Để vượt qua các đợt kiểm tra của cơ quan chức năng một cách suôn sẻ, doanh nghiệp cần nắm rõ 10 việc cần chuẩn bị khi thanh tra bảo vệ dữ liệu cá nhân theo đúng quy định của Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. DPVN sẽ cung cấp danh sách kiểm tra (checklist) toàn diện và các hướng dẫn chi tiết giúp Quý doanh nghiệp chủ động rà soát, hoàn thiện hệ thống tuân thủ, giảm thiểu tối đa rủi ro pháp lý.
Nội dung chính: Checklist hồ sơ, quy trình kiểm tra và các lưu ý quan trọng để doanh nghiệp sẵn sàng ứng phó với hoạt động thanh tra, kiểm tra về bảo vệ dữ liệu cá nhân trong năm 2026.
1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đã sẵn sàng chưa?
Đây là tài liệu quan trọng số một. Theo Điều 19 Nghị định 356/2025/NĐ-CP, doanh nghiệp phải luôn có sẵn Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Mẫu số 10) tại trụ sở để phục vụ kiểm tra. Hồ sơ này phải được lập trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu.
Trong quá trình tư vấn, DPVN nhận thấy nhiều doanh nghiệp thường chủ quan, chỉ lập hồ sơ đối phó khi có thông báo kiểm tra. Tuy nhiên, nội dung hồ sơ đòi hỏi sự chi tiết về luồng dữ liệu, mục đích xử lý và biện pháp bảo vệ. Việc chuẩn bị gấp gáp thường dẫn đến sai sót và không đồng nhất với thực tế vận hành.
Doanh nghiệp cần rà soát lại:
- Báo cáo đánh giá tác động đã cập nhật mới nhất chưa? (Đặc biệt nếu có thay đổi về công nghệ hoặc mục đích xử lý).
- Đã có bằng chứng gửi hồ sơ (Biên nhận, email xác nhận) cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (A05) chưa?
- Các tài liệu kèm theo như hợp đồng xử lý dữ liệu với bên thứ ba đã đầy đủ chưa?
Quý vị có thể tham khảo chi tiết tại bài viết Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì? để đảm bảo không bỏ sót thành phần nào.
2. Doanh nghiệp đã chỉ định và công bố nhân sự bảo vệ dữ liệu chưa?
Điều 33 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 yêu cầu cơ quan, tổ chức phải chỉ định bộ phận hoặc nhân sự bảo vệ dữ liệu cá nhân (DPO). Quyết định bổ nhiệm và thông tin liên hệ của nhân sự này là mục kiểm tra bắt buộc của đoàn thanh tra.
Nhân sự này không chỉ là đầu mối liên lạc với cơ quan chức năng mà còn chịu trách nhiệm giải trình về các hoạt động tuân thủ của doanh nghiệp. Trong buổi làm việc với đoàn kiểm tra, DPO sẽ là người trực tiếp trả lời các câu hỏi về quy trình, hệ thống.
Doanh nghiệp cần chuẩn bị:
- Quyết định thành lập bộ phận hoặc bổ nhiệm nhân sự bảo vệ dữ liệu.
- Mô tả công việc (JD) thể hiện rõ trách nhiệm bảo vệ dữ liệu.
- Chứng chỉ, bằng cấp chứng minh năng lực của nhân sự theo quy định tại Điều 13 Nghị định 356.
Nếu doanh nghiệp chưa rõ về tiêu chuẩn nhân sự, hãy xem ngay Nhân Sự Bảo Vệ Dữ Liệu Cá Nhân Cần Đáp Ứng Điều Kiện Gì?.
3. Quy trình thực hiện quyền của chủ thể dữ liệu có vận hành thực tế không?
Đoàn kiểm tra sẽ không chỉ xem văn bản quy trình trên giấy mà còn kiểm tra thực tế hệ thống tiếp nhận và xử lý yêu cầu của người dùng (quyền xem, chỉnh sửa, xóa dữ liệu…). Doanh nghiệp cần chứng minh được khả năng đáp ứng yêu cầu trong thời hạn luật định (ví dụ: 72 giờ đối với một số yêu cầu).
DPVN khuyến nghị doanh nghiệp chuẩn bị sẵn các bằng chứng sau:
- Log hệ thống ghi nhận các yêu cầu đã tiếp nhận và lịch sử xử lý.
- Biểu mẫu tiếp nhận yêu cầu (online hoặc offline).
- Quy trình nội bộ hướng dẫn nhân viên cách thức xử lý khi nhận được yêu cầu từ chủ thể dữ liệu.
Tham khảo thêm: Thực hiện quyền của chủ thể dữ liệu cá nhân như thế nào?.
4. Hồ sơ chuyển dữ liệu ra nước ngoài đã đầy đủ chưa?
Nếu doanh nghiệp có sử dụng máy chủ nước ngoài hoặc chuyển dữ liệu cho đối tác quốc tế, Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (Mẫu số 09) là bắt buộc theo Điều 18 Nghị định 356. Thiếu hồ sơ này là một trong những lỗi vi phạm phổ biến và bị phạt nặng nhất.
Doanh nghiệp cần rà soát:
- Hợp đồng chuyển giao dữ liệu với đối tác nước ngoài có các điều khoản ràng buộc trách nhiệm bảo vệ dữ liệu không?
- Đã thực hiện đánh giá rủi ro và áp dụng biện pháp kỹ thuật (mã hóa, khử nhận dạng) chưa?
- Đã nộp hồ sơ lên Bộ Công an và có xác nhận chưa?
Chi tiết thủ tục tại: Thủ tục lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.
5. Chính sách bảo mật và thông báo xử lý dữ liệu có được công khai không?
Đoàn kiểm tra sẽ truy cập website, ứng dụng của doanh nghiệp để kiểm tra xem Chính sách bảo mật (Privacy Policy) có được đăng tải công khai, dễ tiếp cận và nội dung có đầy đủ theo quy định tại Điều 13 Luật Bảo vệ dữ liệu cá nhân hay không.
Nội dung chính sách cần thể hiện rõ:
- Loại dữ liệu thu thập.
- Mục đích xử lý cụ thể.
- Thời gian lưu trữ.
- Thông tin chia sẻ với bên thứ ba.
- Cách thức chủ thể thực hiện quyền của mình.
6. Bằng chứng về sự đồng ý của chủ thể dữ liệu được lưu trữ ở đâu?
Nguyên tắc quan trọng nhất là “Sự đồng ý”. Doanh nghiệp phải chứng minh được rằng mình đã thu thập dữ liệu hợp pháp. Log ghi nhận sự đồng ý (trên web/app), bản scan văn bản đồng ý, hoặc file ghi âm là những bằng chứng “vàng” cần xuất trình.
Hãy chắc chắn rằng cơ chế lấy sự đồng ý của bạn là “rõ ràng, tự nguyện và cụ thể”, không sử dụng các ô đánh dấu sẵn (pre-ticked boxes). Tham khảo: 5+ Hình thức thể hiện sự đồng ý xử lý dữ liệu cá nhân.
7. Hệ thống kỹ thuật bảo vệ dữ liệu có hoạt động hiệu quả không?
Ngoài hồ sơ giấy tờ, đoàn kiểm tra có thể yêu cầu kiểm tra thực tế các biện pháp kỹ thuật như: tường lửa, phần mềm diệt virus, cơ chế phân quyền truy cập, mã hóa dữ liệu nhạy cảm… Doanh nghiệp cần chuẩn bị tài liệu mô tả hệ thống và báo cáo kiểm tra an ninh định kỳ.
Xem thêm: Những biện pháp kỹ thuật về bảo vệ dữ liệu cá nhân của doanh nghiệp.
8. Doanh nghiệp đã có quy trình ứng phó sự cố rò rỉ dữ liệu chưa?
Điều 23 Luật 91/2025 yêu cầu thông báo vi phạm trong vòng 72 giờ. Doanh nghiệp cần xây dựng sẵn kịch bản ứng phó, quy trình báo cáo và biểu mẫu thông báo (Mẫu số 08) để trình diện khi được hỏi.
9. Việc đào tạo nhận thức cho nhân viên đã được thực hiện chưa?
Con người là mắt xích yếu nhất. Đoàn kiểm tra sẽ xem xét hồ sơ đào tạo nội bộ (danh sách tham dự, tài liệu đào tạo, bài kiểm tra) để đánh giá mức độ quan tâm của ban lãnh đạo đối với công tác bảo vệ dữ liệu.
10. Các hợp đồng với bên thứ ba (Bên Xử lý dữ liệu) có chặt chẽ không?
Nếu doanh nghiệp thuê ngoài dịch vụ (IT, Marketing, Payroll…), hợp đồng phải có điều khoản rõ ràng về trách nhiệm bảo vệ dữ liệu của đối tác. Đây là điểm thường bị bỏ sót nhưng lại rất rủi ro nếu đối tác làm lộ dữ liệu.
Tham khảo: Thỏa thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân.
Bạn đang lo lắng về đợt thanh tra sắp tới?
Đừng để sự thiếu chuẩn bị làm ảnh hưởng đến uy tín và tài chính của doanh nghiệp. Hãy để các chuyên gia của DPVN hỗ trợ bạn rà soát toàn diện và chuẩn bị hồ sơ “chuẩn chỉnh” nhất.
DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân
Hotline: 0982976486
Email: info@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp (FAQ)
1. Thanh tra có báo trước không?
Theo Điều 31 Nghị định 356/2025/NĐ-CP, cơ quan chức năng sẽ thông báo trước 15 ngày đối với kiểm tra định kỳ hoặc theo kế hoạch. Tuy nhiên, trong trường hợp kiểm tra đột xuất khi có dấu hiệu vi phạm hoặc sự cố nghiêm trọng, đoàn kiểm tra có thể tiến hành ngay mà không cần báo trước.
2. Mức phạt vi phạm hành chính cao nhất là bao nhiêu?
Vi phạm quy định về bảo vệ dữ liệu cá nhân có thể bị phạt tiền tối đa lên đến 3 tỷ đồng hoặc 5% tổng doanh thu năm tài chính liền kề đối với hành vi mua bán dữ liệu trái phép hoặc chuyển dữ liệu ra nước ngoài sai quy định (Điều 8 Luật 91/2025).
3. Doanh nghiệp nhỏ có bị thanh tra không?
Mọi tổ chức, cá nhân xử lý dữ liệu cá nhân đều thuộc đối tượng điều chỉnh của luật và có thể bị kiểm tra. Tuy nhiên, doanh nghiệp siêu nhỏ, hộ kinh doanh được miễn trừ một số nghĩa vụ (như lập hồ sơ đánh giá tác động) trong 05 năm đầu, trừ khi kinh doanh dịch vụ xử lý dữ liệu.
4. Tôi có thể ủy quyền cho luật sư làm việc với đoàn thanh tra không?
Có. Doanh nghiệp có quyền ủy quyền cho đại diện pháp lý hoặc luật sư tham gia quá trình làm việc để bảo vệ quyền và lợi ích hợp pháp của mình.
5. Nếu chưa kịp chuẩn bị hồ sơ thì phải làm sao?
Hãy bắt đầu ngay lập tức việc rà soát và lập hồ sơ đánh giá tác động. Việc chủ động khắc phục và có thái độ hợp tác sẽ là tình tiết giảm nhẹ nếu bị phát hiện vi phạm. Liên hệ ngay với DPVN để được hỗ trợ nhanh nhất.
Nguồn tham khảo:
- Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
- Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
- Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
- DPVN: Hướng dẫn tuân thủ pháp luật bảo vệ dữ liệu cá nhân.
- GDPR.eu: Checklist for GDPR compliance audits.
