Doanh nghiệp cần làm gì khi bị rò rỉ dữ liệu cá nhân?

Bản tin pháp luật

Doanh nghiệp cần làm gì khi bị rò rỉ dữ liệu cá nhân?

LexNovum Lawyers

LexNovum Lawyers

03/07/2026

Rò rỉ dữ liệu cá nhân (“DLCN”) không còn là rủi ro xa vời. Đây là vấn đề tuân thủ thực tế mà doanh nghiệp cần nhận diện sớm và có phương án xử lý phù hợp. Theo Luật Bảo vệ dữ liệu cá nhân 2025 (“Luật BVDLCN 2025”) và Nghị định số 356/2025/NĐ-CP[1], khi xảy ra sự cố, doanh nghiệp cần nhanh chóng xác định vai trò pháp lý, đánh giá mức độ ảnh hưởng và triển khai kịp thời các biện pháp kỹ thuật và tuân thủ cần thiết.

Trong bài viết này, LNV sẽ: i) tóm lược các nghĩa vụ pháp lý trọng tâm mà doanh nghiệp cần thực hiện ngay khi xảy ra sự cố rò rỉ DLCN; ii) chỉ ra một số điểm tuân thủ mà doanh nghiệp thường bỏ sót; và iii) đưa ra một số khuyến nghị thực tiễn để doanh nghiệp chuẩn bị tốt hơn cho tình huống này.

1. Các nghĩa vụ pháp lý mà doanh nghiệp cần thực hiện ngay khi xảy ra sự cố

(i) Thứ nhất, doanh nghiệp cần khẩn trương ngăn chặn hành vi vi phạm, giảm thiểu thiệt hại và khắc phục hậu quả ban đầu.

Theo Điều 23.4 Luật BVDLCN 2025, khi phát hiện hành vi vi phạm quy định về bảo vệ DLCN, doanh nghiệp trong vai trò là bên kiểm soát DLCN, bên kiểm soát và xử lý DLCN hoặc bên thứ ba có trách nhiệm ngăn chặn hành vi vi phạm, khắc phục hậu quả xảy ra. Đây là nghĩa vụ phát sinh ngay từ thời điểm doanh nghiệp phát hiện hoặc xác định có dấu hiệu xảy ra sự cố. Trên thực tế, các biện pháp xử lý ban đầu có thể bao gồm: cô lập hệ thống bị xâm nhập, khóa quyền truy cập bất thường, thay đổi thông tin xác thực, ngừng luồng chia sẻ dữ liệu có rủi ro và kiểm tra phạm vi dữ liệu bị ảnh hưởng.

Đáng lưu ý, theo Điều 68.4.a Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ DLCN (“Dự thảo Nghị định”), hành vi không thực hiện biện pháp ngăn chặn hành vi vi phạm có thể bị đề xuất xử phạt từ 60.000.000 VNĐ đến 80.000.000 VNĐ. Do đây mới là nội dung tại Dự thảo Nghị định, mức phạt này cần được hiểu là rủi ro chế tài dự kiến, chưa phải là căn cứ xử phạt đang có hiệu lực tại thời điểm hiện nay.

Đối với doanh nghiệp chỉ đóng vai trò là bên xử lý DLCN, Điều 23.1 Luật BVDLCN 2025 đặt ra nghĩa vụ phải thông báo kịp thời cho bên kiểm soát DLCN hoặc bên kiểm soát và xử lý DLCN để các chủ thể này thực hiện các nghĩa vụ tiếp theo theo quy định pháp luật. Tương tự, theo Điều 68.1.a Dự thảo Nghị định, hành vi không thông báo kịp thời cho bên kiểm soát DLCN hoặc bên kiểm soát và xử lý DLCN có thể bị đề xuất xử phạt từ 10.000.000 VNĐ đến 20.000.000 VNĐ nếu nội dung này được thông qua theo Dự thảo Nghị định.

(ii) Thứ hai, lập biên bản xác nhận sự cố và lưu trữ hồ sơ vi phạm.

Theo Điều 23.2 Luật BVDLCN 2025, khi xảy ra hành vi vi phạm quy định về bảo vệ DLCN, doanh nghiệp với vai trò là bên kiểm soát DLCN, bên kiểm soát và xử lý DLCN có trách nhiệm lập biên bản xác nhận về việc xảy ra hành vi vi phạm. Biên bản này nên ghi nhận các thông tin cơ bản như: thời điểm phát hiện, bộ phận phát hiện, hệ thống bị ảnh hưởng, loại DLCN liên quan, nguyên nhân ban đầu, mức độ tác động và các biện pháp đã triển khai. Đây là căn cứ rất quan trọng để phục vụ việc giải trình nội bộ, làm việc với cơ quan chức năng, đối tác và chủ thể DLCN khi cần thiết.

Đáng lưu ý, theo Điều 68.1.b Dự thảo Nghị định, hành vi không lập biên bản xác nhận về việc xảy ra hành vi vi phạm quy định về bảo vệ DLCN đang được đề xuất xử phạt từ 10.000.000 VNĐ đến 20.000.000 VNĐ.

Bên cạnh đó, đối với sự cố liên quan đến dữ liệu vị trí hoặc dữ liệu sinh trắc học, doanh nghiệp trong các vai trò trên cần lưu ý rằng hồ sơ vi phạm phải được ghi nhận, lưu giữ và cập nhật tối thiểu 05 năm kể từ ngày khắc phục xong sự cố (theo Điều 29.1.c Nghị định 356/2025/NĐ-CP). Việc lưu giữ này nhằm phục vụ công tác thanh tra, kiểm tra, xử lý vi phạm và chứng minh quá trình khắc phục sự cố của doanh nghiệp khi cần thiết.

(iii) Thứ ba, thực hiện thông báo vi phạm cho cơ quan chuyên trách bảo vệ DLCN (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (“Cục A05”)) trong thời hạn luật định.

Một trong những nghĩa vụ quan trọng nhất, nhưng cũng là nghĩa vụ doanh nghiệp dễ bỏ sót hoặc thực hiện không đúng thời hạn trên thực tế, là nghĩa vụ thông báo cho cơ quan nhà nước có thẩm quyền.

Cụ thể, theo Điều 23.1 Luật BVDLCN 2025 và Điều 28 Nghị định 356/2025/NĐ-CP, doanh nghiệp với vai trò là bên kiểm soát DLCN, bên kiểm soát và xử lý DLCN, bên thứ ba phải gửi Thông báo vi phạm bảo vệ DLCN theo Mẫu 08 (được ban hành kèm theo Nghị định 356/2025/NĐ-CP) trực tiếp đến trụ sở Cục A05 hoặc thông qua Cổng thông tin quốc gia về bảo vệ DLCN, chậm nhất trong vòng 72 giờ, kể từ thời điểm phát hiện vi phạm.

Đáng lưu ý, theo Điều 68.3 Dự thảo Nghị định, nếu doanh nghiệp gửi thông báo chậm hơn 72 giờ kể từ thời điểm phát hiện vi phạm, doanh nghiệp có thể bị xử phạt từ 40.000.000 VNĐ đến 60.000.000 VNĐ.

(iv) Thứ tư, thông báo cho chủ thể DLCN trong các trường hợp luật định.

Ngoài nghĩa vụ báo cáo cho Cục A05, trong một số trường hợp doanh nghiệp còn phải thông báo trực tiếp cho chủ thể DLCN bị ảnh hưởng. Theo Điều 27.1.d Luật BVDLCN 2025, Điều 8.3 và Điều 29.1 Nghị định 356/2025/NĐ-CP, việc thông báo này đặc biệt bắt buộc trong vòng 72 giờ đối với các sự cố làm lộ DLCN nhạy cảm liên quan đến tài chính, ngân hàng, dữ liệu vị trí hoặc dữ liệu sinh trắc học. Về nội dung trong thông báo:

– Đối với DLCN trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng thì nội dung trong thông báo cần đầy đủ theo Điều 28.1 Nghị định 356/2025/NĐ-CP. Đáng lưu ý, theo Điều 78.1.b Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng và bảo vệ DLCN, hành vi thông báo không đầy đủ nội dung theo Điều 28.1 Nghị định 356/2025/NĐ-CP đang được đề xuất xử phạt từ 50.000.000 VNĐ đến 70.000.000 VNĐ.

– Đối với dữ liệu vị trí cá nhân và dữ liệu sinh trắc học thì nội dung trong thông báo cần đầy đủ theo Điều 29.2 Nghị định 356/2025/NĐ-CP. Trong trường hợp chưa thể thông báo riêng lẻ ngay vì lý do khẩn cấp, hạn chế kỹ thuật hoặc chưa xác định đầy đủ danh sách người bị ảnh hưởng, doanh nghiệp cần công khai thông báo trên website hoặc ứng dụng của mình, đồng thời tiếp tục thực hiện thông báo trực tiếp ngay khi có thể (theo Điều 29.3 Nghị định 356/2025/NĐ-CP). Doanh nghiệp không nên hiểu quy định này theo hướng có thể “thay thế hoàn toàn” việc thông báo riêng bằng thông báo công khai.

– Theo Điều 84.1.e và Điều 84.1.h Dự thảo Nghị định, hành vi thông báo không đầy đủ nội dung theo Điều 29.2 hoặc không thực hiện đúng quy định tại Điều 29.3 Nghị định 356/2025/NĐ-CP đang được đề xuất xử phạt từ 50.000.000 VNĐ đến 70.000.000 VNĐ.

(v) Thứ năm, phối hợp với Cục A05 để xử lý sự cố.

Theo Điều 23.2 và Điều 23.4 Luật BVDLCN 2025, doanh nghiệp phải phối hợp với Cục A05 trong quá trình xử lý hành vi vi phạm. Trên thực tế, điều này đòi hỏi doanh nghiệp phải sẵn sàng cung cấp hồ sơ sự cố, nhật ký hệ thống, thông tin về phạm vi dữ liệu bị ảnh hưởng, biện pháp khắc phục đã áp dụng và đầu mối làm việc có đủ thẩm quyền.

Theo Điều 68.4.b Dự thảo Nghị định, hành vi không phối hợp với Cục A05 trong quá trình xử lý vi phạm đang được đề xuất xử phạt từ 60.000.000 VNĐ đến 80.000.000 VNĐ. Vì vậy, theo LNV, việc chỉ xử lý sự cố trong nội bộ hoặc trì hoãn làm việc với cơ quan có thẩm quyền không phải là lựa chọn an toàn về mặt pháp lý, đặc biệt trong các sự cố có phạm vi ảnh hưởng lớn hoặc liên quan đến DLCN nhạy cảm.

2. Một số điểm tuân thủ doanh nghiệp thường bỏ sót

Từ các nghĩa vụ nêu trên, có thể thấy khi xảy ra sự cố rò rỉ DLCN, doanh nghiệp không chỉ cần sửa lỗi hệ thống mà phải xử lý đầy đủ trên cả ba phương diện: kỹ thuật, pháp lý và truyền thông. Trong thực tiễn, doanh nghiệp thường bỏ sót một số điểm sau:

(i) Khắc phục kỹ thuật không thay thế cho nghĩa vụ thông báo. Nhiều doanh nghiệp cho rằng chỉ cần nhanh chóng đóng lỗ hổng, phục hồi hệ thống và không để sự cố lan rộng là đã “xử lý xong”. Theo pháp luật bảo vệ DLCN, việc khắc phục kỹ thuật không loại trừ nghĩa vụ lập hồ sơ, thông báo và phối hợp với cơ quan có thẩm quyền nếu sự cố thuộc trường hợp phải báo cáo.

(ii) Doanh nghiệp cần xác định đúng vai trò pháp lý của mình. Tùy từng mô hình xử lý dữ liệu, doanh nghiệp có thể là bên kiểm soát DLCN, bên xử lý DLCN hoặc bên kiểm soát và xử lý DLCN, bên thứ ba. Việc xác định sai vai trò có thể dẫn đến chậm trễ trong khâu thông báo. Chẳng hạn, nếu doanh nghiệp chỉ là bên xử lý DLCN thay mặt cho đối tác, việc thông báo kịp thời cho bên kiểm soát DLCN hoặc bên kiểm soát và xử lý DLCN là yêu cầu pháp lý quan trọng để các chủ thể này thực hiện các nghĩa vụ tiếp theo theo quy định.

(iii) Mốc thời gian 72 giờ là mốc rất nghiêm ngặt. Trong các sự cố liên quan đến DLCN, thời gian là yếu tố quyết định. Mốc 72 giờ theo quy định không phải là khoảng thời gian để doanh nghiệp “điều tra cho xong”, mà là khoảng thời gian để doanh nghiệp thực hiện nghĩa vụ thông báo ban đầu trên cơ sở thông tin có được tại thời điểm đó. Việc chậm thông báo vì chờ hoàn tất điều tra nội bộ có thể làm gia tăng rủi ro pháp lý.

(iv) Dữ liệu nhạy cảm kéo theo nghĩa vụ chặt chẽ hơn. Nếu sự cố liên quan đến dữ liệu tài chính, ngân hàng, dữ liệu vị trí, dữ liệu sinh trắc học, doanh nghiệp cần đặc biệt thận trọng. Đây là nhóm dữ liệu có thể làm phát sinh nghĩa vụ thông báo cho chủ thể dữ liệu trong thời hạn ngắn, yêu cầu nội dung thông báo cụ thể hơn và nghĩa vụ lưu trữ hồ sơ vi phạm trong thời gian dài hơn.

3. Khuyến nghị thực tiễn dành cho doanh nghiệp

Từ các quy định nêu trên, LNV khuyến nghị doanh nghiệp:

(i) Xây dựng sẵn quy trình ứng phó sự cố rò rỉ DLCN. Doanh nghiệp nên ban hành quy trình nội bộ quy định rõ: đầu mối tiếp nhận sự cố; cách thức cô lập hệ thống; quy trình đánh giá loại dữ liệu bị ảnh hưởng; cơ chế, thẩm quyền ra quyết định thông báo và trách nhiệm phối hợp của từng bộ phận như pháp chế, công nghệ thông tin, nhân sự, truyền thông và bộ phận kinh doanh có liên quan.

(ii) Chuẩn bị trước mẫu báo cáo. Doanh nghiệp nên chuẩn bị trước mẫu biên bản sự cố, checklist đánh giá ảnh hưởng, mẫu thông báo gửi Cục A05 và mẫu thông báo gửi chủ thể DLCN. Việc chuẩn bị trước các tài liệu này sẽ giúp doanh nghiệp tiết kiệm đáng kể thời gian xử lý trong “khung 72 giờ”, đồng thời hạn chế rủi ro bỏ sót thông tin cần thiết khi sự cố xảy ra.

(iii) Diễn tập định kỳ quy trình ứng phó sự cố. Quy trình ứng phó sự cố chỉ thực sự hiệu quả khi được kiểm tra và diễn tập trên thực tế. Doanh nghiệp nên tổ chức diễn tập định kỳ để kiểm tra khả năng phối hợp giữa các bộ phận, đánh giá tốc độ phản ứng, xác định điểm nghẽn trong quy trình thông báo và cập nhật kịp thời các tài liệu nội bộ khi có thay đổi về pháp luật, hệ thống công nghệ hoặc mô hình xử lý DLCN.

(iv) Rà soát cơ chế phối hợp với nhà cung cấp và bên xử lý DLCN. Trong nhiều trường hợp, sự cố rò rỉ DLCN không phát sinh trực tiếp từ hệ thống nội bộ của doanh nghiệp mà từ nhà cung cấp dịch vụ, đơn vị xử lý dữ liệu thuê ngoài, nền tảng công nghệ, dịch vụ lưu trữ đám mây hoặc các đối tác có quyền truy cập vào DLCN. Vì vậy, doanh nghiệp cần rà soát hợp đồng, thỏa thuận xử lý dữ liệu và quy trình phối hợp với các bên này, đặc biệt là nghĩa vụ thông báo sự cố, thời hạn phản hồi, trách nhiệm cung cấp log/hồ sơ kỹ thuật và cơ chế hỗ trợ doanh nghiệp khi làm việc với cơ quan có thẩm quyền.

(v) Xây dựng cơ chế quản trị DLCN ngay từ đầu. Về lâu dài, cách hiệu quả nhất để giảm thiểu rủi ro khi xảy ra sự cố là doanh nghiệp cần thiết lập hệ thống quản trị DLCN bài bản, bao gồm: phân loại dữ liệu, kiểm soát truy cập, ghi nhận nhật ký hệ thống, mã hóa dữ liệu, quản lý vòng đời dữ liệu, rà soát định kỳ quyền truy cập và đào tạo nhân sự. Một doanh nghiệp quản trị dữ liệu tốt sẽ không chỉ hạn chế được thiệt hại thực tế mà còn thuận lợi hơn trong việc chứng minh rằng mình đã thực hiện đầy đủ các nghĩa vụ cẩn trọng cần thiết theo quy định.

Trên đây là một số nội dung cập nhật của LNV liên quan đến các nghĩa vụ mà doanh nghiệp cần lưu ý khi xảy ra sự cố rò rỉ DLCN. LNV sẵn sàng đồng hành và hỗ trợ doanh nghiệp trong quá trình rà soát hệ thống tuân thủ, xây dựng quy trình ứng phó sự cố và hoàn thiện cơ chế quản trị DLCN phù hợp với thực tiễn hoạt động của từng doanh nghiệp.

Người thực hiện: Thực tập sinh Trung Tín

Tham vấn: Luật sư Phan Nhi

Lưu ý:

Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý Khách hàng vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LNV để nhận được sự tư vấn chuyên sâu từ chúng tôi.

Vui lòng trích dẫn nguồn khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.

[1] Nghị định số 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.