Quy định liên quan đến Dữ liệu cá nhân theo Pháp luật Bảo vệ dữ liệu cá nhân hiện hành

Theo Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP, doanh nghiệp (với vai trò Bên kiểm soát/Bên xử lý dữ liệu) bắt buộc phải lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu (Mẫu 10) và Hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới (Mẫu 09) kể từ thời điểm bắt đầu hoạt động.

Các mốc thời gian quan trọng cần tuân thủ bao gồm:

Thời hạn nộp hồ sơ: Trong vòng 60 ngày kể từ ngày tiến hành xử lý hoặc chuyển dữ liệu xuyên biên giới về Cục An ninh mạng (A05) – Bộ Công an.
Thời hạn thẩm định: Cơ quan chức năng trả kết quả đạt/không đạt trong 15 ngày.
Thời hạn cập nhật: Hồ sơ phải được cập nhật định kỳ 06 tháng/lần hoặc cập nhật ngay trong 10 ngày nếu có thay đổi về tổ chức, ngành nghề kinh doanh liên quan đến dữ liệu.
Thông báo sự cố: Trường hợp xảy ra vi phạm (mất, rò rỉ dữ liệu), doanh nghiệp phải thông báo cho cơ quan chức năng trong vòng 72 giờ.

Việc không hoàn thiện hồ sơ hoặc chậm trễ thông báo sự cố sẽ bị xem xét áp dụng các chế tài xử phạt vi phạm hành chính nghiêm khắc theo quy định pháp luật.

Nội dung bài viết:

1. Quy trình thực hiện đánh giá tác động xử lý dữ liệu cá nhân

Theo quy định tại Điều 21 Luật Bảo vệ dữ liệu cá nhân 2025 được hướng dẫn tại khoản 1 Điều 19 Nghị định 356/2025/NĐ-CP, đối tượng thực hiện đánh giá tác động xử lý dữ liệu cá nhân gồm: (1) Bên kiểm soát dữ liệu cá nhân; (2) Bên kiểm soát và xử lý dữ liệu cá nhân và (3) Bên xử lý dữ liệu cá nhân. Trong đó:

Bên kiểm soát dữ liệu cá nhân là cơ quan, tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân

Bên kiểm soát và xử lý dữ liệu cá nhân là cơ quan, tổ chức, cá nhân quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.

Bên xử lý dữ liệu cá nhân là cơ quan, tổ chức, cá nhân thực hiện việc xử lý dữ liệu cá nhân theo yêu cầu của bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân thông qua hợp đồng.

Theo khoản 1 Điều 19 Nghị định 356/2025/NĐ-CP quy định các chủ thể nêu trên phải lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.

Thành phần hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được quy định tại khoản 2 Điều 19 Nghị định 356/2025/NĐ-CP như sau:

Báo cáo đánh giá tác động xử lý dữ liệu cá nhân theo Mẫu số 10 tại Phụ lục của Nghị định 356/2025/NĐ-CP;

Bao gồm các nội dung như sau:

Thông tin và chi tiết liên lạc của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba;
Chi tiết liên lạc của bộ phận, nhân sự bảo vệ dữ liệu cá nhân; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có) của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba;
Mô tả và luận giải mục đích xử lý dữ liệu cá nhân, loại dữ liệu cá nhân xử lý, chi tiết các hoạt động xử lý dữ liệu cá nhân và sơ đồ luồng dữ liệu cá nhân;
Mô tả và luận giải về việc thực hiện xin sự đồng ý của chủ thể dữ liệu cá nhân, chính sách lưu trữ, xóa, hủy dữ liệu cá nhân;
Phương án bảo đảm an toàn dữ liệu cá nhân, các biện pháp bảo vệ dữ liệu cá nhân, sơ đồ thiết kế hệ thống, tiêu chuẩn bảo vệ dữ liệu cá nhân được áp dụng;
Kết quả đánh giá tuân thủ quy định về bảo vệ dữ liệu cá nhân;
Đánh giá mức độ ảnh hưởng, rủi ro của hoạt động xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, rủi ro đó.

Bản sao hợp đồng hoặc thỏa thuận về việc xử lý dữ liệu cá nhân, thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân trong hoạt động xử lý dữ liệu cá nhân;

Chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan về bảo vệ dữ liệu cá nhân của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân.

Thủ tục thực hiện nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân, bên có liên quan phải nộp 01 bản bản chính bằng phương thức trực tuyến hoặc trực tiếp hoặc qua dịch vụ bưu chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an (hiện nay là Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao – A05).

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá và trả kết quả đối với hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đạt yêu cầu hoặc không đạt yêu cầu trong thời hạn 15 ngày.

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá, yêu cầu bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân hoàn thiện hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong thời hạn 30 ngày đối với trường hợp hồ sơ chưa đầy đủ và đúng quy định. Trường hợp bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân không thực hiện hoàn thiện hồ sơ theo đúng quy định, cơ quan chuyên trách bảo vệ dữ liệu cá nhân xem xét áp dụng các quy định về xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân

2. Quy trình hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

2.1. Đối tượng thực hiện đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Theo quy định tại khoản 1 Điều 18 Nghị định 356/2025/NĐ-CP quy định cơ quan, tổ chức, cá nhân có hoạt động chuyển dữ liệu cá nhân xuyên biên giới phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

Các trường hợp chuyển dữ liệu xuyên biên giới cũng được đề cập tại khoản 1 Điều 20 của Nghị định bao gồm:

a) Chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam;

b) Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho tổ chức, cá nhân ở nước ngoài;

c) Cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam.

2.2. Thành phần hồ sơ chuyển dữ liệu cá nhân xuyên biên giới

Hồ sơ chuyển dữ liệu cá nhân xuyên biên giới được đề cập tại khoản 2 Điều 18 của Nghị định 356/2025/NĐ-CP như sau:

Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo Mẫu số 09 tại Phụ lục của Nghị định này;

Bao gồm các nội dung như sau:

Thông tin và chi tiết liên lạc của bên chuyển dữ liệu cá nhân, bên nhận dữ liệu cá nhân, bên xử lý dữ liệu cá nhân và các bên khác có liên quan đến hoạt động chuyển dữ liệu cá nhân xuyên biên giới;
Chi tiết liên lạc của bộ phận, nhân sự bảo vệ dữ liệu cá nhân; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có) của bên chuyển dữ liệu cá nhân, bên nhận dữ liệu cá nhân;
Mô tả và luận giải mục đích chuyển dữ liệu cá nhân xuyên biên giới, loại dữ liệu cá nhân chuyển xuyên biên giới, chi tiết các hoạt động chuyển và xử lý dữ liệu cá nhân xuyên biên giới và sơ đồ luồng xử lý dữ liệu cá nhân;
Mô tả và luận giải về việc thực hiện xin sự đồng ý của chủ thể dữ liệu cá nhân, chính sách lưu trữ, xóa, hủy dữ liệu cá nhân;
Phương án bảo đảm an toàn dữ liệu cá nhân sau khi chuyển xuyên biên giới, các biện pháp bảo vệ dữ liệu cá nhân, tiêu chuẩn bảo vệ dữ liệu cá nhân được áp dụng;
Sơ đồ hệ thống, mô tả tính năng của hệ thống lưu trữ, xử lý dữ liệu cá nhân sau khi tiếp nhận dữ liệu cá nhân xuyên biên giới;
Quy trình về việc bên tiếp nhận dữ liệu cá nhân xuyên biên giới chuyển giao, cung cấp dữ liệu cá nhân cho bên thứ ba;
Kết quả tự đánh giá tuân thủ quy định về bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có hoạt động chuyển dữ liệu cá nhân xuyên biên giới;
Đánh giá mức độ bảo vệ dữ liệu cá nhân của bên nhận dữ liệu cá nhân; mức độ ảnh hưởng, rủi ro của việc chuyển và xử lý dữ liệu cá nhân xuyên biên giới; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, rủi ro đó.

Bản sao hợp đồng hoặc văn bản chuyển giao dữ liệu cá nhân thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân xuyên biên giới;

Chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan về bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có hoạt động chuyển dữ liệu cá nhân xuyên biên giới.

2.3. Thủ tục thực hiện nộp hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Theo quy định pháp luật, bên chuyển dữ liệu cá nhân xuyên biên giới nộp 01 bản chính hồ sơ đầy đủ bằng phương thức trực tuyến hoặc trực tiếp hoặc qua dịch vụ bưu chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân thuộc Bộ Công an (hiện nay là Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao – A05).

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá và trả kết quả đối với hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới đạt yêu cầu hoặc không đạt yêu cầu trong thời hạn 15 ngày.

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá, yêu cầu bên chuyển dữ liệu cá nhân xuyên biên giới hoàn thiện hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới trong thời hạn 30 ngày đối với trường hợp hồ sơ chưa đầy đủ và đúng quy định. Trường hợp bên chuyển dữ liệu cá nhân không thực hiện hoàn thiện hồ sơ theo đúng quy định, cơ quan chuyên trách bảo vệ dữ liệu cá nhân xem xét áp dụng các quy định về xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân.

Lưu ý: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới phải được lưu trữ và trong tình trạng có sẵn để phục vụ hoạt động kiểm tra, đánh giá của cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

3. Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Hồ sơ chuyển dữ liệu cá nhân xuyên biên giới và hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được cập nhật định kỳ 06 tháng kể từ lần đầu nộp hồ sơ trong các trường hợp sau (Điều 20 Nghị định 356/2025/NĐ-CP):

Khi phát sinh mục đích chuyển dữ liệu cá nhân mới, mục đích xử lý dữ liệu cá nhân mới;
Khi phát sinh hoặc thay đổi bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba.

HOẶC, Các trường hợp thay đổi cần cập nhật ngay trong thời hạn 10 ngày bao gồm:

Khi cơ quan, tổ chức, đơn vị được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật;
Khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;
Khi phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

4. Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân

Theo quy định của Luật Bảo vệ Dữ liệu cá nhân năm 2025 và Nghị định số 356/2025/NĐ-CP của Chính phủ quy định chi tiết một số điều của Luật Bảo vệ Dữ liệu cá nhân, khi xảy ra sự cố vi phạm quy định về bảo vệ dữ liệu cá nhân, bao gồm nhưng không giới hạn ở việc dữ liệu cá nhân bị mất, bị truy cập, thu thập, sử dụng, tiết lộ trái phép hoặc bị phá hủy, gây hoặc có khả năng gây ảnh hưởng đến quyền và lợi ích hợp pháp của chủ thể dữ liệu, an ninh quốc gia, trật tự, an toàn xã hội, thì người kiểm soát dữ liệu, người xử lý dữ liệu hoặc người kiểm soát và xử lý dữ liệu có trách nhiệm thực hiện thông báo vi phạm dữ liệu cá nhân. Việc thông báo phải được thực hiện trong thời hạn 72 giờ kể từ thời điểm phát hiện vi phạm, theo đúng mẫu, nội dung và hình thức quy định tại Nghị định 356/2025/NĐ-CP, đồng thời nêu rõ loại dữ liệu bị ảnh hưởng, phạm vi và mức độ rủi ro, nguyên nhân xảy ra vi phạm (nếu xác định được) và các biện pháp khắc phục, phòng ngừa tái diễn. Trường hợp không thể thông báo đúng thời hạn vì lý do bất khả kháng, tổ chức, cá nhân có liên quan phải thực hiện thông báo ngay khi điều kiện cho phép và chịu trách nhiệm trước pháp luật về việc chậm thông báo. Hồ sơ thông báo vi phạm dữ liệu cá nhân phải được lưu trữ, quản lý phục vụ công tác thanh tra, kiểm tra của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Thời gian viết bài: 14/01/2026

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Vì sao chọn dịch vụ CDLAF

Chúng tôi cung cấp đến bạn giải pháp pháp lý hiệu quả và toàn diện, giúp bạn tiết kiệm ngân sách, duy trì sự tuân thủ trong doanh nghiệp;
Chúng tôi tiếp tục duy trì việc theo dõi vấn đề pháp lý của bạn ngay cả khi dịch vụ đã hoàn thành và cập nhật đến bạn khi có bất kỳ sự thay đổi nào từ hệ thống pháp luật Việt Nam;
Hệ thống biểu mẫu về doanh nghiệp, đầu tư được xây dựng và cập nhật liên tục sẽ cung cấp khi khách hàng yêu cầu, rút ngắn thời gian thực hiện thủ tục;
Doanh nghiệp cập nhật kịp thời các chính sách và phương thức làm việc tại các cơ quan nhà nước có thẩm quyền;
Đội ngũ Luật sư của CDLAF nhiều năm kinh nghiệm hoạt động tại lĩnh vực Lao động, Doanh nghiệp, Đầu tư cùng với các cố vấn nhân sự, tài chính;
Quy trình bảo mật thông tin nghiêm ngặt trong suốt quá trình thực hiện dịch vụ và ngay cả khi dịch vụ được hoàn thành sau đó;

Bạn có thể tham thảo thêm:

Doanh Nghiệp Quảng Cáo Cần Chuẩn Bị Gì Để Tuân Thủ Pháp Luật Về Dữ Liệu Cá Nhân?

Trách Nhiệm Của Doanh Nghiệp Khi Sử Dụng Lao Động Nước Ngoài

Doanh Nghiệp Có Bắt Buộc Có Nhân Sự Bảo Vệ Dữ Liệu Cá Nhân?

Dự Thảo Xử Phạt Vi phạm Về Dữ Liệu Cá Nhân Đã Quy Định Các Hành Vi Và Mức Phạt Như Thế Nào? (Phần 2)

Dự Thảo Xử Phạt Vi phạm Về Dữ Liệu Cá Nhân Đã Quy Định Các Hành Vi Và Mức Phạt Như Thế Nào? (Phần 1)

Hướng Dẫn Xây Dựng Chính Sách Bảo Vệ Dữ Liệu Cá Nhân Theo Luật Mới (Phần 1)