Bảo vệ dữ liệu cá nhân theo Nghị định 13/2023: Doanh nghiệp cần làm gì ngay?


Chuyên viên pháp lý
Nghị định 13/2023 quy định gì về bảo vệ dữ liệu cá nhân?
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (BVDLCN) có hiệu lực từ ngày 1/7/2023, đánh dấu bước chuyển biến quan trọng trong khung pháp lý về quyền riêng tư tại Việt Nam. Đây là văn bản pháp lý toàn diện đầu tiên quy định cụ thể về thu thập, xử lý, lưu trữ và bảo vệ dữ liệu cá nhân.
Nghị định áp dụng với mọi tổ chức, doanh nghiệp, cá nhân có hoạt động thu thập, xử lý dữ liệu cá nhân tại Việt Nam — bao gồm cả doanh nghiệp nước ngoài có hoạt động tại Việt Nam.
Dữ liệu cá nhân là gì theo pháp luật Việt Nam?
Nghị định phân loại thành 2 nhóm:
Dữ liệu cá nhân cơ bản
- Họ tên, ngày sinh, giới tính, quốc tịch
- Số CCCD/hộ chiếu, địa chỉ, số điện thoại, email
- Tài khoản mạng xã hội, dữ liệu vị trí
- Dữ liệu về tài chính, tín dụng cá nhân
Dữ liệu cá nhân nhạy cảm (yêu cầu bảo vệ cao hơn)
- Quan điểm chính trị, tôn giáo, triết học
- Tình trạng sức khỏe, gen, dữ liệu sinh trắc học
- Đời sống tình dục, xu hướng tình dục
- Dữ liệu về tội phạm, án tích
- Thông tin tài chính: số tài khoản ngân hàng, mã PIN
5 nghĩa vụ bắt buộc doanh nghiệp phải thực hiện
1. Xin đồng ý trước khi thu thập dữ liệu
Doanh nghiệp phải có sự đồng ý rõ ràng của chủ thể dữ liệu trước khi thu thập. Việc đồng ý phải:
- Tự nguyện, không bị ép buộc
- Nêu rõ mục đích thu thập
- Có thể rút lại bất kỳ lúc nào
- Riêng biệt với các điều khoản khác (không được gộp vào điều khoản dịch vụ)
2. Thông báo xử lý dữ liệu
Phải thông báo cho chủ thể dữ liệu về: mục đích xử lý, loại dữ liệu thu thập, thời gian lưu trữ, đơn vị xử lý, quyền của chủ thể dữ liệu và cách thực hiện các quyền đó.
3. Đăng ký hoạt động xử lý dữ liệu cá nhân nhạy cảm
Doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm phải đăng ký với Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao — A05) trước khi tiến hành xử lý.
4. Bổ nhiệm Bộ phận/Người phụ trách bảo vệ dữ liệu
Doanh nghiệp xử lý dữ liệu quy mô lớn hoặc dữ liệu nhạy cảm cần có bộ phận hoặc nhân sự phụ trách BVDLCN, có thể là nội bộ hoặc thuê ngoài.
5. Xây dựng quy trình phản hồi yêu cầu của chủ thể dữ liệu
Chủ thể dữ liệu có quyền: truy cập, chỉnh sửa, xóa, phản đối xử lý, yêu cầu hạn chế xử lý dữ liệu của mình. Doanh nghiệp phải có quy trình tiếp nhận và xử lý các yêu cầu này trong vòng 72 giờ.
Mức phạt vi phạm
Dự thảo Luật Bảo vệ dữ liệu cá nhân (dự kiến thông qua 2024-2025) quy định mức phạt lên đến 5% tổng doanh thu tại Việt Nam của năm tài chính trước, tương tự GDPR của châu Âu. Ngoài ra, cá nhân vi phạm có thể bị phạt tù đến 7 năm theo Điều 288 Bộ luật Hình sự.
Checklist 8 bước tuân thủ cho doanh nghiệp
- Kiểm kê dữ liệu: Lập danh sách tất cả loại dữ liệu cá nhân đang thu thập và xử lý
- Đánh giá cơ sở pháp lý: Xác định cơ sở pháp lý cho từng hoạt động xử lý (đồng ý, hợp đồng, nghĩa vụ pháp lý...)
- Cập nhật chính sách bảo mật: Rà soát và cập nhật Privacy Policy trên website/app
- Xây dựng form đồng ý: Thiết kế cơ chế xin đồng ý đúng chuẩn
- Đăng ký với A05: Nếu xử lý dữ liệu nhạy cảm
- Bổ nhiệm DPO: Chỉ định người phụ trách bảo vệ dữ liệu
- Đào tạo nhân sự: Huấn luyện nhân viên về quy trình BVDLCN
- Thiết lập quy trình phản hồi: Xây dựng kênh tiếp nhận yêu cầu từ chủ thể dữ liệu
Doanh nghiệp nào cần ưu tiên tuân thủ ngay?
- Thương mại điện tử, fintech, edtech, healthtech
- Doanh nghiệp có cơ sở dữ liệu khách hàng lớn
- Doanh nghiệp FDI (thường có nghĩa vụ GDPR từ công ty mẹ)
- Công ty tuyển dụng, nhân sự, y tế, bảo hiểm
Talochi Legal hỗ trợ doanh nghiệp đánh giá mức độ tuân thủ và xây dựng hệ thống BVDLCN đúng quy định. Đặt lịch tư vấn miễn phí để được hỗ trợ.
Bài viết cung cấp thông tin tổng quan về Nghị định 13/2023/NĐ-CP. Yêu cầu tuân thủ cụ thể phụ thuộc vào loại hình và quy mô hoạt động của từng doanh nghiệp. Liên hệ Talochi Legal để được tư vấn phù hợp.
Bài viết liên quan
Pháp lý kinh doanh nhà hàng, quán cà phê: Giấy phép và quy định bắt buộc 2026
Kinh doanh F&B tại Việt Nam đòi hỏi nhiều loại giấy phép và tuân thủ quy định nghiêm ngặt về vệ sinh an toàn thực phẩm, phòng cháy, môi trường. Bài viết tổng hợp đầy đủ các giấy phép cần có và quy trình xin cấp để kinh doanh đúng pháp luật.
Tư vấn doanh nghiệpThủ tục phá sản doanh nghiệp 2026: Điều kiện, quy trình và hậu quả pháp lý
Phá sản là lối thoát pháp lý khi doanh nghiệp mất khả năng thanh toán. Tuy nhiên quy trình phức tạp và hậu quả pháp lý nghiêm trọng cần được hiểu rõ trước khi quyết định. Bài viết phân tích toàn bộ quy trình phá sản theo Luật Phá sản 2014.
Tư vấn doanh nghiệpHợp đồng góp vốn: Điều khoản bắt buộc và rủi ro pháp lý
Hợp đồng góp vốn là nền tảng pháp lý của mọi quan hệ hợp tác kinh doanh. Thiếu điều khoản quan trọng hoặc soạn thảo sai có thể dẫn đến tranh chấp nghiêm trọng. Bài viết phân tích các điều khoản bắt buộc và rủi ro phổ biến doanh nghiệp cần tránh.
Tư vấn doanh nghiệpTuân thủ pháp lý doanh nghiệp FDI tại Việt Nam 2026
Danh mục tuân thủ pháp lý đầy đủ cho doanh nghiệp FDI tại Việt Nam 2026: nghĩa vụ báo cáo, thuế, lao động, ngoại hối, môi trường và những thay đổi pháp luật cần cập nhật.