Việt Nam · PDPD 2023

Nghị Định 13/2023, Luật Bảo Vệ Dữ Liệu Cá Nhân Việt Nam

Nghị định 13/2023/NĐ-CP có hiệu lực từ 1/7/2023, đây là quy định bảo vệ dữ liệu cá nhân toàn diện đầu tiên của Việt Nam. Tìm hiểu đối tượng áp dụng, nghĩa vụ, và cách doanh nghiệp SaaS/HealthTech/Fintech cần chuẩn bị.

Hiệu lực
01/07/2023
Cơ quan quản lý
Bộ Công An
Phạm vi
Toàn quốc + xuyên biên giới
Tham chiếu quốc tế
GDPR-inspired

PDPD là gì?

PDPD (Personal Data Protection Decree), chính thức là Nghị định 13/2023/NĐ-CP, là văn bản pháp luật toàn diện đầu tiên của Việt Nam về bảo vệ dữ liệu cá nhân. Được ban hành ngày 17/4/2023 và có hiệu lực từ 1/7/2023, Nghị định này thay thế các quy định rải rác về dữ liệu cá nhân trong nhiều luật khác nhau.

Ai phải tuân thủ PDPD?

Nghị định áp dụng rộng rãi cho:

  • Tổ chức, cá nhân Việt Nam xử lý dữ liệu cá nhân
  • Tổ chức nước ngoài hoạt động tại Việt Nam
  • Tổ chức nước ngoài cung cấp dịch vụ cho người dùng tại Việt Nam (kể cả SaaS, app)

Thực tế, nếu doanh nghiệp của bạn có người dùng tại Việt Nam, dù đặt trụ sở ở đâu, PDPD có thể áp dụng.

Dữ liệu cá nhân theo PDPD

PDPD phân loại dữ liệu thành hai nhóm:

Loại Ví dụ Yêu cầu đặc biệt
Dữ liệu cá nhân cơ bản Họ tên, ngày sinh, số điện thoại, địa chỉ, email Consent, thông báo mục đích
Dữ liệu cá nhân nhạy cảm Sức khỏe, dữ liệu sinh trắc, dữ liệu tài chính, chính kiến chính trị, tôn giáo, dữ liệu trẻ em Consent rõ ràng + đăng ký với Bộ Công An + DPIA bắt buộc

Các nghĩa vụ chính của doanh nghiệp

1

Consent (Sự đồng ý)

Phải có sự đồng ý rõ ràng, tự nguyện và có thể rút lại được trước khi thu thập dữ liệu. Bundled consent không còn hợp lệ.

2

Thông báo mục đích

Phải thông báo rõ: loại dữ liệu, mục đích xử lý, thời gian lưu trữ, bên thứ ba được chia sẻ.

3

Quyền của chủ thể dữ liệu

Người dùng có quyền truy cập, chỉnh sửa, xóa dữ liệu, rút lại consent, và phản đối việc xử lý. Doanh nghiệp phải có quy trình xử lý các yêu cầu này.

4

DPIA, Đánh giá tác động

Bắt buộc với dữ liệu nhạy cảm và xử lý ở quy mô lớn. Phải lưu trữ và cung cấp cho cơ quan nhà nước khi được yêu cầu.

5

Đăng ký xử lý dữ liệu nhạy cảm

Tổ chức xử lý dữ liệu nhạy cảm phải đăng ký với Cục An ninh mạng và phòng, chống tội phạm công nghệ cao (A05), Bộ Công An.

6

Chuyển dữ liệu xuyên biên giới

Chuyển dữ liệu ra nước ngoài phải đảm bảo quốc gia nhận có mức bảo vệ tương đương, hoặc có hợp đồng dữ liệu phù hợp (tương tự SCCs của GDPR).

PDPD vs GDPR, So sánh nhanh

Điểm PDPD (Việt Nam) GDPR (EU)
Phạm vi địa lý Dữ liệu người dùng VN Dữ liệu người dùng EU
DPO (Data Protection Officer) Không bắt buộc (nhưng khuyến khích) Bắt buộc trong một số trường hợp
Đăng ký dữ liệu nhạy cảm Bắt buộc với Bộ Công An Không có tương đương
Thông báo vi phạm 72 giờ với Bộ Công An 72 giờ với DPA
Cơ quan giám sát Cục A05, Bộ Công An DPA (mỗi quốc gia EU)
Quyền của chủ thể dữ liệu Tương tự GDPR (truy cập, xóa, phản đối) 8 quyền đầy đủ

PDPD và các framework compliance quốc tế

Nếu doanh nghiệp bạn đang triển khai bất kỳ framework nào dưới đây, bạn đồng thời đang xây dựng các controls kỹ thuật và tổ chức có mức độ chồng lấp cao với nghĩa vụ PDPD, vì phần lớn các yêu cầu về bảo mật dữ liệu đều tương đồng nhau.

Lưu ý về control overlap: Triển khai ISO 27001 hoặc GDPR xây dựng các controls kỹ thuật và tổ chức (access control, incident response, DPIA, breach notification) có mức độ chồng lấp cao với nghĩa vụ PDPD. Đây là điểm tương đồng tự nhiên giữa các framework, không phải tính năng riêng của pTrackly.

Checklist chuẩn bị PDPD cho SaaS/HealthTech/Fintech

Kiểm kê tất cả dữ liệu cá nhân đang thu thập và xử lý
Phân loại: dữ liệu cơ bản vs nhạy cảm
Cập nhật Privacy Policy và Cookie Policy
Xây dựng cơ chế consent rõ ràng, granular (không bundled)
Lập DPIA cho dữ liệu nhạy cảm hoặc xử lý quy mô lớn
Đăng ký với Bộ Công An nếu xử lý dữ liệu nhạy cảm
Xây dựng quy trình xử lý yêu cầu của chủ thể dữ liệu (DSR)
Rà soát hợp đồng với nhà cung cấp (Data Processing Agreement)
Xây dựng quy trình phát hiện và thông báo vi phạm dữ liệu (72h)
Rà soát data transfer với đơn vị nước ngoài, cần có DTA phù hợp
Training nhân sự về PDPD

Câu hỏi thường gặp

Nghị định 13/2023 áp dụng cho ai?

Mọi tổ chức, cá nhân xử lý dữ liệu cá nhân của người dân Việt Nam, bao gồm doanh nghiệp Việt Nam, doanh nghiệp nước ngoài hoạt động tại Việt Nam, và doanh nghiệp nước ngoài cung cấp dịch vụ cho người dùng tại Việt Nam.

PDPD và GDPR khác nhau như thế nào?

Điểm tương đồng: consent, quyền chủ thể dữ liệu, thông báo vi phạm 72h. Điểm khác: PDPD yêu cầu đăng ký dữ liệu nhạy cảm với Bộ Công An (GDPR không có), và không bắt buộc DPO. Nếu đã tuân thủ GDPR, chi phí tuân thủ thêm PDPD sẽ thấp hơn nhiều.

Doanh nghiệp SaaS B2B có phải tuân thủ PDPD không?

Có, nếu dữ liệu được xử lý có chứa dữ liệu cá nhân của người dùng Việt Nam (kể cả dữ liệu nhân viên của khách hàng doanh nghiệp). Trên thực tế, hầu hết SaaS B2B đều trở thành 'bên xử lý dữ liệu' (Data Processor) theo PDPD.

Mức phạt nếu vi phạm PDPD là bao nhiêu?

Nghị định 13/2023 và các văn bản xử phạt liên quan quy định phạt tiền tùy theo mức độ vi phạm. Trong các trường hợp nghiêm trọng (cố ý vi phạm, gây thiệt hại lớn), có thể bị xử lý hình sự theo Bộ Luật Hình sự. Cơ quan nhà nước cũng có quyền đình chỉ hoạt động xử lý dữ liệu.

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo