GDPR Là Gì?
GDPR, viết tắt của General Data Protection Regulation, là quy định bảo vệ dữ liệu cá nhân do Liên minh Châu Âu ban hành, có hiệu lực từ năm 2018. Điểm đáng chú ý là GDPR không chỉ áp dụng cho các công ty đặt trụ sở tại EU. Nếu startup của bạn có trụ sở tại Hà Nội hay TP.HCM nhưng phục vụ người dùng ở Đức, Pháp, hay bất kỳ quốc gia EU nào, bạn vẫn phải tuân thủ GDPR. Đây là điều nhiều doanh nghiệp Việt Nam đang bỏ qua, và đó là rủi ro thực sự.
Ai Phải Tuân Thủ GDPR?
GDPR áp dụng theo nguyên tắc territorial scope mở rộng: không quan trọng công ty đặt ở đâu, mà quan trọng bạn xử lý dữ liệu của ai.
Bạn cần tuân thủ nếu thuộc một trong hai trường hợp sau:
- Establishment principle: Bạn có chi nhánh, văn phòng, hoặc hoạt động kinh doanh thường xuyên tại EU.
- Targeting principle: Bạn cung cấp hàng hóa hoặc dịch vụ cho người dùng tại EU (dù miễn phí hay có phí), hoặc bạn theo dõi hành vi của họ, ví dụ qua cookie, analytics, hay remarketing.
Ứng dụng SaaS Việt Nam bán gói subscription cho khách hàng Châu Âu, nền tảng thương mại điện tử nhận đơn hàng từ người dùng EU, hay công ty outsourcing xử lý dữ liệu nhân sự cho đối tác nước ngoài, tất cả đều nằm trong phạm vi điều chỉnh của GDPR.
Các Nguyên Tắc Cốt Lõi Của GDPR
GDPR xây dựng trên một số nguyên tắc xử lý dữ liệu mà mọi tổ chức phải tuân theo:
Lawfulness, Fairness & Transparency: Mọi hoạt động thu thập và xử lý dữ liệu phải có legal basis rõ ràng: consent của người dùng, thực hiện hợp đồng, nghĩa vụ pháp lý, hoặc legitimate interest.
Purpose Limitation: Dữ liệu chỉ được dùng đúng mục đích đã khai báo khi thu thập. Bạn không thể thu email cho newsletter rồi dùng để profiling quảng cáo mà không có consent riêng.
Data Minimisation: Chỉ thu thập những dữ liệu thực sự cần thiết. Không phải cứ thu nhiều là tốt.
Storage Limitation: Dữ liệu không được lưu trữ lâu hơn thời gian cần thiết. Doanh nghiệp phải có data retention policy cụ thể.
Integrity & Confidentiality: Phải áp dụng các biện pháp bảo mật kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu khỏi truy cập trái phép hay mất mát.
Quyền Của Người Dùng Theo GDPR
GDPR trao cho data subjects: tức người dùng EU, một bộ quyền đáng kể mà doanh nghiệp phải có khả năng đáp ứng:
- Right of Access: Người dùng có quyền yêu cầu xem toàn bộ dữ liệu bạn đang lưu về họ.
- Right to Erasure (hay còn gọi là "right to be forgotten"): Yêu cầu xóa dữ liệu trong các trường hợp nhất định.
- Right to Portability: Nhận dữ liệu của mình ở định dạng có thể đọc được bằng máy.
- Right to Object: Phản đối việc xử lý dữ liệu cho mục đích marketing trực tiếp hay profiling.
- Right to Rectification: Yêu cầu chỉnh sửa thông tin không chính xác.
Điều này có nghĩa là doanh nghiệp cần có quy trình nội bộ để xử lý các yêu cầu này trong vòng 30 ngày kể từ khi nhận được.
FAQ
Startup Việt Nam có phải bổ nhiệm Data Protection Officer (DPO) không? Không phải trong mọi trường hợp. DPO bắt buộc khi tổ chức xử lý dữ liệu nhạy cảm ở quy mô lớn, hoặc theo dõi hành vi người dùng có hệ thống. Nhiều startup giai đoạn đầu không bắt buộc, nhưng vẫn nên chỉ định một người chịu trách nhiệm nội bộ về data protection.
GDPR và Nghị định 13/2023 của Việt Nam có giống nhau không? Về tinh thần có nhiều điểm tương đồng, cả hai đều yêu cầu consent, mục đích xử lý rõ ràng, và quyền của chủ thể dữ liệu. Tuy nhiên phạm vi, định nghĩa, và yêu cầu kỹ thuật có sự khác biệt. Nếu bạn phục vụ cả thị trường trong nước lẫn EU, bạn cần tuân thủ cả hai.
Nếu vi phạm GDPR thì sẽ bị xử lý như thế nào? Cơ quan bảo vệ dữ liệu tại EU (supervisory authorities) có thẩm quyền điều tra và áp dụng biện pháp xử lý đối với các tổ chức vi phạm, bao gồm cả công ty nước ngoài. Rủi ro không chỉ là tài chính mà còn ảnh hưởng đến uy tín và khả năng tiếp tục hoạt động trên thị trường EU.
Nếu doanh nghiệp bạn đang mở rộng sang thị trường EU hoặc làm việc với đối tác quốc tế, việc xây dựng nền tảng compliance từ sớm sẽ tiết kiệm nhiều công sức hơn là phải sửa sau. pTrackly hỗ trợ doanh nghiệp Việt Nam theo dõi và quản lý các yêu cầu GDPR cùng nhiều framework compliance khác trong một nền tảng thống nhất.
pTrackly giúp bạn triển khai GDPR nhanh hơn với templates và evidence collection tự động.
Đặt Demo Miễn Phí