10 Việc Cần Chuẩn Bị Khi Thanh Tra Bảo Vệ Dữ Liệu Cá Nhân

10 Việc Cần Chuẩn Bị Khi Thanh Tra Bảo Vệ Dữ Liệu Cá Nhân là danh sách những công việc thiết yếu mà doanh nghiệp phải hoàn thành để đảm bảo tuân thủ pháp luật và giảm thiểu rủi ro bị xử phạt. Với sự hỗ trợ từ các chuyên gia tại DPO.VN, doanh nghiệp sẽ tự tin hơn trong việc chuẩn bị hồ sơ, quy trình và các biện pháp bảo mật cần thiết trước mọi cuộc thanh tra.

Tại sao doanh nghiệp cần chuẩn bị kỹ lưỡng cho thanh tra bảo vệ dữ liệu cá nhân?

Chuẩn bị kỹ lưỡng giúp doanh nghiệp tránh được các án phạt hành chính nặng nề (lên tới 5% doanh thu), bảo vệ uy tín thương hiệu và đảm bảo hoạt động kinh doanh không bị gián đoạn do các yêu cầu đình chỉ hoặc thu hồi giấy phép.

Hoạt động thanh tra, kiểm tra về bảo vệ dữ liệu cá nhân không chỉ là một thủ tục hành chính mà là một thước đo quan trọng về mức độ tuân thủ pháp luật của doanh nghiệp. Theo Điều 32 Luật Bảo vệ dữ liệu cá nhân, cơ quan chức năng (Bộ Công an) có quyền tiến hành kiểm tra thường xuyên hoặc đột xuất. Việc không chuẩn bị tốt có thể dẫn đến việc không cung cấp đủ hồ sơ, không giải trình được các biện pháp bảo mật, từ đó dẫn đến kết luận vi phạm.

Hơn nữa, trong bối cảnh Luật Bảo vệ dữ liệu cá nhân 2025 sắp có hiệu lực với các chế tài xử phạt nghiêm khắc, sự chủ động chuẩn bị là “lá chắn” tốt nhất cho doanh nghiệp. Một quy trình chuẩn bị bài bản không chỉ giúp vượt qua đợt thanh tra mà còn củng cố hệ thống quản trị dữ liệu nội bộ, nâng cao niềm tin của khách hàng và đối tác.

1. Hoàn thiện và lưu trữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân như thế nào?

Doanh nghiệp cần lập Hồ sơ đánh giá tác động theo Mẫu Đ24-DLCN-01 (hoặc 02, 03 tùy vai trò), gửi 01 bản chính về Cục A05 trong vòng 60 ngày kể từ khi xử lý dữ liệu, và phải luôn có sẵn hồ sơ tại trụ sở để phục vụ kiểm tra.

Đây là tài liệu quan trọng bậc nhất mà đoàn thanh tra sẽ yêu cầu đầu tiên. Theo Điều 24 Nghị định 13/2023/NĐ-CP và Điều 21 Luật Bảo vệ dữ liệu cá nhân, hồ sơ này là bằng chứng cho thấy doanh nghiệp đã nhận diện và có biện pháp quản lý rủi ro đối với dữ liệu cá nhân.

• Rà soát nội dung: Đảm bảo hồ sơ bao gồm đầy đủ các phần: thông tin liên lạc, mục đích xử lý, loại dữ liệu, thời gian lưu trữ, và quan trọng nhất là phần đánh giá tác động rủi ro cùng biện pháp giảm thiểu.
• Cập nhật thường xuyên: Nếu có bất kỳ thay đổi nào về quy trình xử lý hoặc loại dữ liệu, doanh nghiệp phải cập nhật hồ sơ (sử dụng Mẫu số 05a/05b) và gửi lại cho cơ quan chức năng. Hồ sơ lỗi thời sẽ bị coi là không tuân thủ.
• Lưu trữ khoa học: Bản sao hồ sơ đã nộp, cùng với biên nhận hoặc thông báo tiếp nhận từ Cục A05, cần được lưu trữ cẩn thận, dễ dàng truy xuất khi đoàn thanh tra yêu cầu.

2. Chuẩn bị Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài cần lưu ý gì?

Nếu có hoạt động chuyển dữ liệu ra nước ngoài, doanh nghiệp bắt buộc phải có Hồ sơ đánh giá tác động chuyển dữ liệu (Mẫu Đ24-DLCN-04) kèm theo văn bản thỏa thuận ràng buộc trách nhiệm với bên nhận dữ liệu ở nước ngoài.

Với các doanh nghiệp đa quốc gia hoặc sử dụng dịch vụ đám mây quốc tế, đây là nội dung kiểm tra trọng điểm. Theo Điều 25 Nghị định 13 và Điều 20 Luật mới:

• Xác định luồng dữ liệu: Doanh nghiệp cần chứng minh được luồng đi của dữ liệu, bên nhận là ai, ở quốc gia nào và mục đích chuyển là gì.
• Hợp đồng/Thỏa thuận: Phải có văn bản pháp lý (hợp đồng, thỏa thuận nội bộ tập đoàn) quy định rõ trách nhiệm bảo vệ dữ liệu của bên nhận ở nước ngoài. Đây là tài liệu bắt buộc phải đính kèm trong hồ sơ.
• Thông báo sau khi chuyển: Đừng quên nghĩa vụ thông báo bằng văn bản cho Bộ Công an sau khi việc chuyển dữ liệu đã diễn ra thành công. Lưu trữ bằng chứng của việc thông báo này.

3. Chỉ định và công khai thông tin của Bộ phận/Nhân sự bảo vệ dữ liệu cá nhân (DPO)

Doanh nghiệp cần ban hành quyết định bổ nhiệm nhân sự hoặc thành lập bộ phận bảo vệ dữ liệu cá nhân (đặc biệt khi xử lý dữ liệu nhạy cảm) và đảm bảo thông tin liên lạc của họ được công khai để chủ thể dữ liệu và cơ quan chức năng dễ dàng liên hệ.

Điều 28 Nghị định 13 yêu cầu các bên kiểm soát và xử lý dữ liệu phải chỉ định bộ phận/nhân sự phụ trách. Khi thanh tra, doanh nghiệp cần xuất trình:

• Quyết định bổ nhiệm hoặc văn bản phân công nhiệm vụ chính thức.
• Thông tin liên lạc (email, số điện thoại) của DPO đã được cung cấp trong các hồ sơ gửi Bộ Công an.
• Bằng chứng về việc bộ phận này hoạt động thực chất (ví dụ: các biên bản họp, báo cáo nội bộ về bảo vệ dữ liệu).

4. Rà soát và chuẩn bị các quy định, quy trình nội bộ về bảo vệ dữ liệu

Doanh nghiệp phải ban hành và áp dụng các quy chế nội bộ về bảo vệ dữ liệu cá nhân, bao gồm quy trình thu thập, xử lý, lưu trữ, hủy bỏ dữ liệu và quy trình phản hồi yêu cầu của chủ thể dữ liệu.

Đoàn thanh tra sẽ xem xét tính đầy đủ và hiệu quả của hệ thống văn bản nội bộ. Doanh nghiệp cần chuẩn bị sẵn:

• Chính sách Bảo vệ dữ liệu cá nhân (Privacy Policy) đang áp dụng.
• Quy trình tiếp nhận và xử lý yêu cầu của chủ thể dữ liệu (xem, chỉnh sửa, xóa, rút lại sự đồng ý…).
• Quy trình ứng phó sự cố an ninh dữ liệu (Data Breach Response Plan).
• Các biểu mẫu dùng để lấy sự đồng ý của khách hàng/nhân viên.

5. Kiểm tra và củng cố các biện pháp kỹ thuật bảo vệ dữ liệu

Doanh nghiệp cần chứng minh hệ thống công nghệ thông tin có đủ khả năng bảo vệ dữ liệu, bao gồm các biện pháp mã hóa, tường lửa, kiểm soát truy cập và ghi nhật ký hệ thống (log system).

Theo Điều 26 Nghị định 13, các biện pháp bảo vệ phải được áp dụng ngay từ khi bắt đầu xử lý dữ liệu. Doanh nghiệp cần chuẩn bị:

• Báo cáo đánh giá an ninh mạng định kỳ.
• Tài liệu mô tả kiến trúc hệ thống và các giải pháp bảo mật đang triển khai.
• Nhật ký hệ thống (logs) ghi lại hoạt động xử lý dữ liệu, đặc biệt là các truy cập vào dữ liệu nhạy cảm (Điều 38 yêu cầu lưu trữ nhật ký này).

6. Chuẩn bị bằng chứng về sự đồng ý của chủ thể dữ liệu

Doanh nghiệp phải có khả năng truy xuất và cung cấp bằng chứng chứng minh chủ thể dữ liệu đã đồng ý với việc xử lý dữ liệu, dưới dạng văn bản, tệp ghi âm, tích chọn điện tử hoặc các hình thức hợp lệ khác.

Sự đồng ý là cơ sở pháp lý quan trọng nhất. Khi thanh tra, cơ quan chức năng có thể yêu cầu kiểm tra ngẫu nhiên một số hồ sơ khách hàng. Doanh nghiệp cần đảm bảo:

• Hệ thống lưu trữ sự đồng ý (consent management) hoạt động tốt và dễ dàng trích xuất dữ liệu.
• Nội dung chấp thuận của khách hàng thể hiện rõ họ đồng ý với mục đích gì, loại dữ liệu nào.
• Đối với dữ liệu nhạy cảm, phải có bằng chứng về việc chủ thể dữ liệu đã được thông báo rõ ràng đó là dữ liệu nhạy cảm trước khi đồng ý.

7. Rà soát hợp đồng với các bên thứ ba và bên xử lý dữ liệu

Doanh nghiệp cần tập hợp và rà soát các hợp đồng ký với đối tác (Bên xử lý, Bên thứ ba) để đảm bảo có các điều khoản ràng buộc trách nhiệm bảo vệ dữ liệu cá nhân theo quy định của pháp luật.

Mối quan hệ giữa Bên kiểm soát và Bên xử lý phải được xác lập bằng văn bản. Doanh nghiệp cần chuẩn bị:

• Danh sách các đối tác có liên quan đến hoạt động xử lý dữ liệu (ví dụ: nhà cung cấp dịch vụ đám mây, công ty tính lương, đơn vị marketing).
• Bản sao các hợp đồng hoặc phụ lục hợp đồng có chứa điều khoản bảo vệ dữ liệu cá nhân.
• Các cam kết bảo mật (NDA) đã ký kết.

8. Tập huấn kiến thức và diễn tập quy trình cho nhân viên

Nhân sự tham gia làm việc với đoàn thanh tra cần nắm vững quy định pháp luật và quy trình nội bộ. Doanh nghiệp nên tổ chức diễn tập trả lời phỏng vấn và cung cấp hồ sơ để tránh lúng túng khi làm việc thực tế.

Con người là yếu tố then chốt. Một nhân viên không nắm rõ quy trình có thể cung cấp thông tin sai lệch, gây bất lợi cho doanh nghiệp.

• Đào tạo lại cho nhân sự chủ chốt về Luật Bảo vệ dữ liệu cá nhân và các chính sách của công ty.
• Phân công rõ ai là người phát ngôn, ai chịu trách nhiệm cung cấp tài liệu nào.
• Lưu trữ hồ sơ đào tạo (danh sách tham dự, nội dung đào tạo) để chứng minh với đoàn thanh tra rằng doanh nghiệp đã chú trọng nâng cao nhận thức cho nhân viên.

9. Chuẩn bị báo cáo giải trình và khắc phục các vi phạm (nếu có)

Nếu doanh nghiệp từng xảy ra sự cố vi phạm dữ liệu, cần chuẩn bị đầy đủ hồ sơ về vụ việc, bao gồm thông báo vi phạm đã gửi Bộ Công an (Mẫu 03a/03b), biên bản sự việc và báo cáo về các biện pháp khắc phục đã thực hiện.

Sự trung thực và tinh thần hợp tác được đánh giá cao trong thanh tra. Nếu có sai sót trong quá khứ, việc chứng minh doanh nghiệp đã xử lý rốt ráo và có biện pháp ngăn chặn tái diễn sẽ là điểm cộng lớn.

10. Tìm kiếm sự tư vấn từ chuyên gia pháp lý

Để đảm bảo sự chuẩn bị là chính xác và toàn diện nhất, doanh nghiệp nên tham vấn ý kiến của luật sư hoặc đơn vị tư vấn chuyên nghiệp để rà soát lại toàn bộ hệ thống hồ sơ trước khi đoàn thanh tra đến làm việc.

DPO.VN khuyến nghị doanh nghiệp nên thực hiện một cuộc “thanh tra thử” (mock audit) với sự hỗ trợ của chuyên gia để phát hiện sớm các lỗ hổng và khắc phục kịp thời.

Các Câu Hỏi Thường Gặp Về Thanh Tra Bảo Vệ Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Chính phủ (2023), Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 về bảo vệ dữ liệu cá nhân.
• Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. (Văn bản luật mới nhất quy định về quyền và nghĩa vụ bảo vệ dữ liệu)
• Bộ Công an, Cổng Dịch vụ công Bộ Công an. Có tại: https://dichvucong.bocongan.gov.vn/
• DPO.VN, Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Có tại: https://dpo.vn/huong-dan-lap-ho-so-danh-gia-tac-dong-xu-ly-du-lieu-ca-nhan/
• Thư viện Pháp luật, Toàn văn Nghị định hướng dẫn Luật bảo vệ dữ liệu cá nhân. Có tại: https://dpo.vn/nghi-dinh-huong-dan-luat-bao-ve-du-lieu-ca-nhan