Đánh giá tuân thủ Luật & Nghị định Bảo vệ Dữ liệu Cá Nhân 2025

Đánh giá tuân thủ Luật & Nghị định Bảo vệ Dữ liệu Cá Nhân 2025

(PDPA Compliance & Readiness Assessment)

Từ năm 2025–2026, khung pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam chính thức bước sang giai đoạn mới với Luật Bảo vệ Dữ liệu Cá Nhân số 91/2025/QH15 và Nghị định 13/2023/NĐ-CP tiếp tục được áp dụng trong giai đoạn chuyển tiếp.

Doanh nghiệp không chỉ cần “có tài liệu”, mà phải chứng minh khả năng tuân thủ thực tế thông qua hoạt động đánh giá tuân thủ (PDPA Health Check).

---

PDPA Health Check là gì?

PDPA Health Check là hoạt động đánh giá độc lập nhằm:

• Xác định mức độ tuân thủ thực tế của doanh nghiệp với Luật & Nghị định về bảo vệ dữ liệu cá nhân
• Phát hiện khoảng trống pháp lý – kỹ thuật – quy trình
• Đề xuất lộ trình khắc phục trước khi Luật có hiệu lực đầy đủ từ 01/01/2026

---

Vì sao doanh nghiệp cần đánh giá tuân thủ PDPA từ năm 2025?

• Luật 91/2025/QH15 đã được ban hành → không còn là dự thảo
• Cơ quan quản lý chuyển từ “hướng dẫn” sang kiểm tra & xử lý vi phạm
• Các đối tác quốc tế (EU, Nhật, Mỹ…) yêu cầu bằng chứng tuân thủ
• Rủi ro lớn nếu:
  • Không kiểm soát đồng ý (consent)
  • Không xử lý đúng yêu cầu DSAR
  • Không thông báo sự cố trong 72 giờ
  • Không quản lý bên xử lý dữ liệu / cloud / vendor

---

Phạm vi đánh giá tuân thủ Luật & Nghị định PDPA

Hoạt động PDPA Health Check thường bao phủ:

1. Tuân thủ pháp lý

• Luật 91/2025/QH15
• Nghị định 13/2023/NĐ-CP
• Quy định chuyển tiếp & các mẫu biểu bắt buộc (DSAR, DPIA, sự cố)

2. Quy trình & phòng ban

• Marketing / CSKH (email, SMS, quảng cáo, cookie, opt-out)
• Nhân sự (tuyển dụng, hồ sơ NLĐ, dữ liệu nhạy cảm)
• IT / Security (phân quyền, MFA, log, sao lưu, IRP)
• Pháp chế / Compliance
• Mua hàng – nhà cung cấp – cloud
• Phòng Lab / nghiệp vụ đặc thù (nếu có)

3. Hệ thống & dữ liệu

• Website, CRM, HRM, DMS, Email, Cloud/SaaS
• Dữ liệu cá nhân cơ bản & dữ liệu cá nhân nhạy cảm (SPD)
• Chuyển dữ liệu ra nước ngoài (cross-border)

---

Nội dung đánh giá PDPA Health Check tại HQC

🔹 1. Đồng ý & thu thập dữ liệu

• Thông báo thu thập có đầy đủ không?
• Có cơ chế rút lại đồng ý (opt-out) dễ dàng không?
• Email/SMS/Quảng cáo có log chứng minh đồng ý không?

🔹 2. Quyền của chủ thể dữ liệu (DSAR)

• Quy trình tiếp nhận – xử lý – phản hồi yêu cầu
• Thời hạn xử lý (≤72h theo Nghị định 13)
• Bằng chứng che thông tin bên thứ ba (redaction)

🔹 3. An ninh & kỹ thuật

• RBAC + JML (cấp/thu hồi quyền theo vòng đời nhân sự)
• MFA, mã hóa, log, sao lưu & khôi phục
• IRP – Incident Response Plan & diễn tập

🔹 4. Sự cố & thông báo vi phạm

• Quy trình phát hiện – phân loại – xử lý
• Mẫu thông báo vi phạm dữ liệu
• RCA & hành động khắc phục

🔹 5. Nhà cung cấp & chuyển dữ liệu

• Điều khoản bảo vệ dữ liệu trong hợp đồng
• DPIA xử lý dữ liệu & DPIA chuyển dữ liệu xuyên biên giới
• Kiểm soát cloud & bên xử lý dữ liệu

---

Kết quả doanh nghiệp nhận được sau đánh giá

• Báo cáo PDPA Health Check theo Luật & Nghị định
• Danh sách phát hiện & rủi ro ưu tiên
• Lộ trình khắc phục 30–60–90 ngày
• Cơ sở để:
  • Chuẩn bị kiểm tra của cơ quan quản lý
  • Đáp ứng yêu cầu đối tác/khách hàng
  • Tích hợp với ISO/IEC 27701, ISO/IEC 27001

---

Vì sao chọn HQC?

• Đội ngũ chuyên gia tư vấn – đánh giá tuân thủ hơn 10 năm
• Am hiểu Luật VN + chuẩn quốc tế (ISO, GDPR, PDPA)
• Phương pháp đánh giá thực tế theo phòng ban, không hình thức
• Báo cáo rõ ràng, dùng được ngay cho quản trị & đối ngoại

---

Liên hệ đánh giá PDPA Health Check 2025

Gọi Hotline: 0777 174 471

Zalo OA: Chat Zalo OA HQC

Câu hỏi thường gặp (FAQ)

PDPA Health Check có phải là chứng nhận không?

→ Không. Đây là đánh giá tuân thủ & mức độ sẵn sàng, không phải chứng nhận.

Doanh nghiệp nhỏ có cần làm không?

→ Có. Luật áp dụng cho mọi tổ chức xử lý dữ liệu cá nhân, không phân biệt quy mô.

Có thể gộp với ISO/IEC 27701 không?

→ Có. PDPA Health Check là nền tảng rất tốt để triển khai hoặc duy trì ISO/IEC 27701.