CẨM NANG PHÁP LUẬT, TIN PHÁP LUẬT

Thủ tục, yêu cầu hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

17
Jan

Trong kỷ nguyên số, dữ liệu cá nhân được ví như “dầu mỏ” mới, kể từ khi Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP được ban hành và chính thức có hiệu lực, việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đã trở thành yêu cầu bắt buộc đối với mọi tổ chức.

Bài viết này sẽ giúp bạn tháo gỡ mọi nút thắt về hồ sơ đánh giá tác động, giúp doanh nghiệp tự tin vận hành trong hành lang pháp lý mới.

1. Dữ liệu cá nhân được xử lý

Căn cứ pháp lý:

Dữ liệu cá nhân là dữ liệu số hoặc thông tin xác định hoặc giúp xác định một con người cụ thể, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm

(1) Dữ liệu cá nhân cơ bản: Là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành. Bao gồm:

  • Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có)
  • Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích
  • Giới tính
  • Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ
  • Quốc tịch
  • Hình ảnh của cá nhân
  • Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe
  • Tình trạng hôn nhân
  • Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng)
  • Thông tin về tài khoản số của cá nhân
  • Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc dữ liệu cá nhân nhạy cảm

(2) Dữ liệu cá nhân nhạy cảm: là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành. Bao gồm:

  • Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc
  • Quan điểm về chính trị, tôn giáo, tín ngưỡng
  • Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình
  • Tình trạng sức khỏe
  • Dữ liệu sinh trắc học, đặc điểm di truyền
  • Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân
  • Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật
  • Vị trí của cá nhân được xác định qua dịch vụ định vị
  • Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân
  • Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác
  • Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng

Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.

2. Thời điểm lập và nộp hồ sơ 

Căn cứ pháp lý: Điều 21 Luật Bảo vệ dữ liệu cá nhân 2025

Trong thời hạn 60 ngày kể từ ngày đầu tiên xử lý dữ liệu cá nhân, công ty phải tiến hành lập, lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và phải tiến hành nộp một (01) bản chính hồ sơ cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân

Lưu ý: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của cơ quan chuyên trách bảo vệ dữ liệu cá nhân và nộp 01 bản chính bằng phương thức trực tuyến hoặc trực tiếp hoặc qua dịch vụ bưu chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân kèm theo Mẫu số 02a/02b tại Phụ lục của Nghị định 356/205/NĐ-CP

3. Vai trò của doanh nghiệp trong chu trình xử lý dữ liệu cá nhân

Căn cứ pháp lý: Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025

(1) Các vai trò của doanh nghiệp trong chu trình xử lý dữ liệu cá nhân

  • Bên kiểm soát dữ liệu cá nhân: là cơ quan, tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân
  • Bên xử lý dữ liệu cá nhân: là cơ quan, tổ chức, cá nhân thực hiện việc xử lý dữ liệu cá nhân theo yêu cầu của bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân thông qua hợp đồng
  • Bên kiểm soát và xử lý dữ liệu cá nhân: là cơ quan, tổ chức, cá nhân quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.

(2) Tương ứng với mỗi vai trò, trách nhiệm lập hồ sơ đánh giá tác động cũng được xác định theo vai trò của doanh nghiệp trong quá trình xử lý dữ liệu:

  • Bên kiểm soát dữ liệu cá nhân: phải lập, hoàn thiện, lưu trữ và gửi 01 bản chính hồ sơ đánh giá tác động đến Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (hiện nay là Bộ Công an) trong vòng 60 ngày kể từ khi bắt đầu hoạt động xử lý.
  • Bên vừa kiểm soát vừa xử lý dữ liệu cá nhân: cũng có trách nhiệm lập, hoàn thiện, lưu trữ và gửi hồ sơ đánh giá tác động trong thời hạn 60 ngày như trên.

Bên xử lý dữ liệu cá nhân: có trách nhiệm lập, lưu trữ và nộp hồ sơ đánh giá tác động theo hợp đồng/thỏa thuận đã ký với bên kiểm soát dữ liệu, phù hợp với quy định pháp luật.

4. Thông tin yêu cầu cung cấp trong hồ sơ đánh giá tác động

Căn cứ pháp lý: Điều 19 Nghị định 356/2025/NĐ-CP

Báo cáo đánh giá tác động xử lý dữ liệu cá nhân trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm các nội dung:

  • Thông tin và chi tiết liên lạc của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba
  • Chi tiết liên lạc của bộ phận, nhân sự bảo vệ dữ liệu cá nhân; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có) của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba
  • Mô tả và luận giải mục đích xử lý dữ liệu cá nhân, loại dữ liệu cá nhân xử lý, chi tiết các hoạt động xử lý dữ liệu cá nhân và sơ đồ luồng dữ liệu cá nhân
  • Mô tả và luận giải về việc thực hiện xin sự đồng ý của chủ thể dữ liệu cá nhân, chính sách lưu trữ, xóa, hủy dữ liệu cá nhân
  • Phương án bảo đảm an toàn dữ liệu cá nhân, các biện pháp bảo vệ dữ liệu cá nhân, sơ đồ thiết kế hệ thống, tiêu chuẩn bảo vệ dữ liệu cá nhân được áp dụng
  • Kết quả đánh giá tuân thủ quy định về bảo vệ dữ liệu cá nhân

Đánh giá mức độ ảnh hưởng, rủi ro của hoạt động xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, rủi ro đó.

5. Tài liệu cần chuẩn bị trong hồ sơ đánh giá tác động

Căn cứ pháp lý: Mẫu số 10 đính kèm tại Phụ lục của Nghị định 356/2025/NĐ-CP

Căn cứ quy định về bảo vệ dữ liệu cá nhân, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân khi lập, lưu trữ và nộp cho cơ quan có thẩm quyền phải bao gồm các tài liệu sau:

  • Báo cáo đánh giá tác động xử lý dữ liệu cá nhân
  • Bản sao hợp đồng hoặc thỏa thuận về việc xử lý dữ liệu cá nhân, thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân trong hoạt động xử lý dữ liệu cá nhân

Chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan về bảo vệ dữ liệu cá nhân của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân.

6. Các bước lập hồ sơ đánh giá tác động xử lí dữ liệu cá nhân

Căn cứ pháp lý: Điều 19 Nghị định 356/2025/NĐ-CP

Để lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, công ty cần thực hiện đầy đủ các bước sau:

Bước 1: Chuẩn bị mẫu hồ sơ và truy cập hệ thống nộp hồ sơ.

Tổ chức, doanh nghiệp truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân theo thông báo của Bộ Công an để tiếp cận biểu mẫu. Trường hợp không thực hiện trực tuyến, có thể tải và in mẫu biểu phù hợp dựa theo Nghị định 356/2025/NĐ-CP

Bước 2: Khai báo nội dung hồ sơ đánh giá tác động

Doanh nghiệp tiến hành điền đầy đủ các nội dung yêu cầu trong mẫu, bao gồm

Bước 3: Lưu trữ và nộp

Tiến hành lưu trữ trong nội bộ công ty, và gửi 01 bản hồ sơ qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc gửi hồ sơ, mẫu đơn đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an

Bước 4: Tiếp nhận và xử lý từ phía cơ quan chức năng.

  • Trong thời hạn 15 ngày, cơ quan chuyên trách sẽ đánh giá và thông báo kết quả xác nhận hồ sơ đạt yêu cầu hoặc chưa đạt yêu cầu
  • Nếu hồ sơ chưa đầy đủ hoặc không đúng quy định, cơ quan chức năng sẽ yêu cầu Bên Kiểm soát, Bên Xử lý hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện bổ sung, hoàn thiện trong thời hạn 30 ngày.

Nơi nộp hồ sơ: Có thể nộp theo ba phương thức chính

+ Nộp trực tiếp: tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.

+ Nộp trực tuyến: truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an)

+ Dịch vụ bưu chính: tiếp nhận hồ sơ qua dịch vụ bưu chính công ích

7. Trường hợp cần cập nhật hồ sơ

Căn cứ pháp lý: 

Các trường hợp thay đổi cần cập nhật ngay trong thời hạn 10 ngày bao gồm:

  • Khi cơ quan, tổ chức, đơn vị được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật
  • Khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân
  • Khi phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

Việc cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được thực hiện theo Mẫu số 03a/03b tại Phụ lục của Nghị định này, nộp bằng phương thức trực tuyến hoặc trực tiếp hoặc qua dịch vụ bưu chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân

8. Hệ quả pháp lý nếu không tuân thủ

Căn cứ pháp lý:

Trong trường hợp lập hồ sơ đánh giá tác động xử lý dữ liệu, nếu quá thời hạn nêu trên mà đơn vị vẫn không hoàn thiện hồ sơ theo đúng quy chuẩn, Cơ quan chuyên trách sẽ xem xét áp dụng các biện pháp xử phạt vi phạm hành chính theo quy định của pháp luật về bảo vệ dữ liệu cá nhân. Trong đó cụ thể:

  • Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm là 03 tỷ đồng

Mức phạt tiền tối đa quy định được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức

KẾT LUẬN

Việc chuẩn bị hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cần được nhìn nhận như một lá chắn bảo vệ uy tín và tài sản của chính doanh nghiệp. Dù quy trình ban đầu có thể phức tạp, nhưng việc tuân thủ đúng và đủ các quy định tại Nghị định 13 sẽ giúp tổ chức tránh được những rủi ro pháp lý và án phạt hành chính không đáng có.

Trên đây là Thủ tục, yêu cầu hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Nếu bạn còn thắc mắc liên quan đến vấn đề này. Hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm: