Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân như nào?

Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân là nghĩa vụ pháp lý khẩn cấp, đòi hỏi doanh nghiệp phải hành động chính xác trong vòng 72 giờ để giảm thiểu rủi ro và tuân thủ pháp luật. Để hỗ trợ doanh nghiệp thực hiện đúng quy trình báo cáo sự cố, DPO.VN cung cấp giải pháp toàn diện giúp hoàn thành thủ tục một cách nhanh chóng và hiệu quả. Việc nắm vững quy trình thông báo, biểu mẫu báo cáo và trách nhiệm các bên là yếu tố then chốt để bảo vệ uy tín doanh nghiệp.

Khi nào một sự cố được xem là vi phạm và cần phải thông báo?

Một sự cố cần phải được thông báo khi hành vi vi phạm có khả năng gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, và tài sản của chủ thể dữ liệu.

Không phải mọi sự cố an ninh mạng đều cần phải báo cáo. Việc xác định đúng ngưỡng vi phạm là bước đầu tiên và quan trọng nhất để tuân thủ pháp luật hiệu quả. Theo Điều 23 của cả Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025, nghĩa vụ thông báo chỉ phát sinh khi vi phạm có nguy cơ gây ra hậu quả nghiêm trọng.

Cụ thể, doanh nghiệp phải đánh giá mức độ rủi ro dựa trên các yếu tố sau:

• Loại dữ liệu bị ảnh hưởng: Vi phạm liên quan đến dữ liệu cá nhân nhạy cảm (thông tin sức khỏe, tài chính, quan điểm chính trị) luôn được xem là có rủi ro cao và gần như chắc chắn cần phải thông báo.
• Số lượng chủ thể dữ liệu bị ảnh hưởng: Một vụ vi phạm tác động đến hàng nghìn hoặc hàng triệu người dùng sẽ có mức độ nghiêm trọng cao hơn so với một sự cố nhỏ lẻ.
• Bản chất của vi phạm: Dữ liệu bị đánh cắp và có nguy cơ bị sử dụng cho mục đích lừa đảo (ví dụ: thông tin thẻ tín dụng) sẽ nghiêm trọng hơn trường hợp dữ liệu chỉ vô tình bị truy cập nhưng không bị sao chép.
• Hậu quả tiềm tàng: Đánh giá khả năng chủ thể dữ liệu bị tổn hại về tài chính, danh dự, hoặc bị phân biệt đối xử do vi phạm. Nếu nguy cơ này là hiện hữu và đáng kể, việc thông báo là bắt buộc.

💡 Luật sư Nguyễn Tiến Hảo, chuyên gia tại DPO.VN, chia sẻ kinh nghiệm: “Nhiều doanh nghiệp thường bối rối trong việc xác định thời điểm xảy ra hành vi vi phạm. Chúng tôi luôn tư vấn rằng thời điểm này được tính từ khi doanh nghiệp có đủ cơ sở để nhận biết về sự cố, chứ không phải lúc sự cố bắt đầu. Việc ghi chép lại quá trình phát hiện và đánh giá ban đầu là rất quan trọng để chứng minh sự tuân thủ.”

Quy trình thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân gồm những bước nào?

Quy trình gồm 4 bước chính: (1) Phát hiện và đánh giá mức độ vi phạm; (2) Chuẩn bị hồ sơ thông báo theo Mẫu số 03a hoặc 03b; (3) Gửi thông báo đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) trong vòng 72 giờ; và (4) Phối hợp xử lý sau khi thông báo.

Khi một sự cố vi phạm được xác định là cần phải báo cáo, doanh nghiệp cần hành động nhanh chóng và có hệ thống để tuân thủ quy định pháp luật. Việc chậm trễ hoặc thiếu sót trong quy trình có thể dẫn đến những hậu quả pháp lý nghiêm trọng.

Bước 1: Doanh nghiệp cần làm gì ngay khi phát hiện vi phạm dữ liệu cá nhân?

Ngay khi phát hiện, doanh nghiệp cần kích hoạt đội ngũ ứng phó sự cố, tiến hành các biện pháp ngăn chặn tức thời, đồng thời thu thập bằng chứng và đánh giá nhanh mức độ ảnh hưởng để xác định nghĩa vụ thông báo.

Hành động đầu tiên luôn là ngăn chặn thiệt hại lan rộng. Doanh nghiệp cần:

• Cô lập hệ thống bị ảnh hưởng: Tạm thời ngắt kết nối các máy chủ, thiết bị hoặc tài khoản bị xâm nhập khỏi mạng để ngăn chặn kẻ tấn công tiếp tục di chuyển hoặc trích xuất dữ liệu.
• Bảo vệ bằng chứng: Lưu lại các tệp nhật ký (logs), ảnh chụp màn hình, và các dữ liệu liên quan khác để phục vụ điều tra nội bộ và cung cấp cho cơ quan chức năng.
• Đánh giá sơ bộ: Xác định nhanh loại dữ liệu nào đã bị truy cập, số lượng người dùng bị ảnh hưởng, và bản chất của cuộc tấn công. Kết quả này là cơ sở để quyết định có cần thông báo theo quy định hay không.

Bước 2: Chuẩn bị hồ sơ thông báo vi phạm theo mẫu nào và gồm những nội dung gì?

Doanh nghiệp sử dụng Mẫu số 03a (dành cho tổ chức) hoặc Mẫu số 03b (dành cho cá nhân) ban hành kèm theo Nghị định 13/2023/NĐ-CP. Hồ sơ phải mô tả chi tiết thời gian, địa điểm, hành vi vi phạm, loại và số lượng dữ liệu, hậu quả và các biện pháp khắc phục.

Việc chuẩn bị hồ sơ đầy đủ và chính xác là cực kỳ quan trọng. Theo Phụ lục của Nghị định 13/2023/NĐ-CP, các thông tin cốt lõi cần có trong hồ sơ thông báo bao gồm:

Bước 3: Gửi thông báo vi phạm đến đâu và trong thời hạn bao lâu?

Thông báo phải được gửi đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) thuộc Bộ Công an, chậm nhất là 72 giờ kể từ khi xảy ra hành vi vi phạm.

Thời hạn 72 giờ là một yêu cầu rất nghiêm ngặt. Theo Điều 23 Nghị định 13/2023/NĐ-CP, Bên Kiểm soát dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm gửi thông báo. Các phương thức gửi bao gồm:

• Trực tuyến: Thông qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (khi đi vào hoạt động chính thức).
• Trực tiếp: Nộp hồ sơ tại trụ sở Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
• Bưu chính: Gửi bảo đảm đến Bộ phận tiếp nhận và trả kết quả thủ tục hành chính của Cục.

Trường hợp không thể thông báo đầy đủ các nội dung trong vòng 72 giờ, doanh nghiệp có thể thực hiện thông báo theo từng đợt, nhưng phải đảm bảo thông báo ban đầu được gửi đúng hạn và nêu rõ lý do chưa thể cung cấp thông tin đầy đủ.

Ai là người chịu trách nhiệm cuối cùng trong việc thông báo vi phạm?

Trách nhiệm thông báo cho cơ quan chức năng thuộc về Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân. Bên Xử lý dữ liệu có nghĩa vụ phải thông báo cho Bên Kiểm soát một cách nhanh nhất có thể.

Việc phân biệt rõ vai trò và trách nhiệm là rất quan trọng để đảm bảo quy trình được thực hiện đúng.

• Bên Xử lý dữ liệu cá nhân (Data Processor): Ví dụ như một nhà cung cấp dịch vụ lưu trữ đám mây, marketing qua email. Khi phát hiện vi phạm trên hệ thống của mình, họ có nghĩa vụ thông báo ngay lập tức cho khách hàng của mình là Bên Kiểm soát dữ liệu (theo khoản 2, Điều 23 Nghị định 13/2023/NĐ-CP).
• Bên Kiểm soát dữ liệu cá nhân (Data Controller): Là tổ chức quyết định mục đích và phương tiện xử lý (ví dụ: công ty thương mại điện tử thu thập dữ liệu khách hàng). Họ chịu trách nhiệm cuối cùng trong việc đánh giá mức độ vi phạm và gửi thông báo chính thức cho Cục A05 trong vòng 72 giờ (theo khoản 1, Điều 23 Nghị định 13/2023/NĐ-CP).

Do đó, hợp đồng giữa Bên Kiểm soát và Bên Xử lý dữ liệu cần có điều khoản quy định rõ ràng về cơ chế và thời gian thông báo sự cố nội bộ để Bên Kiểm soát có đủ thời gian hoàn thành nghĩa vụ của mình với cơ quan chức năng.

Doanh nghiệp cần làm gì sau khi đã gửi thông báo vi phạm?

Sau khi gửi thông báo, doanh nghiệp phải lập Biên bản xác nhận vi phạm, tiếp tục các biện pháp khắc phục, phối hợp chặt chẽ với Bộ Công an trong quá trình xử lý, và cân nhắc việc thông báo cho các chủ thể dữ liệu bị ảnh hưởng.

Gửi thông báo chỉ là bước khởi đầu. Các nghĩa vụ tiếp theo của doanh nghiệp nhằm đảm bảo sự việc được xử lý triệt để và minh bạch.

• Lập Biên bản xác nhận: Theo khoản 5, Điều 23 Nghị định 13/2023/NĐ-CP, Bên Kiểm soát dữ liệu phải lập Biên bản xác nhận về việc xảy ra vi phạm. Đây là tài liệu chính thức ghi nhận lại sự việc và là một phần của hồ sơ tuân thủ.
• Phối hợp với cơ quan chức năng: Doanh nghiệp có nghĩa vụ cung cấp thông tin, tài liệu và hợp tác với Cục A05 trong suốt quá trình điều tra, xử lý hành vi vi phạm.
• Thông báo cho chủ thể dữ liệu (nếu cần): Mặc dù pháp luật Việt Nam hiện tại chưa quy định cứng nhắc về việc phải thông báo cho chủ thể dữ liệu, đây là một thông lệ tốt và được khuyến khích, đặc biệt khi vi phạm có nguy cơ cao gây thiệt hại cho họ. Việc thông báo minh bạch giúp chủ thể dữ liệu có thể chủ động thực hiện các biện pháp tự bảo vệ, như đổi mật khẩu hay theo dõi tài khoản ngân hàng.
• Rà soát và cải tiến biện pháp bảo mật: Sau sự cố, doanh nghiệp cần phân tích nguyên nhân gốc rễ và nâng cấp các biện pháp bảo vệ dữ liệu cá nhân để ngăn ngừa các sự cố tương tự trong tương lai.

Các Câu Hỏi Thường Gặp Về Thông Báo Vi Phạm Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Cổng Dịch vụ công Bộ Công an – Thủ tục Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân.
• Luật An ninh mạng 24/2018/QH14.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15
• Hướng dẫn về thông báo vi phạm dữ liệu theo GDPR (để tham khảo thông lệ quốc tế).