Trường hợp phải thực hiện đánh giá tác động xử lý dữ liệu cá nhân

Theo quy định tại Nghị định 356/2025/NĐ-CP và đặc biệt là Luật Bảo vệ dữ liệu cá nhân 2025, việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân không còn là lựa chọn mà đã trở thành nghĩa vụ bắt buộc đối với hầu hết các tổ chức, doanh nghiệp. Tuy nhiên, nhiều doanh nghiệp vẫn lúng túng: Khi nào thì bắt buộc phải làm đánh giá tác động?

Trong bài viết này, VDPC sẽ làm rõ các trường hợp phải thực hiện đánh giá tác động xử lý dữ liệu cá nhân, giúp doanh nghiệp định hình rõ lộ trình tuân thủ và đảm bảo an toàn pháp lý tuyệt đối trong hoạt động kinh doanh.

Căn cứ pháp lý: 

• Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025
• Điều 3, 4, 19 Nghị định 356/2025/NĐ-CP

1. Đánh giá tác động xử lý dữ liệu cá nhân là gì? 

(1) Đánh giá tác động xử lý dữ liệu cá nhân là gì?

Đánh giá tác động xử lý dữ liệu cá nhân là việc phân tích, đánh giá rủi ro có thể xảy ra trong quá trình xử lý dữ liệu cá nhân để áp dụng các biện pháp giảm thiểu rủi ro, bảo vệ dữ liệu cá nhân.

(2) Loại dữ liệu được xử lý

– Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.

– Dữ liệu cá nhân cơ bản: là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành:

• Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
• Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
• Giới tính;
• Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
• Quốc tịch;
• Hình ảnh của cá nhân;
• Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe;
• Tình trạng hôn nhân;
• Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng);
• Thông tin về tài khoản số của cá nhân;
• Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại Điều 4 Nghị định 356/2025/NĐ-CP.

– Dữ liệu cá nhân nhạy cảm: là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành:

• Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;
• Quan điểm về chính trị, tôn giáo, tín ngưỡng;
• Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình;
• Tình trạng sức khỏe;
• Dữ liệu sinh trắc học, đặc điểm di truyền;
• Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;
• Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
• Vị trí của cá nhân được xác định qua dịch vụ định vị;

Ngoài ra còn có các loại dữ liệu khác như:

• Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân;
• Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;
• Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực
  tuyến và các dịch vụ khác trên không gian mạng;
• Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.

(3) Chủ thể thực hiện đánh giá tác động xử lý dữ liệu cá nhân

– Chủ thể thực hiện đánh giá tác động xử lý dữ liệu cá nhân được pháp luật quy định bao gồm:

• Bên kiểm soát dữ liệu cá nhân;
• Bên xử lý dữ liệu cá nhân;
• Bên kiểm soát và xử lý dữ liệu cá nhân.

2. Các trường hợp cần phải thực hiện đánh giá tác động xử lý dữ liệu cá nhân 

• Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
• Bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, kể từ lúc bắt đầu thực hiện xử lý dữ liệu cá nhân (bao gồm dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm) phải lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân để nộp cho cơ quan có thẩm quyền trong thời hạn được quy định.

3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

(1) Thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân bao gồm:

• Báo cáo đánh giá tác động xử lý dữ liệu cá nhân theo Mẫu số 10 tại Phụ lục của Nghị định
  356/2025/NĐ-CP;
• Bản sao hợp đồng hoặc thỏa thuận về việc xử lý dữ liệu cá nhân, thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân trong hoạt động xử lý dữ liệu cá nhân;
• Chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan về bảo vệ dữ liệu cá nhân của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân.

(2) Nội dung báo cáo đánh giá tác động xử lý dữ liệu cá nhân

Báo cáo đánh giá tác động xử lý dữ liệu cá nhân bao gồm các nội dung:

• Thông tin và chi tiết liên lạc của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba;
• Chi tiết liên lạc của bộ phận, nhân sự bảo vệ dữ liệu cá nhân; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có) của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba;
• Mô tả và luận giải mục đích xử lý dữ liệu cá nhân, loại dữ liệu cá nhân xử lý, chi tiết các hoạt động xử lý dữ liệu cá nhân và sơ đồ luồng dữ liệu cá nhân;
• Mô tả và luận giải về việc thực hiện xin sự đồng ý của chủ thể dữ liệu cá nhân, chính sách lưu trữ, xóa, hủy dữ liệu cá nhân;
• Phương án bảo đảm an toàn dữ liệu cá nhân, các biện pháp bảo vệ dữ liệu cá nhân, sơ đồ thiết kế hệ thống, tiêu chuẩn bảo vệ dữ liệu cá nhân được áp dụng;
• Kết quả đánh giá tuân thủ quy định về bảo vệ dữ liệu cá nhân;
• Đánh giá mức độ ảnh hưởng, rủi ro của hoạt động xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong
  muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, rủi ro đó.

KẾT LUẬN

Việc xác định các trường hợp phải thực hiện đánh giá tác động xử lý dữ liệu cá nhân là bước đi đầu tiên và quan trọng nhất trong chiến lược tuân thủ của doanh nghiệp. Một hồ sơ chặt chẽ không chỉ giúp đáp ứng yêu cầu của pháp luật mà còn là minh chứng cho sự chuyên nghiệp và cam kết bảo vệ khách hàng của doanh nghiệp, tổ chức.

Trên đây là Trường hợp phải thực hiện đánh giá tác động xử lý dữ liệu cá nhân. Nếu bạn còn thắc mắc liên quan đến vấn đề này. Hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm:

• Quyền và nghĩa vụ của Bên thứ ba đối với xử lý dữ liệu cá nhân
• Dữ liệu cá nhân cơ bản theo Nghị định 356/2025/NĐ-CP
• Thủ tục, yêu cầu hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới
• Trách nhiệm của Phòng khám Chuyên khoa Da liễu khi dữ liệu cá nhân của chủ thể dữ liệu cá nhân bị tiết lộ
• Thủ tục, yêu cầu hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
• Trách nhiệm của Phòng khám Chuyên khoa Nhi khi dữ liệu cá nhân của chủ thể dữ liệu cá nhân bị tiết lộ
  
• Quyền và nghĩa vụ của bên xử lý dữ liệu cá nhân.
• So sánh dự thảo Nghị định hướng dẫn Luật bảo vệ DLCN và Nghị định 13/2023/NĐ-CP
• Trách nhiệm của Bên kiểm soát và xử lý dữ liệu trong khử nhận dạng và bảo vệ dữ liệu cá nhân
• Trách nhiệm của Phòng khám Chuyên khoa tâm lý khi dữ liệu cá nhân của chủ thể dữ liệu cá nhân bị tiết lộ