lý có tính bước ngoặt, buộc các doanh nghiệp phải có trách nhiệm giải trình cao hơn thông qua việc lập Hồ sơ Đánh giá Tác động xử lý dữ liệu cá nhân. Tuy nhiên, Mẫu hồ sơ (Đ24-DLCN) do Bộ Công an ban hành rất chi tiết và bao quát, đòi hỏi một sự đầu tư nghiêm túc về thời gian và chuyên môn.
Về chuyên môn sâu, một hồ sơ ĐGTĐ hiệu quả không chỉ là việc điền thông tin vào một biểu mẫu. Nó là kết quả của một quá trình rà soát, phân tích và đánh giá rủi ro thực chất. Quá trình này đòi hỏi sự phối hợp nhịp nhàng giữa nhiều phòng ban – một thách thức lớn về mặt tổ chức. Các sai sót thường xuất phát từ việc xem đây là một thủ tục hành chính đơn thuần, thay vì nhận ra vai trò chiến lược của hồ sơ đánh giá tác động trong việc quản trị rủi ro dữ liệu.
5 sai lầm phổ biến nhất khi lập hồ sơ ĐGTĐ và cách khắc phục là gì?
Dựa trên kinh nghiệm thực tiễn rà soát và tư vấn cho hàng loạt doanh nghiệp, DPVN đã tổng hợp 5 lỗi sai cơ bản nhưng lại phổ biến nhất, có thể khiến hồ sơ của doanh nghiệp bị trả lại hoặc không được đánh giá cao.
Sai lầm 1: Nhầm lẫn giữa Hồ sơ ĐGTĐ (Mẫu Đ24-DLCN) và Thông báo gửi hồ sơ (Mẫu số 04)
Đây là sai lầm mang tính thủ tục nhưng lại nghiêm trọng và phổ biến nhất. Nhiều doanh nghiệp chỉ điền thông tin vào Mẫu số 04a/04b – Thông báo gửi hồ sơ và cho rằng đã hoàn thành nghĩa vụ.
- Bản chất sai lầm: Không phân biệt được đâu là “công văn gửi” và đâu là “nội dung chính”. Mẫu số 04 chỉ là một trang thông báo hành chính, trong khi Mẫu Đ24-DLCN mới là bộ hồ sơ phân tích chi tiết dài nhiều trang.
- Hậu quả: Hồ sơ bị xem là không hợp lệ, không có nội dung để thẩm định. Doanh nghiệp sẽ nhận được yêu cầu bổ sung, gây mất thời gian và thể hiện sự thiếu chuyên nghiệp.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Trong những tháng đầu sau khi Nghị định 13 có hiệu lực, chúng tôi đã nhận được rất nhiều yêu cầu ‘chữa cháy’ từ các doanh nghiệp bị Cục A05 trả lại hồ sơ vì lỗi này. Một bộ hồ sơ hợp lệ phải bao gồm cả hai: Mẫu số 04a/04b ở ngoài cùng, kèm theo toàn bộ nội dung chi tiết của Mẫu Đ24-DLCN-01 (hoặc 02/03) và các tài liệu pháp lý liên quan ở bên trong. Hãy xem Mẫu 04 như một chiếc phong bì, còn Mẫu Đ24 mới là bức thư.”
Cách khắc phục: Tải về và chuẩn bị song song cả hai loại mẫu biểu. Hoàn thiện nội dung chi tiết trong Mẫu Đ24-DLCN trước, sau đó mới điền thông tin vào Mẫu số 04 để gửi kèm. Tham khảo Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của chúng tôi để biết chi tiết.
Sai lầm 2: Thiếu sự tham gia của các phòng ban liên quan, đặc biệt là bộ phận IT
Nhiều doanh nghiệp giao toàn bộ việc lập hồ sơ cho một mình phòng Pháp chế. Điều này dẫn đến một bộ hồ sơ nặng tính pháp lý nhưng lại rất yếu và sơ sài ở các nội dung mang tính kỹ thuật.
- Bản chất sai lầm: Xem việc lập hồ sơ là một nhiệm vụ thuần túy về luật.
- Hậu quả: Các mục quan trọng như “Biện pháp kỹ thuật” (Mục V.14.2) hoặc “Cách thức xóa, hủy dữ liệu” (Mục V.11) được mô tả chung chung, không thể hiện được năng lực bảo vệ thực tế của doanh nghiệp.
Ví dụ thực tế: Thay vì mô tả “Dữ liệu được mã hóa”, một hồ sơ chất lượng với sự tham gia của IT sẽ mô tả “Dữ liệu khách hàng khi lưu trữ (at rest) được mã hóa bằng thuật toán AES-256. Dữ liệu khi truyền (in transit) được bảo vệ bằng giao thức TLS 1.3.”
Cách khắc phục: Quy trình lập hồ sơ đánh giá tác động phải bắt đầu bằng việc thành lập một tổ công tác liên phòng ban, trong đó bộ phận IT/An ninh mạng đóng vai trò cốt lõi trong việc cung cấp thông tin và đánh giá các biện pháp kỹ thuật.
Sai lầm 3: Mô tả mục đích xử lý và các biện pháp bảo vệ một cách chung chung
Đây là lỗi về chất lượng nội dung. Nhiều hồ sơ chỉ sao chép các thuật ngữ trong luật mà không đi vào chi tiết hoạt động thực tế của doanh nghiệp.
- Bản chất sai lầm: Đối phó, làm cho có thay vì thực sự phân tích.
- Hậu quả: Hồ sơ không có giá trị thực tiễn, không thể hiện được sự tuân thủ. Cơ quan chức năng có thể yêu cầu giải trình và làm lại.
| Mô tả Chung chung (Sai) | Mô tả Cụ thể (Đúng) |
|---|---|
| Mục đích xử lý: “Phục vụ hoạt động kinh doanh”. | Mục đích xử lý: “1. Thu thập thông tin liên lạc để xác nhận và giao đơn hàng. 2. Thu thập email (với sự đồng ý riêng) để gửi bản tin khuyến mãi hàng tuần.” |
| Biện pháp quản lý: “Ban hành quy định bảo vệ dữ liệu”. | Biện pháp quản lý: “Ban hành Chính sách Bảo vệ Dữ liệu cá nhân số 01/2024/CS-ABC ngày 01/01/2024; Tổ chức đào tạo cho toàn thể nhân viên vào ngày 15/01/2024.” |
Cách khắc phục: Luôn cụ thể hóa mọi thông tin kê khai. Hãy tự đặt câu hỏi “Cái gì? Tại sao? Như thế nào? Ai chịu trách nhiệm? Bằng chứng ở đâu?” cho mỗi mục trong hồ sơ.
Sai lầm 4: Bỏ trống hoặc thực hiện hời hợt Mục VI – Đánh giá tác động
Mục VI trong Mẫu Đ24-DLCN-01 là phần phức tạp nhất, đòi hỏi khả năng phân tích chuyên sâu. Nhiều doanh nghiệp vì không hiểu rõ hoặc không đủ năng lực nên thường bỏ trống hoặc chỉ ghi vài dòng chung chung.
- Bản chất sai lầm: Không thực hiện việc “đánh giá” mà chỉ dừng lại ở việc “mô tả”.
- Hậu quả: Hồ sơ mất đi giá trị cốt lõi nhất, không đáp ứng được yêu cầu của pháp luật. Đây là một lỗi nghiêm trọng.
Cách khắc phục: Doanh nghiệp phải đầu tư nguồn lực xứng đáng cho phần này. Cần tổ chức các buổi họp của Tổ công tác để thảo luận, xác định các rủi ro, đưa ra các giải pháp và phân tích ưu nhược điểm của từng giải pháp một cách bài bản. Nếu không đủ năng lực nội bộ, đây là lúc nên tìm đến sự hỗ trợ của các chuyên gia tư vấn.
Sai lầm 5: Thiếu các tài liệu pháp lý bắt buộc kèm theo
Hồ sơ nộp cho Cục A05 không chỉ có Mẫu 04 và Mẫu Đ24. Doanh nghiệp thường quên không đính kèm các tài liệu pháp lý được yêu cầu trong chính mẫu hồ sơ.
- Bản chất sai lầm: Không đọc kỹ các yêu cầu về tài liệu đính kèm.
- Hậu quả: Hồ sơ không đầy đủ, bị yêu cầu bổ sung, kéo dài thời gian xử lý.
Cách khắc phục: Chuẩn bị một checklist các tài liệu cần nộp kèm, bao gồm tối thiểu:
- Bản sao Giấy chứng nhận đăng ký kinh doanh.
- Bản sao Quyết định thành lập bộ phận/phân công nhân sự phụ trách bảo vệ dữ liệu.
- Bản sao hợp đồng/thỏa thuận xử lý dữ liệu với tất cả các Bên Xử lý và Bên thứ ba đã được kê khai.
DPVN: Dịch Vụ Rà Soát và Hoàn Thiện Hồ Sơ Đánh Giá Tác Động
Việc tránh được các sai lầm phổ biến sẽ giúp quá trình nộp hồ sơ của doanh nghiệp diễn ra nhanh chóng và thuận lợi, thể hiện sự chuyên nghiệp và nghiêm túc trong công tác tuân thủ.
Với kinh nghiệm thực tiễn, đội ngũ của DPVN cung cấp dịch vụ rà soát hồ sơ đã soạn thảo hoặc thực hiện soạn thảo trọn gói, đảm bảo hồ sơ của bạn đầy đủ, chính xác và chuyên nghiệp. Hãy liên hệ với Luật sư Nguyễn Lâm Sơn để được hỗ trợ:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp về các sai lầm khi lập hồ sơ ĐGTĐ
1. Nếu chúng tôi nộp hồ sơ có sai sót, chế tài xử phạt là gì?
Hiện tại, Cục A05 đang trong giai đoạn hướng dẫn và yêu cầu các doanh nghiệp bổ sung, hoàn thiện hồ sơ. Tuy nhiên, việc cố tình nộp hồ sơ sơ sài, thiếu trung thực hoặc không bổ sung theo yêu cầu có thể bị xem là hành vi không tuân thủ và đối mặt với các biện pháp xử lý theo quy định, đặc biệt là khi Luật 91/2025/QH15 với các chế tài nghiêm khắc hơn có hiệu lực.
2. Chúng tôi có thể tham khảo hồ sơ của công ty khác đã được duyệt không?
Hồ sơ ĐGTĐ là tài liệu nội bộ của doanh nghiệp và không được công khai. Do đó, việc tìm thấy một mẫu hồ sơ đã được duyệt là rất khó. Quan trọng hơn, mỗi doanh nghiệp có một mô hình hoạt động riêng, việc sao chép hồ sơ của công ty khác sẽ không phản ánh đúng thực tế và không có giá trị.
3. Làm thế nào để đảm bảo hồ sơ của chúng tôi không mắc phải các sai lầm này?
Cách tốt nhất là tuân thủ một quy trình lập hồ sơ đánh giá tác động bài bản, thành lập một tổ công tác đa chức năng, và nếu cần, hãy tìm đến sự tư vấn của các đơn vị chuyên nghiệp có kinh nghiệm thực tiễn.
4. So với các quy định quốc tế, việc lập hồ sơ ở Việt Nam có những điểm khác biệt nào cần lưu ý?
Về cơ bản, Mẫu hồ sơ Đ24 của Việt Nam có nhiều điểm tương đồng với yêu cầu về Đánh giá Tác động Bảo vệ Dữ liệu (DPIA) của GDPR. Tuy nhiên, một điểm khác biệt lớn là yêu cầu phải nộp hồ sơ cho cơ quan quản lý. GDPR chỉ yêu cầu doanh nghiệp phải lập và lưu giữ, chỉ nộp khi có yêu cầu. Yêu cầu của Việt Nam mang tính thủ tục hành chính cao hơn.
5. Nếu chúng tôi không có bộ phận pháp chế, ai nên là người chủ trì việc lập hồ sơ?
Trong trường hợp này, ban lãnh đạo (CEO hoặc người được ủy quyền) nên là người chủ trì và chịu trách nhiệm chính. Người lãnh đạo sẽ phân công nhiệm vụ cho các bộ phận liên quan (IT, Nhân sự, Vận hành) để thu thập thông tin. Đây cũng là trường hợp mà việc thuê một đơn vị tư vấn luật bên ngoài để dẫn dắt và điều phối toàn bộ quá trình sẽ là một giải pháp hiệu quả.
Nguồn tham khảo:
- Thủ tục Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân: https://baovedlcn.gov.vn/thu-tuc-hanh-chinh/ho-so-danh-gia-tac-dong-xu-ly-du-lieu
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Quyết định 4660/QĐ-BCA-A05 của Bộ Công an: https://baovedlcn.gov.vn/quyet-dinh-4660-qd-bca-a05-ngay-04-7-2023/
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Data Protection Impact Assessments (DPIAs) – Information Commissioner’s Office (UK): https://ico.org.uk/for-organisations/guide-to-data-protection/data-protection-impact-assessments-dpias/