Thanh tra, kiểm tra doanh nghiệp về bảo vệ dữ liệu cá nhân

Ngày đăng - 24/05/2024

Luật sư Nguyễn Lâm Sơn Tư vấn Nghị định 13/2023/NĐ-CP, Tư vấn Luật bảo vệ dữ liệu cá nhân

Hoạt động thanh tra, kiểm tra về bảo vệ dữ liệu cá nhân là một quy trình thực thi pháp luật quan trọng, đòi hỏi doanh nghiệp phải có sự chuẩn bị kỹ lưỡng. Tại DPVN, chúng tôi cung cấp một cẩm nang chi tiết về nội dung kiểm tra và quy trình thanh tra, giúp doanh nghiệp của bạn tự tin ứng phó và chứng minh sự tuân thủ.

Đơn vị nào có thẩm quyền thanh tra, kiểm tra về bảo vệ dữ liệu cá nhân và dựa trên cơ sở pháp lý nào?

Cơ quan có thẩm quyền thanh tra, kiểm tra chính là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an, với vai trò là “Cơ quan chuyên trách bảo vệ dữ liệu cá nhân”. Hoạt động này được thực hiện dựa trên các quy định tại Nghị định 13/2023/NĐ-CP, Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, và Luật Thanh tra.

Việc xác định đúng cơ quan có thẩm quyền là bước đầu tiên để doanh nghiệp hiểu rõ quy trình và phạm vi của một cuộc thanh tra, kiểm tra. Theo Điều 29 và 32 của Nghị định 13/2023/NĐ-CP, Cục A05 được giao nhiệm vụ là đầu mối thực thi pháp luật về bảo vệ dữ liệu. Thẩm quyền này bao gồm cả việc tiến hành các hoạt động thanh tra, kiểm tra định kỳ hoặc đột xuất đối với các tổ chức, cá nhân.

Về chuyên môn sâu, doanh nghiệp cần lưu ý rằng hoạt động thanh tra không chỉ giới hạn trong phạm vi của Nghị định 13. Đoàn thanh tra có thể kiểm tra việc tuân thủ các quy định liên quan trong các văn bản luật khác như Luật An ninh mạng, Luật Giao dịch điện tử. Do đó, sự chuẩn bị của doanh nghiệp cần phải mang tính toàn diện, bao quát tất cả các khía cạnh liên quan đến quản trị dữ liệu. Việc hiểu rõ vai trò và trách nhiệm của Cục An ninh mạng sẽ giúp doanh nghiệp tương tác và làm việc một cách hiệu quả hơn.

Quy trình, thủ tục của một cuộc thanh tra, kiểm tra bảo vệ dữ liệu cá nhân diễn ra như thế nào?

Một cuộc thanh tra, kiểm tra thường diễn ra theo một quy trình chuẩn, bao gồm các bước: (1) Ban hành Quyết định thanh tra và gửi cho doanh nghiệp; (2) Công bố Quyết định tại trụ sở doanh nghiệp; (3) Đoàn thanh tra tiến hành kiểm tra trực tiếp hồ sơ, tài liệu và hệ thống; (4) Lập biên bản kiểm tra; và (5) Ban hành Kết luận thanh tra và các quyết định xử lý (nếu có).

Việc nắm vững quy trình thanh tra giúp doanh nghiệp không bị bất ngờ và có thể chuẩn bị, phối hợp một cách chuyên nghiệp.

  1. Bước 1: Tiếp nhận Quyết định thanh tra: Doanh nghiệp sẽ nhận được Quyết định thanh tra được gửi trước một khoảng thời gian hợp lý (thường là vài ngày làm việc). Quyết định sẽ nêu rõ thành phần đoàn, nội dung, phạm vi và thời gian tiến hành.
  2. Bước 2: Chuẩn bị nội bộ: Ngay sau khi nhận quyết định, doanh nghiệp cần thành lập một đội ngũ chuyên trách để làm việc với đoàn, tập hợp tất cả các hồ sơ, tài liệu liên quan đến nội dung kiểm tra.
  3. Bước 3: Buổi làm việc và Công bố Quyết định: Đoàn thanh tra sẽ có buổi làm việc đầu tiên tại trụ sở doanh nghiệp để công bố quyết định và phổ biến kế hoạch làm việc chi tiết.
  4. Bước 4: Quá trình kiểm tra trực tiếp: Đoàn có quyền yêu cầu cung cấp tài liệu, phỏng vấn các nhân sự liên quan (từ lãnh đạo, DPO đến nhân viên IT), và có thể kiểm tra thực tế các hệ thống, máy chủ.
  5. Bước 5: Lập và Ký Biên bản: Kết thúc quá trình kiểm tra tại trụ sở, đoàn sẽ lập một biên bản ghi nhận các nội dung đã kiểm tra, các phát hiện ban đầu. Đại diện doanh nghiệp sẽ đọc kỹ và ký vào biên bản.
  6. Bước 6: Nhận Kết luận Thanh tra: Sau một thời gian tổng hợp và xem xét, cơ quan thanh tra sẽ ban hành Kết luận chính thức, trong đó nêu rõ các vi phạm (nếu có) và các biện pháp xử lý, yêu cầu khắc phục.

Doanh nghiệp cần chuẩn bị những hồ sơ, tài liệu gì cho một cuộc thanh tra, kiểm tra?

Doanh nghiệp cần chuẩn bị một bộ hồ sơ tuân thủ toàn diện, đóng vai trò là bằng chứng cho trách nhiệm giải trình của mình. Bộ hồ sơ này bao gồm hai nhóm chính: (1) Các tài liệu pháp lý và quản trị (như Hồ sơ ĐGTĐ, chính sách, hợp đồng); và (2) Các tài liệu kỹ thuật và vận hành (như nhật ký hệ thống, bằng chứng về sự đồng ý, quy trình nội bộ).

Sự chuẩn bị kỹ lưỡng về mặt hồ sơ sẽ giúp buổi làm việc với đoàn thanh tra diễn ra suôn sẻ và thể hiện sự chuyên nghiệp của doanh nghiệp.

Checklist các hồ sơ, tài liệu cần chuẩn bị

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Trong kinh nghiệm hỗ trợ khách hàng qua các cuộc kiểm tra, chúng tôi nhận thấy rằng việc có một bộ hồ sơ được sắp xếp khoa học, đầy đủ và sẵn sàng ngay khi đoàn thanh tra yêu cầu sẽ tạo ra một ấn tượng ban đầu cực kỳ tốt. Nó cho thấy doanh nghiệp đã có sự chuẩn bị và nghiêm túc trong công tác tuân thủ. Ngược lại, việc lúng túng, tìm kiếm tài liệu một cách bị động sẽ khiến đoàn thanh tra có ấn tượng rằng doanh nghiệp đang che giấu hoặc không có một hệ thống quản trị bài bản.”

Nhóm Tài liệu Các hạng mục cụ thể
Pháp lý & Hành chính – Bản chính Hồ sơ ĐGTĐ xử lý dữ liệu cá nhânHồ sơ ĐGTĐ chuyển dữ liệu ra nước ngoài (nếu có).
– Bằng chứng đã nộp các hồ sơ này cho Cục A05.
– Quyết định thành lập bộ phận/chỉ định nhân sự phụ trách bảo vệ dữ liệu.
Chính sách & Quy trình Chính sách Bảo vệ dữ liệu cá nhân (công khai cho khách hàng).
Chính sách bảo vệ dữ liệu nội bộ (cho nhân viên).
– Quy trình ứng phó sự cố vi phạm dữ liệu.
– Quy trình đáp ứng quyền của chủ thể dữ liệu.
Bằng chứng Tuân thủ – Mẫu các biểu mẫu thu thập sự đồng ý (ảnh chụp màn hình, hợp đồng mẫu…).
– Các Thỏa thuận xử lý dữ liệu (DPA) đã ký với các đối tác.
– Tài liệu, biên bản các buổi đào tạo nội bộ về bảo vệ dữ liệu.

Doanh nghiệp có những quyền và nghĩa vụ gì trong một cuộc thanh tra, kiểm tra?

Doanh nghiệp có nghĩa vụ hợp tác, cung cấp thông tin, tài liệu một cách trung thực và kịp thời theo yêu cầu của đoàn thanh tra. Đồng thời, doanh nghiệp cũng có quyền được giải trình, bảo lưu ý kiến của mình trong biên bản, và được nhận kết luận thanh tra cũng như thực hiện quyền khiếu nại đối với kết luận đó nếu thấy không thỏa đáng.

Việc hiểu rõ quyền và nghĩa vụ của mình giúp doanh nghiệp bảo vệ lợi ích hợp pháp trong suốt quá trình làm việc với cơ quan chức năng.

  • Nghĩa vụ Hợp tác: Phải cử người có thẩm quyền làm việc, cung cấp đầy đủ và trung thực các hồ sơ, tài liệu theo yêu cầu.
  • Quyền được Giải trình: Có quyền giải thích, làm rõ các vấn đề mà đoàn thanh tra nêu ra.
  • Quyền Bảo lưu ý kiến: Nếu không đồng ý với một nội dung nào đó trong dự thảo biên bản, doanh nghiệp có quyền ghi rõ ý kiến bảo lưu của mình trước khi ký.
  • Quyền được Khiếu nại: Sau khi nhận Kết luận thanh tra, nếu không đồng ý, doanh nghiệp có quyền khiếu nại theo quy định của Luật Khiếu nại.

DPVN: Dịch Vụ Hỗ Trợ và Đại Diện Doanh Nghiệp trong các cuộc Thanh tra, Kiểm tra

Việc đối mặt với một cuộc thanh tra, kiểm tra có thể gây ra nhiều áp lực và bối rối. Sự có mặt của một đơn vị tư vấn pháp lý chuyên nghiệp sẽ giúp doanh nghiệp tự tin, bảo vệ tốt nhất quyền lợi của mình và đảm bảo quá trình làm việc diễn ra một cách thuận lợi, đúng pháp luật.

Đội ngũ của DPVN, với kinh nghiệm của Luật sư Nguyễn Lâm Sơn, sẵn sàng tư vấn, chuẩn bị hồ sơ và đại diện cho doanh nghiệp của bạn. Hãy liên hệ với chúng tôi:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Câu hỏi thường gặp về thanh tra, kiểm tra bảo vệ dữ liệu cá nhân

1. Các hành vi vi phạm nào thường bị kiểm tra và xử phạt?

Các hành vi thường bị tập trung kiểm tra bao gồm: không thực hiện các thủ tục hành chính (như nộp hồ sơ ĐGTĐ), xử lý dữ liệu không có sự đồng ý hợp lệ, sử dụng dữ liệu sai mục đích, không có biện pháp bảo vệ phù hợp dẫn đến rò rỉ, và không đáp ứng các quyền của chủ thể dữ liệu.

2. Thanh tra có thể diễn ra đột xuất không?

Có. Theo quy định của pháp luật về thanh tra, cơ quan chức năng có quyền tiến hành thanh tra, kiểm tra theo kế hoạch định kỳ hoặc đột xuất khi phát hiện có dấu hiệu vi phạm pháp luật.

3. Đoàn thanh tra có được phép sao chép dữ liệu của công ty không?

Đoàn thanh tra có quyền yêu cầu cung cấp và sao chép các hồ sơ, tài liệu liên quan đến nội dung thanh tra. Tuy nhiên, họ cũng có nghĩa vụ bảo mật đối với các thông tin, tài liệu đã thu thập theo quy định của pháp luật.

4. Kinh nghiệm từ các cuộc thanh tra thực tế là gì?

Kinh nghiệm cho thấy, các đoàn thanh tra thường tập trung vào “trách nhiệm giải trình”. Họ không chỉ hỏi “bạn có làm không?” mà còn hỏi “bằng chứng cho thấy bạn đã làm ở đâu?”. Do đó, việc xây dựng và lưu trữ một bộ hồ sơ tuân thủ đầy đủ, khoa học là yếu tố then chốt.

5. Sự khác biệt giữa thanh tra và kiểm tra là gì?

Về cơ bản, thanh tra là một hoạt động có quy mô lớn hơn, quy trình chặt chẽ hơn và thường được tiến hành theo một kế hoạch đã được phê duyệt. Kiểm tra có thể mang tính thường xuyên hơn, phạm vi hẹp hơn và có thể được thực hiện đột xuất để giải quyết một vấn đề cụ thể. Tuy nhiên, đối với doanh nghiệp, cả hai đều là các hoạt động giám sát của cơ quan nhà nước và cần được chuẩn bị, ứng phó một cách nghiêm túc.

Nguồn tham khảo:

  1. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  2. Luật Thanh tra 2022: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Thanh-tra-2022-506894.aspx
  3. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
  4. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  5. ICO (UK) – Guide to data protection audits and investigations: https://ico.org.uk/for-organisations/audits-and-investigations/
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486