Nghị định 13/2023/NĐ-CP có hiệu lực từ 1/7/2023, đây là lần đầu tiên Việt Nam có một văn bản pháp luật toàn diện về bảo vệ dữ liệu cá nhân. Nếu bạn đang xây dựng SaaS, HealthTech hay Fintech tại Việt Nam, bài viết này giải thích những điều cần biết.

PDPD là gì và tại sao quan trọng?

PDPD (Personal Data Protection Decree) là tên gọi quốc tế của Nghị định 13/2023/NĐ-CP. Đây là quy định bảo vệ dữ liệu cá nhân đầu tiên của Việt Nam, lấy cảm hứng từ GDPR của EU nhưng có một số điểm khác biệt quan trọng.

Khác với các quy định trước đây rải rác trong Luật An ninh mạng, Luật Công nghệ thông tin, hay Bộ luật Dân sự, Nghị định 13/2023 tập hợp và cụ thể hóa toàn bộ nghĩa vụ liên quan đến xử lý dữ liệu cá nhân.

Ai phải tuân thủ?

Phạm vi áp dụng rất rộng:

  • Doanh nghiệp Việt Nam xử lý dữ liệu cá nhân của bất kỳ ai
  • Công ty nước ngoài hoạt động tại Việt Nam (có văn phòng, chi nhánh)
  • SaaS/app nước ngoài cung cấp dịch vụ cho người dùng tại Việt Nam

Nếu app hoặc platform của bạn có người dùng Việt Nam, dù công ty đặt trụ sở ở đâu, khả năng cao PDPD áp dụng.

Hai loại dữ liệu và yêu cầu khác nhau

Nghị định phân chia dữ liệu thành hai nhóm với yêu cầu khác nhau:

Dữ liệu cá nhân cơ bản (họ tên, ngày sinh, số điện thoại, email, địa chỉ):

  • Cần có consent rõ ràng trước khi thu thập
  • Phải thông báo mục đích xử lý
  • Người dùng có quyền truy cập, chỉnh sửa, xóa

Dữ liệu cá nhân nhạy cảm (sức khỏe, sinh trắc học, thông tin tài chính, trẻ em, dữ liệu chính trị/tôn giáo):

  • Explicit consent, không thể bundle vào điều khoản chung
  • Bắt buộc thực hiện DPIA (Đánh giá tác động)
  • Phải đăng ký với Cục A05, Bộ Công An
  • Hạn chế nghiêm ngặt hơn về chia sẻ với bên thứ ba

Với SaaS B2B: nếu platform của bạn xử lý dữ liệu nhân viên hoặc khách hàng của doanh nghiệp Việt Nam, bạn nhiều khả năng là Bên xử lý dữ liệu (Data Processor) và có nghĩa vụ riêng.

6 nghĩa vụ chính doanh nghiệp SaaS cần thực hiện

Consent theo PDPD phải:

  • Tự nguyện: không ép buộc, không là điều kiện sử dụng dịch vụ không liên quan
  • Rõ ràng: người dùng phải biết họ đang đồng ý điều gì
  • Có thể rút lại: phải cung cấp cơ chế opt-out dễ sử dụng
  • Granular: không được bundle nhiều mục đích vào một checkbox

Nhiều startup Việt Nam đang dùng "bundled consent" trong Privacy Policy, đây là rủi ro cần xử lý.

2. Thông báo mục đích và thời gian lưu trữ

Khi thu thập dữ liệu, phải thông báo rõ ràng:

  • Loại dữ liệu thu thập
  • Mục đích xử lý (cụ thể, không chung chung)
  • Thời gian lưu trữ
  • Bên thứ ba sẽ được chia sẻ dữ liệu

3. Quy trình xử lý yêu cầu của chủ thể dữ liệu (DSR)

Người dùng có quyền:

  • Truy cập dữ liệu của họ
  • Chỉnh sửa thông tin không chính xác
  • Xóa dữ liệu (right to erasure)
  • Rút lại consent
  • Phản đối việc xử lý một số loại dữ liệu

Doanh nghiệp cần có quy trình xử lý các yêu cầu này trong thời gian hợp lý. Nhiều công ty Việt Nam chưa có bất kỳ quy trình DSR nào.

4. DPIA cho dữ liệu nhạy cảm

Data Privacy Impact Assessment là đánh giá tác động việc xử lý dữ liệu có thể gây ra. Bắt buộc với:

  • Tất cả dữ liệu nhạy cảm
  • Xử lý dữ liệu ở quy mô lớn
  • Giám sát hệ thống hoặc tracking hành vi

DPIA phải được lưu trữ và cung cấp cho cơ quan nhà nước khi yêu cầu.

5. Data Processing Agreement với vendor

Nếu bạn chia sẻ dữ liệu với bên thứ ba (cloud provider, analytics tool, marketing platform), cần có hợp đồng xử lý dữ liệu (DPA) xác định rõ trách nhiệm của mỗi bên.

Điều này ảnh hưởng đến:

  • AWS/Google Cloud/Azure (nếu lưu dữ liệu)
  • Công cụ analytics (Mixpanel, Amplitude...)
  • Email/CRM platform (HubSpot, Intercom...)
  • Payment processor

6. Thông báo vi phạm dữ liệu trong 72 giờ

Nếu có data breach, doanh nghiệp phải thông báo với cơ quan nhà nước (Bộ Công An) trong vòng 72 giờ. Điều này đòi hỏi phải có:

  • Hệ thống phát hiện vi phạm
  • Quy trình escalation rõ ràng
  • Incident response plan

PDPD vs GDPR: Điểm nào giống, điểm nào khác?

Nếu đã tuân thủ GDPR, bạn đã có nền tảng tốt. Nhưng có một số điểm PDPD khác:

Điểm khác biệtGDPRPDPD
DPOBắt buộc trong nhiều trường hợpKhông bắt buộc
Đăng ký dữ liệu nhạy cảmKhông cóBắt buộc với Bộ Công An
Cơ quan giám sátDPA từng quốc gia EUCục A05, Bộ Công An

Rủi ro khi không tuân thủ

Ngoài các mức phạt tiền quy định trong nghị định xử phạt liên quan, vi phạm nghiêm trọng có thể bị xử lý hình sự theo Bộ Luật Hình sự. Cơ quan nhà nước cũng có quyền đình chỉ hoạt động xử lý dữ liệu.

Ngoài rủi ro pháp lý, vi phạm PDPD còn ảnh hưởng đến:

  • Reputation với khách hàng doanh nghiệp
  • Audit khi bán cho đối tác nước ngoài, họ thường hỏi về data protection compliance của Việt Nam
  • Due diligence trong các vòng gọi vốn

Checklist chuẩn bị PDPD cho SaaS

Để bắt đầu, hãy kiểm tra các mục sau:

  • [ ] Kiểm kê tất cả dữ liệu cá nhân đang thu thập và xử lý
  • [ ] Phân loại: dữ liệu cơ bản vs nhạy cảm
  • [ ] Rà soát Privacy Policy, có đủ thông tin về mục đích, retention, bên thứ ba không?
  • [ ] Kiểm tra cơ chế consent, có phải bundled không?
  • [ ] Có quy trình xử lý DSR chưa?
  • [ ] Lập DPIA nếu xử lý dữ liệu nhạy cảm
  • [ ] Đăng ký Bộ Công An nếu xử lý dữ liệu nhạy cảm
  • [ ] Rà soát DPA với cloud provider và vendor
  • [ ] Xây dựng incident response plan và quy trình thông báo vi phạm 72h
  • [ ] Training nhân sự

Để chuẩn bị cho PDPD, nhiều công ty bắt đầu từ việc thiết lập ISO 27001 hoặc GDPR, các framework có control overlap đáng kể với Nghị định 13. Đặt demo pTrackly để xem cách xây dựng nền tảng compliance phù hợp.

Thẻ:
PDPDNghị định 13bảo vệ dữ liệuSaaS Việt Namcompliance