Chưa đến 20% hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới đạt chuẩn

Trong bối cảnh giao dịch xuyên biên giới ngày càng nhiều trên môi trường số, Luật Bảo vệ Dữ liệu Cá nhân (PDPA) có hiệu lực từ đầu năm nay yêu cầu các cơ quan, tổ chức và cá nhân khi chuyển dữ liệu cá nhân xuyên biên giới phải soạn hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (PIA). Tuy nhiên, theo thông tin từ cơ quan quản lý, tỷ lệ hồ sơ PDIA đáp ứng yêu cầu vẫn ở mức thấp.

Một chuyên gia pháp lý về tuân thủ thuộc Phòng An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao cho biết, tại khu vực doanh nghiệp FDI ở Việt Nam, nhìn chung việc nộp hồ sơ PDIA xuyên biên giới được thực hiện tương đối tốt về mặt số lượng. Điểm vướng chủ yếu nằm ở chất lượng hồ sơ, tức nội dung chưa đáp ứng chuẩn theo yêu cầu.

Tỷ lệ hồ sơ đạt chuẩn dưới 20%

Theo đánh giá, tỷ lệ hồ sơ PDIA đạt chuẩn hiện dưới 20%, tương đương khoảng 80% hồ sơ cần chỉnh sửa. Trong thực tế, cơ quan quản lý đã có phản hồi bằng văn bản và yêu cầu bổ sung. Dù vậy, nhiều doanh nghiệp sau khi nhận phản hồi vẫn gặp khó khăn trong việc xác định chính xác nội dung cần điều chỉnh để hồ sơ đạt chuẩn.

Nguyên nhân cốt lõi: tiếp cận đánh giá tác động

Chuyên gia cho rằng đây cũng là thách thức đối với cơ quan quản lý, khi cần tổng kết và phân tích các lỗi phổ biến trong hồ sơ để xây dựng hướng dẫn cụ thể, dễ áp dụng hơn, giúp doanh nghiệp hoàn thiện hồ sơ chỉ với một lần bổ sung.

Về nguyên nhân dẫn đến chất lượng hồ sơ thấp, phân tích chỉ ra rằng một số tổ chức nộp hồ sơ theo tư duy “nghĩa vụ tuân thủ” thay vì hiểu đúng bản chất của đánh giá tác động nhằm kiểm soát rủi ro trong xử lý dữ liệu cá nhân. Cách tiếp cận này được cho là tương đồng với tư duy quản trị rủi ro trong an ninh mạng: không có hệ thống nào an toàn tuyệt đối, và hoạt động xử lý dữ liệu cá nhân luôn tiềm ẩn rủi ro.

Việc đánh giá rủi ro cao hay thấp cần gắn với quy mô, tính chất và phạm vi xử lý dữ liệu của từng doanh nghiệp. Ví dụ, phạm vi và mức độ rủi ro của hệ thống quy mô nhỏ sẽ khác với hệ thống có quy mô lớn hơn.

Diễn biến và cách làm để nâng chất lượng hồ sơ

Chuyên gia nhấn mạnh, đánh giá tác động cho từng doanh nghiệp nên bắt đầu bằng việc rà soát toàn diện hoạt động xử lý dữ liệu và mối quan hệ với các đối tác liên quan. Quan trọng hơn, đánh giá tác động không phải là công việc làm một lần, mà cần được thực hiện thường xuyên gắn với hoạt động vận hành.

Khi được xây dựng đúng, hồ sơ PDIA không chỉ nhằm đáp ứng yêu cầu tuân thủ mà còn được xem là công cụ quản trị hiệu quả. Theo đó, nội dung trong hồ sơ thực chất là các chỉ dẫn giúp doanh nghiệp nhận diện đầy đủ các khía cạnh tuân thủ trong bảo vệ dữ liệu cá nhân.

Doanh nghiệp nhỏ có được miễn lập hồ sơ?

Liên quan đến câu hỏi doanh nghiệp quy mô nhỏ có bắt buộc thiết lập khuôn khổ bảo vệ dữ liệu cá nhân hay không, Luật sư Lưu Xuân Vĩnh, người sáng lập Asia Legal, cho biết Luật Bảo vệ Dữ liệu Cá nhân và Nghị định 356/2025/NĐ-CP nêu các trường hợp được miễn. Tuy nhiên, phạm vi miễn trừ không tuyệt đối.

Luật sư lưu ý rằng nếu các thực thể thuộc diện miễn trừ nhưng vẫn cung cấp dịch vụ xử lý dữ liệu cá nhân hoặc trực tiếp xử lý dữ liệu nhạy cảm, họ vẫn phải tuân thủ đầy đủ nghĩa vụ pháp lý, bao gồm cả việc lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

Danh mục dữ liệu cá nhân nhạy cảm đã được quy định trong Nghị định 356 và các văn bản liên quan, vì vậy doanh nghiệp cần đối chiếu để xác định phạm vi áp dụng. Theo khuyến nghị, bước đầu tiên là rà soát hoạt động kinh doanh để xác định liệu có cung cấp dịch vụ xử lý dữ liệu cá nhân và có xử lý dữ liệu nhạy cảm hay không. Nếu có, doanh nghiệp vẫn phải thực hiện đánh giá tác động bất kể quy mô.