Chuyển đến nội dung chính

 ·  Tác giả: Đỗ Thị Lương  ·  Tham vấn bởi: Luật sư Nguyễn Văn Thành  ·  Doanh nghiệp  ·  11 phút đọc

Quy định mới về đánh giá tác động xử lý dữ liệu cá nhân 2025

Quy định mới về đánh giá tác động xử lý dữ liệu cá nhân 2025 giúp doanh nghiệp hiểu rõ nghĩa vụ pháp lý, kiểm soát rủi ro và tuân thủ đúng quy định mới.

Quy định mới về đánh giá tác động xử lý dữ liệu cá nhân 2025 giúp doanh nghiệp hiểu rõ nghĩa vụ pháp lý, kiểm soát rủi ro và tuân thủ đúng quy định mới.

Sự ra đời của Luật Bảo vệ dữ liệu cá nhân 2025 cùng Nghị định 356/2025/NĐ-CP đã đánh dấu một bước chuyển căn bản trong cách tiếp cận pháp lý đối với hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Trong đó, đánh giá tác động xử lý dữ liệu cá nhân không còn được xem là một thủ tục mang tính khuyến nghị, mà đã trở thành nghĩa vụ pháp lý bắt buộc, gắn chặt với toàn bộ vòng đời xử lý dữ liệu của doanh nghiệp.

Khác với giai đoạn áp dụng Nghị định 13/2023/NĐ-CP trước đây, quy định mới năm 2025 đã chuẩn hóa, mở rộng và cụ thể hóa nghĩa vụ đánh giá tác động xử lý dữ liệu cá nhân, đồng thời thiết lập cơ chế giám sát và cập nhật mang tính liên tục. Điều này buộc doanh nghiệp phải thay đổi tư duy tuân thủ: từ “làm khi cần” sang “làm ngay từ đầu và làm xuyên suốt”.

Bài viết dưới đây phân tích toàn diện quy định mới về đánh giá tác động xử lý dữ liệu cá nhân năm 2025, giúp doanh nghiệp hiểu đúng bản chất pháp lý, nhận diện đầy đủ nghĩa vụ và chủ động triển khai phù hợp với thực tiễn hoạt động.

Play

1. Đánh giá tác động xử lý dữ liệu cá nhân là gì theo Luật Bảo vệ dữ liệu cá nhân 2025?

Theo Luật Bảo vệ dữ liệu cá nhân 2025 “Đánh giá tác động xử lý dữ liệu cá nhân là việc phân tích, đánh giá rủi ro có thể xảy ra trong quá trình xử lý dữ liệu cá nhân để áp dụng các biện pháp giảm thiểu rủi ro, bảo vệ dữ liệu cá nhân”.

Theo đó, đánh giá tác động xử lý dữ liệu cá nhân là quá trình doanh nghiệp tự rà soát, phân tích và đánh giá toàn bộ hoạt động xử lý dữ liệu cá nhân mà mình thực hiện, bao gồm:

- mục đích xử lý dữ liệu cá nhân;

- loại dữ liệu cá nhân được xử lý;

- cách thức thu thập, sử dụng, lưu trữ, chia sẻ và hủy dữ liệu;

- các rủi ro tiềm ẩn đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu;

- biện pháp tổ chức, kỹ thuật nhằm bảo vệ dữ liệu cá nhân.

Điểm cốt lõi của đánh giá tác động xử lý dữ liệu cá nhân không nằm ở việc “liệt kê cho đủ”, mà ở việc chứng minh khả năng kiểm soát rủi ro của doanh nghiệp trong quá trình xử lý dữ liệu.

Luật Bảo vệ dữ liệu cá nhân 2025 đã xác lập rõ ràng rằng, hoạt động đánh giá tác động xử lý dữ liệu này là hồ sơ tuân thủ pháp luật, không phải tài liệu nội bộ tùy nghi, và có thể trở thành căn cứ trực tiếp để cơ quan quản lý đánh giá trách nhiệm pháp lý của doanh nghiệp.

quy định mới về đánh giá tác động xử lý dữ liệu cá nhân hiện nay

2. Điểm mới căn bản năm 2025: đánh giá tác động xử lý dữ liệu cá nhân áp dụng cho mọi hoạt động xử lý dữ liệu

Một trong những thay đổi lớn nhất của Luật Bảo vệ dữ liệu cá nhân 2025 là phạm vi áp dụng của nghĩa vụ đánh giá tác động xử lý dữ liệu cá nhân.

Theo Điều 21 Luật Bảo vệ dữ liệu cá nhân, nghĩa vụ này áp dụng đối với:

- bên kiểm soát dữ liệu cá nhân;

- bên kiểm soát và xử lý dữ liệu cá nhân;

- bên xử lý dữ liệu cá nhân (theo thỏa thuận).

Điều đáng lưu ý là Luật không giới hạn nghĩa vụ đánh giá tác động chỉ trong trường hợp xử lý dữ liệu cá nhân nhạy cảm, cũng không phụ thuộc vào quy mô doanh nghiệp hay mức độ “nguy hiểm” của dữ liệu. Chỉ cần doanh nghiệp bắt đầu xử lý dữ liệu cá nhân, thì nghĩa vụ lập và lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đã phát sinh, trừ trường hợp cơ quan nhà nước có thẩm quyền được miễn theo luật.

Quy định này thể hiện rõ tư duy quản lý mới: phòng ngừa rủi ro từ gốc, thay vì xử lý vi phạm khi hậu quả đã xảy ra.

Lưu ý: Các trường hợp không cần thực hiện đánh giá tác động xử lý dữ liệu cá nhân:

- Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện đánh giá tác động xử lý dữ liệu cá nhân trong thời gian 05 năm kể từ ngày Luật Bảo vệ dữ liệu cá nhân có hiệu lực thi hành, trừ doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.

- Hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện đánh giá tác động xử lý dữ liệu cá nhân, trừ hộ kinh doanh, doanh nghiệp siêu nhỏ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.

quy định mới về đánh giá tác động xử lý dữ liệu cá nhân

3. Thời điểm lập và nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Theo Điều 21 Luật Bảo vệ dữ liệu cá nhân 2025 và Điều 19 Nghị định 356/2025/NĐ-CP, doanh nghiệp cần đặc biệt chú ý đến mốc thời gian thực hiện đánh giá tác động xử lý.

Cụ thể:

- Hồ sơ đánh giá tác động xử lý dữ liệu của cá nhân phải được lập kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân;

- Doanh nghiệp phải nộp 01 bản chính hồ sơ cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời hạn 60 ngày kể từ ngày đầu tiên xử lý dữ liệu;

- Hồ sơ phải được lưu trữ đầy đủ, sẵn sàng phục vụ hoạt động thanh tra, kiểm tra.

Điều này đồng nghĩa với việc, các hoạt động quen thuộc như:

- vận hành website có thu thập thông tin người dùng;

- tuyển dụng, quản lý hồ sơ nhân sự;

- triển khai CRM, marketing, chăm sóc khách hàng;

- thuê ngoài IT, lưu trữ dữ liệu trên nền tảng cloud; …

đều có thể làm phát sinh nghĩa vụ đánh giá tác động xử lý dữ liệu cá nhân ngay từ giai đoạn đầu.

4. Đánh giá tác động xử lý dữ liệu cá nhân chỉ làm một lần, nhưng không phải làm cho có

Một điểm mới mang tính thực tiễn cao tại khoản 2 Điều 21 Luật Bảo vệ dữ liệu cá nhân 2025 là quy định: Đánh giá tác động xử lý dữ liệu cá nhân được thực hiện một lần cho suốt thời gian hoạt động, nhưng phải được cập nhật theo quy định.

Quy định này giúp doanh nghiệp tránh áp lực phải “làm lại từ đầu” nhiều lần. Tuy nhiên, điều đó không đồng nghĩa với việc lập hồ sơ một lần rồi để đó.

Trên thực tế, hồ sơ đánh giá tác động xử lý dữ liệu của cá nhân phải được coi là một hồ sơ sống, cần được cập nhật khi có bất kỳ thay đổi nào liên quan đến:

- mục đích xử lý dữ liệu cá nhân;

- chủ thể tham gia xử lý;

- ngành nghề, dịch vụ có liên quan đến dữ liệu cá nhân;

- tổ chức bộ máy hoặc mô hình hoạt động của doanh nghiệp.

5. Thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo Nghị định 356/2025/NĐ-CP

Theo Điều 19 Nghị định 356/2025/NĐ-CP, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân bao gồm ba nhóm tài liệu chính, phản ánh toàn diện hoạt động xử lý dữ liệu của doanh nghiệp.

5.1. Báo cáo đánh giá tác động xử lý dữ liệu cá nhân

Báo cáo được lập theo mẫu, trong đó thể hiện:

- thông tin pháp lý và liên hệ của các bên liên quan;

- mục đích, loại dữ liệu, hoạt động xử lý và sơ đồ luồng dữ liệu;

- cách thức xin sự đồng ý của chủ thể dữ liệu;

- chính sách lưu trữ, xóa, hủy dữ liệu;

- biện pháp bảo đảm an toàn dữ liệu;

- đánh giá rủi ro và phương án giảm thiểu.

Đây là “trái tim” của hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, phản ánh các dữ liệu cá nhân được xử, phương pháp xử lý, thời gian, … thể hiện mức độ hiểu và kiểm soát dữ liệu của doanh nghiệp.

hồ sơ đánh giá tác động xử lý dữ liệu cá nhân 2025

5.2. Hợp đồng, thỏa thuận xử lý dữ liệu cá nhân

Bao gồm các hợp đồng, thỏa thuận thể hiện rõ trách nhiệm pháp lý giữa các bên tham gia xử lý dữ liệu, đặc biệt trong trường hợp thuê bên thứ ba.

5.3. Chính sách và quy trình bảo vệ dữ liệu cá nhân

Bao gồm toàn bộ hệ thống chính sách, quy chế, quy trình nội bộ liên quan đến bảo vệ dữ liệu cá nhân của doanh nghiệp.

- Chính sách bảo vệ dữ liệu cá nhân

- Chấp thuận cho phép xử lý dữ liệu cá nhân của người lao động/khách hàng là cá nhân/ứng viên tuyển dụng,…

- Quy trình thu thập và xử lý dữ liệu cá nhân, xử lý sự cố rò rỉ dữ liệu cá nhân,…

6. Cơ chế nộp, thẩm tra và yêu cầu hoàn thiện hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Theo Nghị định 356/2025/NĐ-CP, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân không chỉ được nộp để “lưu hồ sơ”, mà sẽ được cơ quan chuyên trách bảo vệ dữ liệu cá nhân thẩm tra nội dung.

Cơ quan có thẩm quyền có thể:

- đánh giá hồ sơ đạt hoặc không đạt yêu cầu;

- yêu cầu doanh nghiệp hoàn thiện hồ sơ trong thời hạn luật định;

- xem xét áp dụng chế tài nếu doanh nghiệp không thực hiện hoặc thực hiện không đầy đủ nghĩa vụ.

Điều này cho thấy đánh giá tác động xử lý dữ liệu cá nhân đã trở thành căn cứ quản lý thực chất, không còn mang tính hình thức.

7. Nghĩa vụ cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân năm 2025

Theo Điều 22 Luật Bảo vệ dữ liệu cá nhân và Điều 20 Nghị định 356/2025/NĐ-CP, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải được cập nhật:

- định kỳ 06 tháng khi phát sinh thay đổi về mục đích xử lý hoặc chủ thể tham gia;

- cập nhật ngay trong thời hạn luật định khi có thay đổi lớn về tổ chức, ngành nghề, dịch vụ liên quan đến dữ liệu cá nhân.

Việc cập nhật được thực hiện thông qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc tại cơ quan chuyên trách - Cục A05 (Bộ Công an)

Tổng kết

Quy định mới về đánh giá tác động xử lý dữ liệu cá nhân năm 2025 đã thay đổi khá nhiều cách doanh nghiệp tiếp cận nghĩa vụ bảo vệ dữ liệu cá nhân. Việc hiểu đúng và thực hiện đầy đủ đánh giá tác động xử lý dữ liệu cá nhân không chỉ giúp doanh nghiệp tránh rủi ro pháp lý, mà còn tạo nền tảng vững chắc cho sự phát triển bền vững trong kỷ nguyên dữ liệu.

Xem thêm tại: 

Dịch vụ lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Tại sao phải đánh giá tác động xử lý dữ liệu cá nhân

Share:
Trở về chuyên trang

Bài viết liên quan

Xem tất cả »
Chát Zalo với chúng tôi