Trong bối cảnh chuyển đổi số mạnh mẽ, sự cố lộ dữ liệu cá nhân là cơn ác mộng mà không doanh nghiệp nào muốn đối mặt. Tuy nhiên, khi khủng hoảng xảy ra, việc hiểu rõ doanh nghiệp cần làm gì khi để lộ dữ liệu cá nhân khách hàng theo đúng quy định của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Nghị định 356/2025/NĐ-CP là yếu tố sống còn để giảm thiểu thiệt hại và tránh các án phạt nặng nề. DPVN sẽ hướng dẫn Quý doanh nghiệp quy trình ứng phó chuẩn mực, từ việc kích hoạt kế hoạch khẩn cấp đến thủ tục báo cáo cơ quan chức năng trong 72 giờ.
Nội dung chính: Hướng dẫn chi tiết quy trình xử lý sự cố lộ lọt dữ liệu, thủ tục báo cáo bắt buộc và các biện pháp khắc phục hậu quả theo quy định pháp luật mới nhất năm 2026.
Doanh nghiệp có nghĩa vụ thông báo vi phạm dữ liệu cá nhân trong bao lâu?
Theo khoản 1 Điều 23 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, doanh nghiệp BẮT BUỘC phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an) chậm nhất là 72 giờ kể từ khi phát hiện hành vi vi phạm. Đối với dữ liệu nhạy cảm như sinh trắc học hay vị trí, thời hạn thông báo cho chủ thể dữ liệu cũng là 72 giờ (Điều 29 Nghị định 356/2025/NĐ-CP).
Thời gian là vàng trong xử lý khủng hoảng dữ liệu. Việc chậm trễ báo cáo không chỉ làm gia tăng nguy cơ phát tán dữ liệu mà còn là tình tiết tăng nặng khi cơ quan chức năng xem xét xử phạt. DPVN khuyến nghị doanh nghiệp cần thiết lập quy trình phản ứng nhanh để đảm bảo tuân thủ mốc thời gian “72 giờ vàng” này.
Quy trình thông báo bao gồm các bước sau:
- Bước 1: Xác minh sự cố. Ngay khi phát hiện dấu hiệu bất thường, bộ phận IT hoặc DPO (Data Protection Officer) cần xác nhận xem có thực sự xảy ra vi phạm bảo vệ dữ liệu cá nhân hay không.
- Bước 2: Lập biên bản. Bên kiểm soát dữ liệu phải lập biên bản xác nhận về việc xảy ra hành vi vi phạm (Khoản 2 Điều 23 Luật 91/2025/QH15).
- Bước 3: Gửi thông báo. Sử dụng Mẫu số 08 (Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân) ban hành kèm theo Nghị định 356/2025/NĐ-CP để gửi tới Cục A05.
Để nắm rõ chi tiết về biểu mẫu và cách điền, Quý doanh nghiệp có thể tham khảo hướng dẫn tại bài viết Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân: Trình tự, hồ sơ.
Quy trình xử lý sự cố lộ dữ liệu cá nhân chuẩn bao gồm những bước nào?
Quy trình ứng phó sự cố toàn diện bao gồm 5 bước chính: (1) Phát hiện và khoanh vùng; (2) Đánh giá mức độ thiệt hại; (3) Thông báo cho các bên liên quan; (4) Khắc phục và ngăn chặn; (5) Rà soát và rút kinh nghiệm. Mỗi bước đều cần sự phối hợp chặt chẽ giữa bộ phận pháp chế, kỹ thuật và truyền thông.
Khi sự cố xảy ra, sự hoảng loạn là kẻ thù lớn nhất. Một quy trình ứng phó sự cố bài bản sẽ giúp doanh nghiệp giữ vững quyền kiểm soát:
1. Phát hiện và Khoanh vùng (Containment)
Ngay lập tức cô lập hệ thống bị ảnh hưởng để ngăn chặn dữ liệu tiếp tục bị rò rỉ. Điều này có thể bao gồm việc ngắt kết nối mạng, tạm dừng các tài khoản bị xâm nhập hoặc thay đổi quyền truy cập.
2. Đánh giá rủi ro (Risk Assessment)
Xác định loại dữ liệu bị lộ (cơ bản hay nhạy cảm), số lượng chủ thể bị ảnh hưởng và nguyên nhân gốc rễ. Việc này giúp xác định mức độ nghiêm trọng để báo cáo chính xác trong Mẫu số 08.
3. Thông báo (Notification)
Thực hiện nghĩa vụ báo cáo cho Cục An ninh mạng (A05) và thông báo cho khách hàng bị ảnh hưởng. Đối với dữ liệu nhạy cảm (như thông tin sức khỏe, tài chính), việc thông báo cho chủ thể là bắt buộc để họ có biện pháp tự bảo vệ.
4. Khắc phục (Remediation)
Vá các lỗ hổng bảo mật, khôi phục dữ liệu từ bản sao lưu (nếu bị xóa hoặc mã hóa) và tăng cường các biện pháp an ninh mạng để ngăn chặn sự cố tái diễn.
Mức phạt khi doanh nghiệp để lộ dữ liệu khách hàng là bao nhiêu?
Theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, mức phạt tiền tối đa có thể lên tới 5% tổng doanh thu năm tài chính liền kề (đối với vi phạm về chuyển dữ liệu xuyên biên giới) hoặc lên tới 03 tỷ đồng cho các hành vi vi phạm khác. Ngoài ra, doanh nghiệp còn phải bồi thường thiệt hại cho khách hàng và đối mặt với nguy cơ bị đình chỉ hoạt động xử lý dữ liệu.
Chế tài xử phạt trong luật mới rất nghiêm khắc, thể hiện quyết tâm của Chính phủ trong việc bảo vệ quyền riêng tư. Doanh nghiệp không chỉ mất tiền phạt mà còn mất uy tín thương hiệu – tài sản vô giá nhất. Đặc biệt, nếu hành vi làm lộ dữ liệu gây hậu quả nghiêm trọng, người đứng đầu doanh nghiệp có thể bị truy cứu trách nhiệm hình sự.
Để tránh rơi vào tình huống này, doanh nghiệp cần chủ động rà soát quy trình và tham khảo bài viết Quy định xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân để hiểu rõ các khung hình phạt.
Trách nhiệm bồi thường thiệt hại cho khách hàng như thế nào?
Điều 8 Luật 91/2025/QH15 quy định rõ: Tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật dân sự. Khách hàng có quyền khởi kiện yêu cầu bồi thường tổn thất về vật chất và tinh thần do sự cố lộ dữ liệu gây ra.
Trong thực tế tư vấn tại DPVN, chúng tôi nhận thấy các vụ kiện đòi bồi thường thường phức tạp và kéo dài. Doanh nghiệp cần chuẩn bị sẵn sàng các phương án thương lượng và đền bù để xoa dịu khách hàng, tránh để sự việc leo thang thành khủng hoảng truyền thông hoặc pháp lý diện rộng.
Quý doanh nghiệp có thể tìm hiểu thêm về quy trình này tại bài viết 5 bước yêu cầu bồi thường thiệt hại khi dữ liệu cá nhân bị xâm phạm.
Làm thế nào để phòng ngừa rủi ro lộ dữ liệu trong tương lai?
“Phòng bệnh hơn chữa bệnh”. Doanh nghiệp cần xây dựng hệ thống bảo mật đa lớp, thực hiện đánh giá tác động xử lý dữ liệu (DPIA), đào tạo nhân sự và bổ nhiệm bộ phận bảo vệ dữ liệu chuyên trách theo đúng quy định của Nghị định 356/2025/NĐ-CP.
Việc tuân thủ không chỉ là đối phó với thanh tra mà là xây dựng “tấm khiên” bảo vệ doanh nghiệp. Các biện pháp thiết yếu bao gồm:
- Đánh giá tác động xử lý dữ liệu (DPIA): Đây là yêu cầu bắt buộc đối với hầu hết các hoạt động xử lý dữ liệu. Hồ sơ này giúp doanh nghiệp nhận diện và giảm thiểu rủi ro ngay từ đầu. Xem chi tiết tại Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là gì?.
- Áp dụng biện pháp kỹ thuật: Mã hóa dữ liệu, ẩn danh hóa, kiểm soát truy cập nghiêm ngặt.
- Đào tạo nhân sự: Con người thường là mắt xích yếu nhất trong bảo mật. Đảm bảo nhân viên hiểu rõ quy định và quy trình xử lý dữ liệu an toàn.
Doanh nghiệp của bạn đã sẵn sàng ứng phó với sự cố dữ liệu chưa?
Đừng để sự cố nhỏ trở thành khủng hoảng lớn. Hãy để các chuyên gia của DPVN hỗ trợ bạn xây dựng quy trình ứng phó sự cố và hoàn thiện hồ sơ tuân thủ pháp luật.
DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân
Hotline: 0982976486
Email: info@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp (FAQ)
1. Tôi phải báo cáo sự cố lộ dữ liệu cho cơ quan nào?
Doanh nghiệp phải gửi thông báo vi phạm cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc bằng văn bản.
2. Mẫu thông báo vi phạm quy định bảo vệ dữ liệu là mẫu nào?
Theo Nghị định 356/2025/NĐ-CP, doanh nghiệp sử dụng Mẫu số 08 (Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân) ban hành kèm theo Phụ lục của Nghị định này.
3. Nếu dữ liệu bị lộ đã được mã hóa thì có cần thông báo không?
Về nguyên tắc, nếu dữ liệu bị lộ nhưng đã được mã hóa và kẻ tấn công không có khóa giải mã (dữ liệu không thể đọc được), rủi ro được giảm thiểu. Tuy nhiên, doanh nghiệp vẫn nên thực hiện đánh giá rủi ro và tham vấn chuyên gia pháp lý để quyết định việc thông báo, nhằm đảm bảo sự minh bạch và tuân thủ tối đa.
4. Thời hạn 72 giờ tính từ thời điểm nào?
Thời hạn 72 giờ được tính từ thời điểm doanh nghiệp phát hiện ra hành vi vi phạm hoặc sự cố rò rỉ dữ liệu.
5. Doanh nghiệp nhỏ có được miễn trừ trách nhiệm thông báo không?
Không. Luật Bảo vệ dữ liệu cá nhân áp dụng cho mọi cơ quan, tổ chức, cá nhân. Tuy nhiên, doanh nghiệp siêu nhỏ có thể được hưởng một số chính sách miễn trừ về thủ tục hành chính (như lập hồ sơ đánh giá tác động trong 5 năm đầu), nhưng nghĩa vụ bảo vệ dữ liệu và thông báo vi phạm vẫn phải thực hiện nghiêm túc.
Nguồn tham khảo:
- Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
- Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
- Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
- DPVN: Các bài viết chuyên sâu về xử lý khủng hoảng dữ liệu.
- Cục An toàn thông tin: Hướng dẫn ứng cứu sự cố an toàn thông tin mạng.
