PDPD là gì?
PDPD (Personal Data Protection Decree), chính thức là Nghị định 13/2023/NĐ-CP, là văn bản pháp luật toàn diện đầu tiên của Việt Nam về bảo vệ dữ liệu cá nhân. Được ban hành ngày 17/4/2023 và có hiệu lực từ 1/7/2023, Nghị định này thay thế các quy định rải rác về dữ liệu cá nhân trong nhiều luật khác nhau.
Ai phải tuân thủ PDPD?
Nghị định áp dụng rộng rãi cho:
- Tổ chức, cá nhân Việt Nam xử lý dữ liệu cá nhân
- Tổ chức nước ngoài hoạt động tại Việt Nam
- Tổ chức nước ngoài cung cấp dịch vụ cho người dùng tại Việt Nam (kể cả SaaS, app)
Thực tế, nếu doanh nghiệp của bạn có người dùng tại Việt Nam, dù đặt trụ sở ở đâu, PDPD có thể áp dụng.
Dữ liệu cá nhân theo PDPD
PDPD phân loại dữ liệu thành hai nhóm:
| Loại | Ví dụ | Yêu cầu đặc biệt |
|---|---|---|
| Dữ liệu cá nhân cơ bản | Họ tên, ngày sinh, số điện thoại, địa chỉ, email | Consent, thông báo mục đích |
| Dữ liệu cá nhân nhạy cảm | Sức khỏe, dữ liệu sinh trắc, dữ liệu tài chính, chính kiến chính trị, tôn giáo, dữ liệu trẻ em | Consent rõ ràng + đăng ký với Bộ Công An + DPIA bắt buộc |
Các nghĩa vụ chính của doanh nghiệp
Consent (Sự đồng ý)
Phải có sự đồng ý rõ ràng, tự nguyện và có thể rút lại được trước khi thu thập dữ liệu. Bundled consent không còn hợp lệ.
Thông báo mục đích
Phải thông báo rõ: loại dữ liệu, mục đích xử lý, thời gian lưu trữ, bên thứ ba được chia sẻ.
Quyền của chủ thể dữ liệu
Người dùng có quyền truy cập, chỉnh sửa, xóa dữ liệu, rút lại consent, và phản đối việc xử lý. Doanh nghiệp phải có quy trình xử lý các yêu cầu này.
DPIA, Đánh giá tác động
Bắt buộc với dữ liệu nhạy cảm và xử lý ở quy mô lớn. Phải lưu trữ và cung cấp cho cơ quan nhà nước khi được yêu cầu.
Đăng ký xử lý dữ liệu nhạy cảm
Tổ chức xử lý dữ liệu nhạy cảm phải đăng ký với Cục An ninh mạng và phòng, chống tội phạm công nghệ cao (A05), Bộ Công An.
Chuyển dữ liệu xuyên biên giới
Chuyển dữ liệu ra nước ngoài phải đảm bảo quốc gia nhận có mức bảo vệ tương đương, hoặc có hợp đồng dữ liệu phù hợp (tương tự SCCs của GDPR).
PDPD vs GDPR, So sánh nhanh
| Điểm | PDPD (Việt Nam) | GDPR (EU) |
|---|---|---|
| Phạm vi địa lý | Dữ liệu người dùng VN | Dữ liệu người dùng EU |
| DPO (Data Protection Officer) | Không bắt buộc (nhưng khuyến khích) | Bắt buộc trong một số trường hợp |
| Đăng ký dữ liệu nhạy cảm | Bắt buộc với Bộ Công An | Không có tương đương |
| Thông báo vi phạm | 72 giờ với Bộ Công An | 72 giờ với DPA |
| Cơ quan giám sát | Cục A05, Bộ Công An | DPA (mỗi quốc gia EU) |
| Quyền của chủ thể dữ liệu | Tương tự GDPR (truy cập, xóa, phản đối) | 8 quyền đầy đủ |
PDPD và các framework compliance quốc tế
Nếu doanh nghiệp bạn đang triển khai bất kỳ framework nào dưới đây, bạn đồng thời đang xây dựng các controls kỹ thuật và tổ chức có mức độ chồng lấp cao với nghĩa vụ PDPD, vì phần lớn các yêu cầu về bảo mật dữ liệu đều tương đồng nhau.
Annex A controls về access control, incident management, encryption, vendor management → ánh xạ trực tiếp vào nghĩa vụ kỹ thuật và tổ chức của PDPD.
Privacy Trust Service Criteria của SOC 2 bao gồm consent, data subject rights, breach notification, retention, ánh xạ gần như 1:1 với các nghĩa vụ PDPD.
HIPAA Technical Safeguards (access control, audit log, encryption) và Privacy Rule → bảo vệ dữ liệu y tế đáp ứng cả HIPAA lẫn PDPD dữ liệu nhạy cảm.
PDPD được lấy cảm hứng từ GDPR. Consent, DPIA, data subject rights, DPA contracts, breach notification 72h, nếu đã comply GDPR, chi phí PDPD bổ sung rất thấp.
Dữ liệu thẻ và thông tin tài chính là dữ liệu nhạy cảm theo PDPD. PCI-DSS controls về encryption, access, audit log → đáp ứng yêu cầu kỹ thuật của PDPD cho dữ liệu tài chính.
ISO 42001 yêu cầu transparency và fairness trong AI, ánh xạ vào nghĩa vụ PDPD về xử lý tự động và quyền phản đối của chủ thể dữ liệu.
Checklist chuẩn bị PDPD cho SaaS/HealthTech/Fintech
Câu hỏi thường gặp
Nghị định 13/2023 áp dụng cho ai?
Mọi tổ chức, cá nhân xử lý dữ liệu cá nhân của người dân Việt Nam, bao gồm doanh nghiệp Việt Nam, doanh nghiệp nước ngoài hoạt động tại Việt Nam, và doanh nghiệp nước ngoài cung cấp dịch vụ cho người dùng tại Việt Nam.
PDPD và GDPR khác nhau như thế nào?
Điểm tương đồng: consent, quyền chủ thể dữ liệu, thông báo vi phạm 72h. Điểm khác: PDPD yêu cầu đăng ký dữ liệu nhạy cảm với Bộ Công An (GDPR không có), và không bắt buộc DPO. Nếu đã tuân thủ GDPR, chi phí tuân thủ thêm PDPD sẽ thấp hơn nhiều.
Doanh nghiệp SaaS B2B có phải tuân thủ PDPD không?
Có, nếu dữ liệu được xử lý có chứa dữ liệu cá nhân của người dùng Việt Nam (kể cả dữ liệu nhân viên của khách hàng doanh nghiệp). Trên thực tế, hầu hết SaaS B2B đều trở thành 'bên xử lý dữ liệu' (Data Processor) theo PDPD.
Mức phạt nếu vi phạm PDPD là bao nhiêu?
Nghị định 13/2023 và các văn bản xử phạt liên quan quy định phạt tiền tùy theo mức độ vi phạm. Trong các trường hợp nghiêm trọng (cố ý vi phạm, gây thiệt hại lớn), có thể bị xử lý hình sự theo Bộ Luật Hình sự. Cơ quan nhà nước cũng có quyền đình chỉ hoạt động xử lý dữ liệu.