Nghị định 13/2023/NĐ-CP có hiệu lực từ 1/7/2023, đây là lần đầu tiên Việt Nam có một văn bản pháp luật toàn diện về bảo vệ dữ liệu cá nhân. Nếu bạn đang xây dựng SaaS, HealthTech hay Fintech tại Việt Nam, bài viết này giải thích những điều cần biết.
PDPD là gì và tại sao quan trọng?
PDPD (Personal Data Protection Decree) là tên gọi quốc tế của Nghị định 13/2023/NĐ-CP. Đây là quy định bảo vệ dữ liệu cá nhân đầu tiên của Việt Nam, lấy cảm hứng từ GDPR của EU nhưng có một số điểm khác biệt quan trọng.
Khác với các quy định trước đây rải rác trong Luật An ninh mạng, Luật Công nghệ thông tin, hay Bộ luật Dân sự, Nghị định 13/2023 tập hợp và cụ thể hóa toàn bộ nghĩa vụ liên quan đến xử lý dữ liệu cá nhân.
Ai phải tuân thủ?
Phạm vi áp dụng rất rộng:
- Doanh nghiệp Việt Nam xử lý dữ liệu cá nhân của bất kỳ ai
- Công ty nước ngoài hoạt động tại Việt Nam (có văn phòng, chi nhánh)
- SaaS/app nước ngoài cung cấp dịch vụ cho người dùng tại Việt Nam
Nếu app hoặc platform của bạn có người dùng Việt Nam, dù công ty đặt trụ sở ở đâu, khả năng cao PDPD áp dụng.
Hai loại dữ liệu và yêu cầu khác nhau
Nghị định phân chia dữ liệu thành hai nhóm với yêu cầu khác nhau:
Dữ liệu cá nhân cơ bản (họ tên, ngày sinh, số điện thoại, email, địa chỉ):
- Cần có consent rõ ràng trước khi thu thập
- Phải thông báo mục đích xử lý
- Người dùng có quyền truy cập, chỉnh sửa, xóa
Dữ liệu cá nhân nhạy cảm (sức khỏe, sinh trắc học, thông tin tài chính, trẻ em, dữ liệu chính trị/tôn giáo):
- Explicit consent, không thể bundle vào điều khoản chung
- Bắt buộc thực hiện DPIA (Đánh giá tác động)
- Phải đăng ký với Cục A05, Bộ Công An
- Hạn chế nghiêm ngặt hơn về chia sẻ với bên thứ ba
Với SaaS B2B: nếu platform của bạn xử lý dữ liệu nhân viên hoặc khách hàng của doanh nghiệp Việt Nam, bạn nhiều khả năng là Bên xử lý dữ liệu (Data Processor) và có nghĩa vụ riêng.
6 nghĩa vụ chính doanh nghiệp SaaS cần thực hiện
1. Cơ chế consent đúng chuẩn
Consent theo PDPD phải:
- Tự nguyện: không ép buộc, không là điều kiện sử dụng dịch vụ không liên quan
- Rõ ràng: người dùng phải biết họ đang đồng ý điều gì
- Có thể rút lại: phải cung cấp cơ chế opt-out dễ sử dụng
- Granular: không được bundle nhiều mục đích vào một checkbox
Nhiều startup Việt Nam đang dùng "bundled consent" trong Privacy Policy, đây là rủi ro cần xử lý.
2. Thông báo mục đích và thời gian lưu trữ
Khi thu thập dữ liệu, phải thông báo rõ ràng:
- Loại dữ liệu thu thập
- Mục đích xử lý (cụ thể, không chung chung)
- Thời gian lưu trữ
- Bên thứ ba sẽ được chia sẻ dữ liệu
3. Quy trình xử lý yêu cầu của chủ thể dữ liệu (DSR)
Người dùng có quyền:
- Truy cập dữ liệu của họ
- Chỉnh sửa thông tin không chính xác
- Xóa dữ liệu (right to erasure)
- Rút lại consent
- Phản đối việc xử lý một số loại dữ liệu
Doanh nghiệp cần có quy trình xử lý các yêu cầu này trong thời gian hợp lý. Nhiều công ty Việt Nam chưa có bất kỳ quy trình DSR nào.
4. DPIA cho dữ liệu nhạy cảm
Data Privacy Impact Assessment là đánh giá tác động việc xử lý dữ liệu có thể gây ra. Bắt buộc với:
- Tất cả dữ liệu nhạy cảm
- Xử lý dữ liệu ở quy mô lớn
- Giám sát hệ thống hoặc tracking hành vi
DPIA phải được lưu trữ và cung cấp cho cơ quan nhà nước khi yêu cầu.
5. Data Processing Agreement với vendor
Nếu bạn chia sẻ dữ liệu với bên thứ ba (cloud provider, analytics tool, marketing platform), cần có hợp đồng xử lý dữ liệu (DPA) xác định rõ trách nhiệm của mỗi bên.
Điều này ảnh hưởng đến:
- AWS/Google Cloud/Azure (nếu lưu dữ liệu)
- Công cụ analytics (Mixpanel, Amplitude...)
- Email/CRM platform (HubSpot, Intercom...)
- Payment processor
6. Thông báo vi phạm dữ liệu trong 72 giờ
Nếu có data breach, doanh nghiệp phải thông báo với cơ quan nhà nước (Bộ Công An) trong vòng 72 giờ. Điều này đòi hỏi phải có:
- Hệ thống phát hiện vi phạm
- Quy trình escalation rõ ràng
- Incident response plan
PDPD vs GDPR: Điểm nào giống, điểm nào khác?
Nếu đã tuân thủ GDPR, bạn đã có nền tảng tốt. Nhưng có một số điểm PDPD khác:
| Điểm khác biệt | GDPR | PDPD |
|---|---|---|
| DPO | Bắt buộc trong nhiều trường hợp | Không bắt buộc |
| Đăng ký dữ liệu nhạy cảm | Không có | Bắt buộc với Bộ Công An |
| Cơ quan giám sát | DPA từng quốc gia EU | Cục A05, Bộ Công An |
Rủi ro khi không tuân thủ
Ngoài các mức phạt tiền quy định trong nghị định xử phạt liên quan, vi phạm nghiêm trọng có thể bị xử lý hình sự theo Bộ Luật Hình sự. Cơ quan nhà nước cũng có quyền đình chỉ hoạt động xử lý dữ liệu.
Ngoài rủi ro pháp lý, vi phạm PDPD còn ảnh hưởng đến:
- Reputation với khách hàng doanh nghiệp
- Audit khi bán cho đối tác nước ngoài, họ thường hỏi về data protection compliance của Việt Nam
- Due diligence trong các vòng gọi vốn
Checklist chuẩn bị PDPD cho SaaS
Để bắt đầu, hãy kiểm tra các mục sau:
- [ ] Kiểm kê tất cả dữ liệu cá nhân đang thu thập và xử lý
- [ ] Phân loại: dữ liệu cơ bản vs nhạy cảm
- [ ] Rà soát Privacy Policy, có đủ thông tin về mục đích, retention, bên thứ ba không?
- [ ] Kiểm tra cơ chế consent, có phải bundled không?
- [ ] Có quy trình xử lý DSR chưa?
- [ ] Lập DPIA nếu xử lý dữ liệu nhạy cảm
- [ ] Đăng ký Bộ Công An nếu xử lý dữ liệu nhạy cảm
- [ ] Rà soát DPA với cloud provider và vendor
- [ ] Xây dựng incident response plan và quy trình thông báo vi phạm 72h
- [ ] Training nhân sự
Để chuẩn bị cho PDPD, nhiều công ty bắt đầu từ việc thiết lập ISO 27001 hoặc GDPR, các framework có control overlap đáng kể với Nghị định 13. Đặt demo pTrackly để xem cách xây dựng nền tảng compliance phù hợp.