CHUẨN BỊ THANH TRA BẢO VỆ DLCN THEO LUẬT BVDLCN 2025: QUY ĐỊNH VÀ CÁC LƯU Ý PHỤC VỤ QUÁ TRÌNH THANH TRA

Hướng dẫn chuẩn bị thanh tra bảo vệ dữ liệu cá nhân (DLCN) theo Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN 2025): quy định cần tuân thủ, các bước chuẩn bị và sai lầm phổ biến cần tránh.

Thanh tra bảo vệ DLCN là gì?

Thanh tra về bảo vệ DLCN là hoạt động do cơ quan nhà nước có thẩm quyền thực hiện để kiểm tra, đánh giá việc tuân thủ các quy định về thu thập, xử lý, lưu trữ, và chuyển giao DLCN.

Đối tượng phải chuẩn bị thanh tra

Mọi tổ chức, cá nhân xử lý DLCN, bao gồm Bên kiểm soát, Bên Kiểm soát và xử lý  (quyết định mục đích xử lý), Bên xử lý (thay mặt thực hiện xử lý), Bên thứ ba đều phải chuẩn bị cho việc có thể bị thanh tra.

Cơ quan thực hiện thanh tra DLCN

Theo Nghị định 13, Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (A05) thuộc Bộ Công an là cơ quan chịu trách nhiệm chính đối với việc quản lý các hoạt động liên quan đến DLCN.

Theo Luật BVDLCN 2025, cơ quan chuyên trách bảo vệ DLCN sẽ đảm nhiệm vai trò này. Tuy hiện chưa có văn bản quy định cụ thể cơ quan nào sẽ đảm nhiệm vai trò này theo luật mới nhưng nhiều khả năng vẫn sẽ là A05.

Thời điểm thanh tra

Hoạt động thanh tra có thể diễn ra định kỳ (theo kế hoạch hàng năm) hoặc đột xuất (khi có khiếu nại, dấu hiệu vi phạm). Việc kiểm tra hoạt động bảo vệ dữ liệu cá nhân được thực hiện theo quy định của Luật BVDLCN 2025 này và được Chính phủ quy định chi tiết. Do đó, hoạt động tuân thủ phải được thực hiện thường xuyên, liên tục thay vì chỉ chuẩn để “đối phó” tại thời điểm thanh tra.

Các nội dung có thể bị yêu cầu giải trình khi thanh tra

Một số vấn đề mà cơ quan thanh tra có thể xem xét bao gồm:

Cơ sở pháp lý và chính sách nội bộ

• Quy chế, quy trình bảo vệ DLCN: Doanh nghiệp/đơn vị đã ban hành chính sách bảo vệ dữ liệu cá nhân, quy trình xử lý dữ liệu, quy định phân quyền hay chưa; có cập nhật phù hợp với Luật Bảo vệ DLCN 2025, Nghị định 13/2023/NĐ-CP (nếu còn hiệu lực), và các văn bản chuyên ngành khác.
• Thông báo và xin đồng ý: Kiểm tra tài liệu, biểu mẫu, nội dung thông báo cho chủ thể dữ liệu về mục đích, phạm vi, thời gian lưu trữ, quyền của chủ thể dữ liệu.

Hoạt động thu thập và xử lý dữ liệu

• Nguồn dữ liệu: Dữ liệu được thu thập từ đâu, có hợp pháp hay không (trực tiếp từ chủ thể hay từ bên thứ ba).
• Căn cứ xử lý: Có sự đồng ý của chủ thể hay thuộc trường hợp được phép xử lý không cần đồng ý (ví dụ: nghĩa vụ pháp lý, bảo vệ tính mạng, sức khỏe, thực hiện hợp đồng…).
• Phạm vi xử lý: Có đúng mục đích đã thông báo, có lạm dụng hay mở rộng phạm vi không.

Quyền của chủ thể dữ liệu

• Tiếp nhận và xử lý yêu cầu: Thời gian phản hồi khi chủ thể yêu cầu rút lại sự đồng ý, chỉnh sửa, xóa dữ liệu, hoặc phản đối xử lý.
• Cơ chế thực hiện: Biểu mẫu, kênh tiếp nhận yêu cầu (email, hotline, cổng thông tin), hồ sơ ghi nhận và lưu trữ yêu cầu.

Biện pháp bảo mật và quản trị rủi ro

• Kỹ thuật và tổ chức: Mã hóa, phân quyền truy cập, tường lửa, log ghi nhận truy cập, sao lưu dữ liệu, bộ nhiệm nhân sự, phòng ban phụ trách bảo vệ dữ liệu cá nhân, hồ sơ đánh giá xử lý dữ liệu, v.v.
• Quản lý rò rỉ dữ liệu: Kế hoạch ứng phó sự cố, quy trình báo cáo vi phạm (incident response), thời gian thông báo cho cơ quan chức năng và chủ thể dữ liệu, v.v.
• Bổ nhiệm DPO, bộ phận phụ trách bảo vệ DLCN theo yêu cầu.
• Đào tạo nhân sự: Kiểm tra việc đào tạo, nâng cao nhận thức bảo mật cho nhân viên.

Hồ sơ đánh giá tác động

• Hồ sơ đánh giá tác động xử lý DLCN.
• Hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới.

Chuyển giao và chia sẻ dữ liệu

• Chia sẻ cho bên thứ ba: Kiểm tra hợp đồng, thỏa thuận bảo mật, mục đích và giới hạn chia sẻ, thông tin liên hệ với nhân sự phụ trách của bên nhận, v.v.

Lưu trữ, xóa và hủy dữ liệu

• Thời hạn lưu trữ: So sánh giữa thực tế lưu trữ và thời hạn đã thông báo cho chủ thể.
• Cơ chế xóa/hủy an toàn: Kiểm tra quy trình xóa dữ liệu khi hết thời hạn hoặc khi chủ thể yêu cầu.

Sai lầm phổ biến cần tránh trước và trong quá trình thanh tra DLCN

Trước khi thanh tra:

• Không cập nhật quy định mới: Tiếp tục áp dụng chính sách cũ, thiếu nghĩa vụ theo Luật BVDLCN 2025.
• Hồ sơ thiếu hoặc rời rạc: Chính sách, hợp đồng, bằng chứng xin sự đồng ý, log hệ thống không được lưu tập trung; khó xuất trình nhanh.
• Không có người phụ trách rõ ràng: Chưa phân công đầu mối pháp lý/kỹ thuật để tiếp đoàn, giải đáp và cung cấp hồ sơ.
• Không diễn tập nội bộ: Nhân viên chưa được hướng dẫn, không biết cách phản hồi hoặc cung cấp thông tin.

Trong quá trình thanh tra:

• Cung cấp thông tin không nhất quán: Các phòng ban trả lời khác nhau, thiếu thống nhất với chính sách đã ban hành.
• Trả lời tùy tiện hoặc quá mức: Tiết lộ dữ liệu ngoài phạm vi yêu cầu của đoàn thanh tra.
• Chậm trễ hoặc né tránh: Không cung cấp tài liệu đầy đủ, đúng thời hạn, gây ấn tượng thiếu hợp tác.
• Thiếu ghi nhận: Không lập biên bản, không lưu lại yêu cầu và phản hồi của đoàn để làm căn cứ sau này.

CÂU HỎI THƯỜNG GẶP

Khi nào cơ quan chức năng có thể tiến hành thanh tra?

Thanh tra có thể diễn ra định kỳ theo kế hoạch hằng năm hoặc đột xuất khi có dấu hiệu vi phạm, khiếu nại/tố cáo của chủ thể dữ liệu, hoặc xảy ra sự cố về dữ liệu. Một số lĩnh vực nhạy cảm (tài chính, y tế, viễn thông) việc kiểm tra có thể thường xuyên hơn.

Doanh nghiệp cần chuẩn bị những tài liệu gì trước khi thanh tra?

Cần sẵn sàng:

• Chính sách và quy trình bảo vệ DLCN, quyết định bổ nhiệm người phụ trách dữ liệu (DPO).
• Danh mục dữ liệu (loại dữ liệu, mục đích xử lý, thời hạn lưu trữ, bên thứ ba liên quan).
• Biểu mẫu thông báo và xin đồng ý, hợp đồng/thoả thuận chia sẻ dữ liệu.
• Log truy cập hệ thống, báo cáo sự cố, hồ sơ xử lý yêu cầu của chủ thể dữ liệu.
• Hồ sơ đánh giá tác động, hồ sơ chuyển DLCN xuyên biên giới.
• Hồ sơ đào tạo và biên bản phổ biến chính sách cho nhân viên.
• Hợp đồng, thỏa thuận về xử lý và bảo vệ DLCN.
• Các chứng nhận về an toàn thông tin, bảo vệ DLCN (nếu có).
• Báo cáo tóm tắt về tình hình tuân thủ bảo vệ DLCN của doanh nghiệp để trình bày cho cơ quan chức năng.

Nếu phát hiện vi phạm, mức xử phạt hành chính như thế nào?

Tùy vào vi phạm mà mức phạt sẽ khác nhau. Luật BVDLCN 2025 quy định về mức phạt vi phạm hành chính tối đa áp dụng cho tổ chức (mức xử phạt vi phạm áp dụng cho cá nhân bằng một nửa tổ chức) như sau:

• Đối với hành vi mua bán DLCN: 10 lần khoản thu từ vi phạm hoặc 3 tỷ đồng, tùy theo mức nào cao hơn.
• Đối với vi phạm về chuyển dữ liệu xuyên biên giới: 5% doanh thu năm liền trước hoặc 3 tỷ đồng, tùy theo mức nào cao hơn.
• Đối với các vi phạm khác: 3 tỷ đồng

#PDPL #privacy #personaldata #privacycompliance #dulieucanhan #DLCN #inspection #state #preparation #TuanThuPhapLuat #compliance

Tuyên bố miễn trừ trách nhiệm: Thông tin trong tài liệu này chỉ có tính chất tham khảo, không cấu thành ý kiến tư vấn pháp lý chính thức. PrivacyCompliance không chịu trách nhiệm đối với mọi thiệt hại phát sinh từ việc sử dụng hoặc dựa vào thông tin này.