thumbnail huong dan danh gia tac dong du lieu ca nhan dpia

Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân DPIA cho doanh nghiệp

Đăng bởi: admin ngày 05/06/2026

Từ ngày 01/01/2026, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 và Nghị định 356/2025/NĐ-CP chính thức có hiệu lực, thiết lập khung pháp lý toàn diện hơn về bảo vệ dữ liệu cá nhân tại Việt Nam. Trong đó, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, thường được gọi là DPIA, là một trong những nghĩa vụ quan trọng mà nhiều doanh nghiệp cần rà soát và triển khai.

Trong thực tế, hầu hết doanh nghiệp đều xử lý dữ liệu cá nhân ở một mức độ nhất định, từ thông tin khách hàng, người lao động, đối tác, người dùng website, người dùng ứng dụng đến dữ liệu giao dịch, dữ liệu định danh hoặc dữ liệu cá nhân nhạy cảm. Nếu không có cơ chế đánh giá rủi ro và hồ sơ pháp lý phù hợp, doanh nghiệp có thể gặp khó khăn khi cơ quan có thẩm quyền kiểm tra, khi xảy ra sự cố dữ liệu hoặc khi chủ thể dữ liệu yêu cầu giải trình.

Bài viết tham khảo này cung cấp cái nhìn tổng quan về đánh giá tác động xử lý dữ liệu cá nhân DPIA, đối tượng cần thực hiện, thành phần hồ sơ cơ bản, quy trình chuẩn bị và cách doanh nghiệp có thể chủ động giảm thiểu rủi ro tuân thủ.

Khái niệm và cơ sở pháp lý của đánh giá tác động dữ liệu cá nhân DPIA
                                                                                            Khái niệm và cơ sở pháp lý của đánh giá tác động dữ liệu cá nhân DPIA

Đánh giá tác động xử lý dữ liệu cá nhân DPIA là gì?

Đánh giá tác động xử lý dữ liệu cá nhân là quá trình phân tích, đánh giá các rủi ro có thể phát sinh trong quá trình xử lý dữ liệu cá nhân. Mục tiêu của hoạt động này là giúp doanh nghiệp nhận diện trước các rủi ro đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu, từ đó đưa ra biện pháp quản lý, pháp lý và kỹ thuật phù hợp.

Hiểu một cách đơn giản, DPIA giúp doanh nghiệp trả lời các câu hỏi quan trọng như:

  • Doanh nghiệp đang thu thập những loại dữ liệu cá nhân nào?
  • Dữ liệu được thu thập từ nguồn nào và cho mục đích gì?
  • Ai có quyền truy cập, sử dụng hoặc chia sẻ dữ liệu?
  • Dữ liệu được lưu trữ trong bao lâu?
  • Có bên thứ ba nào tham gia xử lý dữ liệu không?
  • Việc xử lý dữ liệu có thể gây rủi ro gì cho chủ thể dữ liệu?
  • Doanh nghiệp đã có biện pháp nào để giảm thiểu các rủi ro đó?

Ví dụ, một doanh nghiệp triển khai ứng dụng di động yêu cầu người dùng cung cấp họ tên, số điện thoại, vị trí địa lý hoặc thông tin thanh toán cần đánh giá việc thu thập các dữ liệu này có phù hợp với mục đích sử dụng hay không, có cơ chế xin sự đồng ý hợp lệ hay không, dữ liệu được bảo vệ như thế nào và doanh nghiệp sẽ xử lý ra sao nếu xảy ra sự cố rò rỉ dữ liệu.

DPIA vì vậy không chỉ là một hồ sơ pháp lý. Đây còn là công cụ quản trị giúp doanh nghiệp hiểu rõ dòng chảy dữ liệu trong tổ chức, kiểm soát rủi ro và xây dựng niềm tin với khách hàng, người lao động và đối tác

Những doanh nghiệp nào bắt buộc phải lập hồ sơ DPIA?
                                                                                                           Những doanh nghiệp nào bắt buộc phải lập hồ sơ DPIA?

Cơ sở pháp lý của hồ sơ DPIA

Từ năm 2026, cơ sở pháp lý quan trọng về đánh giá tác động xử lý dữ liệu cá nhân bao gồm:

  • Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15;
  • Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân;
  • Các văn bản pháp luật có liên quan về an toàn thông tin mạng, an ninh mạng, giao dịch điện tử, bảo vệ quyền lợi người tiêu dùng, lao động, thương mại điện tử và các quy định chuyên ngành khác, tùy theo lĩnh vực hoạt động của doanh nghiệp.

Theo khung pháp lý mới, việc đánh giá tác động xử lý dữ liệu cá nhân cần được thực hiện phù hợp với vai trò của doanh nghiệp trong từng hoạt động xử lý dữ liệu, bao gồm bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân.

Doanh nghiệp nào cần lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Không phải mọi doanh nghiệp đều có cùng nghĩa vụ như nhau trong mọi trường hợp. Nghĩa vụ lập, lưu trữ, cập nhật và gửi hồ sơ DPIA cần được xác định dựa trên vai trò pháp lý của doanh nghiệp và tính chất hoạt động xử lý dữ liệu cá nhân.

Về cơ bản, doanh nghiệp cần đặc biệt lưu ý nếu thuộc một trong các trường hợp sau:

  • Doanh nghiệp quyết định mục đích và phương tiện xử lý dữ liệu cá nhân;
  • Doanh nghiệp vừa quyết định mục đích, vừa trực tiếp xử lý dữ liệu cá nhân;
  • Doanh nghiệp xử lý dữ liệu cá nhân theo thỏa thuận với bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân;
  • Doanh nghiệp xử lý khối lượng lớn dữ liệu cá nhân của khách hàng, người dùng hoặc người lao động;
  • Doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm;
  • Doanh nghiệp sử dụng bên thứ ba để lưu trữ, phân tích, quản lý hoặc xử lý dữ liệu cá nhân;
  • Doanh nghiệp có hoạt động chuyển dữ liệu cá nhân ra nước ngoài hoặc sử dụng nền tảng, phần mềm, hệ thống lưu trữ đặt tại nước ngoài.

Các lĩnh vực như tài chính, ngân hàng, bảo hiểm, y tế, giáo dục, thương mại điện tử, công nghệ, bất động sản, bán lẻ, logistics, nhân sự và nền tảng số thường xử lý nhiều dữ liệu cá nhân hoặc dữ liệu cá nhân nhạy cảm. Do đó, các doanh nghiệp trong những lĩnh vực này nên ưu tiên rà soát sớm để xác định nghĩa vụ tuân thủ cụ thể.

Quy trình chuẩn bị và nộp hồ sơ DPIA cho Cục A05

                                                                                                            Quy trình chuẩn bị và nộp hồ sơ DPIA cho Cục A05

Khi nào doanh nghiệp nên thực hiện DPIA?

Doanh nghiệp nên thực hiện đánh giá tác động xử lý dữ liệu cá nhân ngay từ giai đoạn thiết kế hoặc triển khai hoạt động xử lý dữ liệu. Việc đánh giá sớm giúp doanh nghiệp nhận diện rủi ro trước khi hệ thống đi vào vận hành, thay vì chỉ xử lý sau khi đã xảy ra sự cố hoặc sau khi bị yêu cầu giải trình.

Trong thực tế, doanh nghiệp nên rà soát DPIA trong các trường hợp như:

  • Ra mắt website, ứng dụng, nền tảng số hoặc sản phẩm mới có thu thập dữ liệu cá nhân;
  • Thay đổi mục đích xử lý dữ liệu cá nhân;
  • Bổ sung loại dữ liệu cá nhân mới, đặc biệt là dữ liệu cá nhân nhạy cảm;
  • Kết nối dữ liệu với bên thứ ba hoặc nhà cung cấp dịch vụ mới;
  • Chuyển hệ thống lưu trữ dữ liệu sang nền tảng đám mây;
  • Chia sẻ dữ liệu với công ty mẹ, công ty con hoặc đối tác ở nước ngoài;
  • Tái cấu trúc hệ thống công nghệ thông tin, CRM, HRM, ERP hoặc hệ thống quản lý khách hàng;
  • Xảy ra sự cố bảo mật hoặc có khiếu nại liên quan đến dữ liệu cá nhân.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cần được cập nhật khi có thay đổi theo quy định pháp luật. Vì vậy, doanh nghiệp không nên xem DPIA là công việc làm một lần rồi để đó, mà cần coi đây là một phần của hệ thống quản trị dữ liệu lâu dài.

Thành phần cơ bản của hồ sơ DPIA

Một hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cần phản ánh trung thực hoạt động xử lý dữ liệu của doanh nghiệp. Tùy theo mô hình hoạt động, lĩnh vực kinh doanh và loại dữ liệu được xử lý, hồ sơ có thể có phạm vi và mức độ chi tiết khác nhau.

Thông thường, doanh nghiệp cần chuẩn bị các nhóm thông tin sau:

1. Thông tin về doanh nghiệp và đầu mối phụ trách

Hồ sơ cần thể hiện thông tin của doanh nghiệp, người đại diện theo pháp luật, bộ phận hoặc cá nhân phụ trách bảo vệ dữ liệu cá nhân, thông tin liên hệ và vai trò của doanh nghiệp trong hoạt động xử lý dữ liệu.

Việc xác định đúng vai trò là rất quan trọng, vì trách nhiệm của bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân và bên kiểm soát và xử lý dữ liệu cá nhân có thể khác nhau.

2. Mục đích xử lý dữ liệu cá nhân

Doanh nghiệp cần mô tả rõ mục đích xử lý dữ liệu cá nhân. Mục đích này phải cụ thể, minh bạch và phù hợp với thông báo đã cung cấp cho chủ thể dữ liệu.

Ví dụ, dữ liệu có thể được xử lý để cung cấp dịch vụ, xác thực tài khoản, giao hàng, chăm sóc khách hàng, quản lý nhân sự, thực hiện hợp đồng, tuân thủ nghĩa vụ pháp lý, phòng chống gian lận hoặc cải thiện trải nghiệm người dùng.

Doanh nghiệp không nên mô tả mục đích quá chung chung như “phục vụ hoạt động kinh doanh” nếu thực tế có nhiều hoạt động xử lý dữ liệu khác nhau. Việc mô tả rõ mục đích giúp doanh nghiệp kiểm soát phạm vi sử dụng dữ liệu và giảm rủi ro xử lý vượt quá mục đích đã thông báo.

3. Loại dữ liệu cá nhân được xử lý

Hồ sơ cần phân loại dữ liệu cá nhân được xử lý, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm nếu có.

Dữ liệu cá nhân có thể bao gồm họ tên, ngày sinh, số điện thoại, email, địa chỉ, thông tin tài khoản, thông tin định danh, thông tin giao dịch, dữ liệu hành vi trên nền tảng số, dữ liệu vị trí, dữ liệu tài chính, dữ liệu sức khỏe hoặc dữ liệu sinh trắc học.

Việc phân loại đúng dữ liệu giúp doanh nghiệp áp dụng biện pháp bảo vệ phù hợp với mức độ rủi ro. Đối với dữ liệu cá nhân nhạy cảm, doanh nghiệp cần đặc biệt cẩn trọng vì việc xử lý sai hoặc làm lộ dữ liệu có thể gây ảnh hưởng nghiêm trọng đến quyền và lợi ích hợp pháp của chủ thể dữ liệu.

4. Quy trình và phạm vi xử lý dữ liệu

Doanh nghiệp cần mô tả quá trình xử lý dữ liệu từ khi thu thập, ghi nhận, lưu trữ, phân tích, sử dụng, chia sẻ, chuyển giao, chỉnh sửa, xóa hoặc tiêu hủy dữ liệu.

Một bản đồ dữ liệu rõ ràng sẽ giúp doanh nghiệp xác định:

  • Dữ liệu được thu thập từ đâu;
  • Dữ liệu được nhập vào hệ thống nào;
  • Bộ phận nào có quyền truy cập;
  • Dữ liệu có được chia sẻ cho bên thứ ba hay không;
  • Dữ liệu có được chuyển ra nước ngoài hay không;
  • Dữ liệu được lưu trữ trong bao lâu;
  • Dữ liệu được xóa hoặc tiêu hủy theo cơ chế nào.

Đây là phần quan trọng vì nhiều rủi ro thường xuất hiện ở các điểm giao tiếp giữa các hệ thống, phòng ban hoặc nhà cung cấp dịch vụ.

5. Đánh giá rủi ro đối với chủ thể dữ liệu

DPIA cần đánh giá các rủi ro có thể phát sinh đối với chủ thể dữ liệu trong quá trình xử lý dữ liệu cá nhân. Các rủi ro này có thể bao gồm truy cập trái phép, rò rỉ dữ liệu, sử dụng dữ liệu sai mục đích, chia sẻ dữ liệu không có cơ sở hợp lệ, lưu trữ dữ liệu quá thời hạn cần thiết hoặc không bảo đảm quyền của chủ thể dữ liệu.

Doanh nghiệp nên đánh giá cả khả năng xảy ra rủi ro và mức độ ảnh hưởng nếu rủi ro xảy ra. Việc đánh giá càng cụ thể thì biện pháp giảm thiểu càng có tính thực tiễn.

6. Biện pháp bảo vệ dữ liệu cá nhân

Hồ sơ cần thể hiện các biện pháp mà doanh nghiệp đang áp dụng hoặc dự kiến áp dụng để bảo vệ dữ liệu cá nhân. Các biện pháp này có thể bao gồm:

  • Phân quyền truy cập theo vai trò;
  • Xác thực người dùng và quản lý tài khoản nội bộ;
  • Mã hóa hoặc áp dụng biện pháp bảo mật phù hợp với tính chất dữ liệu;
  • Lưu vết truy cập và thao tác xử lý dữ liệu;
  • Kiểm soát việc tải xuống, sao chép hoặc chia sẻ dữ liệu;
  • Đào tạo nhân sự về bảo vệ dữ liệu cá nhân;
  • Quy trình xử lý yêu cầu của chủ thể dữ liệu;
  • Quy trình phản ứng sự cố dữ liệu;
  • Điều khoản bảo mật trong hợp đồng với nhân viên, đối tác và nhà cung cấp;
  • Cơ chế rà soát, cập nhật và kiểm tra định kỳ.

Doanh nghiệp nên mô tả biện pháp bảo vệ theo đúng thực tế triển khai. Không nên ghi nhận những biện pháp chưa được áp dụng hoặc chưa có khả năng thực hiện, vì điều này có thể tạo rủi ro giải trình trong quá trình kiểm tra.

Quy trình lập hồ sơ DPIA cho doanh nghiệp

Bước 1: Xác định phạm vi xử lý dữ liệu cá nhân

Doanh nghiệp cần xác định các hoạt động xử lý dữ liệu cá nhân đang diễn ra trong tổ chức, bao gồm xử lý dữ liệu khách hàng, người lao động, đối tác, nhà cung cấp, người dùng website hoặc người dùng ứng dụng.

Bước 2: Xác định vai trò pháp lý của doanh nghiệp

Doanh nghiệp cần xác định mình là bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân hay bên kiểm soát và xử lý dữ liệu cá nhân trong từng hoạt động cụ thể.

Bước 3: Lập bản đồ dữ liệu

Bản đồ dữ liệu nên thể hiện các thông tin như nguồn thu thập, hệ thống lưu trữ, bộ phận sử dụng, bên thứ ba tiếp nhận, thời hạn lưu trữ, cơ chế xóa dữ liệu và yếu tố chuyển dữ liệu xuyên biên giới nếu có.

Bước 4: Đánh giá rủi ro

Doanh nghiệp cần đánh giá rủi ro pháp lý, rủi ro kỹ thuật, rủi ro vận hành và rủi ro đối với quyền của chủ thể dữ liệu. Việc đánh giá nên có sự phối hợp giữa bộ phận pháp chế, công nghệ thông tin, an toàn thông tin, nhân sự, marketing, kinh doanh và các bộ phận đang trực tiếp xử lý dữ liệu.

Bước 5: Đề xuất biện pháp giảm thiểu rủi ro

Sau khi xác định rủi ro, doanh nghiệp cần đưa ra biện pháp giảm thiểu phù hợp. Các biện pháp này có thể bao gồm điều chỉnh biểu mẫu lấy sự đồng ý, cập nhật chính sách quyền riêng tư, giới hạn quyền truy cập, bổ sung điều khoản hợp đồng với nhà cung cấp, rút ngắn thời hạn lưu trữ, thiết lập quy trình xóa dữ liệu hoặc tăng cường biện pháp bảo mật kỹ thuật.

Bước 6: Hoàn thiện hồ sơ và lưu trữ nội bộ

Doanh nghiệp cần hoàn thiện hồ sơ DPIA theo yêu cầu pháp luật và lưu trữ để phục vụ hoạt động quản trị nội bộ, giải trình hoặc kiểm tra khi cần thiết.

Bước 7: Gửi hồ sơ trong trường hợp thuộc diện phải gửi

Trong trường hợp thuộc diện phải gửi hồ sơ cho cơ quan có thẩm quyền, doanh nghiệp cần thực hiện đúng thời hạn và hình thức theo quy định pháp luật. Doanh nghiệp nên chuẩn bị tài liệu giải trình, thông tin liên hệ và người phụ trách để kịp thời phản hồi khi có yêu cầu bổ sung hoặc làm rõ hồ sơ.
Thiet ke chua co ten 1

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân DPIA là một phần quan trọng trong hệ thống tuân thủ bảo vệ dữ liệu cá nhân của doanh nghiệp. Việc chuẩn bị hồ sơ đúng và phù hợp không chỉ giúp doanh nghiệp đáp ứng yêu cầu pháp luật mà còn hỗ trợ quản trị rủi ro, nâng cao uy tín và củng cố niềm tin với khách hàng, đối tác và người lao động.

Trong bối cảnh Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 và Nghị định 356/2025/NĐ-CP đã có hiệu lực, doanh nghiệp nên chủ động rà soát hoạt động xử lý dữ liệu, lập hồ sơ DPIA và cập nhật các chính sách, quy trình liên quan.

Global Vietnam Lawyers sẵn sàng đồng hành cùng doanh nghiệp trong việc đánh giá hiện trạng, xây dựng hồ sơ DPIA và thiết lập lộ trình tuân thủ phù hợp. Quý doanh nghiệp có nhu cầu tư vấn về đánh giá tác động xử lý dữ liệu cá nhân có thể liên hệ với đội ngũ của chúng tôi để được hỗ trợ chi tiết.