Doanh nghiệp nào phải nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân từ năm 2026?

Từ ngày 01/01/2026, hành lang pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam sẽ bước sang trang mới khi Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 và Nghị định 356/2025/NĐ-CP chính thức có hiệu lực (thay thế Nghị định 13/2023/NĐ-CP).

Vấn đề cấp thiết nhất hiện nay đối với các chủ doanh nghiệp là: "Doanh nghiệp đó có bắt buộc phải nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) không?". DPO.VN sẽ giải đáp chi tiết dựa trên các quy định mới nhất.

Nguyên tắc chung: Đối tượng bắt buộc phải lập hồ sơ

Căn cứ Điều 21 Luật Bảo vệ dữ liệu cá nhân và Điều 19 Nghị định 356, nghĩa vụ lập và gửi hồ sơ DPIA áp dụng cho hầu hết các tổ chức tham gia vào quá trình xử lý dữ liệu cá nhân, bao gồm 3 nhóm:

+ Bên Kiểm soát dữ liệu cá nhân: Các doanh nghiệp quyết định mục đích và phương tiện xử lý (VD: Doanh nghiệp quản lý nhân sự, bán hàng trực tiếp...).

+ Bên Xử lý dữ liệu cá nhân: Các đơn vị thực hiện xử lý dữ liệu cá nhân thay mặt cho bên khác thông qua hợp đồng.

+ Bên Kiểm soát và Xử lý dữ liệu cá nhân: Tổ chức vừa quyết định mục đích, vừa trực tiếp thực hiện xử lý dữ liệu cá nhân.

Lưu ý quan trọng cho mô hình B2B: Các doanh nghiệp cung cấp dịch vụ như Marketing Agency, phần mềm nhân sự (SaaS), cho thuê máy chủ (Cloud) hay Logistics... dù chỉ xử lý dữ liệu cá nhân thay mặt khách hàng, vẫn buộc phải lập và nộp hồ sơ của riêng mình.

Doanh nghiệp Nhỏ và Khởi nghiệp (SME & Startup) có được miễn trừ?

Theo Điều 41 Nghị định 356/2025/NĐ-CP, doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp có quyền lựa chọn miễn thực hiện lập hồ sơ trong 05 năm đầu (kể từ 01/01/2026).

TUY NHIÊN, quyền miễn trừ này sẽ VÔ HIỆU (tức là doanh nghiệp vẫn phải nộp hồ sơ ngay) nếu thuộc một trong các trường hợp sau:

+ Kinh doanh dịch vụ xử lý dữ liệu cá nhân: Các công ty cung cấp giải pháp dữ liệu, phân tích thị trường...

+ Xử lý dữ liệu cá nhân nhạy cảm: Bao gồm thông tin tài khoản ngân hàng, lịch sử thanh toán, dữ liệu vị trí, tình trạng sức khỏe, lý lịch tư pháp...

+ Quy mô lớn: Xử lý từ 100.000 chủ thể dữ liệu trở lên.

Cảnh báo: Rất nhiều SME lầm tưởng mình được miễn, nhưng thực tế việc nắm giữ thông tin thanh toán hay sức khỏe nhân viên đã đưa họ vào nhóm "xử lý dữ liệu nhạy cảm" và buộc phải tuân thủ luật ngay lập tức.

Các ngành nghề "đặc biệt" bắt buộc phải nộp hồ sơ

Dựa trên tính chất dữ liệu nhạy cảm và quy mô, các nhóm ngành sau đây gần như chắc chắn phải thực hiện thủ tục DPIA:

+ Y tế, Dược, Bảo hiểm: Xử lý dữ liệu sức khỏe.

+ Tài chính, Ngân hàng, Fintech: Xử lý dữ liệu tài chính, tín dụng.

+ Thương mại điện tử (E-commerce): Dữ liệu thanh toán và hành vi tiêu dùng lớn.

+ Giáo dục: Thông tin học sinh, phụ huynh.

+ Công nghệ (IT/SaaS): Cung cấp nền tảng xử lý dữ liệu.

+ Dịch vụ nhân sự (Headhunter): Xử lý hồ sơ ứng viên.

Chế tài xử phạt: Mức phạt kỷ lục

Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 quy định mức phạt rất nặng nhằm đảm bảo tính răn đe:

+ Phạt tiền: Tối đa lên tới 3 tỷ đồng cho các vi phạm về bảo vệ dữ liệu.

+ Phạt theo doanh thu: Vi phạm chuyển dữ liệu xuyên biên giới có thể bị phạt tới 5% tổng doanh thu năm tài chính liền kề.

+ Hình phạt bổ sung: Đình chỉ hoạt động xử lý dữ liệu (đồng nghĩa với việc tê liệt hoạt động kinh doanh).

Giải pháp tuân thủ toàn diện từ DPO.VN

Việc xác định vai trò pháp lý và lập hồ sơ chuẩn chỉnh (Mẫu số 10, Mẫu số 09...) đòi hỏi chuyên môn sâu. DPO.VN - Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia cung cấp giải pháp trọn gói:

+ Rà soát & Phân loại: Xác định chính xác nghĩa vụ nộp hồ sơ của doanh nghiệp.

+ Lập Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (DPIA): Soạn thảo hồ sơ rủi ro và biện pháp bảo vệ theo chuẩn Nghị định 356.

+ Lập Hồ sơ Chuyển dữ liệu xuyên biên giới: Hỗ trợ doanh nghiệp sử dụng server nước ngoài hoặc báo cáo cho công ty mẹ.

+ Đại diện pháp lý: Làm việc trực tiếp với Cục A05 - Bộ Công an đến khi hồ sơ được thẩm định đạt yêu cầu.

Đừng để rủi ro pháp lý ảnh hưởng đến sự phát triển bền vững của doanh nghiệp.

LIÊN HỆ TƯ VẤN NGAYDPO.VN - CÔNG TY TNHH BẢO VỆ DỮ LIỆU CÁ NHÂN QUỐC GIA

+ Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Q. Cầu Giấy, Hà Nội.

+ Hotline: 0914.315.886

+ Email: info@dpo.vn

+ Website: https://dpo.vn/