GDPR Có Áp Dụng Cho Công Ty Việt Nam Không?

Câu trả lời ngắn: Có, trong nhiều trường hợp.

GDPR (General Data Protection Regulation) không chỉ áp dụng cho công ty đặt tại EU. Theo Article 3, GDPR áp dụng khi:

  1. Bạn có establishment tại EU (văn phòng, chi nhánh, nhân viên tại EU)
  2. Bạn xử lý dữ liệu của người tại EU, nếu hoạt động xử lý liên quan đến:
    • Cung cấp hàng hóa/dịch vụ cho người tại EU (có trả phí hay không)
    • Theo dõi hành vi của người tại EU

Cụ thể cho công ty phần mềm Việt Nam

GDPR áp dụng cho bạn nếu:

  • SaaS có end-users tại EU: Dù bán cho doanh nghiệp Mỹ, nếu end-users ở EU, GDPR có thể áp dụng
  • Outsourcing cho khách hàng EU: Bạn xử lý dữ liệu mà khách hàng EU controller
  • Mobile app có users EU: Nếu app available trên EU app stores và target EU market
  • Analytics/tracking EU visitors: Website có traffic từ EU và bạn dùng cookies/tracking

Khi nào GDPR KHÔNG áp dụng?

  • Phần mềm chỉ phục vụ thị trường Việt Nam, không xử lý dữ liệu EU
  • Outsourcing nhưng không access personal data (ví dụ: phát triển tool internal không có user data)
  • B2B SaaS mà customers và end-users đều ngoài EU

Vai Trò Của Bạn Theo GDPR

Hiểu đúng vai trò rất quan trọng vì nghĩa vụ khác nhau:

Data Controller

Khi nào bạn là Controller: Bạn quyết định mục đích và phương thức xử lý dữ liệu.

  • Bạn là SaaS company thu thập dữ liệu users EU cho sản phẩm của mình
  • Bạn là employer có nhân viên EU
  • Bạn collect và use data cho marketing tới EU audience

Nghĩa vụ chính: Toàn bộ GDPR obligations, bao gồm lawful basis, transparency, data subject rights, DPIA, breach notification...

Data Processor

Khi nào bạn là Processor: Bạn xử lý dữ liệu theo instruction của Controller (khách hàng của bạn).

  • Outsourcing: khách hàng EU giao bạn phát triển/vận hành hệ thống có personal data
  • SaaS: khách hàng EU dùng platform của bạn để store/process dữ liệu của họ
  • Cloud hosting: bạn host data cho khách hàng EU

Nghĩa vụ chính: Data Processing Agreement (DPA), security measures, breach notification cho controller, records of processing.

Thực tế phổ biến

Nhiều công ty Việt Nam vừa là Controller (cho data nội bộ, data marketing) vừa là Processor (cho data khách hàng). Bạn cần hiểu rõ mình ở vai trò nào cho từng loại data.

Nghĩa Vụ Cụ Thể Cần Tuân Thủ

1. Lawful Basis cho xử lý dữ liệu

Mỗi hoạt động xử lý personal data cần có legal basis. 6 legal bases theo GDPR:

Legal BasisPhù hợp khiVí dụ cho công ty VN
ConsentNgười dùng đồng ý rõ ràngEmail marketing, cookies không essential
ContractCần xử lý data để thực hiện hợp đồngXử lý data để cung cấp SaaS service
Legal obligationPháp luật yêu cầuLưu trữ invoice theo luật thuế
Legitimate interestLợi ích hợp pháp, cân bằng với quyền người dùngSecurity monitoring, fraud prevention
Vital interestBảo vệ tính mạngHiếm khi áp dụng cho tech companies
Public taskNhiệm vụ côngKhông áp dụng cho private companies

2. Transparency Requirements

Bạn cần có Privacy Policy rõ ràng, bao gồm:

  • Bạn là ai (identity và contact details)
  • Dữ liệu nào được thu thập
  • Mục đích xử lý và legal basis
  • Ai nhận được dữ liệu (third parties, transfers ngoài EU)
  • Thời gian lưu trữ
  • Quyền của data subjects
  • Nếu transfer data ngoài EU: cơ chế bảo vệ (SCCs, adequacy decision)

3. Data Subject Rights

Người dùng EU có quyền:

  • Access: Xem dữ liệu bạn có về họ
  • Rectification: Sửa dữ liệu không chính xác
  • Erasure (Right to be forgotten): Xóa dữ liệu
  • Restriction: Hạn chế xử lý
  • Data portability: Nhận data ở format máy đọc được
  • Object: Phản đối xử lý (đặc biệt cho marketing)

Thực hành: Bạn cần có process để respond trong 30 ngày. Đối với SaaS, hầu hết có thể handle qua admin panel (delete user, export data).

4. Data Processing Agreements (DPA)

Nếu bạn là Processor, khách hàng EU sẽ yêu cầu ký DPA. DPA cần bao gồm:

  • Subject matter và duration of processing
  • Nature và purpose of processing
  • Types of personal data và categories of data subjects
  • Obligations và rights of the controller
  • Cam kết bạn chỉ xử lý theo instruction
  • Security measures bạn implement
  • Sub-processor management
  • Assistance với data subject rights
  • Data deletion hoặc return khi kết thúc hợp đồng

5. International Data Transfers

Đây là phần phức tạp nhất cho công ty Việt Nam vì Việt Nam không có adequacy decision từ EU Commission.

Cơ chế hợp pháp để transfer data EU -> Việt Nam:

  • Standard Contractual Clauses (SCCs): Phổ biến nhất. EU Commission đã ban hành SCCs mới (2021) bạn cần ký với khách hàng/partners EU
  • Transfer Impact Assessment (TIA): Cần đánh giá luật pháp Việt Nam có ảnh hưởng gì đến protection của data
  • Binding Corporate Rules: Cho multi-national groups (thường không áp dụng cho công ty VN nhỏ)

6. Security Measures (Article 32)

GDPR yêu cầu "appropriate technical and organisational measures" bao gồm:

  • Encryption of personal data
  • Ensure confidentiality, integrity, availability
  • Ability to restore data timely sau incident
  • Regular testing và assessment of security measures

7. Data Breach Notification

  • Cho supervisory authority: Trong 72 giờ sau khi phát hiện breach (nếu risk cho individuals)
  • Cho data subjects: Không delay nếu high risk cho individuals
  • Nếu bạn là Processor: Notify Controller "without undue delay"

Mức Phạt GDPR

Phạt tài chính

  • Tier 1: Lên đến 10 triệu EUR hoặc 2% global annual turnover (lấy số nào lớn hơn)
  • Tier 2: Lên đến 20 triệu EUR hoặc 4% global annual turnover

Thực tế enforcement với công ty ngoài EU

  • EU Data Protection Authorities (DPAs) có thể phạt công ty ngoài EU
  • Enforcement khó khăn hơn nhưng không phải không thể
  • Rủi ro thực tế lớn hơn: mất khách hàng EU khi họ phát hiện bạn không comply

Rủi ro nghiêm trọng hơn tiền phạt

  • Khách hàng EU terminate hợp đồng
  • Bị loại khỏi vendor list
  • Reputational damage trong thị trường EU
  • Khách hàng của khách hàng (end-users) kiện

Hướng Dẫn Comply Thực Tế Cho Công Ty VN

Bước 1: Data Mapping (Tuần 1)

Trả lời các câu hỏi:

  • Personal data nào bạn xử lý? (user data, employee data, customer contact info...)
  • Data flows từ đâu đến đâu?
  • Ai có access?
  • Lưu ở đâu? Bao lâu?
  • Có transfer sang nước nào không?
  • Xác định role: Controller hay Processor cho mỗi loại data
  • Xác định legal basis cho mỗi processing activity
  • Chuẩn bị DPA template cho khách hàng EU
  • Setup Standard Contractual Clauses

Bước 3: Documentation (Tuần 2-3)

Tài liệu cần có:

  • Privacy Policy (public-facing)
  • Internal data protection policy
  • Records of Processing Activities (ROPA)
  • Data Processing Agreement template
  • Data breach response procedure
  • Data Subject Access Request (DSAR) procedure
  • Data retention schedule
  • Transfer Impact Assessment

Bước 4: Technical Measures (Tuần 2-4)

  • Encryption at rest và in transit cho tất cả personal data
  • Access control: chỉ người cần thiết mới access personal data
  • Logging: ai access gì, khi nào
  • Data minimization: không collect nhiều hơn cần
  • Retention: auto-delete data khi hết mục đích
  • Backup và recovery tested

Bước 5: Processes (Tuần 3-4)

  • Quy trình respond DSAR trong 30 ngày
  • Breach notification workflow (72-hour requirement)
  • Consent management (nếu dùng consent làm legal basis)
  • Vendor assessment cho sub-processors
  • Employee training về data protection

Bước 6: Ongoing Compliance

  • Review DPA với mỗi khách hàng EU mới
  • Update ROPA khi có processing activity mới
  • Annual review of security measures
  • Training cho nhân viên mới
  • Monitor regulatory updates

GDPR vs Luật Bảo Vệ Dữ Liệu Cá Nhân Việt Nam (PDPD)

Nghị định 13/2023/ND-CP về bảo vệ dữ liệu cá nhân của Việt Nam có nhiều điểm tương đồng với GDPR:

Khía cạnhGDPRPDPD Việt Nam
ScopeEU data subjectsDữ liệu cá nhân tại Việt Nam
ConsentCần cho nhiều processingCần consent cho hầu hết processing
Data subject rights8 quyền rõ ràngCác quyền tương tự
Breach notification72 giờ72 giờ
Cross-border transferSCCs, adequacy, BCRImpact assessment + đăng ký
DPO requirementTùy trường hợpBắt buộc cho data controller/processor
Mức phạtLên đến 4% global revenueĐang trong quá trình clarification

Lợi thế: Nếu bạn comply GDPR, bạn gần như đã comply PDPD Việt Nam. Đầu tư cho GDPR compliance cũng bảo vệ bạn trước luật pháp VN.

Automation Giúp GDPR Compliance Thế Nào?

Những phần platform tự động hóa

  • Data mapping: Auto-discover personal data trong systems
  • ROPA generation: Tự động tạo và maintain Records of Processing Activities
  • Consent management tracking: Monitor consent status across systems
  • Access control monitoring: Alert khi có excessive access to personal data
  • Retention enforcement: Flag data quá hạn retention period
  • Vendor management: Track DPA status với tất cả sub-processors
  • Breach response workflow: Guided workflow đảm bảo meet 72-hour timeline

Những phần vẫn cần người

  • Quyết định legal basis phù hợp cho mỗi processing activity
  • Negotiate DPA terms với khách hàng
  • Transfer Impact Assessment (cần đánh giá legal context)
  • Respond các DSAR phức tạp
  • Training content customization

Checklist GDPR Cho Công Ty Phần Mềm Việt Nam

Must-have (không có = non-compliant rõ ràng)

  • [ ] Privacy Policy rõ ràng trên website/app
  • [ ] DPA template sẵn sàng cho khách hàng EU
  • [ ] Standard Contractual Clauses đã ký
  • [ ] Encryption at rest và in transit
  • [ ] Process xử lý Data Subject Access Requests
  • [ ] Breach notification procedure
  • [ ] Records of Processing Activities

Should-have (thể hiện maturity)

  • [ ] Data Protection Impact Assessment cho high-risk processing
  • [ ] Cookie consent mechanism trên website
  • [ ] Regular data protection training cho nhân viên
  • [ ] Vendor assessment process cho sub-processors
  • [ ] Data retention schedule được enforce tự động
  • [ ] Transfer Impact Assessment documented

Nice-to-have (enterprise-level)

  • [ ] Appointed DPO hoặc data protection lead
  • [ ] Privacy by Design framework trong product development
  • [ ] Automated data discovery và classification
  • [ ] Regular penetration testing
  • [ ] ISO 27001 certification (demonstrates security measures)

pTrackly Hỗ Trợ GDPR Compliance

pTrackly giúp doanh nghiệp phần mềm Việt Nam comply GDPR thông qua:

  • Automated data mapping từ cloud infrastructure và applications
  • DPA và SCC templates sẵn sàng sử dụng
  • ROPA auto-generation và maintenance
  • Continuous monitoring security measures required by Article 32
  • Breach response workflow với timeline tracking
  • Multi-framework mapping: GDPR controls map sang ISO 27001, SOC 2 nếu bạn cần multiple certifications

Với pTrackly, doanh nghiệp Việt Nam có thể đạt GDPR readiness trong 3-5 tuần, thay vì mất hàng tháng tự research và implement.

Kết Luận

GDPR compliance không phải option cho công ty phần mềm Việt Nam phục vụ thị trường EU. Nhưng nó cũng không phải monster mà nhiều người tưởng. Với approach có hệ thống:

  1. Hiểu rõ scope: GDPR áp dụng cho bạn ở mức nào
  2. Xác định role: Controller, Processor, hay cả hai
  3. Focus vào essentials: DPA, SCCs, security measures, documentation
  4. Automate where possible: Giảm burden ongoing compliance
  5. Stay updated: GDPR enforcement và interpretation vẫn evolving

Đầu tư vào GDPR compliance sớm không chỉ tránh rủi ro pháp lý mà còn là competitive advantage khi compete cho khách hàng EU.

Tags:
GDPREU ComplianceXuất Khẩu Phần MềmData ProtectionDoanh Nghiệp Việt Nam