HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ DỮ LIỆU CÁ NHÂN THEO LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025: QUY ĐỊNH, THỦ TỤC VÀ LƯU Ý QUAN TRỌNG

Hướng dẫn chi tiết lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) theo Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN 2025): đối tượng áp dụng, quy trình, rủi ro thường gặp và cách tối ưu tuân thủ pháp luật.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì?

Hồ sơ DPIA là một tài liệu phân tích, đánh giá các rủi ro liên quan đến việc xử lý dữ liệu cá nhân (DLCN) và đề xuất các biện pháp giảm thiểu rủi ro. Hồ sơ DPIA là một phần trong quy trình bảo vệ dữ liệu cá nhân, nhằm đảm bảo tuân thủ pháp luật và bảo vệ quyền riêng tư của chủ thể dữ liệu.

Doanh nghiệp nào phải lập Hồ sơ DPIA theo Luật BVDLCN 2025?

Theo Luật BVDLCN 2025, các bên đóng vai trò Bên kiểm soát (quyết định mục đích và phương tiện xử lý DLCN), Bên kiểm soát và xử lý DLCN (gọi chung là Bên kiểm soát); và Bên xử lý DLCN (xử lý DLCN theo yêu cầu của Bên kiểm soát).

Một số trường hợp ngoại lệ không phải lập Hồ sơ DPIA bao gồm: (1) Cơ quan nhà nước có thẩm quyền; (2) doanh nghiệp siêu nhỏ, hộ kinh doanh. Ngoài ra, doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được miễn trừ quy định này trong vòng 05 năm tính từ ngày 01/01/2026.

Tuy nhiên, ngoại trừ cơ quan nhà nước có thẩm quyền, các doanh nghiệp nhỏ, siêu nhỏ, doanh nghiệp khởi nghiệp, hộ kinh doanh sẽ không được hưởng miễn trừ nếu kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể DLCN.

Khi nào phải tiến hành lập hồ sơ đánh giá tác động

Việc lập và nộp Hồ sơ DPIA được thực hiện trong thời gian 60 ngày kể từ ngày đầu tiên xử lý DLCN.

Nội dung, thành phần của Hồ sơ đánh giá tác động

Hiện nay, Luật BVDLCN 2025 chưa quy định cụ thể nội dung hay thành phần Hồ sơ DPIA mà để Chính phủ quy định các nội dung này trong các văn bản khác. Tuy nhiên, tham khảo Nghị định 13/2023/NĐ-CP (Nghị định 13) và Quyết định 4660/QĐ-BCA-A05, Hồ sơ DPIA có thể sẽ bao gồm các nội dung như:

• Thông tin bên lập hồ sơ;
• Thông tin Bên xử lý, Bên kiểm soát, Bên thứ ba liên quan;
• Mục đích, hoạt động xử lý DLCN;
• Các loại DLCN xử lý;
• Thời gian xử lý, lưu trữ, xóa hủy DLCN;
• Các biện pháp tổ chức, kỹ thuật áp dụng;
• Đánh giá tác động xử lý DLCN và biện pháp khắc phục vấn đề; v.v.

Bên cạnh đó, các tài liệu đính kèm có thể bao gồm:

• Tài liệu thành lập, quyết định bổ nhiệm cán bộ, bộ phận bảo vệ DLCN của bên lập hồ sơ, Bên xử lý, Bên kiểm soát, Bên thứ ba liên quan;
• Hợp đồng giữa bên lập hồ sơ và các bên liên quan; v.v.

Cơ quan tiếp nhận Hồ sơ đánh giá tác động

Theo Nghị định 13, Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (A05) là cơ quan tiếp nhận Hồ sơ DPIA.

Theo Luật BVDLCN 2025, cơ quan tiếp nhận hồ sơ là cơ quan chuyên trách bảo vệ DLCN. Tuy nhiên, hiện chưa có văn bản quy định cụ thể cơ quan nào sẽ đảm nhiệm vai trò này theo luật mới nhưng nhiều khả năng vẫn sẽ là A05.

Quy trình lập Hồ sơ đánh giá tác động

Bước 1: Xác định các hoạt động xử lý DLCN của doanh nghiệp

• Mục đích xử lý và tính cần thiết của việc xử lý DLCN;
• Vai trò của doanh nghiệp trong hoạt động xử lý (Bên kiểm soát, Bên xử lý);
• Loại dữ liệu được thu thập (bao gồm dữ liệu cơ bản và dữ liệu nhạy cảm);
• Nhóm chủ thể dữ liệu (người lao động, ứng viên, khách hàng…);
• Các bên tham gia vào hoạt động xử lý DLCN;
• Cách thức thu thập, lưu trữ, xử lý, truyền tải và xóa dữ liệu;
• Xây dựng sơ đồ xử lý DLCN.

Bước 2: Phân tích rủi ro

Phân tích các rủi ro liên quan đến quyền riêng tư của cá nhân, bao gồm:

• Rò rỉ dữ liệu;
• Truy cập, chỉnh sửa trái phép;
• Mất kiểm soát dữ liệu, v.v.

Đánh giá hậu quả tiềm ẩn nếu xảy ra vi phạm và tác động đến quyền, lợi ích của chủ thể dữ liệu, các tác động đến vấn đề về kinh tế, xã hội, v.v.

Bước 3: Xác định và mô tả các biện pháp bảo vệ DLCN

Doanh nghiệp nêu rõ các biện pháp bảo vệ DLCN được áp dụng:

• Biện pháp tổ chức: chính sách nội bộ, đào tạo nhân viên, quy trình xử lý khi có vi phạm dữ liệu, v.v.
• Biện pháp kỹ thuật: mã hóa, phân quyền truy cập, bảo mật máy chủ, v.v.

Bước 4: Lập Hồ sơ đánh giá tác động

Tiến hành lập hồ sơ theo mẫu. Hiện tại, doanh nghiệp thực hiện theo Mẫu số 24 ban hành kèm theo Quyết định 4660/QĐ-BCA-A05.

Bước 5: Nộp hồ sơ cho cơ quan có thẩm quyền

Tiến hành nộp trực tiếp hoặc qua Cổng thông tin quốc gia về bảo vệ DLCN. Tuy nhiên, hình thức nộp trực tuyến hiện nay vẫn chưa thực hiện được.

Cập nhật Hồ sơ đánh giá tác động

Hồ sơ DPIA được cập nhật định kỳ 06 tháng khi có sự thay đổi. Trong các trường hợp sau thì cần cập nhật ngay:

• Khi cơ quan, tổ chức, đơn vị được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật;
• Khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;
• Khi phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký trong Hồ sơ DPIA.

Một số sai lầm cần tránh khi lập Hồ sơ đánh giá tác động

Doanh nghiệp nên lưu ý các điểm sau để tránh vi phạm quy định khi lập Hồ sơ DPIA:

• Không lập hồ sơ kịp thời: Phải hoàn thành trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu; chậm trễ có thể dẫn đến vi phạm và bị xử phạt hành chính với mức tối đa lên đến 03 tỷ đồng;
• Không xác định đúng đối tượng áp dụng: Không xác định được hết các trường hợp phải lập hồ sơ khiến hồ sơ không đầy đủ, không phản ánh hết được các hoạt động xử lý DLCN của doanh nghiệp;
• Thiếu thông tin đầy đủ và chính xác: Không xác định được hết các mục đích xử lý dữ liệu, hoạt động xử lý, và các bên bên liên quan đến hoạt động xử lý dữ liệu;
• Bỏ qua cập nhật hồ sơ: Không rà soát và bổ sung khi có thay đổi trong hoạt động xử lý dữ liệu, dẫn đến hồ sơ lỗi thời và không phản ánh thực tế.

CÂU HỎI THƯỜNG GẶP

Doanh nghiệp đã lập Hồ sơ đánh giá tác động theo Nghị định 13/2023/NĐ-CP thì có phải làm lại theo Luật BVDLCN 2025 không?

Theo Luật BVDLCN 2025, Hồ sơ DPIA lập theo quy định của Nghị định số 13 của Chính phủ đã được cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiếp nhận trước ngày Luật BVDLCN 2025 có hiệu lực thi hành thì tiếp tục được sử dụng và không phải lập Hồ sơ DPIA theo quy định mới; việc cập nhật các hồ sơ đã lập sau ngày Luật BVDLCN 2025 có hiệu lực thi hành thì thực hiện theo quy định của Luật BVDLCN 2025.

Nếu không nộp thì bị xử phạt ra sao?

Tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

Hiện nay chưa có văn bản quy định cụ thể về mức phạt đối với vi phạm về Hồ sơ DPIA. Tuy nhiên, mức phạt tối đa có thể lên tới 03 tỷ đồng đối với tổ chức (cá nhân phạt bằng 1/2 mức tổ chức).

Doanh nghiệp vừa là Bên kiểm soát, vừa là Bên xử lý có thể nộp chung một hồ sơ được không?

Hiện chưa có quy định cụ thể nào về vấn đề này, tuy nhiên, theo như các mẫu Hồ sơ DPIA của Nghị định 13 thì Bên kiểm soát và Bên xử lý có 2 mẫu hồ sơ riêng biệt. Bên cạnh đó, nội dung, các bên liên quan và tài liệu đi kèm của 2 bộ hồ sơ là khác nhau. Như vậy, khả năng cao là theo Luật BVDLCN 2025, các bên đóng cả 2 vai trò sẽ phải nộp 2 bộ hồ sơ riêng biệt.

Tập đoàn/công ty mẹ có thể nộp chung một bộ hồ sơ cho cả tập đoàn được không?

Không. Mỗi đơn vị kiểm soát hoặc xử lý dữ liệu cá nhân (bao gồm công ty mẹ và các công ty con trong tập đoàn) được xem là một pháp nhân riêng biệt, chịu trách nhiệm độc lập về việc tuân thủ quy định. Do đó, mỗi pháp nhân phải lập Hồ sơ DPIA riêng dựa trên hoạt động xử lý dữ liệu cụ thể của mình. Bên cạnh đó, các công ty trong tập đoàn có thể có mục đích, phạm vi, và cách thức xử lý dữ liệu khác nhau. Hồ sơ DPIA cần phản ánh chính xác từng hoạt động xử lý, bao gồm mô tả, rủi ro, và biện pháp bảo vệ, không thể gộp chung một cách tổng quát.

#PDPL #DPIA #privacy #personaldata #admin #privacycompliance #A05 #dulieucanhan #danhgiatacdong #DLCN #HosoDPIA

Tuyên bố miễn trừ trách nhiệm: Thông tin trong tài liệu này chỉ có tính chất tham khảo, không cấu thành ý kiến tư vấn pháp lý chính thức. PrivacyCompliance không chịu trách nhiệm đối với mọi thiệt hại phát sinh từ việc sử dụng hoặc dựa vào thông tin này.