Cần chuẩn bị gì khi cơ quan chức năng kiểm tra hoạt động bảo vệ dữ liệu cá nhân?

Khi cơ quan chức năng kiểm tra hoạt động bảo vệ dữ liệu cá nhân, việc chuẩn bị kỹ lưỡng hồ sơ và quy trình là yếu tố quyết định giúp doanh nghiệp chứng minh sự tuân thủ và bảo vệ uy tín. Để hỗ trợ doanh nghiệp vượt qua các đợt thanh tra hiệu quả, DPO.VN cung cấp một lộ trình chuẩn bị toàn diện, đảm bảo đáp ứng mọi yêu cầu pháp lý. Việc này giúp doanh nghiệp chủ động trong mọi tình huống kiểm tra, giám sát tuân thủ pháp luật.

Doanh nghiệp cần chuẩn bị những hồ sơ, tài liệu cốt lõi nào khi bị thanh tra?

Doanh nghiệp phải chuẩn bị một danh mục tài liệu toàn diện, bao gồm: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, các chính sách và quy trình nội bộ, bằng chứng về sự đồng ý của chủ thể dữ liệu, hợp đồng với các bên liên quan, và hồ sơ bổ nhiệm nhân sự bảo vệ dữ liệu.

Để một cuộc kiểm tra diễn ra thuận lợi, việc chuẩn bị đầy đủ và hệ thống hóa các tài liệu pháp lý là bước đi chiến lược. Đây không chỉ là nghĩa vụ tuân thủ mà còn là cơ hội để doanh nghiệp rà soát lại toàn bộ hệ thống bảo vệ dữ liệu của mình. Luật sư Nguyễn Tiến Hảo chia sẻ: Việc chuẩn bị trước một bộ hồ sơ hoàn chỉnh giúp doanh nghiệp tự tin làm việc với đoàn kiểm tra, giảm thiểu thời gian và tránh các sai sót không đáng có, thể hiện sự chuyên nghiệp và minh bạch.

Các hồ sơ pháp lý bắt buộc theo quy định là gì?

Các hồ sơ bắt buộc bao gồm Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, cùng với bằng chứng đã nộp các hồ sơ này cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an.

Đây là những tài liệu trọng yếu mà cơ quan chức năng sẽ yêu cầu đầu tiên để đánh giá mức độ tuân thủ của doanh nghiệp.

• Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân: Lập theo quy định tại Điều 24 Nghị định 13/2023/NĐ-CP và Điều 21 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Doanh nghiệp cần sử dụng các mẫu biểu Mẫu Đ24-DLCN-01 (dành cho Bên Kiểm soát), Mẫu Đ24-DLCN-02 (dành cho Bên Xử lý), và Mẫu Đ24-DLCN-03 (dành cho Bên thứ ba). Hồ sơ này phải được lập kể từ thời điểm bắt đầu xử lý dữ liệu.
• Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài: Nếu doanh nghiệp có hoạt động này, cần lập hồ sơ theo Điều 25 Nghị định 13/2023/NĐ-CP và Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, sử dụng Mẫu Đ25-DLCN-04.
• Bằng chứng đã hoàn thành thủ tục hành chính: Doanh nghiệp cần lưu lại bản sao các Thông báo đã gửi cho Cục A05, bao gồm: Mẫu số 04a hoặc Mẫu số 04b (Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân) và Mẫu số 06a hoặc Mẫu số 06b (Thông báo gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài).

Các chính sách và quy trình nội bộ nào cần được văn bản hóa?

Doanh nghiệp phải có các chính sách và quy trình được văn bản hóa rõ ràng, bao gồm Chính sách bảo vệ dữ liệu cá nhân tổng thể, quy trình xử lý yêu cầu của chủ thể dữ liệu, và kế hoạch ứng phó, thông báo khi có vi phạm dữ liệu.

Những văn bản này thể hiện cam kết và cách thức doanh nghiệp thực thi các nguyên tắc bảo vệ dữ liệu trong hoạt động hàng ngày.

• Chính sách Bảo vệ dữ liệu cá nhân: Một văn bản tổng thể, được công khai, mô tả cách thức doanh nghiệp thu thập, xử lý, lưu trữ và bảo vệ dữ liệu.
• Quy trình xử lý yêu cầu của chủ thể dữ liệu: Cần có một quy trình rõ ràng để tiếp nhận và xử lý các yêu cầu của khách hàng, nhân viên về quyền của họ (truy cập, chỉnh sửa, xóa dữ liệu…) theo quy định tại Điều 9 Nghị định 13/2023/NĐ-CP.
• Kế hoạch ứng phó và thông báo vi phạm dữ liệu: Xây dựng quy trình hành động khi xảy ra sự cố. Quy trình này phải bao gồm các bước thông báo cho Cục A05 trong vòng 72 giờ theo Điều 23 Nghị định 13/2023/NĐ-CP, sử dụng Mẫu số 03a (đối với tổ chức) hoặc Mẫu số 03b (đối với cá nhân).

Bằng chứng về sự tuân thủ trong vận hành thực tế bao gồm những gì?

Bằng chứng thực tế bao gồm các mẫu văn bản thu thập sự đồng ý hợp lệ, hợp đồng xử lý dữ liệu với các đối tác, nhật ký hệ thống ghi lại hoạt động xử lý dữ liệu, hồ sơ bổ nhiệm nhân sự chuyên trách và tài liệu đào tạo nhận thức cho nhân viên.

Lý thuyết phải đi đôi với thực hành. Đoàn kiểm tra sẽ xem xét các bằng chứng cụ thể để xác minh việc tuân thủ trên thực tế.

• Bằng chứng về sự đồng ý: Lưu trữ các mẫu form đăng ký, checkbox trên website, hoặc văn bản giấy tờ chứng minh chủ thể dữ liệu đã đồng ý một cách tự nguyện và minh bạch theo Điều 11 Nghị định 13/2023/NĐ-CP.
• Hợp đồng với các bên liên quan: Hợp đồng ký kết với Bên Xử lý dữ liệu hoặc Bên thứ ba phải có các điều khoản rõ ràng về trách nhiệm bảo vệ dữ liệu cá nhân theo Điều 39 Nghị định 13/2023/NĐ-CP.
• Nhật ký hệ thống (Logs): Bằng chứng kỹ thuật ghi lại các hoạt động truy cập, chỉnh sửa, xóa dữ liệu để phục vụ cho việc truy vết và giải trình.
• Hồ sơ nhân sự phụ trách bảo vệ dữ liệu: Quyết định bổ nhiệm cá nhân hoặc bộ phận chuyên trách theo yêu cầu tại Điều 28 Nghị định 13/2023/NĐ-CP, đặc biệt khi xử lý dữ liệu cá nhân nhạy cảm.
• Tài liệu đào tạo: Bằng chứng về việc đã tổ chức các buổi đào tạo, phổ biến kiến thức về bảo vệ dữ liệu cá nhân cho toàn thể nhân viên.

Quy trình kiểm tra của cơ quan chức năng sẽ diễn ra như thế nào?

Quy trình kiểm tra thường bắt đầu bằng một thông báo chính thức, tiếp theo là kiểm tra tại chỗ, xem xét hồ sơ, tài liệu, hệ thống kỹ thuật, phỏng vấn nhân sự liên quan và kết thúc bằng việc lập biên bản và ban hành kết luận kiểm tra.

Hiểu rõ quy trình giúp doanh nghiệp chuẩn bị tâm thế và phối hợp hiệu quả. Việc kiểm tra an ninh mạng nói chung và bảo vệ dữ liệu cá nhân nói riêng được quy định tại Điều 16 Nghị định 53/2022/NĐ-CP và các văn bản liên quan.

• Bước 1: Tiếp nhận thông báo: Doanh nghiệp sẽ nhận được thông báo bằng văn bản về kế hoạch kiểm tra, trong đó nêu rõ lý do, thời gian, nội dung và phạm vi kiểm tra.
• Bước 2: Thành lập đoàn kiểm tra: Cơ quan chức năng sẽ thành lập một đoàn kiểm tra với các thành viên có chuyên môn phù hợp.
• Bước 3: Tiến hành kiểm tra tại chỗ: Đoàn kiểm tra sẽ làm việc trực tiếp tại trụ sở doanh nghiệp, yêu cầu cung cấp hồ sơ, tài liệu, truy cập hệ thống thông tin và phỏng vấn các cá nhân có liên quan (IT, pháp chế, nhân sự).
• Bước 4: Lập biên bản: Toàn bộ quá trình và kết quả kiểm tra sẽ được ghi nhận trong một biên bản có chữ ký của đại diện hai bên.
• Bước 5: Nhận kết quả: Cơ quan chức năng sẽ gửi thông báo kết quả kiểm tra trong vòng 03 ngày làm việc kể từ khi kết thúc kiểm tra, trong đó nêu rõ các phát hiện và yêu cầu (nếu có).

Những cơ quan nào có thẩm quyền kiểm tra và phạm vi của họ ra sao?

Bộ Công an, với vai trò đầu mối là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), chịu trách nhiệm chính. Bộ Quốc phòng có thẩm quyền với các hệ thống quân sự. Các Bộ, ngành khác và UBND cấp tỉnh thực hiện kiểm tra trong phạm vi quản lý của mình.

Việc xác định đúng cơ quan có thẩm quyền giúp doanh nghiệp có sự chuẩn bị và phối hợp phù hợp.

Khi nào và tại sao một doanh nghiệp có thể bị kiểm tra hoạt động bảo vệ dữ liệu cá nhân?

Hoạt động kiểm tra có thể diễn ra định kỳ hoặc đột xuất. Kiểm tra định kỳ thường áp dụng cho các hoạt động có rủi ro cao như chuyển dữ liệu ra nước ngoài. Kiểm tra đột xuất có thể được kích hoạt bởi các dấu hiệu vi phạm, sự cố lộ lọt dữ liệu, hoặc khi có khiếu nại, tố cáo từ chủ thể dữ liệu.

Doanh nghiệp cần nhận thức rõ các tình huống có thể dẫn đến một cuộc kiểm tra để chủ động phòng ngừa và đánh giá rủi ro.

• Kiểm tra định kỳ: Theo Khoản 7 Điều 25 Nghị định 13/2023/NĐ-CP, Bộ Công an có thể quyết định kiểm tra hoạt động chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm. Đây là một trong số ít trường hợp kiểm tra định kỳ được quy định rõ.
• Kiểm tra đột xuất: Đây là hình thức phổ biến hơn và có thể xảy ra khi:
  • Phát hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
  • Xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
  • Có khiếu nại, tố cáo từ chủ thể dữ liệu về việc quyền của họ bị xâm phạm.
  • Phục vụ yêu cầu quản lý nhà nước về an ninh mạng và bảo vệ dữ liệu.

Doanh nghiệp sẽ đối mặt với những biện pháp xử lý nào sau khi có kết luận kiểm tra?

Sau kiểm tra, nếu phát hiện vi phạm, doanh nghiệp có thể bị yêu cầu khắc phục, xử phạt hành chính với mức phạt rất cao, bị truy cứu trách nhiệm hình sự đối với các vi phạm nghiêm trọng, và phải bồi thường thiệt hại cho chủ thể dữ liệu nếu có tổn thất xảy ra.

Việc không tuân thủ có thể dẫn đến những hậu quả pháp lý và tài chính đáng kể, ảnh hưởng nghiêm trọng đến hoạt động kinh doanh.

Các hình thức xử phạt hành chính cụ thể là gì?

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định các mức phạt nghiêm khắc: tối đa 10 lần khoản thu bất chính từ mua, bán dữ liệu; tối đa 5% doanh thu năm trước liền kề cho vi phạm chuyển dữ liệu xuyên biên giới; và tối đa 03 tỷ đồng cho các vi phạm khác.

Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã đưa ra một khung chế tài mạnh mẽ để tăng tính răn đe, thể hiện sự coi trọng của nhà nước đối với quyền riêng tư. Việc áp dụng mức phạt dựa trên doanh thu là một thông lệ quốc tế (tương tự GDPR của châu Âu) và có thể tạo ra áp lực tài chính rất lớn đối với các doanh nghiệp, đặc biệt là các tập đoàn đa quốc gia.

Ngoài xử phạt, còn có những trách nhiệm pháp lý nào khác?

Ngoài phạt tiền, doanh nghiệp và các cá nhân liên quan có thể bị truy cứu trách nhiệm hình sự nếu vi phạm gây hậu quả nghiêm trọng. Đồng thời, doanh nghiệp phải chịu trách nhiệm dân sự, bồi thường thiệt hại vật chất và tinh thần cho chủ thể dữ liệu bị ảnh hưởng.

Trách nhiệm của doanh nghiệp không dừng lại ở việc nộp phạt. Quyền yêu cầu bồi thường thiệt hại của chủ thể dữ liệu được quy định tại Điều 9 Nghị định 13/2023/NĐ-CP và Điều 4 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Một vụ vi phạm dữ liệu quy mô lớn có thể dẫn đến hàng loạt các vụ kiện dân sự, gây tổn thất tài chính và uy tín không thể lường trước.

Các Câu Hỏi Thường Gặp Khi Chuẩn Bị Cho Việc Kiểm Tra

Tài liệu tham khảo

• Cổng thông tin điện tử Bộ Công an
• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15
• Luật An ninh mạng 24/2018/QH14
• International Association of Privacy Professionals (IAPP)