Ai phải lập hồ sơ đánh giá tác động DPIA theo Nghị định 356/2025/NĐ-CP?

Từ ngày 01/01/2026, Nghị định 356/2025/NĐ-CP chính thức có hiệu lực, thay thế Nghị định 13/2023/NĐ-CP. Việc xác định doanh nghiệp có thuộc diện bắt buộc phải lập hồ sơ đánh giá tác động hay không là bước đầu tiên để tránh rủi ro pháp lý.

DPO.VN xin phân tích các nhóm đối tượng cụ thể dựa trên quy định mới nhất.

Đối tượng bắt buộc lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA)

Căn cứ khoản 1 Điều 19 Nghị định 356, ngay từ khi bắt đầu xử lý dữ liệu, 03 nhóm chủ thể sau phải lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (theo Mẫu số 10):

Bên Kiểm soát dữ liệu cá nhân: Bên quyết định mục đích và phương tiện xử lý (VD: Doanh nghiệp thu thập thông tin khách hàng, nhân sự).

Bên Kiểm soát và Xử lý dữ liệu cá nhân: Bên vừa quyết định vừa trực tiếp xử lý.

Bên Xử lý dữ liệu cá nhân: Các đơn vị thực hiện xử lý theo hợp đồng ủy quyền (VD: Agency Marketing, cung cấp phần mềm nhân sự, dịch vụ Cloud...).

Lưu ý: Các doanh nghiệp cung cấp dịch vụ (B2B) đóng vai trò là “Bên Xử lý” cũng bắt buộc phải lập hồ sơ riêng, không thể phó mặc trách nhiệm cho bên thuê dịch vụ.

Đối tượng bắt buộc lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Nếu có hoạt động chuyển dữ liệu khỏi lãnh thổ Việt Nam, các bên liên quan phải lập hồ sơ theo Mẫu số 09. Các trường hợp được coi là chuyển dữ liệu ra nước ngoài gồm:

Lưu trữ dữ liệu tại hệ thống máy chủ đặt ngoài Việt Nam.

Chuyển dữ liệu cho tổ chức/cá nhân ở nước ngoài.

Sử dụng nền tảng ở nước ngoài để xử lý dữ liệu thu thập tại Việt Nam.

Quy định "Miễn trừ" và "Ngoại lệ" cho Doanh nghiệp nhỏ (Điều 41)

Đây là điểm đổi mới quan trọng. Nghị định 356 cho phép Doanh nghiệp nhỏ, Doanh nghiệp khởi nghiệp được lựa chọn không thực hiện lập hồ sơ trong 05 năm đầu (kể từ 01/01/2026). Hộ kinh doanh và Doanh nghiệp siêu nhỏ cũng thuộc diện được miễn.

TUY NHIÊN, quyền miễn trừ này sẽ bị HỦY BỎ nếu doanh nghiệp (bất kể quy mô) rơi vào một trong 3 trường hợp sau:

Kinh doanh dịch vụ xử lý dữ liệu: Doanh nghiệp hoạt động chính trong lĩnh vực xử lý dữ liệu (SaaS, Phân tích dữ liệu, Cloud...).

Xử lý dữ liệu cá nhân nhạy cảm: Bao gồm thông tin tài khoản ngân hàng, lịch sử thanh toán, dữ liệu vị trí, thông tin sức khỏe, dữ liệu sinh trắc học (vân tay, khuôn mặt), lý lịch tư pháp...

Quy mô lớn: Có tổng lượng dữ liệu xử lý đạt từ 100.000 chủ thể trở lên.

Quy trình rà soát nhanh cho doanh nghiệp

Để xác định chính xác nghĩa vụ, doanh nghiệp hãy tự trả lời 3 câu hỏi:

Ngành nghề: Có kinh doanh dịch vụ xử lý dữ liệu cá nhân không?

Loại dữ liệu: Có thu thập dữ liệu cá nhân nhạy cảm (tài chính, sức khỏe, vị trí...) không?

Quy mô: Quy mô có vượt quá 100.000 chủ thể dữ liệu không?

Nếu câu trả lời là CÓ ở bất kỳ câu hỏi nào, doanh nghiệp bắt buộc phải lập hồ sơ đánh giá tác động, không phân biệt là doanh nghiệp lớn hay siêu nhỏ.

DPO.VN - Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia Sẵn sàng hỗ trợ doanh nghiệp rà soát và hoàn thiện hồ sơ tuân thủ pháp luật.

Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Cầu Giấy, Thành phố Hà Nội.

Hotline: 0914.315.886

Email: info@dpo.vn

Website: https://dpo.vn