GDPR · Hub

GDPR Breach Notification: 72 Giờ Và Quy Trình Cần Có

Tại Sao 72 Giờ Là Con Số Quan Trọng

Khi một data breach xảy ra, phần lớn tổ chức phản ứng theo bản năng: kiểm tra phạm vi thiệt hại, vá lỗ hổng, rồi mới nghĩ đến việc thông báo. Nhưng GDPR đặt ra một ràng buộc khắt khe hơn: 72 giờ kể từ thời điểm tổ chức nhận biết (becomes aware) về breach, không phải từ lúc breach xảy ra, để notify Supervisory Authority. Khoảng cách giữa "breach xảy ra" và "tổ chức biết" có thể kéo dài nhiều ngày, nhưng đồng hồ 72 giờ bắt đầu chạy ngay từ khi có nhận thức đầu tiên. Hiểu đúng điểm khởi đầu này là bước đầu để xây dựng quy trình incident response hiệu quả.


Nghĩa Vụ Notify Supervisory Authority

Theo Điều 33 GDPR, Data Controller có nghĩa vụ thông báo breach đến Supervisory Authority có thẩm quyền trong vòng 72 giờ, trừ khi breach đó không có khả năng gây rủi ro đến quyền và tự do của cá nhân (rights and freedoms of natural persons). Nếu không thể thông báo đúng hạn, tổ chức phải kèm theo lý do chậm trễ.

Nội dung thông báo cần bao gồm:

  • Mô tả bản chất của breach: loại dữ liệu bị ảnh hưởng, số lượng data subjects ước tính, số lượng bản ghi
  • Thông tin liên lạc của Data Protection Officer (DPO) hoặc đầu mối liên hệ
  • Mô tả hậu quả có thể xảy ra
  • Các biện pháp đã hoặc đang triển khai để xử lý breach

Lưu ý: nếu tổ chức chưa có đủ thông tin trong 72 giờ đầu, có thể gửi thông báo ban đầu (initial notification) rồi bổ sung thông tin sau theo từng giai đoạn, quy trình này gọi là phased notification.


Khi Nào Phải Notify Người Dùng (Data Subjects)?

Điều 34 GDPR quy định thêm một tầng nghĩa vụ: nếu breach có khả năng gây rủi ro cao (high risk) đến quyền và tự do của data subjects, tổ chức phải thông báo trực tiếp đến những người bị ảnh hưởng mà không được chậm trễ không cần thiết (without undue delay).

Các tình huống thường được xem là high risk bao gồm:

  • Lộ thông tin tài chính hoặc số nhận dạng cá nhân (identity credentials)
  • Breach liên quan đến dữ liệu nhạy cảm như sức khỏe, tôn giáo, quan điểm chính trị
  • Lượng lớn dữ liệu bị lộ có thể dẫn đến identity theft hoặc phân biệt đối xử

Ngược lại, nghĩa vụ notify data subjects có thể miễn nếu: dữ liệu đã được mã hóa đủ mạnh trước khi bị lộ; tổ chức đã triển khai biện pháp khắc phục đảm bảo rủi ro không còn hiện hữu; hoặc việc thông báo đến từng cá nhân đòi hỏi nỗ lực không tương xứng, trong trường hợp này cần thông báo công khai thay thế.


Xây Dựng Quy Trình Incident Response Trước Khi Cần Dùng

72 giờ là khoảng thời gian rất ngắn nếu tổ chức chưa có quy trình sẵn. Khi breach xảy ra, đội ngũ sẽ phải vừa xử lý sự cố kỹ thuật, vừa leo thang nội bộ, vừa soạn thảo thông báo pháp lý, tất cả đồng thời. Đây là lý do incident response plan cần được xây dựng và kiểm thử trước sự cố, không phải trong lúc khủng hoảng.

Một incident response plan theo GDPR thường bao gồm:

  • Detection & containment: Quy trình phát hiện breach và cô lập hệ thống bị ảnh hưởng
  • Assessment: Đánh giá mức độ rủi ro, có cần notify Supervisory Authority và/hoặc data subjects không?
  • Escalation path: Ai cần được thông báo nội bộ (DPO, legal, C-suite) và trong bao lâu?
  • Documentation: Ghi nhận toàn bộ sự kiện vào records of processing, GDPR yêu cầu tổ chức lưu hồ sơ tất cả breach kể cả những breach không cần thông báo ra ngoài
  • Communication templates: Mẫu thông báo sẵn có cho cả Supervisory Authority và data subjects

Việc xây dựng quy trình này không chỉ giúp tuân thủ mà còn giảm thời gian phản ứng và giới hạn thiệt hại thực tế khi sự cố xảy ra.


Câu Hỏi Thường Gặp

72 giờ tính từ lúc nào nếu breach xảy ra ngoài giờ làm việc? Đồng hồ bắt đầu từ khi bất kỳ nhân viên nào của tổ chức nhận biết về breach, bao gồm cả ngoài giờ hành chính. Đây là lý do on-call procedure và kênh leo thang rõ ràng là cần thiết.

Data Processor có nghĩa vụ thông báo không? Data Processor phải thông báo cho Data Controller mà không chậm trễ không cần thiết sau khi phát hiện breach. Nghĩa vụ 72 giờ với Supervisory Authority thuộc về Controller, nhưng Processor cần hành động kịp thời để Controller có đủ thời gian thực hiện.

Nếu không chắc đây có phải breach không, có cần thông báo không? GDPR không yêu cầu mức độ chắc chắn tuyệt đối trước khi thông báo. Nếu có cơ sở hợp lý (reasonable grounds) để nghi ngờ đã xảy ra breach, tổ chức nên bắt đầu quy trình đánh giá và ghi nhận ngay, đồng thời cân nhắc thông báo sớm nếu rủi ro có khả năng cao.


Xây dựng và duy trì quy trình incident response theo GDPR đòi hỏi sự phối hợp giữa nhiều team, kỹ thuật, pháp lý, vận hành. pTrackly giúp tự động hóa phần documentation và tracking để đảm bảo mọi breach được ghi nhận đúng chuẩn, đồng thời nhắc nhở deadline thông báo theo từng giai đoạn của quy trình.

pTrackly giúp bạn triển khai GDPR nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo