Nghị định 13 là gì? Tại sao được coi là “GDPR Việt Nam” và rủi ro cho doanh nghiệp?
Nghị định 13/2023/NĐ-CP, do Chính phủ ban hành ngày 17/4/2023 và có hiệu lực từ 1/7/2023, là khung pháp lý toàn diện đầu tiên của Việt Nam về bảo vệ dữ liệu cá nhân. Đây được xem là một bước tiến lớn, đặt ra những tiêu chuẩn mới và yêu cầu nghiêm ngặt đối với mọi tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Với nhiều điểm tương đồng với Quy định chung về bảo vệ dữ liệu (GDPR) của Châu Âu, Nghị định 13 thường được ví như “GDPR của Việt Nam”, báo hiệu một kỷ nguyên mới về quyền riêng tư và trách nhiệm của doanh nghiệp.
Đối với doanh nghiệp, việc phớt lờ các quy định này không chỉ là một sai lầm về mặt đạo đức mà còn là một rủi ro tài chính và uy tín cực kỳ lớn. Tham khảo toàn văn Nghị định 13/2023/NĐ-CP tại Cổng Thông tin điện tử Chính phủ.
Các quyền cơ bản của người dùng được bảo vệ dữ liệu cá nhân
Nghị định 13 trao cho chủ thể dữ liệu (người dùng) 8 quyền cơ bản, bao gồm:
- Quyền được biết: Người dùng có quyền biết về hoạt động xử lý dữ liệu cá nhân của mình.
- Quyền đồng ý: Việc xử lý dữ liệu chỉ được thực hiện khi có sự đồng ý rõ ràng của người dùng, trừ các trường hợp luật định.
- Quyền truy cập: Quyền được xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu của mình.
- Quyền rút lại sự đồng ý: Người dùng có thể rút lại sự đồng ý bất cứ lúc nào.
- Quyền xóa dữ liệu: Yêu cầu xóa dữ liệu cá nhân khi không còn cần thiết cho mục đích thu thập ban đầu.
- Quyền hạn chế xử lý dữ liệu: Yêu cầu ngừng xử lý dữ liệu trong một số trường hợp nhất định.
- Quyền phản đối xử lý dữ liệu: Ngăn chặn việc xử lý dữ liệu cá nhân của mình nhằm mục đích phòng, chống tội phạm, hoặc vì lợi ích quốc gia.
- Quyền khiếu nại, tố cáo, khởi kiện: Người dùng có quyền thực hiện các biện pháp pháp lý để bảo vệ mình.
So sánh điểm tương đồng cốt lõi giữa Nghị định 13 và GDPR
Dù có những khác biệt về bối cảnh pháp lý, Nghị định 13 và GDPR chia sẻ nhiều nguyên tắc nền tảng:
- Nguyên tắc lấy sự đồng ý làm trung tâm: Cả hai đều yêu cầu sự đồng ý rõ ràng, tự nguyện của chủ thể dữ liệu.
- Phạm vi áp dụng rộng: Cả hai đều có hiệu lực ngoài lãnh thổ, áp dụng cho các tổ chức nước ngoài xử lý dữ liệu của công dân trong nước.
- Trách nhiệm giải trình: Doanh nghiệp phải chứng minh được sự tuân thủ của mình thông qua các chính sách, hồ sơ và biện pháp kỹ thuật cụ thể.
- Quyền của chủ thể dữ liệu: Các quyền cơ bản như truy cập, chỉnh sửa, xóa dữ liệu được quy định tương tự nhau.
Mức xử phạt vi phạm data theo quy định mới nhất của Chính phủ Việt Nam
Mặc dù Nghị định 13 chưa quy định cụ thể mức phạt hành chính, nhưng các hành vi vi phạm sẽ được xử lý theo các quy định hiện hành liên quan, ví dụ như Nghị định 15/2020/NĐ-CP. Các mức phạt có thể lên đến hàng chục triệu đồng đối với cá nhân và tổ chức, kèm theo các biện pháp khắc phục hậu quả nặng nề như buộc tiêu hủy dữ liệu. Quan trọng hơn, việc vi phạm có thể bị truy cứu trách nhiệm hình sự nếu gây ra hậu quả nghiêm trọng, ảnh hưởng trực tiếp đến uy tín và sự tồn tại của doanh nghiệp.
Doanh nghiệp của bạn có thuộc đối tượng áp dụng của Nghị định 13/2023/NĐ-CP không?
Câu trả lời rất có thể là CÓ. Nếu doanh nghiệp của bạn thu thập, sử dụng, lưu trữ, hoặc chia sẻ bất kỳ thông tin nào có thể định danh một cá nhân cụ thể (họ tên, email, số điện thoại, địa chỉ IP, cookie,…), bạn đều là đối tượng phải tuân thủ Nghị định này.
Phân loại các bên liên quan: Bên Kiểm soát, Bên Xử lý, và Bên thứ ba
- Bên Kiểm soát dữ liệu cá nhân: Là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu (ví dụ: công ty của bạn thu thập thông tin khách hàng).
- Bên Xử lý dữ liệu cá nhân: Là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát (ví dụ: một nhà cung cấp dịch vụ email marketing).
- Bên thứ ba: Là tổ chức, cá nhân không phải là chủ thể dữ liệu, Bên Kiểm soát hay Bên Xử lý, nhưng được phép xử lý dữ liệu.
Việc xác định đúng vai trò của mình là bước đầu tiên để hiểu rõ các nghĩa vụ pháp lý tương ứng.
Dấu hiệu nhận biết hoạt động xử lý dữ liệu cá nhân trong doanh nghiệp
Bất kỳ hoạt động nào sau đây đều được coi là xử lý dữ liệu cá nhân:
- Thu thập thông tin khách hàng qua form đăng ký, website.
- Lưu trữ hồ sơ nhân viên, thông tin ứng viên.
- Sử dụng email, số điện thoại để gửi thông tin marketing.
- Phân tích hành vi người dùng trên website/ứng dụng qua cookie, analytics.
- Ghi âm cuộc gọi tổng đài chăm sóc khách hàng.
Trách nhiệm cụ thể đối với doanh nghiệp trong nước và có yếu tố nước ngoài
Nghị định 13 áp dụng cho cả doanh nghiệp Việt Nam, chi nhánh của doanh nghiệp nước ngoài tại Việt Nam, và cả các doanh nghiệp nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam. Tất cả đều phải tuân thủ các quy định như nhau, bao gồm cả việc lập Hồ sơ đánh giá tác động và thông báo cho cơ quan chức năng khi có vi phạm.
Lộ trình 7 bước tuân thủ quy định bảo vệ dữ liệu cá nhân cho doanh nghiệp
Để tránh các rủi ro pháp lý, doanh nghiệp cần một kế hoạch hành động rõ ràng. Dưới đây là lộ trình 7 bước được các chuyên gia an toàn thông tin khuyến nghị:
Bước 1: Rà soát và phân loại toàn bộ dữ liệu cá nhân đang lưu trữ
Tiến hành kiểm kê (data mapping) để xác định: bạn đang thu thập dữ liệu gì, từ đâu, cho mục đích gì, lưu trữ ở đâu, ai có quyền truy cập và chia sẻ cho bên nào. Phân loại dữ liệu thành các nhóm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Bước 2: Xây dựng và công bố chính sách bảo vệ dữ liệu cá nhân nội bộ
Soạn thảo một chính sách rõ ràng, minh bạch, giải thích cách công ty thu thập, sử dụng và bảo vệ dữ liệu. Chính sách này phải được công bố công khai (trên website) và phổ biến trong toàn bộ tổ chức.
Bước 3: Lập Hồ sơ đánh giá tác động xử lý dữ liệu (DPIA)
Đây là một yêu cầu bắt buộc. Doanh nghiệp phải lập và duy trì Hồ sơ Đánh giá Tác động xử lý dữ liệu cá nhân (DPIA) từ khi bắt đầu xử lý. Hồ sơ này mô tả chi tiết các hoạt động xử lý, đánh giá rủi ro và các biện pháp giảm thiểu.
Bước 4: Chỉ định nhân sự hoặc bộ phận phụ trách (DPO)
Doanh nghiệp cần chỉ định một bộ phận hoặc nhân sự có chuyên môn để phụ trách công tác bảo vệ dữ liệu cá nhân (thường gọi là Data Protection Officer – DPO). Người này sẽ giám sát việc tuân thủ và là đầu mối liên lạc với cơ quan chức năng.
Bước 5: Thiết lập quy trình phản hồi yêu cầu của chủ thể dữ liệu
Xây dựng một hệ thống để tiếp nhận và xử lý các yêu cầu của người dùng về việc truy cập, chỉnh sửa, hoặc xóa dữ liệu của họ một cách kịp thời và đúng quy định.
Bước 6: Áp dụng các biện pháp kỹ thuật để bảo vệ dữ liệu
Triển khai các giải pháp an ninh cần thiết như mã hóa dữ liệu, kiểm soát truy cập nghiêm ngặt, tường lửa, hệ thống phát hiện xâm nhập… để bảo vệ dữ liệu khỏi các truy cập trái phép hoặc rò rỉ.
Bước 7: Báo cáo vi phạm quy định cho Bộ Thông tin và Truyền thông
Khi xảy ra sự cố vi phạm dữ liệu, doanh nghiệp phải thông báo cho Cục An toàn thông tin (A05) – Bộ Công an trong vòng 72 giờ. Xây dựng sẵn một quy trình ứng phó sự cố là điều cần thiết.
Những sai lầm phổ biến khiến doanh nghiệp đối mặt với rủi ro xử phạt vi phạm data
Thu thập dữ liệu không có sự đồng ý rõ ràng từ người dùng
Sử dụng các ô check-box được đánh dấu sẵn hoặc các điều khoản mập mờ không được coi là sự đồng ý hợp lệ. Sự đồng ý phải được thể hiện bằng một hành động khẳng định rõ ràng.
Không thông báo mục đích xử lý dữ liệu một cách minh bạch
Doanh nghiệp phải thông báo rõ ràng họ thu thập dữ liệu để làm gì. Việc sử dụng dữ liệu cho một mục đích khác với mục đích đã thông báo ban đầu là một hành vi vi phạm nghiêm trọng.
Chia sẻ dữ liệu cho bên thứ ba mà không có cơ sở pháp lý
Việc bán hoặc chia sẻ dữ liệu khách hàng cho các đối tác marketing mà không có sự đồng ý của người dùng là bất hợp pháp và tiềm ẩn rủi ro lớn.
Lơ là việc xây dựng Hồ sơ Đánh giá Tác động (DPIA)
Nhiều doanh nghiệp cho rằng DPIA chỉ là thủ tục giấy tờ. Tuy nhiên, đây là bằng chứng quan trọng nhất cho thấy nỗ lực tuân thủ của doanh nghiệp và là tài liệu bắt buộc phải có khi cơ quan chức năng kiểm tra.
Tương lai của quyền riêng tư và an ninh mạng: Chuẩn bị ngay hôm nay
Tuân thủ Nghị định 13 không phải là chi phí, mà là lợi thế cạnh tranh
Trong bối cảnh người dùng ngày càng quan tâm đến quyền riêng tư, một doanh nghiệp minh bạch và có trách nhiệm với dữ liệu cá nhân sẽ xây dựng được lòng tin vững chắc. Đây chính là nền tảng cho sự phát triển bền vững và là một lợi thế cạnh tranh khác biệt trên thị trường số.
Tích hợp Mô hình Zero Trust là gì để tăng cường bảo vệ dữ liệu từ gốc
Nghị định 13 yêu cầu các biện pháp bảo vệ mạnh mẽ. Để đáp ứng yêu cầu này, việc áp dụng các kiến trúc an ninh hiện đại là vô cùng cần thiết. Một trong những phương pháp hiệu quả nhất là tích hợp Mô hình Zero Trust là gì. Nguyên tắc “không bao giờ tin tưởng, luôn xác minh” của Zero Trust đảm bảo rằng mọi yêu cầu truy cập dữ liệu, dù từ bên trong hay bên ngoài mạng, đều phải được xác thực chặt chẽ, giúp giảm thiểu rủi ro từ các cuộc tấn công và truy cập trái phép.
Tải ngay: Checklist tuân thủ Nghị định 13/2023/NĐ-CP dành cho DPO và Chủ doanh nghiệp
Để hỗ trợ quá trình tuân thủ, chúng tôi khuyến nghị các Nhân sự phụ trách Bảo vệ dữ liệu (DPO) và Chủ doanh nghiệp nên bắt đầu với một checklist chi tiết, bao gồm tất cả các đầu mục công việc cần thực hiện theo yêu cầu của Nghị định. Việc chuẩn bị kỹ lưỡng ngay từ hôm nay sẽ giúp doanh nghiệp tránh được những rủi ro không đáng có trong tương lai.
