Hướng dẫn dành cho doanh nghiệp về đánh giá tác động bảo vệ dữ liệu và nghĩa vụ báo cáo

Theo như cập nhật trước đó trong bài Tổng Hợp Những Quy Định Mới Sẽ Chính Thức Áp Dụng Từ Tháng 1/2026 Tại Việt Nam, một trong những nghĩa vụ tuân thủ bắt buộc từ ngày 01/01/2026 là việc thực hiện Đánh giá tác động xử lý dữ liệu cá nhân theo quy định của Luật Bảo vệ Dữ liệu Cá nhân 2025.

Với mục tiêu hỗ trợ doanh nghiệp chuẩn bị hiệu quả, ALTAS xin cung cấp thông tin chi tiết và cụ thể về yêu cầu, thời hạn và đối tượng áp dụng để Quý khách hàng thuận tiện trong việc đánh giá và triển khai:

• Yêu cầu: Các tổ chức, doanh nghiệp xử lý dữ liệu cá nhân thuộc các trường hợp như xử lý dữ liệu nhạy cảm, dữ liệu quy mô lớn, ứng dụng công nghệ mới, chuyển dữ liệu ra nước ngoài hoặc giám sát/phân loại cá nhân đều phải thực hiện đánh giá tác động.

• Thời hạn: Hồ sơ đánh giá tác động phải được gửi đến Bộ Công an trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu. Báo cáo định kỳ tiếp theo được thực hiện mỗi 6 tháng. Thời hạn cuối cùng để hoàn thành báo cáo đầu tiên là ngày 01/03/2026.

• Đối tượng áp dụng: Áp dụng cho mọi tổ chức, doanh nghiệp có hoạt động xử lý dữ liệu cá nhân thuộc diện bắt buộc. Riêng với trường hợp chuyển dữ liệu ra nước ngoài, phải thực hiện đánh giá riêng biệt và duy trì nghĩa vụ báo cáo định kỳ tương tự.

Thông tin chi tiết như sau:

Kể từ ngày 01/01/2026, Luật Bảo vệ Dữ liệu Cá nhân 2025 chính thức có hiệu lực, yêu cầu tất cả tổ chức, doanh nghiệp có hoạt động xử lý dữ liệu cá nhân phải tuân thủ các nghĩa vụ pháp lý mới. Các trường hợp bắt buộc phải thực hiện đánh giá tác động bao gồm: xử lý dữ liệu cá nhân nhạy cảm (như thông tin sức khỏe, tài chính, sinh trắc học, vị trí địa lý…), xử lý dữ liệu trên quy mô lớn, ứng dụng công nghệ mới (ví dụ: trí tuệ nhân tạo, nhận diện khuôn mặt, theo dõi hành vi), chuyển dữ liệu cá nhân ra nước ngoài hoặc thực hiện các hoạt động giám sát, phân loại cá nhân.

Các tổ chức, doanh nghiệp thuộc các trường hợp nêu trên phải lập hồ sơ đánh giá tác động và gửi báo cáo cho Bộ Công an (Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao) trong vòng 60 ngày kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân. Hồ sơ phải mô tả đầy đủ quy trình xử lý, loại dữ liệu, mục đích sử dụng, rủi ro tiềm ẩn và biện pháp bảo vệ. Sau đó, tổ chức có trách nhiệm cập nhật và nộp báo cáo định kỳ 6 tháng một lần về tình trạng bảo vệ dữ liệu, các rủi ro phát sinh và biện pháp khắc phục. Như vậy, thời hạn cuối cùng để hoàn thành báo cáo đánh giá tác động đầu tiên là ngày 01/03/2026.

Đối với hoạt động chuyển dữ liệu cá nhân ra nước ngoài – chẳng hạn như:

(1) sử dụng dịch vụ lưu trữ đám mây đặt tại nước ngoài hoặc (2) hợp tác với đối tác nước ngoài có quyền truy cập dữ liệu – tổ chức phải thực hiện đánh giá tác động riêng biệt và gửi báo cáo cho Bộ Công an trong vòng 60 ngày kể từ thời điểm bắt đầu chuyển dữ liệu lần đầu. Đồng thời, tổ chức phải duy trì nghĩa vụ báo cáo định kỳ 6 tháng một lần về tình trạng bảo vệ dữ liệu, rủi ro và biện pháp kiểm soát liên quan đến hoạt động chuyển dữ liệu xuyên biên giới. Quy định này nhằm đảm bảo tính minh bạch, an toàn và tuân thủ pháp luật trong toàn bộ quá trình xử lý dữ liệu cá nhân quốc tế.

Luật cũng quy định điều khoản chuyển tiếp dành cho doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp. Cụ thể, các doanh nghiệp này được quyền lựa chọn thực hiện hoặc không thực hiện các quy định tại Điều 21 (đánh giá tác động xử lý dữ liệu), Điều 22 (đánh giá tác động chuyển dữ liệu ra nước ngoài) và khoản 2 Điều 33 (báo cáo định kỳ 6 tháng) trong thời gian 5 năm kể từ ngày luật có hiệu lực, tức đến hết ngày 31/12/2030. Tuy nhiên, ngoại lệ được áp dụng đối với các doanh nghiệp nhỏ hoặc khởi nghiệp có hoạt động kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu của số lượng lớn chủ thể – những trường hợp này vẫn phải tuân thủ đầy đủ các quy định ngay từ đầu.

Doanh nghiệp nhỏ được xác định theo Luật Hỗ trợ Doanh nghiệp nhỏ và vừa 2017, dựa trên ba tiêu chí chính: số lao động, doanh thu và nguồn vốn. Cụ thể:

1/ Doanh nghiệp siêu nhỏ:
o Thương mại, dịch vụ: dưới 10 lao động, doanh thu ≤ 10 tỷ đồng/năm hoặc vốn ≤ 3 tỷ đồng
o Nông nghiệp, công nghiệp, xây dựng: dưới 10 lao động, doanh thu ≤ 3 tỷ đồng/năm hoặc vốn ≤ 3 tỷ đồng
2/ Doanh nghiệp nhỏ:
o Thương mại, dịch vụ: từ 10–50 lao động, doanh thu từ 10–100 tỷ đồng/năm hoặc vốn từ 3–50 tỷ đồng
o Nông nghiệp, công nghiệp, xây dựng: từ 10–100 lao động, doanh thu từ 3–50 tỷ đồng/năm hoặc vốn từ 3–20 tỷ đồng
3/ Doanh nghiệp khởi nghiệp: thường là doanh nghiệp có thời gian hoạt động dưới 5 năm, có mô hình kinh doanh đổi mới sáng tạo, được xác định theo chương trình hỗ trợ khởi nghiệp của nhà nước.

Dù được miễn trừ một số nghĩa vụ trong giai đoạn chuyển tiếp 5 năm (từ ngày 01/01/2026 đến hết ngày 31/12/2030), các doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp vẫn phải tuân thủ các nguyên tắc cốt lõi về bảo vệ dữ liệu cá nhân. Cụ thể, doanh nghiệp phải đảm bảo việc lấy sự đồng ý rõ ràng của chủ thể dữ liệu, bảo mật thông tin, không chia sẻ trái phép và xóa dữ liệu khi không còn mục đích sử dụng.

Tóm lại, dù có một số linh hoạt dành cho doanh nghiệp nhỏ và khởi nghiệp trong giai đoạn chuyển tiếp 5 năm, mọi tổ chức đều cần rà soát hoạt động xử lý dữ liệu của mình để xác định nghĩa vụ pháp lý cụ thể. Việc tuân thủ đúng quy định không chỉ giúp tránh rủi ro pháp lý mà còn góp phần xây dựng niềm tin với khách hàng và đối tác trong môi trường số ngày càng khắt khe về quyền riêng tư.