Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân mới nhất 2025

Thủ tục thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một thủ tục hành chính phức tạp đối với các doanh nghiệp tại Việt Nam do chưa có văn bản hướng dẫn cụ thể nào.

Luật Thành Đô sẽ giúp Quý doanh nghiệp đang hoạt động tại Việt Nam hiểu rõ hơn về thủ tục trên. Qua đó, giúp doanh nghiệp thực hiện các hoạt động tác động tới dữ liệu cá nhân nắm rõ quy định và tuân thủ nghiêm túc quy định tại Nghị định 13/2023/NĐ-CP.

1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì?

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân không nêu định nghĩa về Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

Tuy nhiên dựa vào nội dung của Điều 24, Nghị định 13, có thể hiểu Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là một tài liệu chính thức, được lập thành văn bản, dùng để ghi lại và đánh giá một cách có hệ thống về toàn bộ quá trình xử lý dữ liệu cá nhân của một tổ chức, cá nhân.

2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân nhằm mục đích gì?

Mục đích của việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là để:

• Đảm bảo tính minh bạch, trách nhiệm giải trình trong hoạt động xử lý dữ liệu cá nhân
• Giúp các bên liên quan (cơ quan quản lý, chủ thể dữ liệu) có thể giám sát, đánh giá và kiểm soát các rủi ro liên quan đến việc xử lý dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

3. Khi nào cần lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Theo Khoản 1, Điều 24 của Nghị định 13/2023/NĐ-CP, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong vòng 60 ngày, kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.

Đối với bên xử lý dữ liệu cá nhân, việc lập hồ sơ đánh giá tác động chỉ bắt buộc khi thực hiện hợp đồng với bên kiểm soát dữ liệu cá nhân (Khoản 2, Điều 24).

Tuỳ thuộc vào phạm vi hoạt động xử lý dữ liệu cá nhân, mà doanh nghiệp sẽ đóng các vai trò khác nhau. Trong đó"

• Bên kiểm soát dữ liệu cá nhân là tổ chức hoặc cá nhân quyết định hoàn toàn mục đích và phương tiện xử lý dữ liệu cá nhân;
• Bên xử lý dữ liệu cá nhân thực hiện xử lý dữ liệu thay mặt cho Bên Kiểm soát dữ liệu và xử lý theo hợp đồng hoặc thỏa thuận với Bên Kiểm soát dữ liệu cá nhân;
• Bên kiểm soát và xử lý dữ liệu cá nhân là bên vừa quyết định mục đích, phương tiện vừa trực tiếp xử lý dữ liệu cá nhân.

Để tìm hiểu rõ về các bên mời Quý khách hàng tham khảo bài viết Phân biệt Bên kiểm soát và Bên xử lý dữ liệu cá nhân

4. Nội dung hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

4.1. Thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân nộp Cục An ninh mạng 

Các tổ chức, cá nhân gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân nộp Cục An ninh mạng bao gồm:

4.2. Mẫu hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Theo Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, các Mẫu hồ sơ đánh giá tác động xử lý dữ liệu cá nhân gồm các loại mẫu biểu sau:

Nếu có vướng mắc về hồ sơ đánh giá tác động xử lý dữ liệu cá nhân vui lòng liên hệ Luật Thành Đô để được tư vấn, giải đáp: Hotline: 0919 089 888

4.3. Hướng dẫn điền hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Để hoàn thiện đầy đủ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân nộp Cục An ninh mạng, cần chuẩn bị các thông tin về tổ chức hoặc cá nhân và các tài liệu để điền hồ sơ (theo mẫu) bao gồm:

• Thu thập thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
• Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
• Mô tả các hoạt động xử lý dữ liệu cá nhân và mục đích của các hoạt động đó;
• Các loại dữ liệu cá nhân được xử lý;
• Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
• Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
• Thời gian cho phép xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
• Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
• Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó
  • Tác động về quyền của chủ thể dữ liệu;
  • Tác động về kinh tế; Tác động về xã hội;
  • Tác động về thủ tục hành chính;
  • Tác động đối với hệ thống pháp luật;
  • Tác động đối với lợi ích của chủ thể dữ liệu;
  • Lấy ý kiến đánh giá tác động; Giám sát và đánh giá.

4.4. Một số lưu ý về hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Để đảm bảo tuân thủ đúng quy định của Nghị định 13/2023/NĐ-CP, các tổ chức và cá nhân cần chú ý hai điểm quan trọng sau đây đối với Hồ sơ Đánh giá Tác động Xử lý Dữ liệu Cá nhân:

Thứ nhất, Hồ sơ phải có giá trị pháp lý

Hồ sơ Đánh giá Tác động phải được lập thành văn bản và có giá trị pháp lý, được xác lập bởi một trong các bên liên quan sau:

• Bên Kiểm soát dữ liệu cá nhân.
• Bên Kiểm soát và xử lý dữ liệu cá nhân.
• Bên Xử lý dữ liệu cá nhân.
• Điều này đảm bảo tính chính danh và trách nhiệm của đơn vị lập hồ sơ trước pháp luật.

Thứ hai, Hồ sơ phải luôn sẵn sàng để kiểm tra

Tổ chức, cá nhân phải đảm bảo hồ sơ luôn ở trạng thái có sẵn để phục vụ hai mục đích chính:

• Xuất trình khi có yêu cầu: Cung cấp cho cơ quan chức năng, cụ thể là Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - A05), khi có hoạt động kiểm tra, thanh tra hoặc đánh giá.
• Gửi cho cơ quan chức năng: Chủ động gửi 01 bản cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao theo quy trình đã hướng dẫn.

Việc lưu trữ và sẵn sàng cung cấp hồ sơ là nghĩa vụ bắt buộc để chứng minh sự tuân thủ trong suốt quá trình xử lý dữ liệu cá nhân.

5. Thủ Tục Lập Và Gửi Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân

5.1. Quy trình lập và gửi Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Quy trình lập và gửi Hồ sơ Đánh giá Tác động Xử lý Dữ liệu Cá nhân được thực hiện trong 04 bước đơn giản. Đây là yêu cầu bắt buộc đối với các tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân theo quy định tại Nghị định 13/2023/NĐ-CP.

Bước 1: Tải Mẫu và Truy cập Cổng thông tin

Đầu tiên, tổ chức, cá nhân cần chuẩn bị biểu mẫu chính thức. Bạn có thể thực hiện theo một trong các cách sau:

• Truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
• Truy cập Cổng dịch vụ công quốc gia.
• Tải trực tiếp Mẫu số 04 (Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân) ban hành kèm theo Nghị định 13/2023/NĐ-CP.

Bước 2: Kê khai thông tin vào Hồ sơ

Sau khi có biểu mẫu, bạn cần điền đầy đủ và chính xác các thông tin được yêu cầu. Nội dung kê khai phải tuân thủ quy định tại Điều 24 Nghị định 13/2023/NĐ-CP, cụ thể:

• Đối với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân: Kê khai theo khoản 1, Điều 24.
• Đối với Bên Xử lý dữ liệu cá nhân: Kê khai theo khoản 2, Điều 24.

Bước 3: Nộp Hồ sơ đến Bộ Công an

Khi đã hoàn tất việc kê khai, bạn tiến hành nộp hồ sơ. Có hai hình thức nộp:

• Nộp trực tuyến: Gửi hồ sơ thông qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
• Nộp trực tiếp/qua bưu điện: Gửi 01 bộ hồ sơ giấy (kèm các thông tin liên quan) đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an.
• Hồ sơ cần được gửi đến Cục A05 trong vòng 60 ngày kể từ ngày bắt đầu xử lý dữ liệu cá nhân.

Bước 4: Tiếp nhận phản hồi và Hoàn thiện Hồ sơ

Sau khi tiếp nhận, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao A05 sẽ:

• Phản hồi về kết quả: Thông báo kết quả lập hồ sơ của bạn.
• Yêu cầu bổ sung (nếu có): Trong trường hợp hồ sơ chưa đầy đủ hoặc chưa đúng quy định, Cục A05 sẽ đánh giá và gửi yêu cầu để bạn hoàn thiện lại hồ sơ. Tổ chức, cá nhân có trách nhiệm cập nhật, bổ sung và gửi lại hồ sơ đã hoàn chỉnh.

Lưu ý: Thời gian tiếp nhận thông báo: Giờ hành chính các ngày làm việc từ thứ 2 đến thứ 6 (trừ các ngày nghỉ lễ, tết theo quy định).

5.2. Các hình thức nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Theo Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, có 3 hình thức nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm nộp trực tuyến, trực tiếp và dịch vụ bưu chính công ích.

• Trực tuyến: Truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
• Trực tiếp: tại Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an.
• Bưu chính: Bộ phận tiếp nhận và trả kết quả thủ tục hành chính về bảo vệ dữ liệu cá nhân tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an. (Yêu cầu công dân/doanh nghiệp ghi rõ nơi nhận như trên lên bì thư)

5.3. Thời hạn nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Thời hạn gửi hồ sơ trong vòng 60 ngày kể từ ngày Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân tiến hành xử lý dữ liệu cá nhân.

5.4. Thành phần và số lượng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Thành phần và số lượng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cần nộp là 01 bản chính.

5.5. Thẩm quyền giải quyết hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Cơ quan tiếp nhận và giải quyết hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an.

5.6. Đối tượng thực hiện nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

• Cơ quan, tổ chức Việt Nam và cơ quan, tổ chức nước ngoài có hoạt động xử lý dữ liệu cá nhân tại Việt Nam.
• Cơ quan, tổ chức Việt Nam hoạt động tại nước ngoài.

5.7. Các hình thức xử phạt về hành vi không thực hiện nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Việc không tuân thủ các quy định tại Nghị định về lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân có thể dẫn đến các chế tài sau:

• Bị xử lý kỷ luật;
• Xử phạt vi phạm hành chính;
• Xử lý hình sự đối với một số hành vi xâm phạm quyền riêng tư;
• Đình chỉ một số hoạt động nhất định, ví dụ như quyết định ngừng chuyển dữ liệu ra nước ngoài.

Dự thảo mức xử phạt vi phạm hành chính đối với hành vi không thực hiện thủ tục lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

DỊCH VỤ LẬP HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG XỬ LÝ  DỮ LIỆU CÁ NHÂN

(1) Xây dựng Chính sách Bảo vệ dữ liệu cá nhân đối với Nhân sự, Khách hàng, Chủ thể dữ liệu cá nhân khác của Doanh nghiệp và biểu mẫu thu thập sự đồng ý;

(2) Xây dựng Hợp đồng/thỏa thuận xử lý dữ liệu cá nhân giữa Bên kiểm soát và Bên xử lý dữ liệu cá nhân;

(3) Rà soát các văn bản, tài liệu của Doanh nghiệp đảm bảo tuân thủ quy định của Nghị định 13;

(4) Xây dựng Quyết định thành lập bộ phận và phân công nhiệm vụ Bảo vệ dữ liệu cá nhân;

(5) Xây dựng Quy chế nội bộ về Bảo vệ dữ liệu cá nhân (kèm theo Quyết định ban hành quy chế) và các văn bản nội bộ khác phù hợp với quy mô, hoạt động sản xuất kinh doanh và quản lý nội bộ Doanh nghiệp;

(6) Hướng dẫn Doanh nghiệp lập và lưu hồ sơ phục vụ công tác kiểm tra (Điều 24, 25 Nghị định 13);

(7) Xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;

(8) Đại diện Doanh nghiệp nộp hồ sơ tới Cục An ninh mạng. Hỗ trợ Doanh nghiệp giải trình về hồ sơ, bổ sung hồ sơ (nếu có);

(9) Đại diện Doanh nghiệp nhận kết quả hồ sơ tại Cục An ninh mạng, bàn giao kết quả tới Doanh nghiệp.

Việc lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là nghĩa vụ bắt buộc của mỗi doanh nghiệp để đảm bảo việc tuân thủ pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam.

Trường hợp có bất kỳ vướng mắc nào liên quan đến vấn đề này xin vui lòng liên hệ trực tiếp với Luật Thành Đô để được tư vấn và sử dụng dịch vụ. Với đội ngũ Luật sư nhiều kinh nghiệm, chúng tôi tin tưởng sẽ làm Quý Khách hài lòng khi sử dụng dịch vụ của Luật Thành Đô.