Trong bối cảnh Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Nghị định 356/2025/NĐ-CP đã chính thức có hiệu lực từ ngày 01/01/2026, trách nhiệm của Bên xử lý dữ liệu cá nhân khi xảy ra sự cố vi phạm không chỉ dừng lại ở việc khắc phục hậu quả mà còn phải tuân thủ nghiêm ngặt quy trình thông báo trong vòng 72 giờ. DPVN sẽ giúp Quý doanh nghiệp nắm rõ quy trình xử lý, giới hạn trách nhiệm và các chế tài pháp lý để chủ động ứng phó khi khủng hoảng xảy ra.
Cập nhật pháp lý 2026: Bài viết này phân tích dựa trên các quy định mới nhất của Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025, thay thế hoàn toàn các hướng dẫn cũ theo Nghị định 13/2023/NĐ-CP.
Bên Xử Lý Dữ Liệu Phải Thông Báo Cho Ai Và Trong Bao Lâu Khi Phát Hiện Vi Phạm?
Bên xử lý dữ liệu phải thông báo “kịp thời” cho Bên kiểm soát dữ liệu ngay khi phát hiện hành vi vi phạm. Trong trường hợp Bên kiểm soát dữ liệu không thể thực hiện thông báo, Bên xử lý dữ liệu phải trực tiếp thông báo cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Bộ Công an) chậm nhất là 72 giờ kể từ khi phát hiện vi phạm, theo quy định tại Điều 23 Luật 91/2025/QH15.
Sự chậm trễ trong việc thông báo là một trong những lỗi vi phạm phổ biến và nghiêm trọng nhất mà các doanh nghiệp thường mắc phải. Theo quy định tại Điều 23 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, nghĩa vụ thông báo được chia làm hai trường hợp cụ thể:
- Trường hợp 1: Thông báo nội bộ. Bên xử lý dữ liệu (Processor) có nghĩa vụ hợp đồng và pháp lý phải báo cáo ngay lập tức cho Bên kiểm soát dữ liệu (Controller) mọi dấu hiệu vi phạm. Điều này giúp Bên kiểm soát kịp thời kích hoạt quy trình ứng phó sự cố tổng thể.
- Trường hợp 2: Thông báo cho cơ quan chức năng. Nếu sự cố vi phạm có nguy cơ gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự an toàn xã hội hoặc quyền lợi của chủ thể dữ liệu, và Bên kiểm soát không thực hiện thông báo, trách nhiệm này sẽ thuộc về Bên xử lý. Thời hạn tối đa là 72 giờ.
Doanh nghiệp cần lưu ý sử dụng đúng biểu mẫu quy định. Cụ thể, đối với tổ chức, phải sử dụng Mẫu số 08 ban hành kèm theo Nghị định 356/2025/NĐ-CP để gửi thông báo. Quý vị có thể tham khảo chi tiết về quy trình này tại bài viết Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân: Trình tự, hồ sơ.
Bên Xử Lý Dữ Liệu Có Phải Chịu Trách Nhiệm Bồi Thường Thiệt Hại Không?
Có. Theo điểm d và g khoản 2 Điều 37 Luật 91/2025/QH15, Bên xử lý dữ liệu phải chịu trách nhiệm trước Bên kiểm soát dữ liệu về thiệt hại do quá trình xử lý gây ra. Đồng thời, họ cũng phải chịu trách nhiệm bồi thường thiệt hại thực tế cho chủ thể dữ liệu nếu vi phạm quy định pháp luật.
Luật mới đã phân định rất rõ ràng trách nhiệm bồi thường. Không còn tình trạng “đá bóng trách nhiệm” giữa Bên kiểm soát và Bên xử lý. Cụ thể:
- Trách nhiệm với Bên kiểm soát: Được xác định dựa trên hợp đồng xử lý dữ liệu (Data Processing Agreement – DPA). Nếu Bên xử lý làm lộ dữ liệu do lỗi hệ thống của mình, họ phải bồi thường cho Bên kiểm soát theo thỏa thuận.
- Trách nhiệm với Chủ thể dữ liệu: Điều 8 Luật 91/2025 quy định tổ chức, cá nhân vi phạm gây thiệt hại thì phải bồi thường. Điều này có nghĩa là người dùng có thể kiện trực tiếp Bên xử lý dữ liệu nếu chứng minh được thiệt hại xuất phát từ hành vi vi phạm của bên này.
Để giảm thiểu rủi ro này, DPVN khuyến nghị các doanh nghiệp cung cấp dịch vụ xử lý dữ liệu (như các công ty Cloud, Outsourcing, Marketing Agency) cần rà soát lại hợp đồng và xây dựng Thỏa thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân chặt chẽ, giới hạn trách nhiệm ở mức hợp lý.
Biện Pháp Khắc Phục Nào Là Bắt Buộc Khi Xảy Ra Sự Cố?
Bên xử lý dữ liệu phải lập tức áp dụng các biện pháp ngăn chặn hành vi vi phạm (như ngắt kết nối, khoanh vùng hệ thống), phối hợp với Bên kiểm soát và cơ quan chức năng để xác minh nguyên nhân, và thực hiện các biện pháp giảm thiểu thiệt hại cho chủ thể dữ liệu (theo khoản 4 Điều 23 Luật 91/2025/QH15).
Khi sự cố xảy ra (ví dụ: bị tấn công ransomware, lộ lọt database), phản ứng trong “giờ vàng” đầu tiên là cực kỳ quan trọng. Quy trình khắc phục chuẩn mực bao gồm:
| Bước | Hành động cụ thể | Lưu ý quan trọng |
|---|---|---|
| 1. Cô lập | Ngắt kết nối mạng, cô lập máy chủ bị ảnh hưởng để ngăn chặn vi phạm lan rộng. | Không tắt nguồn máy chủ đột ngột để bảo vệ chứng cứ số (Forensics). |
| 2. Đánh giá | Xác định phạm vi dữ liệu bị ảnh hưởng (số lượng, loại dữ liệu nhạy cảm hay cơ bản). | Phân loại rủi ro theo hướng dẫn tại Hồ sơ đánh giá tác động. |
| 3. Thông báo | Gửi thông báo cho Bên kiểm soát và Bộ Công an (nếu cần) trong vòng 72h. | Sử dụng đúng Mẫu số 08 Nghị định 356. |
| 4. Khắc phục | Vá lỗ hổng bảo mật, khôi phục dữ liệu từ bản sao lưu, hỗ trợ chủ thể dữ liệu đổi mật khẩu. | Ghi nhật ký toàn bộ quá trình khắc phục. |
Trong thực tế tư vấn, DPVN thường xuyên gặp các trường hợp doanh nghiệp lúng túng không biết bắt đầu từ đâu. Việc chuẩn bị sẵn kịch bản ứng phó sự cố (Incident Response Plan) là yêu cầu bắt buộc đối với các đơn vị kinh doanh dịch vụ xử lý dữ liệu theo Điều 23 Nghị định 356/2025/NĐ-CP.
Mức Phạt Đối Với Bên Xử Lý Dữ Liệu Khi Vi Phạm Là Bao Nhiêu?
Mức phạt tiền tối đa có thể lên tới 5% tổng doanh thu của năm tài chính liền kề (đối với vi phạm về chuyển dữ liệu ra nước ngoài) hoặc phạt tiền đến 03 tỷ đồng đối với các hành vi vi phạm khác, theo quy định tại Điều 8 Luật 91/2025/QH15.
Chế tài xử phạt trong Luật Bảo vệ dữ liệu cá nhân 2025 đã tăng nặng đáng kể so với trước đây nhằm răn đe các hành vi xâm phạm dữ liệu. Bên cạnh phạt tiền, Bên xử lý dữ liệu còn có thể đối mặt với các hình phạt bổ sung và biện pháp khắc phục hậu quả:
- Đình chỉ hoạt động: Tước quyền sử dụng Giấy phép kinh doanh dịch vụ xử lý dữ liệu cá nhân có thời hạn hoặc vô thời hạn (theo Điều 27 Nghị định 356).
- Buộc nộp lại số lợi bất hợp pháp: Toàn bộ doanh thu có được từ hành vi vi phạm (ví dụ: bán dữ liệu trái phép) sẽ bị tịch thu.
- Công khai vi phạm: Tên doanh nghiệp và hành vi vi phạm sẽ được công bố trên Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân, gây ảnh hưởng nghiêm trọng đến uy tín thương hiệu.
Quý doanh nghiệp có thể tham khảo chi tiết về khung hình phạt tại bài viết Quy định xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân để có cái nhìn toàn diện hơn.
Bên Xử Lý Dữ Liệu Cần Lưu Trữ Hồ Sơ Sự Cố Như Thế Nào?
Bên xử lý dữ liệu phải lập biên bản xác nhận sự việc, ghi nhận chi tiết thời gian, địa điểm, hành vi, hậu quả và các biện pháp đã áp dụng. Hồ sơ này phải được lưu trữ để phục vụ công tác thanh tra, kiểm tra của cơ quan nhà nước và giải trình khi cần thiết (theo khoản 2 Điều 23 Luật 91/2025/QH15).
Việc lưu trữ hồ sơ (Log management & Incident documentation) không chỉ là yêu cầu pháp lý mà còn là bằng chứng “ngoại phạm” quan trọng nhất của doanh nghiệp. Khi cơ quan chức năng (A05) vào cuộc thanh tra, thứ đầu tiên họ yêu cầu chính là hồ sơ này.
Một bộ hồ sơ sự cố chuẩn mực cần bao gồm:
- Biên bản sự việc có xác nhận của các bên liên quan.
- Nhật ký hệ thống (Log file) ghi lại dấu vết cuộc tấn công hoặc hành vi xâm nhập.
- Báo cáo đánh giá thiệt hại và rủi ro.
- Bằng chứng về việc đã thông báo cho Bên kiểm soát và cơ quan chức năng (email, văn bản xác nhận).
DPVN luôn nhắc nhở khách hàng: “Án tại hồ sơ”. Việc chuẩn bị kỹ lưỡng các tài liệu này sẽ giúp doanh nghiệp chứng minh được sự nỗ lực tuân thủ (Due diligence), từ đó có cơ sở để xin giảm nhẹ mức phạt nếu không may xảy ra sự cố.
Bạn lo lắng về rủi ro pháp lý khi xử lý dữ liệu cho đối tác?
Đừng để sự thiếu hiểu biết về luật pháp gây thiệt hại hàng tỷ đồng cho doanh nghiệp. Hãy để các chuyên gia của DPVN hỗ trợ bạn rà soát quy trình và xây dựng phương án ứng phó sự cố chuẩn mực.
DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân
Hotline: 0982976486
Email: info@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp (FAQ)
1. Bên xử lý dữ liệu có được miễn trách nhiệm nếu vi phạm do lỗi của nhân viên không?
Không. Tổ chức phải chịu trách nhiệm về hành vi của nhân viên mình. Tuy nhiên, nếu doanh nghiệp chứng minh được đã thực hiện đầy đủ các biện pháp đào tạo, giám sát và nhân viên cố tình vi phạm quy trình, trách nhiệm có thể được xem xét giảm nhẹ hoặc chuyển sang trách nhiệm cá nhân của nhân viên đó.
2. Thời hạn 72 giờ để thông báo vi phạm tính từ thời điểm nào?
Thời hạn 72 giờ được tính từ thời điểm Bên xử lý dữ liệu “phát hiện” ra hành vi vi phạm hoặc sự cố an ninh. Do đó, hệ thống giám sát và cảnh báo sớm là cực kỳ quan trọng.
3. Mẫu thông báo vi phạm quy định bảo vệ dữ liệu cá nhân là mẫu nào?
Doanh nghiệp phải sử dụng Mẫu số 08 ban hành kèm theo Phụ lục của Nghị định 356/2025/NĐ-CP. Việc sử dụng sai biểu mẫu có thể khiến báo cáo không được chấp nhận.
4. Bên xử lý dữ liệu có quyền từ chối yêu cầu của Bên kiểm soát nếu yêu cầu đó vi phạm luật không?
Có. Bên xử lý dữ liệu có quyền và nghĩa vụ từ chối thực hiện các chỉ đạo của Bên kiểm soát nếu nhận thấy chỉ đạo đó vi phạm Luật Bảo vệ dữ liệu cá nhân, đồng thời phải thông báo lại cho Bên kiểm soát biết.
5. Doanh nghiệp nhỏ có được miễn thực hiện thông báo vi phạm không?
Không. Nghĩa vụ thông báo vi phạm áp dụng cho mọi tổ chức, cá nhân xử lý dữ liệu, không phân biệt quy mô doanh nghiệp. Sự cố rò rỉ dữ liệu ở doanh nghiệp nhỏ vẫn có thể gây hậu quả nghiêm trọng cho chủ thể dữ liệu.
Nguồn tham khảo:
- Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
- Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
- Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
- DPVN: Tổng hợp các bài viết chuyên sâu về trách nhiệm của bên xử lý dữ liệu.
- GDPR.eu: Responsibilities of Data Processors.
