Trách nhiệm của Cục An ninh mạng trong việc bảo vệ dữ liệu cá nhân

Trách nhiệm của Cục An ninh mạng trong việc bảo vệ dữ liệu cá nhân là cơ quan đầu mối giúp doanh nghiệp đảm bảo tuân thủ pháp luật, tiếp nhận hồ sơ và xử lý vi phạm. Để hoạt động an toàn và hiệu quả, doanh nghiệp có thể tìm đến giải pháp toàn diện từ các chuyên gia tại DPO.VN. Vai trò cơ quan chuyên trách, thẩm quyền xử lý, Cổng thông tin quốc gia.

Cục An ninh mạng (A05) có vai trò gì trong việc tiếp nhận hồ sơ tuân thủ từ doanh nghiệp?

Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) là cơ quan chuyên trách được Chính phủ giao nhiệm vụ tiếp nhận, thẩm định các hồ sơ tuân thủ quan trọng của doanh nghiệp, bao gồm Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.

Theo quy định tại Nghị định số 13/2023/NĐ-CP (Nghị định 13) và sắp tới là Luật Bảo vệ dữ liệu cá nhân, vai trò của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) thuộc Bộ Công an được xác định là cơ quan đầu mối, giữ vị trí trung tâm trong kiến trúc pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam. Một trong những nhiệm vụ trọng yếu và thường xuyên nhất của A05 là tiếp nhận các hồ sơ pháp lý bắt buộc từ các tổ chức, cá nhân có hoạt động xử lý dữ liệu.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Việc nộp hồ sơ cho A05 không chỉ là một nghĩa vụ hành chính mà còn là hành động pháp lý quan trọng, giúp doanh nghiệp chứng minh sự tuân thủ (trách nhiệm giải trình) và giảm thiểu rủi ro khi có tranh chấp hoặc thanh tra. Đây là bước đi đầu tiên và cần thiết để xây dựng một khung quản trị dữ liệu vững chắc.

A05 tiếp nhận những loại hồ sơ nào và thời hạn nộp ra sao?

A05 tiếp nhận hai loại hồ sơ chính: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Cả hai đều phải được nộp trong vòng 60 ngày kể từ ngày bắt đầu hoạt động xử lý hoặc chuyển dữ liệu.

Doanh nghiệp cần nắm rõ hai loại hồ sơ bắt buộc phải nộp cho A05 để đảm bảo tuân thủ đầy đủ quy định:

Việc nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và chuyển dữ liệu ra nước ngoài là một yêu cầu pháp lý nghiêm ngặt. Theo quy định, các hồ sơ này phải được lập và luôn có sẵn để phục vụ hoạt động kiểm tra, đồng thời một bản chính phải được gửi đến A05 trong thời hạn 60 ngày. DPO.VN nhấn mạnh rằng việc tuân thủ thời hạn này là cực kỳ quan trọng để tránh các rủi ro pháp lý ban đầu.

Thẩm quyền thanh tra, kiểm tra và xử lý vi phạm của Cục An ninh mạng được quy định như thế nào?

A05 có thẩm quyền thực hiện thanh tra, kiểm tra định kỳ hoặc đột xuất đối với hoạt động bảo vệ dữ liệu cá nhân của doanh nghiệp, giải quyết khiếu nại, tố cáo và xử lý các hành vi vi phạm theo quy định của pháp luật.

Cục An ninh mạng không chỉ là cơ quan tiếp nhận hồ sơ mà còn là cơ quan thực thi pháp luật với đầy đủ thẩm quyền giám sát và xử lý. Vai trò này đảm bảo các quy định không chỉ tồn tại trên giấy tờ mà còn được áp dụng nghiêm túc trong thực tiễn.

A05 có quyền kiểm tra doanh nghiệp trong những trường hợp nào?

A05 có thể tiến hành kiểm tra định kỳ (không quá 01 lần/năm đối với hoạt động chuyển dữ liệu ra nước ngoài) hoặc kiểm tra đột xuất khi phát hiện dấu hiệu vi phạm pháp luật hoặc khi xảy ra sự cố lộ, mất dữ liệu cá nhân.

Theo Điều 25 khoản 7 Nghị định 13, A05 có quyền kiểm tra hoạt động chuyển dữ liệu cá nhân ra nước ngoài. Thẩm quyền này được mở rộng cho tất cả các hoạt động xử lý dữ liệu cá nhân trong Luật Bảo vệ dữ liệu cá nhân. Doanh nghiệp cần hiểu rõ các tình huống có thể dẫn đến một cuộc kiểm tra đột xuất:

• Phát hiện dấu hiệu vi phạm: Thông qua các nguồn tin báo, hoạt động giám sát an ninh mạng hoặc khiếu nại từ chủ thể dữ liệu.
• Xảy ra sự cố lộ, mất dữ liệu: Đặc biệt là các sự cố liên quan đến dữ liệu cá nhân của công dân Việt Nam.
• Không hoàn thiện hồ sơ: Khi doanh nghiệp không cập nhật hoặc bổ sung hồ sơ theo yêu cầu của A05.

Do đó, việc duy trì một hệ thống quản trị dữ liệu minh bạch và luôn sẵn sàng các hồ sơ, tài liệu chứng minh sự tuân thủ là một chiến lược phòng ngừa rủi ro thông minh mà mọi doanh nghiệp nên áp dụng.

Trong trường hợp nào Cục An ninh mạng có quyền yêu cầu doanh nghiệp ngừng xử lý dữ liệu?

Cục An ninh mạng, sau khi có quyết định của Bộ trưởng Bộ Công an, có thể yêu cầu doanh nghiệp ngừng hoạt động chuyển dữ liệu cá nhân ra nước ngoài hoặc đình chỉ hoạt động xử lý dữ liệu nếu phát hiện các hành vi vi phạm nghiêm trọng, đặc biệt là các hoạt động gây tổn hại đến an ninh quốc gia.

Đây là một trong những thẩm quyền mạnh mẽ nhất của cơ quan chức năng, có khả năng tác động trực tiếp và sâu sắc đến hoạt động kinh doanh của doanh nghiệp. Việc hiểu rõ các lằn ranh đỏ là điều kiện tiên quyết để phòng tránh. Theo Điều 21 Nghị định 53/2022/NĐ-CP và Điều 25 Nghị định 13, A05 có thể tham mưu và thực thi quyết định ngừng hoạt động trong các trường hợp sau:

• Dữ liệu được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia: Đây là vi phạm nghiêm trọng nhất, khi dữ liệu cá nhân của công dân Việt Nam bị lạm dụng cho các mục đích chính trị, gián điệp mạng hoặc các hành vi khác chống lại Nhà nước.
• Không chấp hành quy định về hồ sơ: Doanh nghiệp không nộp, không hoàn thiện hoặc không cập nhật hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo yêu cầu.
• Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam: Nếu một sự cố nghiêm trọng xảy ra và doanh nghiệp không chứng minh được các biện pháp bảo vệ đầy đủ, A05 có thể yêu cầu tạm ngừng hoạt động để khắc phục.

Việc bị yêu cầu ngừng hoạt động không chỉ gây gián đoạn kinh doanh mà còn ảnh hưởng nghiêm trọng đến uy tín. DPO.VN khuyến nghị các doanh nghiệp, đặc biệt là các công ty công nghệ đa quốc gia, cần xây dựng một cơ chế ràng buộc trách nhiệm rõ ràng với các đối tác nhận dữ liệu ở nước ngoài để đảm bảo dữ liệu không bị lạm dụng.

Cục An ninh mạng đóng vai trò gì trong việc quản lý Cổng thông tin quốc gia và hướng dẫn doanh nghiệp?

Cục An ninh mạng (A05) được giao nhiệm vụ xây dựng, quản lý và vận hành Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, đây sẽ là kênh thông tin chính thống để cung cấp hướng dẫn, tiếp nhận hồ sơ trực tuyến và công bố các thông tin liên quan đến hoạt động bảo vệ dữ liệu cá nhân.

Theo Điều 29 Nghị định 13, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân do A05 quản lý sẽ đóng vai trò trung tâm trong việc tương tác giữa cơ quan nhà nước và doanh nghiệp, cá nhân. Chức năng của cổng thông tin này rất đa dạng và quan trọng:

• Cung cấp thông tin: Đăng tải các chủ trương, chính sách, văn bản pháp luật về bảo vệ dữ liệu cá nhân.
• Tuyên truyền và giáo dục: Phổ biến chính sách, pháp luật và nâng cao nhận thức cho cộng đồng.
• Tiếp nhận hồ sơ: Là nền tảng để các tổ chức, cá nhân thực hiện nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trực tuyến và các thủ tục hành chính khác.
• Công khai kết quả: Cung cấp thông tin về kết quả đánh giá công tác bảo vệ dữ liệu cá nhân của các cơ quan, tổ chức.
• Tiếp nhận thông báo vi phạm: Là kênh chính thức để các bên thông báo khi phát hiện vi phạm quy định.
• Cảnh báo và xử lý: Đưa ra các cảnh báo về nguy cơ, hành vi xâm phạm dữ liệu và phối hợp xử lý vi phạm.

Khi Cổng thông tin này đi vào hoạt động đầy đủ, nó sẽ đơn giản hóa đáng kể các thủ tục hành chính, giúp doanh nghiệp dễ dàng hơn trong việc tuân thủ pháp luật. Doanh nghiệp cần thường xuyên theo dõi thông báo từ Bộ Công an để cập nhật địa chỉ và hướng dẫn sử dụng cổng thông tin này.

Quy trình thông báo vi phạm quy định bảo vệ dữ liệu cá nhân cho Cục An ninh mạng như thế nào?

Khi phát hiện vi phạm, Bên Kiểm soát hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân phải thông báo cho A05 chậm nhất 72 giờ bằng cách nộp Mẫu số 03a (cho tổ chức) hoặc Mẫu số 03b (cho cá nhân), mô tả chi tiết vụ việc và các biện pháp đã áp dụng.

Nghị định 13 (Điều 23) và Luật Bảo vệ dữ liệu cá nhân (Điều 23) quy định một cách rất cụ thể về nghĩa vụ thông báo vi phạm. Đây là một trong những trách nhiệm quan trọng nhất của doanh nghiệp khi xảy ra sự cố. Việc chậm trễ hoặc không thông báo có thể dẫn đến các chế tài nghiêm khắc hơn.

DPO.VN hướng dẫn quy trình thông báo vi phạm cho A05 như sau:

• Bước 1: Phát hiện và đánh giá vi phạm: Ngay khi phát hiện sự cố, doanh nghiệp cần nhanh chóng đánh giá mức độ, phạm vi ảnh hưởng, loại dữ liệu bị tác động và số lượng chủ thể dữ liệu liên quan.
• Bước 2: Chuẩn bị thông báo: Hoàn thiện thông báo theo mẫu quy định.
  • Đối với tổ chức, doanh nghiệp: Sử dụng Mẫu số 03a ban hành kèm theo Nghị định 13.
  • Đối với cá nhân: Sử dụng Mẫu số 03b ban hành kèm theo Nghị định 13.
• Bước 3: Gửi thông báo đến A05: Nộp hồ sơ thông báo trong vòng 72 giờ kể từ khi xảy ra hành vi vi phạm. Nếu nộp sau 72 giờ, doanh nghiệp phải giải trình lý do chậm trễ. Các phương thức nộp bao gồm:
  • Trực tuyến: Qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (khi có thông báo chính thức).
  • Trực tiếp hoặc qua bưu chính: Tại trụ sở Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
• Bước 4: Phối hợp xử lý: Doanh nghiệp phải lập Biên bản xác nhận về vụ việc và phối hợp chặt chẽ với A05 trong suốt quá trình điều tra, xử lý hành vi vi phạm.

Hiểu rõ và thực hiện đúng các trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và vai trò của Cục An ninh mạng không chỉ giúp doanh nghiệp tuân thủ pháp luật mà còn là nền tảng để xây dựng một cơ chế quản trị dữ liệu vững mạnh, bảo vệ tài sản thông tin và củng cố niềm tin nơi khách hàng.

Các Câu Hỏi Thường Gặp Về Trách Nhiệm Của Cục An Ninh Mạng

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ quy định về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15
• Luật An ninh mạng 2018 số 24/2018/QH14.
• Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 quy định chi tiết một số điều của Luật An ninh mạng.
• Cổng Dịch vụ công Quốc gia: Thông tin về các thủ tục hành chính liên quan đến an ninh mạng và bảo vệ dữ liệu.