Lập hồ sơ đánh giá tác động dữ liệu đối với công ty trò chơi điện tử

Các công ty trò chơi điện tử là một trong những đối tượng thu thập và xử lý lượng lớn dữ liệu cá nhân nhạy cảm, từ thói quen chơi game, dữ liệu vị trí, lịch sử giao dịch thanh toán, đến thông tin sinh trắc học trong các trò chơi tương tác. Theo quy định của Luật Bảo vệ dữ liệu cá nhân, các doanh nghiệp thực hiện lập hồ sơ đánh giá tác động dữ liệu.

Bài viết này Luật Kỳ Vọng Việt sẽ cung cấp hướng dẫn chi tiết về trình tự, thủ tục lập hồ sơ đánh giá tác động dữ liệu đối với công ty trò chơi điện tử.

Căn cứ pháp lý:

Điều 2, 8, 21, 22 Luật Bảo vệ dữ liệu cá nhân 2025
Điều 24 Nghị định 13/2023/NĐ-CP
Quyết định số 4660/QĐ-BCA-A05

1. Dữ liệu cá nhân công ty trò chơi điện tử xử lý

Dữ liệu cá nhân: Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm:

1.1. Dữ liệu cá nhân cơ bản:

Đây là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
Đối với các công ty trò chơi điện tử, các hoạt động xử lý dữ liệu cá nhân thường bao gồm thu thập các thông tin cơ bản (họ tên, email, số điện thoại, địa chỉ IP,…) khi người sử dụng tiến hành đăng ký tài khoản

1.2. Dữ liệu cá nhân nhạy cảm:

Đây là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành.
Đối với công ty trò chơi điện tử, trong quá trình người sử dụng chơi game thì công ty sẽ tiến hành thu thập dữ liệu hành vi như thời gian chơi, tương tác trong trò chơi, lịch sử mua hàng, tin nhắn, nội dung người chơi tạo ra.
Dữ liệu này có thể được sử dụng để cá nhân hóa trải nghiệm người chơi, gợi ý vật phẩm, bạn chơi phù hợp, đồng thời hỗ trợ phát hiện gian lận, kiểm duyệt nội dung và cải thiện hiệu suất trò chơi.
Nhiều công ty còn chia sẻ dữ liệu với bên thứ ba như nền tảng thanh toán, đối tác quảng cáo hoặc nhà cung cấp dịch vụ lưu trữ đám mây

Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.

2. Xác định trường hợp phải lập hồ sơ đánh giá tác động

Các công ty trò chơi điện tử, dù là công ty Việt Nam hay công ty nước ngoài, nếu đang hoạt động tại Việt Nam và có thực hiện các hoạt động thu thập, xử lý dữ liệu cá nhân của người chơi, thì thuộc đối tượng bắt buộc phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

Tuy nhiên, có một số trường hợp được miễn hoặc tạm hoãn thực hiện, đó là khi công ty trò chơi điện tử thuộc về 2 nhóm sau:

2.1. Doanh nghiệp nhỏ hoặc doanh nghiệp khởi nghiệp, với điều kiện:

Không kinh doanh dịch vụ xử lý dữ liệu cá nhân (tức là không cung cấp dịch vụ thu thập/xử lý dữ liệu cho bên khác)
Không xử lý dữ liệu cá nhân nhạy cảm
Không xử lý dữ liệu của số lượng lớn người dùng

2.2. Doanh nghiệp siêu nhỏ hoặc hộ kinh doanh, với cùng các điều kiện:

Không kinh doanh dịch vụ xử lý dữ liệu cá nhân
Không xử lý dữ liệu nhạy cảm
Không xử lý dữ liệu của số lượng lớn người dùng.

3. Thời điểm lập và nộp hồ sơ

Trong thời hạn 60 ngày kể từ ngày đầu tiên xử lý dữ liệu cá nhân, công ty phải tiến hành lập, lưu trữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và phải tiến hành nộp một (01) bản chính hồ sơ cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân

4. Vai trò của công ty trò chơi điện tử trong chu trình xử lý dữ liệu cá nhân

Trong quá trình hoạt động, công ty trò chơi điện tử có thể đảm nhận một trong ba vai trò theo quy định của Luật Bảo vệ dữ liệu cá nhân năm 2025, tùy vào mức độ kiểm soát và xử lý dữ liệu người dùng cụ thể như sau:

4.1. Bên kiểm soát dữ liệu cá nhân:

Là tổ chức quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. Nếu công ty chủ động quyết định dữ liệu nào cần thu thập (ví dụ: tên đăng nhập, địa chỉ email, tuổi, vị trí thiết bị, hành vi trong game), mục đích thu thập để làm gì (chẳng hạn: cá nhân hóa trải nghiệm chơi, phân tích hành vi, hiển thị quảng cáo), và cách xử lý dữ liệu đó sẽ diễn ra như thế nào.
Trong vai trò này, dù công ty có thể thuê đơn vị khác để thực hiện kỹ thuật xử lý, thì vẫn là đơn vị chịu trách nhiệm chính vì công ty là bên ra quyết định cuối cùng về dữ liệu người chơi.

4.2. Bên xử lý dữ liệu cá nhân:

Chỉ thực hiện hoạt động xử lý dữ liệu theo hợp đồng hoặc thỏa thuận với bên kiểm soát hoặc bên kiểm soát và xử lý dữ liệu cá nhân. Công ty chỉ thực hiện vai trò như một công ty outsource, cung cấp dịch vụ cho một công ty khác như cung cấp dịch vụ lưu trữ máy chủ, phân tích dữ liệu hoặc vận hành kỹ thuật. Khi đó, công ty không quyết định dữ liệu nào được thu thập hay sử dụng ra sao, mà chỉ xử lý đúng theo phạm vi công việc đã thỏa thuận.
Dù không chịu trách nhiệm chính về mục đích xử lý, công ty vẫn phải tuân thủ các quy định pháp luật về bảo mật và xử lý dữ liệu đúng hợp đồng.

4.3. Bên kiểm soát và xử lý dữ liệu cá nhân:

Vừa quyết định mục đích, vừa trực tiếp thực hiện hoạt động xử lý dữ liệu cá nhân. Đây là trường hợp phổ biến nhất đối với công ty trò chơi điện tử. Công ty không chỉ ra quyết định thu thập và sử dụng dữ liệu người chơi, mà còn trực tiếp thực hiện việc xử lý, ví dụ như: tự thiết kế hệ thống thu thập dữ liệu trong trò chơi, lưu trữ thông tin người chơi trên máy chủ riêng, phân tích hành vi để gợi ý vật phẩm trong game hoặc phát hiện hành vi gian lận.
Trong trường hợp này, công ty phải chịu toàn bộ trách nhiệm từ thiết kế hệ thống xử lý đến bảo vệ dữ liệu cá nhân, kể cả bảo mật kỹ thuật và tuân thủ pháp luật.

4.4. Tương ứng với mỗi vai trò, trách nhiệm lập hồ sơ đánh giá tác động cũng được xác định theo vai trò của công ty trò chơi điện tử trong quá trình xử lý dữ liệu:

Bên kiểm soát dữ liệu cá nhân: phải lập, hoàn thiện, lưu trữ và gửi 01 bản chính hồ sơ đánh giá tác động đến Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (hiện nay là Bộ Công an) trong vòng 60 ngày kể từ khi bắt đầu hoạt động xử lý.
Bên vừa kiểm soát vừa xử lý dữ liệu cá nhân: cũng có trách nhiệm lập, hoàn thiện, lưu trữ và gửi hồ sơ đánh giá tác động trong thời hạn 60 ngày như trên.
Bên xử lý dữ liệu cá nhân: có trách nhiệm lập, lưu trữ và nộp hồ sơ đánh giá tác động theo hợp đồng/thỏa thuận đã ký với bên kiểm soát dữ liệu, phù hợp với quy định pháp luật.

5. Thông tin yêu cầu cung cấp trong hồ sơ đánh giá tác động

Theo quy định tại Luật Bảo vệ dữ liệu cá nhân năm 2025, khi lập hồ sơ đánh giá tác động xử lý dữ liệu, công ty – tùy theo vai trò là Bên kiểm soát, Bên vừa kiểm soát vừa xử lý, hoặc Bên xử lý dữ liệu cá nhân – phải cung cấp đầy đủ các thông tin sau:

(1) Đối với Bên kiểm soát dữ liệu cá nhân và Bên vừa kiểm soát vừa xử lý dữ liệu cá nhân:

Thông tin nhận diện và liên hệ của Bên kiểm soát dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân
Họ tên, thông tin liên hệ của tổ chức hoặc cá nhân được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân, cũng như nhân sự chuyên trách bảo vệ dữ liệu cá nhân của các bên liên quan
Mục đích xử lý dữ liệu cá nhân
Danh mục các loại dữ liệu cá nhân được xử lý
Thông tin về tổ chức, cá nhân tiếp nhận dữ liệu cá nhân, bao gồm cả các tổ chức, cá nhân ở ngoài lãnh thổ Việt Nam (nếu có)
Trường hợp chuyển dữ liệu cá nhân ra nước ngoài (nếu có)
Thời gian xử lý dữ liệu, thời điểm dự kiến xóa hoặc hủy dữ liệu cá nhân (nếu có)
Mô tả các biện pháp bảo vệ dữ liệu cá nhân được áp dụng
Đánh giá rủi ro và tác động, bao gồm mức độ ảnh hưởng của việc xử lý dữ liệu, hậu quả không mong muốn có thể xảy ra, cũng như các biện pháp phòng ngừa, giảm thiểu hoặc loại bỏ nguy cơ, thiệt hại

(2) Đối với Bên xử lý dữ liệu cá nhân theo hợp đồng hoặc thỏa thuận với Bên kiểm soát dữ liệu cá nhân:

Thông tin nhận diện và liên hệ của Bên xử lý dữ liệu cá nhân
Họ tên, thông tin liên hệ của tổ chức, cá nhân thực hiện việc xử lý dữ liệu cá nhân theo sự phân công;
Mô tả hoạt động xử lý và loại dữ liệu cá nhân được xử lý theo nội dung hợp đồng hoặc thỏa thuận với Bên kiểm soát dữ liệu cá nhân;
Thời gian xử lý, cùng thời điểm dự kiến xóa hoặc hủy dữ liệu cá nhân (nếu có);
Trường hợp chuyển dữ liệu ra nước ngoài (nếu có)
Mô tả tổng quát về biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
Đánh giá nguy cơ và thiệt hại có thể xảy ra, kèm theo các biện pháp giảm thiểu hoặc loại bỏ những rủi ro này.

Hồ sơ đánh giá tác động xử lí dữ liệu cá nhân được lập thành văn bản chính thức, có giá trị pháp lý với chữ ký, con dấu đầy đủ

Lưu ý: Luật Bảo vệ dữ liệu cá nhân 2025 mới chỉ quy định chung về vấn đề hồ sơ đánh giá tác động dữ liệu nhưng chưa có hướng dẫn chi tiết và biểu mẫu chính thức. Doanh nghiệp có thể tạm thời tham khảo cấu trúc, mẫu biểu tại Nghị định 13/2023/NĐ-CP để đảm bảo hồ sơ đầy đủ cho đến khi có văn bản hướng dẫn mới.

6. Tài liệu cần chuẩn bị trong hồ sơ đánh giá tác động

Căn cứ Luật Bảo vệ dữ liệu cá nhân năm 2025, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi lập, lưu trữ và nộp cho cơ quan có thẩm quyền phải bao gồm các tài liệu sau:

a. Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân:

Kê theo Mẫu 04 (04a cho tổ chức nói chung và công ty trò chơi điện tử nói riêng)

b. 01 bản chính Hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân, tùy theo vai trò của tổ chức/cá nhân trong quá trình xử lý dữ liệu, cần nộp một trong các mẫu:

Mẫu Đ24-DLCN-01: Dành cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân
Mẫu Đ24-DLCN-02: Dành cho Bên Xử lý dữ liệu cá nhân
Mẫu Đ24-DLCN-03: Dành cho Bên Thứ ba

c. Các tài liệu liên quan:

Hợp đồng hoặc văn bản thỏa thuận liên quan xử lý dữ liệu cá nhân với các bên (nếu có)
Biểu mẫu hợp đồng thể hiện sự đồng ý của chủ thể dữ liệu (nếu có)
Các tài liệu yêu cầu trong hồ sơ đánh giá tác động (Mẫu Đ24-DLCN-01, 02 hoặc 03)
Giấy tờ chứng minh (Giấy chứng nhận đăng ký doanh nghiệp đối với tổ chức và Căn cước công dân, chứng minh nhân dân, hộ chiếu và các giấy tờ tùy thân khác đối với cá nhân)
Giấy tờ khác (phụ lục biểu tính toán chi phí, lợi ích của các giải pháp) (nếu có)
Quyết định hoặc giấy tờ liên quan tới thẩm quyền hoặc ủy quyền của đại diện công ty (nếu có)

7. Các bước lập hồ sơ đánh giá tác động xử lí dữ liệu cá nhân

Để lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, công ty cần thực hiện đầy đủ các bước sau:

Bước 1: Chuẩn bị mẫu hồ sơ và truy cập hệ thống nộp hồ sơ.

Tổ chức, doanh nghiệp (bao gồm công ty trò chơi điện tử) truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân theo thông báo của Bộ Công an để tiếp cận biểu mẫu. Đối với công ty trò chơi điện tử, đơn vị sử dụng Mẫu số 04a dành cho tổ chức để lập hồ sơ đánh giá tác động. Trường hợp không thực hiện trực tuyến, có thể tải và in mẫu biểu phù hợp

Bước 2: Khai báo nội dung hồ sơ đánh giá tác động

Doanh nghiệp tiến hành điền đầy đủ các nội dung yêu cầu trong mẫu, bao gồm: loại dữ liệu cá nhân thu thập, mục đích xử lý, phạm vi chia sẻ dữ liệu, thời gian lưu trữ, các biện pháp bảo mật, quyền và biện pháp để người dùng thực hiện quyền của mình. Trong lĩnh vực trò chơi điện tử, các nội dung này cần thể hiện rõ việc thu thập dữ liệu người dùng dưới dạng tên đăng nhập, hành vi trong game, giao dịch tài khoản, thông tin vị trí, thói quen chơi,… cũng như các công nghệ xử lý dữ liệu được sử dụng (ví dụ AI, phân tích hành vi người chơi).

Bước 3: Lưu trữ

Tiến hành lưu trữ trong nội bộ công ty, và gửi 01 bản hồ sơ qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc gửi hồ sơ, mẫu đơn đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.

Bước 4: Tiếp nhận và xử lý từ phía cơ quan chức năng

Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao sẽ tiếp nhận hồ sơ, đánh giá và phản hồi kết quả. Trong trường hợp hồ sơ chưa đầy đủ, chưa đạt yêu cầu hoặc có nội dung cần làm rõ, cơ quan chức năng sẽ yêu cầu doanh nghiệp bổ sung, chỉnh sửa. Doanh nghiệp cần theo dõi thông báo để kịp thời hoàn thiện hồ sơ.

Nơi nộp hồ sơ: Có thể nộp theo ba phương thức chính

Nộp trực tiếp: tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
Nộp trực tuyến: truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an)
Dịch vụ bưu chính: tiếp nhận hồ sơ qua dịch vụ bưu chính công ích

8. Trường hợp cần cập nhật hồ sơ

Trong tình huống thông thường, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được cập nhật định kì 06 tháng khi có sự thay đổi không thuộc một số trường hợp sau, khi mà công ty phải tiến hành cập nhật ngay hồ sơ đánh giá tác động xử lý dữ liệu cá nhân:

Khi cơ quan, tổ chức, đơn vị được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật
Khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân
Khi phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Việc cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được thực hiện trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc tại cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Việc cập nhật phải thực hiện theo Mẫu số 05

9. Hệ quả pháp lý nếu không tuân thủ

Cơ quan, tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân tùy theo tính chất và mức độ có thể bị xử lý kỷ luật, xử phạt hành chính hoặc truy cứu trách nhiệm hình sự theo quy định pháp luật. Đối với xử phạt vi phạm hành chính, mức phạt tiền tối đa trong lĩnh vực bảo vệ dữ liệu cá nhân được xác định theo từng nhóm hành vi cụ thể.

KẾT LUẬN

Lập hồ sơ đánh giá tác động dữ liệu là một bước đi chiến lược và pháp lý bắt buộc, là công cụ hữu hiệu để các công ty trò chơi điện tử xác định, quản lý và giảm thiểu rủi ro bảo mật dữ liệu. Việc tuân thủ đầy đủ quy trình này giúp doanh nghiệp chứng minh trách nhiệm giải trình trước cơ quan quản lý và củng cố niềm tin với cộng đồng người chơi.

Trên đây là Lập hồ sơ đánh giá tác động dữ liệu đối với công ty trò chơi điện tử. Nếu bạn còn thắc mắc liên quan đến vấn đề này. Hãy liên hệ với Luật Kỳ Vọng Việt để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492