Chưa đến 20% hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới "đạt chuẩn"

“Tỷ lệ hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới đạt yêu cầu còn khá thấp, dưới 20%. Điều đó đồng nghĩa với khoảng 80% hồ sơ vẫn cần phải chỉnh sửa, bổ sung”, bà Hoa cho hay. 

Trên thực tế, cơ quan quản lý đã thực hiện việc phản hồi, yêu cầu bổ sung hồ sơ bằng văn bản. Tuy nhiên, nhiều doanh nghiệp sau khi nhận được phản hồi vẫn gặp khó khăn trong việc xác định cần điều chỉnh những nội dung gì để hồ sơ đạt chuẩn.

Theo vị chuyên gia, đây cũng là bài toán đặt ra cho cơ quan quản lý: cần tổng kết, phân tích các lỗi phổ biến trong hồ sơ để xây dựng hướng dẫn cụ thể, rõ ràng hơn. Mục tiêu là giúp doanh nghiệp có thể hoàn thiện hồ sơ chỉ trong một lần bổ sung. 

Điểm cốt lõi dẫn đến chất lượng hồ sơ chưa cao, theo phân tích, nằm ở cách tiếp cận. 

“Chúng ta đang thực hiện nộp hồ sơ với tâm thế là nghĩa vụ phải nộp, thay vì hiểu đúng bản chất của đánh giá tác động để kiểm soát được rủi ro trong hoạt động xử lý dữ liệu cá nhân”, bà Hoa nói. 

Cách tiếp cận này cũng tương đồng với tư duy quản trị rủi ro trong an ninh mạng: không có hệ thống nào an toàn tuyệt đối, và hoạt động xử lý dữ liệu cá nhân luôn tiềm ẩn rủi ro. 

“Việc đánh giá rủi ro cao hay thấp phải gắn với quy mô, tính chất và phạm vi hoạt động xử lý dữ liệu của từng doanh nghiệp. Ví dụ hệ thống tòa nhà 2 tầng đương nhiên khác với tòa nhà 10 tầng hay 100 tầng. Như vậy, phạm vi hay mức độ rủi ro sẽ khác nhau”, bà Hoa cho biết.

Do đó, việc đánh giá tác động của doanh nghiệp phải bắt đầu từ quá trình rà soát toàn diện hoạt động xử lý dữ liệu trong doanh nghiệp, cũng như mối liên hệ với các đối tác liên quan.

Quan trọng hơn, đánh giá tác động không phải là công việc “làm một lần cho xong”, mà cần được thực hiện thường xuyên, gắn với hoạt động vận hành của doanh nghiệp.

Khi được xây dựng đúng cách, hồ sơ đánh giá tác động không chỉ phục vụ yêu cầu tuân thủ, mà còn trở thành công cụ quản trị hiệu quả.

“Tất cả các nội dung được yêu cầu trong hồ sơ thực chất đều là những chỉ dẫn giúp doanh nghiệp nhận diện đầy đủ các khía cạnh cần tuân thủ trong bảo vệ dữ liệu cá nhân”, chuyên gia nhấn mạnh.

Vậy liệu doanh nghiệp quy mô nhỏ có bắt buộc phải thiết lập quy trình bảo vệ dữ liệu cá nhân hay không?

Trả lời câu hỏi này, Luật sư Lưu Xuân Vĩnh, người sáng lập Asia Legal, cho biết Luật Bảo vệ dữ liệu cá nhân và Nghị định 356/2025/NĐ-CP hướng dẫn Luật Bảo vệ dữ liệu cá nhân có đưa ra các trường hợp miễn trừ. 

Cụ thể, các đối tượng bao gồm doanh nghiệp nhỏ, doanh nghiệp siêu nhỏ, hộ kinh doanh và startup được miễn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và không bắt buộc chỉ định nhân sự bảo vệ dữ liệu trong 5 năm (2026-2030).

Tuy nhiên, chuyên gia nhấn mạnh cơ chế miễn trừ này không mang tính tuyệt đối.

Trường hợp các đối tượng này cung cấp dịch vụ xử lý dữ liệu cá nhân hoặc trực tiếp xử lý dữ liệu cá nhân nhạy cảm, thì vẫn phải tuân thủ đầy đủ các nghĩa vụ pháp lý, bao gồm cả việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

Danh mục dữ liệu cá nhân nhạy cảm đã được quy định cụ thể trong Nghị định 356 và các văn bản liên quan, vì vậy doanh nghiệp cần đối chiếu để xác định đúng phạm vi áp dụng.

Do đó, bước đầu tiên doanh nghiệp cần thực hiện là rà soát lại hoạt động của mình để xác định: liệu có đang cung cấp dịch vụ xử lý dữ liệu cá nhân hay không, và có đang xử lý dữ liệu cá nhân nhạy cảm hay không. Trong trường hợp thuộc một trong hai nhóm nêu trên, doanh nghiệp vẫn bắt buộc phải thực hiện đánh giá tác động, bất kể quy mô.