Hướng dẫn soạn mục Phương án bảo vệ dữ liệu cá nhân trong hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới
Sau khi doanh nghiệp đã xác định và trình bày các biện pháp kỹ thuật và tổ chức bảo vệ dữ liệu cá nhân tại Phần 1 của hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (DPIA), bước tiếp theo là phải chứng minh rằng các biện pháp này đang vận hành hiệu quả và được kiểm soát liên tục. Nội dung này thường được thể hiện thông qua việc áp dụng các tiêu chuẩn bảo vệ dữ liệu cá nhân, cùng với các hoạt động kiểm tra, đánh giá an ninh mạng định kỳ đối với toàn bộ hệ thống xử lý dữ liệu cá nhân. Đây là yêu cầu quan trọng nhằm đảm bảo rằng dữ liệu cá nhân khi chuyển ra nước ngoài vẫn được bảo vệ một cách liên tục, phù hợp với mức độ rủi ro và bối cảnh vận hành thực tế của doanh nghiệp.
1. Áp dụng tiêu chuẩn bảo vệ dữ liệu cá nhân
Doanh nghiệp sẽ ghi nhận các tiêu chuẩn mà công ty đang tham chiếu để áp dụng cho nội bộ công ty, ví dụ 1 số tiêu chuẩn như áp dụng chương trình công nhận CAP (College of American Pathologists Accreditation Program) làm tiêu chuẩn bảo vệ dữ liệu cá nhân, hoặc một số tiêu chuẩn doanh nghiệp có thể ghi nhận trong hồ sơ bao gồm:
Nhóm tiêu chuẩn quản trị bảo mật – dữ liệu cá nhân
- ISO/IEC 27701:2019: Chuẩn dành riêng cho hệ thống quản lý dữ liệu cá nhân (PIMS), bổ trợ cho ISO 27001.
- ISO/IEC 27001:2022: Hệ thống quản lý an toàn thông tin (ISMS) — nền tảng bắt buộc đối với các tổ chức xử lý dữ liệu.
- NIST Privacy Framework: Khung quản trị quyền riêng tư được sử dụng phổ biến trong các tập đoàn toàn cầu.
- GDPR – EU General Data Protection Regulation (nếu doanh nghiệp có liên quan đến thị trường EU hoặc chủ thể dữ liệu EU).
- CERT-In hoặc SOC 2 cho các doanh nghiệp cung cấp dịch vụ công nghệ thông tin, SaaS.
Nhóm tiêu chuẩn kỹ thuật và an ninh mạng
- OWASP ASVS / OWASP Top 10: Tiêu chuẩn an toàn ứng dụng web.
- TLS 1.3, AES-256, FIPS 140-2: Tiêu chuẩn mã hóa & truyền dữ liệu an toàn.
- ISO/IEC 27017 & 27018: Bảo mật dữ liệu và bảo vệ dữ liệu cá nhân trên điện toán đám mây.
Nhóm tiêu chuẩn chuyên ngành hoặc công nhận chất lượng
(Doanh nghiệp chỉ ghi nhận nếu thật sự liên quan ngành nghề hoạt động)
Ví dụ:
- CAP (College of American Pathologists Accreditation Program) đối với đơn vị y tế, phòng xét nghiệm.
- HIPAA (Health Insurance Portability and Accountability Act) với dịch vụ xử lý dữ liệu sức khỏe liên quan tới thị trường Mỹ.
- PCI-DSS đối với dữ liệu thẻ thanh toán trong thương mại điện tử.
Trong phần trình bày về tiêu chuẩn mà doanh nghiệp áp dụng, doanh nghiệp sẽ cần diễn giải cách thức mà doanh nghiệp vận dụng, áp dụng tiêu chuẩn vào hệ thống dữ liệu cá nhân của doanh nghiệp như thế nào, và tập trung vào 2 quy tắc chính là Quy tắc về quyền riêng tư và quy tắc về an ninh dữ liệu. Trong đó:
Đối với quy tắc về quyền riêng tư, doanh nghiệp sẽ cần trả lời cho các mục như:
- Giới hạn quyền truy cập;
- Xác định thông tin cần bảo vệ;
- Thông báo quyền riêng tư (cung cấp cho cá nhân thông tin đầy đủ về cách dữ liệu của họ được thu thập, lưu trữ và chia sẻ);
- Cam kết bảo mật từ bên thứ ba, trong trường hợp dữ liệu cá nhân được chia sẻ hoặc cho phép truy cập bởi các đối tác, nhà cung cấp dịch vụ hoặc bất kỳ bên thứ ba nào, doanh nghiệp phải yêu cầu các bên liên quan ký kết cam kết bảo mật và nghĩa vụ bảo vệ dữ liệu cá nhân. Cam kết này cần quy định rõ phạm vi sử dụng dữ liệu, trách nhiệm bảo mật, biện pháp an toàn thông tin bắt buộc và hậu quả pháp lý nếu xảy ra vi phạm.
- Cơ chế tiếp nhận khiếu nại: Có cơ chế để cá nhân phản ánh hoặc khiếu nại khi nghi ngờ quyền riêng tư bị xâm phạm.
Đối với quy tắc về an ninh dữ liệu, doanh nghiệp sẽ cần phân tích một cách rõ về cách thức doanh nghiệp vận dụng như:
- Kiểm soát truy cập (Access Control), theo đó doanh nghiệp đã thiết lập cơ chế xác thực danh tính và phân quyền truy cập rõ ràng cho từng chức năng, từng vai trò trong hệ thống. Mỗi nhân sự chỉ được cấp quyền ở mức tối thiểu cần thiết để thực hiện nhiệm vụ, đồng thời các hoạt động truy cập phải được ghi nhận và giám sát liên tục nhằm phát hiện kịp thời các hành vi trái phép hoặc vượt quá phạm vi được phép.
- Mã hóa dữ liệu, doanh nghiệp đã ap dụng mã hóa cho dữ liệu trong quá trình lưu trữ và truyền tải để ngăn chặn truy cập trái phép.
- Đánh giá rủi ro định kỳ: Doanh nghiệp đã thiết lập quy trình đánh giá rủi ro bảo mật định kỳ nhằm nhận diện sớm các mối đe dọa có thể tác động đến dữ liệu cá nhân. Kết quả đánh giá được sử dụng để cập nhật và tăng cường các biện pháp kiểm soát hiện hành, bảo đảm hệ thống luôn duy trì mức an toàn phù hợp với mức độ rủi ro thực tế.
- Phản hồi sự cố và thông báo vi phạm: Doanh nghiệp đã ban hành và vận hành quy trình ứng phó sự cố liên quan đến dữ liệu cá nhân, bao gồm cô lập và xử lý sự cố, điều tra nguyên nhân, phục hồi dữ liệu và rút kinh nghiệm phòng ngừa. Trong trường hợp phát hiện sự cố rò rỉ ảnh hưởng đến chủ thể dữ liệu, doanh nghiệp có cơ chế thông báo minh bạch, kịp thời theo đúng quy định pháp luật hiện hành.
- Đào tạo nhận thức an ninh: Doanh nghiệp thường xuyên tổ chức các khóa đào tạo và nhắc nhở nội bộ về an toàn thông tin và trách nhiệm xử lý dữ liệu cá nhân cho nhân viên. Nội dung đào tạo được phân nhóm theo vai trò, bảo đảm mỗi nhân sự có đủ nhận thức và kỹ năng cần thiết để phòng ngừa rủi ro từ yếu tố con người.
- Sao lưu và phục hồi dữ liệu: Doanh nghiệp đã triển khai cơ chế sao lưu dữ liệu cá nhân định kỳ và có quy trình phục hồi trong trường hợp sự cố hoặc thảm họa. Kế hoạch phục hồi được kiểm thử để bảo đảm tính toàn vẹn và sẵn sàng của dữ liệu, giúp duy trì hoạt động liên tục khi có rủi ro phát sinh.
2. Kiểm tra an ninh mạng đối với hệ thống thông tin, phương tiện, thiết bị nhằm bảo vệ dữ liệu cá nhân
Cách thức thực hiện việc kiểm tra an ninh mạng, kiểm tra các hệ thống thông tin, phương tiện, thiết bị sẽ cần được doanh nghiệp ghi nhận rõ trong phương án mà doanh nghiệp đang áp dụng cho mục đích bảo đảm an toàn cho dữ liệu cá nhân khi chuyển dữ liệu cá nhân xuyên biên giới.
Nội dung thực hiện: Doanh nghiệp đã thiết lập cơ chế kiểm tra định kỳ và kiểm tra đột xuất đối với toàn bộ hệ thống thông tin, các phương tiện và thiết bị xử lý dữ liệu nhằm phát hiện kịp thời lỗ hổng bảo mật và triển khai biện pháp khắc phục. Đồng thời, doanh nghiệp thường xuyên thực hiện kiểm tra xâm nhập (penetration testing) và đánh giá rủi ro an ninh mạng với sự hỗ trợ của công cụ/đơn vị chuyên môn để bảo đảm hệ thống duy trì mức độ an toàn cao.
Đối tượng kiểm tra: Hoạt động kiểm tra và đánh giá bảo mật được áp dụng trên toàn bộ hệ thống có xử lý dữ liệu cá nhân, bao gồm nhưng không giới hạn:
- Hệ thống thư điện tử: Gmail, Microsoft Outlook
- Hệ thống quản lý định danh và truy cập: Microsoft Active Directory
- Hệ thống lưu trữ dữ liệu nội bộ và đám mây: Google Drive, OneDrive
- Hệ thống máy chủ và cơ sở dữ liệu: MySQL trên máy chủ nội bộ
- Hệ thống sao lưu và phục hồi dữ liệu: lưu trữ trên AWS S3 hoặc Google Cloud Storage
- Hệ thống mạng nội bộ và kết nối truy cập từ xa: LAN, VPN
- Thiết bị đầu cuối: máy tính, laptop, điện thoại do nhân viên sử dụng trong công việc
- Giao diện truy cập bên ngoài: Website và ứng dụng của doanh nghiệp
Tần suất thực hiện: Doanh nghiệp ghi nhận đã kiểm tra an ninh hệ thống hàng tháng hoặc hàng quý, tùy theo mức độ rủi ro của từng loại dữ liệu, và kiểm tra đột xuất, kiểm tra bổ sung khi triển khai hệ thống mới, nâng cấp hoặc thay đổi cấu hình, hoặc có dấu hiệu tấn công hoặc nghi ngờ có rò rỉ dữ liệu…
Mục đích của hoạt động kiểm tra: Đảm bảo các biện pháp bảo vệ dữ liệu cá nhân đang vận hành hiệu quả; Kịp thời cập nhật và tăng cường kiểm soát bảo mật theo sự phát triển của rủi ro an ninh mạng; Nâng cao khả năng phòng ngừa – phát hiện – ứng phó với hành vi truy cập trái phép hoặc tấn công mạng.
Việc xây dựng Phương án bảo vệ dữ liệu cá nhân không chỉ nhằm đáp ứng yêu cầu pháp lý trong hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài, mà còn là bước khẳng định năng lực quản trị rủi ro và cam kết của doanh nghiệp đối với quyền riêng tư của khách hàng, người lao động và đối tác. Một phương án được chuẩn bị bài bản, có cơ sở kỹ thuật và tổ chức rõ ràng sẽ giúp doanh nghiệp tự tin hơn trong quá trình thẩm định, đồng thời tạo nền tảng vững chắc cho hoạt động chuyển dữ liệu xuyên biên giới an toàn, minh bạch và bền vững theo chuẩn mực quốc tế.
Thời gian viết bài: 23/12/2025
Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn
Vì sao chọn dịch vụ CDLAF
- Chúng tôi cung cấp đến bạn giải pháp pháp lý hiệu quả và toàn diện, giúp bạn tiết kiệm ngân sách, duy trì sự tuân thủ trong doanh nghiệp;
- Chúng tôi tiếp tục duy trì việc theo dõi vấn đề pháp lý của bạn ngay cả khi dịch vụ đã hoàn thành và cập nhật đến bạn khi có bất kỳ sự thay đổi nào từ hệ thống pháp luật Việt Nam;
- Hệ thống biểu mẫu về doanh nghiệp, đầu tư được xây dựng và cập nhật liên tục sẽ cung cấp khi khách hàng yêu cầu, rút ngắn thời gian thực hiện thủ tục;
- Doanh nghiệp cập nhật kịp thời các chính sách và phương thức làm việc tại các cơ quan nhà nước có thẩm quyền;
- Đội ngũ Luật sư của CDLAF nhiều năm kinh nghiệm hoạt động tại lĩnh vực Lao động, Doanh nghiệp, Đầu tư cùng với các cố vấn nhân sự, tài chính;
- Quy trình bảo mật thông tin nghiêm ngặt trong suốt quá trình thực hiện dịch vụ và ngay cả khi dịch vụ được hoàn thành sau đó;
Bạn có thể tham thảo thêm:
- Hướng dẫn lập Phương án kinh doanh – Giấy phép kinh doanh dịch vụ, sản phẩm an toàn thông tin mạng (Phần 1)
- Hướng dẫn soạn mục Phương án bảo vệ dữ liệu cá nhân trong hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới (Phần 2)
- Hướng dẫn soạn mục Phương án bảo vệ dữ liệu cá nhân trong hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới (Phần 1)
- Rà soát điều khoản thanh toán theo hiệp định tránh đánh thuế hai lần
- Thủ tục xử lý khi chậm góp vốn đầu tư
- Các vấn đề pháp lý phát sinh khi chậm thực hiện gia hạn hoạt động dự án đầu tư
