Luật bảo vệ dữ liệu cá nhân 2025: Đánh giá tác động xử lý & Chuyển dữ liệu xuyên biên giới

Chủ đề: Tư vấn pháp luật thường xuyên

22/01/2026

Đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới là hai nghĩa vụ tuân thủ trọng tâm đối với cơ quan, tổ chức, cá nhân khi xử lý dữ liệu cá nhân tại Việt Nam. Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP đã thiết lập khuôn khổ pháp lý tương đối chặt chẽ, gắn nghĩa vụ lập – nộp hồ sơ với cơ chế hậu kiểm và chế tài nghiêm khắc.

Đối tượng phải tiến hành đánh giá tác động xử lý dữ liệu cá nhân và chuyển dữ liệu cá nhân xuyên biên giới

Theo Luật Bảo vệ dữ liệu cá nhân 2025, nghĩa vụ đánh giá tác động được đặt ra trên cơ sở vai trò của chủ thể trong chuỗi xử lý dữ liệu và bản chất của hoạt động xử lý.

Thứ nhất, đánh giá tác động xử lý dữ liệu cá nhân (DPIA) áp dụng đối với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân. Các chủ thể này có trách nhiệm lập, lưu trữ và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.

Đối với bên xử lý dữ liệu cá nhân, nghĩa vụ lập và lưu giữ hồ sơ được thực hiện theo thỏa thuận với bên kiểm soát, trừ trường hợp pháp luật có quy định khác. Cơ quan nhà nước có thẩm quyền được loại trừ khỏi nghĩa vụ này.

Luật bảo vệ dữ liệu cá nhân 2025: Đánh giá tác động xử lý & Chuyển dữ liệu xuyên biên giới

Thứ hai, đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (TIA) áp dụng đối với mọi cơ quan, tổ chức, cá nhân thực hiện một trong các hành vi:

Chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam ra hệ thống đặt ngoài lãnh thổ Việt Nam;
Chuyển dữ liệu cá nhân từ Việt Nam cho tổ chức, cá nhân ở nước ngoài; hoặc
Sử dụng nền tảng đặt ngoài lãnh thổ Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam.

Một số trường hợp được miễn nghĩa vụ đánh giá tác động, như việc chuyển dữ liệu của cơ quan nhà nước có thẩm quyền, người lao động nội bộ trên nền tảng điện toán đám mây, hoặc trường hợp chủ thể dữ liệu tự mình chuyển dữ liệu cá nhân.

Thủ tục và thành phần hồ sơ đánh giá tác động theo Nghị định 356/2025/NĐ-CP

Nghị định 356/2025/NĐ-CP quy định chi tiết và tách bạch thành phần hồ sơ đối với hai loại đánh giá tác động.

Đối với đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ cơ bản bao gồm:

(i) Báo cáo đánh giá tác động xử lý dữ liệu cá nhân, với các nhóm nội dung như sau

Thông tin định danh & Nhân sự: Cung cấp chi tiết liên lạc của Bên chuyển dữ liệu và bên xử lý dữ liệu tại nước ngoài, các bên trung gian và đặc biệt là thông tin của Bộ phận/Nhân sự bảo vệ dữ liệu (DPO) chịu trách nhiệm chính.
Mô tả luồng dữ liệu (Data Flow): Luận giải rõ mục đích chuyển, loại dữ liệu cụ thể (Cơ bản/Nhạy cảm) và bắt buộc phải có sơ đồ luồng xử lý dữ liệu xuyên suốt từ Việt Nam ra nước ngoài.
Hạ tầng kỹ thuật & Bảo mật: Mô tả sơ đồ hệ thống máy chủ tại nước ngoài, các biện pháp an ninh mạng được áp dụng (như mã hóa, tường lửa, phân quyền) và chính sách lưu trữ, xóa/hủy dữ liệu sau khi kết thúc mục đích.
Đánh giá Pháp lý & Rủi ro: Chứng minh sự đồng thuận của chủ thể dữ liệu, đánh giá mức độ bảo vệ dữ liệu của quốc gia/bên nhận, và phân tích các rủi ro tiềm ẩn cùng phương án giảm thiểu.

(ii) Bản sao hợp đồng hoặc thỏa thuận xử lý dữ liệu cá nhân thể hiện rõ trách nhiệm pháp lý giữa các bên; và

(iii) Chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan về bảo vệ dữ liệu cá nhân của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân.

Đối với đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, hồ sơ có phạm vi rộng hơn, ngoài báo cáo đánh giá theo mẫu còn bao gồm:

(i) Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, với các nhóm nội dung như sau:

Thông tin Định danh & Nhân sự: Cung cấp chi tiết liên lạc của Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có liên quan và đặc biệt là thông tin của Bộ phận/Nhân sự bảo vệ dữ liệu (DPO) chịu trách nhiệm chính.
Mô tả Quy trình xử lý (Data Flow): Luận giải rõ mục đích xử lý, loại dữ liệu cụ thể (Cơ bản/Nhạy cảm) và bắt buộc phải có sơ đồ luồng dữ liệu thể hiện đường đi của dữ liệu trong hệ thống vận hành.
Hạ tầng & Biện pháp bảo vệ: Cung cấp sơ đồ thiết kế hệ thống, mô tả các tiêu chuẩn kỹ thuật và biện pháp an toàn được áp dụng (như mã hóa, tường lửa, phân quyền) để bảo vệ dữ liệu.
Đánh giá Pháp lý & Rủi ro: Chứng minh quy trình xin sự đồng ý, chính sách lưu trữ/hủy dữ liệu; đồng thời tự đánh giá mức độ tuân thủ quy định và phân tích các rủi ro tiềm ẩn cùng phương án giảm thiểu.

(ii) Bản sao hợp đồng hoặc văn bản chuyển giao dữ liệu cá nhân thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân xuyên biên giới;

(iii) Chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan về bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có hoạt động chuyển dữ liệu cá nhân xuyên biên giới.

Đây là các báo cáo phức tạp, đòi hỏi sự am hiểu cả về pháp lý và kỹ thuật. Doanh nghiệp cần chuẩn bị kỹ lưỡng để tránh việc hồ sơ bị trả về hoặc bị đánh giá là không đạt yêu cầu bảo mật.

Thời hạn tuân thủ và quy định chuyển tiếp giữa Nghị định 13/2023/NĐ-CP với Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP

Luật Bảo vệ dữ liệu cá nhân 2025 tiếp tục duy trì nguyên tắc nộp hồ sơ trong thời hạn 60 ngày kể từ ngày đầu tiên xử lý dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân xuyên biên giới. Việc đánh giá tác động chỉ thực hiện một lần cho suốt thời gian hoạt động, nhưng phải được cập nhật, bổ sung khi có thay đổi về mục đích, phạm vi, loại dữ liệu, bên nhận hoặc biện pháp bảo vệ.

Về chuyển tiếp pháp luật, các cơ quan, tổ chức, cá nhân đã lập và nộp hồ sơ đánh giá tác động theo Nghị định 13/2023/NĐ-CP thì không phải nộp lại hồ sơ theo Nghị định 356/2025/NĐ-CP nếu nội dung xử lý và chuyển dữ liệu không thay đổi. Tuy nhiên, trong trường hợp có sự điều chỉnh đáng kể liên quan đến hoạt động xử lý hoặc chuyển dữ liệu cá nhân, chủ thể có nghĩa vụ lập và nộp hồ sơ cập nhật theo quy định mới.

Cách tiếp cận này thể hiện sự kế thừa chính sách, đồng thời giảm gánh nặng tuân thủ cho doanh nghiệp trong giai đoạn chuyển tiếp.

Chế tài khi không nộp hồ sơ hoặc không hoàn thiện hồ sơ theo yêu cầu

Luật Bảo vệ dữ liệu cá nhân 2025 thiết lập cơ chế chế tài nghiêm khắc gắn với nghĩa vụ đánh giá tác động. Trường hợp không nộp hồ sơ, nộp không đúng thời hạn hoặc không cập nhật hồ sơ khi có thay đổi, chủ thể có thể bị xử phạt vi phạm hành chính.

Đáng chú ý, đối với hoạt động chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa đối với tổ chức có thể lên tới 5% doanh thu của năm tài chính liền kề trước đó. c

Trong trường hợp hồ sơ đã nộp nhưng chưa đầy đủ hoặc chưa đúng quy định, cơ quan chuyên trách bảo vệ dữ liệu cá nhân có quyền yêu cầu hoàn thiện trong thời hạn 30 ngày. Nếu quá thời hạn này mà bên chuyển dữ liệu không thực hiện hoặc thực hiện không đầy đủ, cơ quan có thẩm quyền sẽ xem xét áp dụng các biện pháp xử phạt hành chính tương ứng.

Cơ chế này cho thấy đánh giá tác động không chỉ mang tính thủ tục hình thức mà là một nghĩa vụ tuân thủ thực chất, gắn trực tiếp với rủi ro pháp lý và tài chính của doanh nghiệp.

Đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới là trụ cột quan trọng trong hệ thống bảo vệ dữ liệu cá nhân tại Việt Nam theo Luật Bảo vệ dữ liệu cá nhân 2025.

Với sự cụ thể hóa của Nghị định 356/2025/NĐ-CP, nghĩa vụ này không chỉ dừng lại ở việc lập hồ sơ mà còn gắn với trách nhiệm cập nhật, hợp tác với cơ quan quản lý và chấp nhận cơ chế hậu kiểm nghiêm ngặt.

Trong bối cảnh chế tài ngày càng nặng, việc chủ động tuân thủ và xây dựng hệ thống quản trị dữ liệu bài bản trở thành yêu cầu mang tính chiến lược đối với mọi tổ chức, doanh nghiệp có hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

Nếu quý khách hàng gặp các vướng mắc về vấn đề liên quan về Luật bảo vệ dữ liệu cá nhân xin vui lòng liên hệ Công ty Luật Siglaw để được tư vấn một cách toàn diện.