Các thủ tục hành chính về bảo vệ dữ liệu cá nhân vừa được Bộ Công an ban hành chính thức theo Quyết định 778/QĐ-BCA-A05, thay thế toàn bộ hệ thống cũ để phù hợp với Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. DPVN sẽ hệ thống hóa chi tiết 06 thủ tục mới nhất, cung cấp biểu mẫu chuẩn và hướng dẫn quy trình nộp hồ sơ, giúp doanh nghiệp vượt qua rào cản pháp lý một cách nhanh chóng và an toàn.
Tóm tắt nội dung: Bài viết này là cẩm nang pháp lý toàn diện, cập nhật danh mục 06 thủ tục hành chính cấp Trung ương mới ban hành (thông báo đánh giá tác động, cấp phép kinh doanh dịch vụ xử lý dữ liệu), kèm theo link tải biểu mẫu chính thức từ Cục An ninh mạng (A05) và hướng dẫn thực thi chi tiết dành cho chuyên viên pháp chế và quản lý doanh nghiệp.
Danh mục 06 thủ tục hành chính về bảo vệ dữ liệu cá nhân mới nhất gồm những gì?
Theo Quyết định số 778/QĐ-BCA-A05 (có hiệu lực từ 09/02/2026), Bộ Công an công bố 06 thủ tục cấp Trung ương mới: (1) Thông báo hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới; (2) Thông báo hồ sơ đánh giá tác động xử lý dữ liệu; (3) Thông báo cập nhật hồ sơ; (4) Cấp Giấy chứng nhận kinh doanh dịch vụ xử lý dữ liệu; (5) Cấp lại Giấy chứng nhận; (6) Cấp đổi Giấy chứng nhận.
Hệ thống pháp luật mới đánh dấu sự chuyển mình từ Nghị định 13 (đã hết hiệu lực) sang Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Nghị định 356/2025/NĐ-CP. Việc ban hành 06 thủ tục này nhằm quản lý chặt chẽ hơn dòng chảy dữ liệu, đặc biệt là sự xuất hiện của thủ tục “Cấp Giấy chứng nhận đủ điều kiện kinh doanh”, biến xử lý dữ liệu thành ngành nghề kinh doanh có điều kiện.
💡 Luật sư DPVN chia sẻ: Trong thực tiễn hỗ trợ doanh nghiệp, chúng tôi nhận thấy sự nhầm lẫn lớn nhất hiện nay là việc sử dụng sai biểu mẫu cũ của năm 2023. Bắt đầu từ 2026, mọi hồ sơ nộp bằng mẫu Đ24-DLCN cũ đều sẽ bị Cục A05 từ chối tiếp nhận. Việc nắm chắc danh mục và tải đúng biểu mẫu mới là bước đầu tiên để tuân thủ luật.
Dưới đây là chi tiết 06 thủ tục và cơ quan thực hiện:
| STT | Tên Thủ Tục Hành Chính Mới Ban Hành | Cơ Quan Giải Quyết |
|---|---|---|
| 1 | Thông báo gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới | Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an |
| 2 | Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân | |
| 3 | Thông báo cập nhật hồ sơ đánh giá tác động về dữ liệu cá nhân | |
| 4 | Cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân | |
| 5 | Cấp lại Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân | |
| 6 | Cấp đổi Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân |
*Lưu ý: Các thủ tục cũ mang mã số 3.000236, 3.000237, 3.000238, 3.000239, 3.000240 đã chính thức bị bãi bỏ.
Thủ tục Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân thực hiện như thế nào?
Doanh nghiệp cần chuẩn bị Báo cáo đánh giá (Mẫu 10), Thông báo gửi hồ sơ (Mẫu 02a) và các tài liệu chứng minh. Hồ sơ nộp trực tuyến, trực tiếp hoặc qua bưu điện về Cục A05 trong vòng 60 ngày kể từ khi bắt đầu xử lý. Thời gian giải quyết là 15 ngày làm việc.
Bất kỳ tổ chức nào có hoạt động thu thập, phân tích, lưu trữ dữ liệu của người dùng đều phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì? Đây là thủ tục phổ biến nhất, áp dụng cho phần lớn các doanh nghiệp đang hoạt động tại Việt Nam.
Thành phần hồ sơ bắt buộc (01 bản chính) bao gồm:
- Mẫu số 02a: Thông báo gửi hồ sơ (Dành cho tổ chức). Đối với cá nhân dùng Mẫu số 02b.
- Mẫu số 10: Báo cáo đánh giá tác động xử lý dữ liệu cá nhân (Thay thế Mẫu Đ24-DLCN-01/02 cũ). Đây là phần cốt lõi, yêu cầu phân tích rủi ro và biện pháp kỹ thuật bảo vệ.
- Bản sao Quyết định phân công bộ phận/nhân sự bảo vệ dữ liệu cá nhân (DPO).
- Bản sao Hợp đồng sử dụng dịch vụ bảo vệ dữ liệu cá nhân (nếu đi thuê ngoài).
- Bản sao Hợp đồng/Thỏa thuận xử lý dữ liệu giữa các bên.
- Các chính sách, quy trình bảo mật nội bộ của doanh nghiệp.
Quy trình 03 bước nộp hồ sơ chuẩn:
- Bước 1: Chuẩn bị hồ sơ đầy đủ theo Điều 19 Nghị định 356/2025/NĐ-CP.
- Bước 2: Nộp hồ sơ. Tổ chức có thể nộp qua Cổng dịch vụ công Bộ Công an, nộp trực tiếp tại Cục A05 (Tòa nhà E2, Dường Đình Nghệ, Cầu Giấy, Hà Nội), hoặc gửi qua bưu chính.
- Bước 3: Nhận kết quả. Sau 15 ngày, Cục A05 sẽ trả kết quả Đạt hoặc Yêu cầu bổ sung. Nếu hồ sơ chưa đạt, doanh nghiệp có 30 ngày để Hồ Sơ Đánh Giá Tác Động Không Đạt Cần Hoàn Thiện
Việc miễn trừ thủ tục này chỉ áp dụng cho doanh nghiệp siêu nhỏ, khởi nghiệp trong 5 năm đầu, trừ khi họ kinh doanh dịch vụ xử lý dữ liệu hoặc xử lý lượng lớn dữ liệu nhạy cảm.
Thủ tục Thông báo gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới yêu cầu những gì?
Thủ tục này dành cho tổ chức chuyển dữ liệu ra nước ngoài (như dùng Cloud ngoại, gửi dữ liệu cho công ty mẹ). Hồ sơ bao gồm Thông báo Mẫu 01a và Báo cáo đánh giá Mẫu 09, kèm theo hợp đồng chuyển giao. Thời hạn nộp là 60 ngày kể từ ngày chuyển, cơ quan duyệt trong 15 ngày.
Với bối cảnh toàn cầu hóa, thủ tục này là một trong những thủ tục hành chính về bảo vệ dữ liệu cá nhân quan trọng nhất để tránh các án phạt lên tới 5% doanh thu theo Luật 91/2025/QH15.
Sự khác biệt lớn nhất của thủ tục này so với thủ tục xử lý dữ liệu nội địa nằm ở Mẫu số 09. Báo cáo này đòi hỏi doanh nghiệp phải chứng minh được: Quốc gia nhận dữ liệu có hệ thống pháp luật bảo vệ dữ liệu an toàn không? Biện pháp mã hóa đường truyền là gì? và cơ chế ràng buộc pháp lý (SCC – Standard Contractual Clauses) giữa bên chuyển và bên nhận.
Để hoàn thiện bộ hồ sơ phức tạp này, Quý doanh nghiệp nên tham khảo chi tiết tại Thủ tục lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới do các chuyên gia pháp chế hướng dẫn.
Làm thế nào để xin Cấp Giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân?
Đây là thủ tục cấp phép hoàn toàn mới. Tổ chức muốn cung cấp dịch vụ phân tích dữ liệu, điện toán đám mây… phải nộp Đơn (Mẫu 04) kèm Đề án kinh doanh và chứng chỉ nhân sự về Cục A05. Thời gian thẩm định là 30 ngày kể từ khi nhận đủ hồ sơ hợp lệ.
Nghị định 356/2025/NĐ-CP đã đưa “Kinh doanh dịch vụ xử lý dữ liệu cá nhân” vào danh mục ngành nghề có điều kiện. Thủ tục xin cấp Giấy chứng nhận đòi hỏi sự chuẩn bị khắt khe nhất trong 06 thủ tục mới.
Điều kiện để được cấp phép:
- Người đứng đầu phụ trách chuyên môn phải là công dân Việt Nam, thường trú tại Việt Nam.
- Có tối thiểu 03 nhân sự (DPO) có bằng cao đẳng trở lên, kinh nghiệm 2 năm về pháp chế/CNTT/an ninh mạng và có chứng chỉ đào tạo về bảo vệ dữ liệu.
- Đã có kết quả Đạt đối với Hồ sơ đánh giá tác động xử lý dữ liệu (Mẫu 10).
- Hạ tầng trang thiết bị đáp ứng các quy chuẩn kỹ thuật an toàn thông tin.
Thành phần hồ sơ (Căn cứ Điều 25 Nghị định 356):
- Đơn đề nghị (Mẫu số 04).
- Bản sao Giấy chứng nhận đăng ký doanh nghiệp.
- Văn bản chỉ định bộ phận bảo vệ dữ liệu cá nhân.
- Đề án kinh doanh: Nêu rõ quy mô, khung quản trị rủi ro, phương án xác thực điện tử và phương án bảo vệ an ninh dữ liệu.
- Bằng cấp, chứng chỉ của 03 nhân sự chuyên trách.
Nếu doanh nghiệp của bạn hoạt động trong lĩnh vực cung cấp phần mềm, tư vấn marketing data, hay lưu trữ, hãy kiểm tra ngay xem mình có thuộc diện phải xin phép không tại bài viết Kinh Doanh Dịch Vụ Xử Lý Dữ Liệu Cá Nhân Cần Có Giấy Chứng Nhận Không?.
Thủ tục Thông báo cập nhật hồ sơ đánh giá tác động áp dụng khi nào?
Tổ chức phải nộp Thông báo cập nhật hồ sơ (Mẫu 03a) định kỳ 06 tháng/lần nếu có phát sinh mục đích, bên xử lý mới. Đặc biệt, nếu tổ chức lại doanh nghiệp (sáp nhập/giải thể) hoặc thay đổi ngành nghề liên quan đến dữ liệu, phải cập nhật khẩn cấp trong vòng 10 ngày.
Hồ sơ đánh giá tác động không phải làm một lần rồi bỏ xó. Pháp luật yêu cầu doanh nghiệp phải duy trì một “tài liệu sống”, phản ánh đúng luồng dữ liệu hiện tại.
Cập nhật định kỳ (06 tháng): Khi doanh nghiệp thu thập thêm loại dữ liệu mới (ví dụ: trước đây chỉ lấy tên tuổi, nay lấy thêm dữ liệu sinh trắc học), hoặc ký hợp đồng với một đối tác quảng cáo mới (Bên thứ ba), doanh nghiệp sử dụng Mẫu số 03a (cho tổ chức) kèm theo Bản Báo cáo (Mẫu 09/Mẫu 10) bản cập nhật để nộp lại cho Cục A05.
Cập nhật khẩn cấp (10 ngày): Áp dụng khi doanh nghiệp thay đổi thông tin nhà cung cấp dịch vụ bảo vệ dữ liệu (DPO Outsourcing) hoặc công ty bị chia tách, sáp nhập.
Doanh Nghiệp Đang Bối Rối Trước Hệ Thống Biểu Mẫu Mới?
Việc áp dụng sai biểu mẫu cũ hoặc đánh giá rủi ro không đạt chuẩn có thể khiến hồ sơ bị đình chỉ, làm chậm tiến độ kinh doanh. Hãy để các chuyên gia pháp lý tại DPVN giúp bạn hoàn thiện 06 thủ tục hành chính này nhanh chóng và cam kết tỷ lệ thành công 100%.
DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân
Hotline hỗ trợ trực tiếp: 0982976486
Email chuyên gia: info@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu Hỏi Thường Gặp (FAQ) Về Các Thủ Tục Hành Chính Mới
1. Các hồ sơ đã nộp theo Nghị định 13/2023 (Mẫu Đ24-DLCN) có phải nộp lại theo biểu mẫu mới không?
Theo Điều 39 Luật 91/2025/QH15, các hồ sơ đã được Cục A05 tiếp nhận trước ngày 01/01/2026 sẽ không phải nộp lại. Doanh nghiệp chỉ cần sử dụng biểu mẫu mới (Mẫu 03a) khi đến kỳ cập nhật hồ sơ khi có sự thay đổi nội dung.
2. Thủ tục “Thông báo vi phạm quy định bảo vệ dữ liệu” theo mẫu 03a cũ có còn áp dụng không?
Mẫu 03a cũ thuộc Nghị định 13 đã bị bãi bỏ. Theo Quyết định 778/QĐ-BCA-A05 và Nghị định 356, khi xảy ra sự cố, doanh nghiệp phải báo cáo trong 72 giờ bằng Mẫu số 08 (Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân).
3. Nộp hồ sơ thủ tục hành chính về bảo vệ dữ liệu cá nhân có mất phí không?
Căn cứ theo hướng dẫn chi tiết tại các thủ tục ban hành kèm Quyết định 778/QĐ-BCA-A05, tất cả 06 thủ tục hành chính nêu trên đều Không thu phí, lệ phí.
4. Xin Cấp lại và Cấp đổi Giấy chứng nhận kinh doanh dịch vụ xử lý dữ liệu khác nhau như thế nào?
Cấp lại (dùng Mẫu 06) áp dụng khi Giấy chứng nhận bản cứng bị mất, bị hỏng. Cấp đổi (cũng dùng Mẫu 06 kèm tài liệu chứng minh) áp dụng khi tổ chức có sai sót thông tin (như đổi tên công ty, đổi trụ sở) trên Giấy chứng nhận đã cấp. Thời gian giải quyết cả hai đều là 05 ngày làm việc.
5. Làm sao để tra cứu tiến độ xử lý hồ sơ sau khi đã nộp cho Bộ Công an?
Doanh nghiệp sẽ được cấp mã số hồ sơ. Bạn có thể tra cứu tình trạng xử lý trực tuyến thông qua Cổng dịch vụ công Bộ Công an hoặc Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân. Các bước xử lý nội bộ của cơ quan sẽ sử dụng hệ thống biểu mẫu riêng (như Phiếu DLCN-HC-01 là Giấy tiếp nhận và hẹn trả kết quả).
Nguồn tham khảo pháp lý uy tín:
- Cổng thông tin điện tử Bộ Công an: Quyết định 778/QĐ-BCA-A05 công bố thủ tục hành chính mới.
- Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
- Cơ sở dữ liệu Quốc gia về Văn bản Pháp luật: Nghị định 356/2025/NĐ-CP.
- DPVN: Hệ thống biểu mẫu chuẩn và hướng dẫn tuân thủ bảo vệ dữ liệu.
- Cổng Dịch vụ công Quốc gia: Thủ tục hành chính lĩnh vực an ninh mạng.
