Hướng dẫn doanh nghiệp lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Bản tin pháp luật

Hướng dẫn doanh nghiệp lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

LexNovum Lawyers

LexNovum Lawyers

16/05/2025

Theo Điều 24 Nghị định 13/2023/NĐ-CP, doanh nghiệp phải thực hiện thủ tục thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (“DLCN”) (“Hồ sơ xử lý”). Tham khảo tinh thần Dự thảo Luật bảo vệ DLCN, quy định nêu trên tiếp tục được bảo lưu, đáng lưu ý, Dự thảo bổ sung quy định trong trường hợp không tuân thủ, doanh nghiệp có thể bị xử phạt lên tới 5% doanh thu của năm tài chính gần nhất (Điều 45 và Điều 4.2 Dự thảo Luật bảo vệ DLCN).

Song, trên thực tế, pháp luật về bảo vệ DLCN là lĩnh vực còn khá mới và chưa có hệ thống văn bản hướng dẫn chi tiết nên nhiều doanh nghiệp vẫn còn lúng túng trong quá trình soạn thảo hồ sơ.

Thấu hiểu khó khăn trên, trong bài viết này, LNV sẽ hướng dẫn doanh nghiệp cách lập Hồ sơ xử lý, cụ thể như sau:

1. Các lưu ý trước khi lập Hồ sơ xử lý

Trước hết, doanh nghiệp cần hiểu rằng, Hồ sơ xử lý không chỉ đơn thuần là một thủ tục hành chính, mà còn là:

  • Tài liệu pháp lý quan trọng phản ánh mức độ tuân thủ quy định pháp luật trong hoạt động xử lý DLCN đang diễn ra tại doanh nghiệp. Hồ sơ này mang tính ràng buộc về mặt pháp lý, từ đó giúp doanh nghiệp nâng cao ý thức trong việc bảo vệ DLCN, đảm bảo thực hiện đầy đủ các nghĩa vụ đã khai báo cũng như các yêu cầu pháp luật hiện hành;
  • Công cụ hỗ trợ cơ quan nhà nước có thẩm quyền trong việc giám sát và quản lý các chủ thể xử lý DLCN, góp phần nâng cao hiệu quả bảo vệ quyền và lợi ích hợp pháp của chủ thể dữ liệu, thiết lập hàng rào pháp lý vững chắc và nâng cao hiệu quả bảo vệ DLCN, đặc biệt trong bối cảnh rò rỉ thông tin đang ngày càng gia tăng và diễn biến phức tạp.

Do vai trò quan trọng này, các cơ quan có thẩm quyền có xu hướng tiến hành rà soát rất kỹ nội dung của Hồ sơ xử lý. Vì vậy, doanh nghiệp cần đảm bảo rằng Hồ sơ xử lý phản ánh đúng thực tiễn, cung cấp đầy đủ thông tin và có khả năng thực hiện, chứng minh được mức độ tuân thủ khi bị thanh tra, kiểm tra.

Để Hồ sơ xử lý đáp ứng được yêu cầu của cơ quan có thẩm quyền, trước khi soạn thảo, doanh nghiệp cần thực hiện theo quy trình sau:

i) Xác định tư cách pháp lý của doanh nghiệp khi xử lý DLCN.

Theo kinh nghiệm, LNV nhận thấy, tùy vào ngành nghề, mô hình hoạt động, doanh nghiệp có thể giữ một hoặc nhiều tư cách trong hoạt động xử lý DLCN, gồm:

  • Bên kiểm soát và xử lý DLCN;
  • Bên kiểm soát DLCN;
  • Bên xử lý DLCN.

Theo đó, việc xác định đúng tư cách là tiền đề để doanh nghiệp xác định cụ thể các nội dung cần trình bày và chuẩn bị đầy đủ thành phần Hồ sơ (ví dụ: Mẫu Đ24-DLCN-01: áp dụng cho Bên kiểm soát và xử lý DLCN, Bên kiểm soát DLCN và Mẫu Đ24-DLCN-02: áp dụng cho Bên xử lý DLCN).

Để xác định đúng tư cách của doanh nghiệp trong hoạt động xử lý DLCN, Quý Khách hàng vui lòng tham khảo hướng dẫn của LNV tại ĐÂY.

ii) Kiểm tra tính tuân thủ trong hoạt động xử lý DLCN

Theo Nghị định 13/2023/NĐ-CP, khi xử lý DLCN, doanh nghiệp có các trách nhiệm pháp lý tương ứng với từng giai đoạn xử lý DLCN như sau:

– Trước khi thu thập DLCN:

  • Thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu;
  • Với tư cách là Bên kiểm soát và xử lý DLCN hay Bên kiểm soát DLCN, doanh nghiệp phải nhận được sự đồng ý minh thị của chủ thể về việc xử lý dữ liệu (ví dụ: sự đồng ý của chủ thể dữ liệu được thể hiện thông qua: giao kết thỏa thuận, nhấn vào ô “đồng ý” trên webiste…).

– Sau khi thu thập DLCN:

  • Xử lý DLCN đúng với mục đích đã thông báo và nhận được sự đồng ý tương ứng của chủ thể dữ liệu;
  • Chỉ định nhân sự/bộ phận có chức năng bảo vệ DLCN nếu xử lý DLCN nhạy cảm;
  • Giao kết thỏa thuận về việc xử lý và bảo vệ DLCN với i) Bên xử lý DLCN (nếu doanh nghiệp là Bên kiểm soát DLCN) hoặc ii) Bên kiểm soát DLCN (nếu doanh nghiệp là Bên xử lý DLCN);
  • Thiết lập các biện pháp bảo vệ về mặt kỹ thuật để bảo vệ DLCN.

Về hướng dẫn chi tiết các trách nhiệm của doanh nghiệp trong mỗi giai đoạn xử lý DLCN của chủ thể dữ liệu, Quý Khách hàng vui lòng tham khảo bài viết của LNV tại ĐÂY.

iii) Đánh giá, thu thập các thông tin liên quan đến hoạt động xử lý DLCN

Về cơ bản, Hồ sơ xử lý sẽ bao gồm các nội dung sau:

  • Thông tin pháp lý và thông tin liên lạc của doanh nghiệp (tên tổ chức, mã số thuế, người đại diện theo pháp luật, địa chỉ trụ sở, lĩnh vực và ngành nghề đăng ký kinh doanh, tên và địa chỉ chi nhánh, điện thoại…);
  • Họ tên, chi tiết liên lạc của nhân sự/bộ phận được phân công thực hiện nhiệm vụ bảo vệ DLCN (tên nhân sự/bộ phận, điện thoại, email, chức năng/nhiệm vụ…);
  • Thông tin pháp lý và thông tin về nhân sự/bộ phận thực hiện nhiệm vụ liên quan đến xử lý DLCN của i) Bên xử lý DLCN (nếu doanh nghiệp là Bên kiểm soát DLCN) hoặc ii) Bên kiểm soát DLCN (nêu doanh nghiệp là Bên xử lý DLCN);
  • Mục đích và hoạt động xử lý DLCN;
  • Chi tiết các loại DLCN được xử lý;
  • Hình thức lấy ý kiến về xử lý DLCN và sự đồng ý của chủ thể dữ liệu;
  • Khối lượng dữ liệu, số lượng chủ thể dữ liệu dự kiến xử lý;
  • Thời gian xử lý DLCN; thời gian dự kiến để xóa, hủy DLCN (nếu có);
  • Tổ chức, cá nhân nhận DLCN, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
  • Cách thức xóa, hủy DLCN;
  • Trường hợp chuyển DLCN ra nước ngoài, cung cấp thông tin pháp lý của bên chuyển DLCN ra nước ngoài (Mẫu Đ24-DLCN-01) hoặc bên nhận DLCN ở nước ngoài (Mẫu Đ24-DLCN-02) (tên tổ chức, mã số thuế, người đại diện theo pháp luật, địa chỉ trụ sở, lĩnh vực và ngành nghề đăng ký kinh doanh, tên và địa chỉ chi nhánh, điện thoại…);
  • Mô tả về các biện pháp bảo vệ DLCN được áp dụng (biện pháp quản lý, biện pháp kỹ thuật…);
  • Đánh giá mức độ ảnh hưởng của việc xử lý DLCN; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.

Ngoài ra, đối với Mẫu Đ24-DLCN-01, doanh nghiệp cần cung cấp thêm:

  • thông tin pháp lý và thông tin về nhân sự/bộ phận thực hiện nhiệm vụ liên quan đến xử lý DLCN của Bên thứ ba (theo hợp đồng) (nếu có); và
  • thông tin của nhà phát triển (tích hợp nền tảng, tụ động, nếu có) (danh sách loại hình các nhà phát triển, quy định về các quyền của nhà phát triển khi tích hợp API, quy định về các điều khoản hạn chế nhà phát triển khi tích hợp API, DLCN mà nhà phát triển thu thập khi sử dụng API, quy định về các hành vi sai trái khi sử dụng API).

Dựa trên các nội dung trên, doanh nghiệp cần tiến hành thu thập đầy đủ các dữ liệu liên quan thì mới có thể hoàn thiện Hồ sơ xử lý.

2. Danh mục Hồ sơ xử lý

Doanh nghiệp cần chuẩn bị đầy đủ thành phần, số lượng tài liệu trong Hồ sơ xử lý, cụ thể:

Danh mục Hồ sơ xử lý có thể thay đổi theo quy định pháp luật. Quý Khách hàng có thể cập nhật danh mục hồ sơ tại website https://baovedlcn.gov.vn/ và các quy định pháp luật, văn bản hướng dẫn được ban hành tuỳ từng thời điểm.

3. Cơ quan có thẩm quyền xem xét và cách thức nộp Hồ sơ

Hiện nay, cơ quan có thẩm quyền đánh giá Hồ sơ xử lý là Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao – Bộ Công an (“Cục ANM”) (Điều 24.5 Nghị định 13/2023/NĐ-CP). Theo đó, doanh nghiệp có thể lựa chọn nộp Hồ sơ xử lý đến Cục ANM theo một trong những hình thức sau: i) trực tiếp; ii) bưu chính hoặc iii) trực tuyến tại website: https://baovedlcn.gov.vn/.

Song, theo kinh nghiệm, đến nay, vì vấn đề kỹ thuật, LNV nhận thấy Cục ANM hiện chỉ nhận và xử lý hồ sơ theo 02 hình thức là trực tiếp và bưu chính.

Về chi tiết, Quý Khách hàng vui lòng tham khảo bài viết “Các lưu ý khi nộp Hồ sơ bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP” do LNV soạn thảo tại ĐÂY.

Trên đây là bài viết về hướng dẫn doanh nghiệp lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. LNV hy vọng rằng bài viết trên sẽ mang lại những thông tin hữu ích, giúp Quý Khách hàng thuận tiện hơn khi thực hiện thủ tục Thông báo gửi Hồ sơ đánh giá tác động xử lý DLCN. Trường hợp cần được tư vấn chi tiết và chuyên sâu hơn, Quý Khách hàng vui lòng liên hệ trực tiếp với LNV.

Người thực hiện: Phan Nhi, Ngọc Mai

Lưu ý: Bài viết này được thực hiện dựa trên quy định của pháp luật Việt Nam (hiện hành) và kinh nghiệm thực tế. Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý khách vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.

LexNovum Lawyers

LĨNH VỰC HOẠT ĐỘNG

LIÊN KẾT

MẠNG XÃ HỘI

Fanpage