Khi Luật 91/2025/QH15 và Nghị định 356/2025/NĐ-CP có hiệu lực từ 01/01/2026, "đánh giá tác động xử lý dữ liệu cá nhân" (DPIA) trở thành nghĩa vụ bắt buộc với nhiều doanh nghiệp lần đầu nghe tới khái niệm này.
DPIA là gì và vì sao quan trọng?
DPIA là việc phân tích, đánh giá trước những rủi ro mà một hoạt động xử lý dữ liệu cá nhân có thể gây ra, từ đó áp dụng biện pháp giảm thiểu. Hiểu đơn giản: "đo rủi ro trước khi làm", thay vì chữa cháy sau sự cố.
Ai bắt buộc lập hồ sơ DPIA?
Theo khoản 1 Điều 19 Nghị định 356/2025, ngay từ khi bắt đầu xử lý dữ liệu, Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu, và Bên Xử lý dữ liệu phải lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (theo Mẫu số 10 ban hành kèm Nghị định).
Theo Điều 25 Luật 91/2025, hồ sơ này phải được gửi cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu.
Ưu đãi cho doanh nghiệp nhỏ: Nghị định 356/2025 cho phép doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp được lựa chọn chưa lập hồ sơ DPIA trong 05 năm đầu (kể từ 01/01/2026) — trừ một số trường hợp xử lý dữ liệu nhạy cảm/quy mô lớn theo quy định.
Các bước lập một DPIA dùng được
Liệt kê hoạt động xử lý: thu thập gì, mục đích, ai truy cập, lưu ở đâu, chuyển cho ai.
Xác định rủi ro với quyền và lợi ích của chủ thể dữ liệu.
Đề ra biện pháp giảm thiểu (kỹ thuật và tổ chức).
Hoàn thiện hồ sơ theo Mẫu số 10 và gửi cơ quan chuyên trách trong thời hạn quy định.
Cập nhật hồ sơ
DPIA cần được cập nhật ngay khi có thay đổi về mục đích, phạm vi, loại dữ liệu hoặc bên xử lý. Lỗi thường gặp là làm hồ sơ một lần rồi để "đóng băng", không cập nhật khi quy trình thực tế đã đổi.
Câu hỏi thường gặp
Doanh nghiệp nào bắt buộc làm DPIA?
Bên kiểm soát, bên kiểm soát và xử lý, bên xử lý dữ liệu cá nhân phải lập hồ sơ DPIA ngay từ khi bắt đầu xử lý (khoản 1 Điều 19 Nghị định 356/2025); doanh nghiệp nhỏ/khởi nghiệp có thể được chưa thực hiện trong 5 năm đầu.
Phải gửi hồ sơ DPIA cho cơ quan nào, trong bao lâu?
Gửi cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong vòng 60 ngày kể từ khi bắt đầu xử lý (Điều 25 Luật 91/2025).
Bao lâu phải cập nhật lại DPIA?
Cập nhật ngay khi có thay đổi về mục đích, phạm vi, loại dữ liệu hoặc bên xử lý.
Soft Space Việt Nam tư vấn và hỗ trợ lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo đúng quy định. Liên hệ tư vấn.
Đây là thông tin tham khảo. Nếu phát hiện sai sót, vui lòng liên hệ để chúng tôi cập nhật.
Bình luận (0)
Chưa có bình luận nào. Hãy là người đầu tiên chia sẻ ý kiến.