Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân: Trình tự, hồ sơ 2024

Ngày đăng - 04/06/2024

Luật sư Nguyễn Lâm Sơn Tư vấn Nghị định 13/2023/NĐ-CP, Tư vấn Luật bảo vệ dữ liệu cá nhân

Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân là một nghĩa vụ pháp lý cấp bách, đòi hỏi doanh nghiệp phải hành động nhanh chóng trong vòng 72 giờ. Tại DPVN, chúng tôi cung cấp hướng dẫn chi tiết về trình tự thông báo vi phạm và hồ sơ cần thiết, giúp doanh nghiệp của bạn ứng phó với sự cố một cách chuyên nghiệp, giảm thiểu rủi ro.

Quy định pháp luật về thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân như thế nào?

Theo Điều 23 Nghị định 13/2023/NĐ-CP, khi phát hiện một hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, Bên Kiểm soát dữ liệu có nghĩa vụ phải thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an chậm nhất là 72 giờ sau khi xảy ra vi phạm.

Đây là một trong những quy định mang tính thực thi cao và có tác động trực tiếp đến cách doanh nghiệp xử lý khủng hoảng. “Vi phạm quy định về bảo vệ dữ liệu cá nhân” không chỉ giới hạn ở các cuộc tấn công mạng từ bên ngoài. Nó bao gồm bất kỳ sự cố nào dẫn đến việc dữ liệu cá nhân bị phá hủy, mất mát, thay đổi, tiết lộ hoặc truy cập trái phép, dù là vô tình hay cố ý.

Về chuyên môn, quy định 72 giờ này tương đồng với tiêu chuẩn quốc tế được đặt ra trong GDPR của Châu Âu, cho thấy sự hội nhập của pháp luật Việt Nam. Yêu cầu này buộc các doanh nghiệp phải chuyển từ trạng thái phản ứng bị động sang chủ động, có sẵn một kế hoạch ứng phó sự cố (Incident Response Plan). Việc tuân thủ quy định này không chỉ giúp giảm thiểu hậu quả pháp lý mà còn thể hiện trách nhiệm và sự minh bạch của doanh nghiệp với khách hàng và cơ quan quản lý. Quy định này sẽ tiếp tục được duy trì và củng cố trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.

Khi nào doanh nghiệp bắt buộc phải thực hiện thông báo vi phạm?

Doanh nghiệp bắt buộc phải thực hiện thông báo khi phát hiện một sự cố vi phạm về dữ liệu cá nhân. Trách nhiệm này được kích hoạt ngay khi doanh nghiệp nhận thấy có một hành vi vi phạm đã xảy ra, không phụ thuộc vào việc đã xác định được đầy đủ quy mô hay nguyên nhân của sự cố hay chưa.

Không phải mọi sự cố an ninh thông tin đều là một vi phạm về bảo vệ dữ liệu cá nhân cần phải thông báo. Tuy nhiên, doanh nghiệp cần phải đánh giá nhanh chóng để xác định. Các trường hợp vi phạm điển hình bao gồm:

  • Tấn công mạng: Hacker xâm nhập hệ thống và đánh cắp cơ sở dữ liệu khách hàng.
  • Lỗi con người: Một nhân viên vô tình gửi một email chứa danh sách khách hàng đến sai địa chỉ.
  • Mất mát thiết bị: Một máy tính xách tay của công ty chứa dữ liệu nhân sự không được mã hóa bị mất cắp.
  • Truy cập trái phép nội bộ: Một nhân viên truy cập vào dữ liệu lương của các đồng nghiệp khác mà không được phép.
  • Sự cố từ nhà cung cấp: Một Bên Xử lý dữ liệu (ví dụ: nhà cung cấp dịch vụ cloud) của bạn bị tấn công làm lộ dữ liệu của khách hàng của bạn.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Trong các buổi tư vấn về ứng phó sự cố, một câu hỏi chúng tôi thường nhận được là: ‘Chúng tôi chưa điều tra xong nguyên nhân thì có cần báo cáo không?’. Câu trả lời là CÓ. Quy định 72 giờ được tính từ lúc ‘phát hiện’ vi phạm, không phải từ lúc điều tra xong. Nghị định 13 cho phép doanh nghiệp thông báo theo từng đợt. Do đó, thực hành tốt nhất là gửi một thông báo ban đầu trong vòng 72 giờ với những thông tin đã biết, và sau đó gửi các thông báo bổ sung khi có thêm kết quả điều tra.”

Trình tự thông báo vi phạm trong 72 giờ được thực hiện như thế nào?

Trình tự thông báo vi phạm là một quy trình ứng phó khẩn cấp, bao gồm 4 bước chính: (1) Phát hiện và Đánh giá ban đầu; (2) Ngăn chặn và Giảm thiểu thiệt hại; (3) Chuẩn bị hồ sơ thông báo theo Mẫu số 03; và (4) Nộp hồ sơ đến Cục A05 và phối hợp xử lý.

Để có thể phản ứng kịp thời trong 72 giờ, doanh nghiệp cần có một kế hoạch được chuẩn bị từ trước.

Bước 1: Phát hiện, đánh giá và kích hoạt đội ứng phó

Ngay khi có dấu hiệu vi phạm, đội ngũ IT và an ninh cần nhanh chóng xác định xem có thực sự xảy ra một vụ vi phạm dữ liệu cá nhân hay không và ước tính mức độ ảnh hưởng ban đầu. Đồng thời, cần kích hoạt ngay Đội Ứng phó Sự cố đã được chỉ định trước.

Bước 2: Ngăn chặn, giảm thiểu và điều tra

Ưu tiên hàng đầu là ngăn chặn thiệt hại lan rộng. Các hành động có thể bao gồm: cô lập hệ thống bị ảnh hưởng, thu hồi quyền truy cập, vá các lỗ hổng bảo mật. Song song đó, tiến hành điều tra để xác định nguyên nhân, quy mô và các loại dữ liệu bị ảnh hưởng.

Bước 3: Chuẩn bị Hồ sơ Thông báo vi phạm (Mẫu số 03)

Đây là bước chuẩn bị hồ sơ pháp lý. Doanh nghiệp cần điền đầy đủ thông tin vào Mẫu số 03 – Thông báo vi phạm quy định bảo vệ dữ liệu cá nhân.

Nội dung chính của Mẫu số 03 Lưu ý khi điền
Thông tin tổ chức Kê khai đầy đủ thông tin pháp lý và thông tin liên hệ của nhân sự chịu trách nhiệm.
Mô tả hành vi vi phạm Mô tả tính chất của vi phạm: thời gian, địa điểm, hành vi, các loại dữ liệu và số lượng dữ liệu liên quan. Cần mô tả trung thực và khách quan nhất có thể dựa trên thông tin đã biết.
Hậu quả xảy ra Nêu rõ các hậu quả, thiệt hại có thể xảy ra đối với chủ thể dữ liệu cá nhân (ví dụ: nguy cơ lừa đảo tài chính, nguy cơ bị mạo danh).
Biện pháp áp dụng Mô tả các biện pháp đã, đang và sẽ được đưa ra để giải quyết, khắc phục sự cố và giảm thiểu tác hại.

Tải về Mẫu số 03 tại đây

Bước 4: Nộp hồ sơ và Phối hợp

Gửi 01 bộ hồ sơ (Mẫu số 03 và các tài liệu kèm theo nếu có) đến Cục A05 qua Cổng Dịch vụ công, bưu chính hoặc nộp trực tiếp. Sau khi nộp, doanh nghiệp có trách nhiệm lập biên bản xác nhận về vụ việc và phối hợp chặt chẽ với Cục A05 trong quá trình xử lý.

DPVN: Dịch Vụ Hỗ Trợ Ứng Phó Sự Cố và Thông Báo Vi Phạm

Việc xử lý một sự cố vi phạm dữ liệu trong áp lực thời gian 72 giờ là một thách thức cực kỳ lớn, đòi hỏi sự phối hợp của nhiều bộ phận và sự am hiểu sâu sắc về pháp lý.

DPVN cung cấp dịch vụ tư vấn ứng phó sự cố khẩn cấp, giúp doanh nghiệp điều tra, đánh giá, soạn thảo và nộp thông báo vi phạm một cách chuyên nghiệp, giảm thiểu rủi ro pháp lý và bảo vệ uy tín. Hãy liên hệ ngay với Luật sư Nguyễn Lâm Sơn khi bạn cần hỗ trợ:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Câu hỏi thường gặp về thông báo vi phạm quy định bảo vệ dữ liệu

1. 72 giờ là giờ làm việc hay 72 giờ liên tục?

Pháp luật không quy định rõ, nhưng theo thông lệ quốc tế (GDPR) và để đảm bảo tính an toàn, doanh nghiệp nên hiểu đây là 72 giờ liên tục, bao gồm cả ngày nghỉ và ngày lễ. Do đó, việc có một kế hoạch ứng phó hoạt động 24/7 là rất quan trọng.

2. Nếu Bên Xử lý dữ liệu của chúng tôi gây ra vi phạm, ai có trách nhiệm thông báo cho Cục A05?

Trách nhiệm thông báo cho Cục A05 thuộc về Bên Kiểm soát dữ liệu (tức là công ty của bạn). Tuy nhiên, Bên Xử lý dữ liệu có nghĩa vụ phải thông báo cho bạn “một cách nhanh nhất có thể” ngay sau khi họ phát hiện ra sự cố, để bạn có đủ thời gian thực hiện nghĩa vụ của mình.

3. Sau khi thông báo cho Cục A05, chúng tôi có cần phải thông báo cho các khách hàng bị ảnh hưởng không?

Nghị định 13 không quy định bắt buộc phải thông báo cho chủ thể dữ liệu. Tuy nhiên, đây là một thực hành tốt nhất được khuyến nghị trên toàn thế giới. Việc chủ động thông báo cho khách hàng về sự cố và các biện pháp khắc phục sẽ giúp họ tự bảo vệ mình và thể hiện sự minh bạch, có thể giúp giữ lại lòng tin của khách hàng.

4. Nếu chúng tôi khắc phục được sự cố trong vòng 72 giờ và không có thiệt hại, có cần phải thông báo không?

Vẫn cần. Nghĩa vụ thông báo được kích hoạt khi “xảy ra hành vi vi phạm”, không phụ thuộc vào việc hậu quả đã được khắc phục hay chưa. Việc bạn đã nhanh chóng khắc phục sẽ là một tình tiết tích cực, được ghi nhận trong phần “Biện pháp áp dụng” của Mẫu số 03.

5. Nếu nộp thông báo trễ hơn 72 giờ, hậu quả sẽ là gì?

Việc không thông báo hoặc thông báo chậm trễ mà không có lý do chính đáng là một hành vi vi phạm quy định. Doanh nghiệp có thể bị xử phạt vi phạm hành chính và đây sẽ là một yếu tố tăng nặng khi cơ quan chức năng xem xét tổng thể vụ việc.

Nguồn tham khảo:

  1. Thủ tục Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn/thu-tuc-hanh-chinh/thong-bao-vi-pham-quy-dinh-ve-bao-ve-du-lieu-ca-nhan
  2. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  3. Luật An ninh mạng 2018: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Luat-an-ninh-mang-2018-383236.aspx
  4. Personal data breaches – European Commission: https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-case-data-breach_en
  5. NIST Computer Security Incident Handling Guide (SP 800-61): https://csrc.nist.gov/pubs/sp/800/61/r2/final
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486