8 điểm nổi bật của Nghị định 13 về bảo vệ dữ liệu cá nhân

Những điểm nổi bật của Nghị định 13 về bảo vệ dữ liệu cá nhân đã tạo ra một khuôn khổ pháp lý hoàn toàn mới, đòi hỏi sự thay đổi sâu sắc trong cách doanh nghiệp vận hành. Tại DPVN, chúng tôi cung cấp bản tóm tắt Nghị định 13 chi tiết, giúp bạn nắm vững các quy định quan trọng và những điểm mới có ảnh hưởng đến doanh nghiệp.

Sự ra đời của Nghị định 13/2023/NĐ-CP (sau đây gọi là “Nghị định 13”) đã đánh dấu một bước ngoặt, chính thức đưa Việt Nam hội nhập với các tiêu chuẩn bảo vệ dữ liệu tiên tiến trên thế giới. Trước đây, các quy định còn phân mảnh. Nay, Nghị định 13 đã tạo ra một sân chơi chung với các quy tắc rõ ràng, ảnh hưởng sâu rộng đến mọi doanh nghiệp đang hoạt động tại Việt Nam.

Về chuyên môn sâu, Nghị định 13 không chỉ là một văn bản hành chính, mà nó còn thay đổi căn bản tư duy quản trị dữ liệu. Doanh nghiệp không còn có thể xem dữ liệu khách hàng hay nhân viên là tài sản của riêng mình. Thay vào đó, dữ liệu được xem là một thứ được “ủy thác” có điều kiện bởi các cá nhân. Việc hiểu và áp dụng đúng các quy định quan trọng của Nghị định không chỉ giúp doanh nghiệp tránh được rủi ro pháp lý, mà còn là chìa khóa để xây dựng lòng tin và nâng cao uy tín thương hiệu.

Dưới đây, DPVN sẽ phân tích chi tiết từng điểm nổi bật và các biện pháp mà doanh nghiệp cần thực hiện để tuân thủ.

1. Phân loại Dữ liệu cá nhân thành 2 nhóm: Cơ bản và Nhạy cảm

Đây là một thay đổi đáng chú ý so với quy định trước đây. Việc phân loại này giúp xác định mức độ bảo vệ cần thiết.

• Dữ liệu cá nhân cơ bản: Các thông tin định danh phổ biến như họ tên, ngày sinh, số điện thoại, email…
• Dữ liệu cá nhân nhạy cảm: Các thông tin có rủi ro cao như sức khỏe, tài chính, quan điểm chính trị, dữ liệu sinh trắc học, vị trí…

Hành động của Doanh nghiệp: Phải tiến hành rà soát, kiểm kê và phân loại toàn bộ dữ liệu đang xử lý để áp dụng các biện pháp bảo vệ tương xứng, đặc biệt là các nghĩa vụ tăng cường đối với dữ liệu nhạy cảm.

2. Đặt ra tiêu chuẩn rất cao cho “Sự đồng ý Hợp lệ”

Nghị định 13 quy định sự đồng ý của chủ thể dữ liệu cá nhân phải “rõ ràng, tự nguyện” và “cho từng mục đích cụ thể”. Đặc biệt, “sự im lặng không được coi là đồng ý”.

Hành động của Doanh nghiệp: Phải rà soát lại toàn bộ các quy trình thu thập sự đồng ý. Các ô checkbox được đánh dấu sẵn, các điều khoản gộp chung chung đều không còn hợp lệ. Doanh nghiệp phải chuyển sang mô hình “opt-in” chủ động.

3. Trao cho Chủ thể dữ liệu 11 Quyền mạnh mẽ

Nghị định đã trao cho các cá nhân một bộ công cụ pháp lý toàn diện để kiểm soát thông tin của mình, bao gồm quyền truy cập, chỉnh sửa, xóa, rút lại sự đồng ý…

Hành động của Doanh nghiệp: Phải xây dựng các quy trình và công cụ nội bộ để có thể tiếp nhận và xử lý các yêu cầu này trong thời hạn 72 giờ.

4. Phân định rõ vai trò: Bên Kiểm soát và Bên Xử lý

Lần đầu tiên, pháp luật Việt Nam chính thức đưa vào các khái niệm này, phân định rõ ai là người “ra quyết định” (Bên Kiểm soát) và ai là người “làm theo chỉ thị” (Bên Xử lý).

Hành động của Doanh nghiệp: Phải xác định vai trò của doanh nghiệp và của các đối tác, nhà cung cấp. Đồng thời, phải có hợp đồng xử lý dữ liệu (DPA) để ràng buộc trách nhiệm.

5. Bắt buộc Lập và Nộp Hồ sơ Đánh giá Tác động (DPIA)

Đây là một thủ tục hành chính hoàn toàn mới, yêu cầu doanh nghiệp phải lập một bộ hồ sơ chi tiết về các hoạt động xử lý dữ liệu của mình và nộp cho Cục A05.

Hành động của Doanh nghiệp: Phải triển khai một dự án nội bộ để thu thập thông tin, soạn thảo và nộp Hồ sơ ĐGTĐ xử lý dữ liệu cá nhân đúng thời hạn 60 ngày.

6. Siết chặt quy định về Chuyển dữ liệu ra nước ngoài

Nghị định yêu cầu một thủ tục riêng và nghiêm ngặt cho việc chuyển dữ liệu cá nhân của công dân Việt Nam ra khỏi lãnh thổ, bao gồm cả việc sử dụng các dịch vụ đám mây có máy chủ ở nước ngoài.

Hành động của Doanh nghiệp: Phải lập và nộp một bộ Hồ sơ ĐGTĐ chuyển dữ liệu cá nhân ra nước ngoài riêng biệt.

7. Yêu cầu thông báo vi phạm trong 72 giờ

Khi xảy ra sự cố rò rỉ dữ liệu, doanh nghiệp có nghĩa vụ phải thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân cho Cục A05 trong vòng 72 giờ.

Hành động của Doanh nghiệp: Phải xây dựng một Quy trình Ứng phó Sự cố (Incident Response Plan) rõ ràng, có phân công trách nhiệm cụ thể để có thể phản ứng kịp thời.

8. Thành lập Cơ quan Chuyên trách và Cổng thông tin Quốc gia

Nghị định đã chỉ định Cục An ninh mạng (A05) làm cơ quan chuyên trách và thành lập Cổng thông tin quốc gia `baovedlcn.gov.vn`.

Hành động của Doanh nghiệp: Phải theo dõi thường xuyên Cổng thông tin này để cập nhật các hướng dẫn và biểu mẫu mới nhất.

DPVN: Dịch Vụ Tư Vấn Tuân Thủ Nghị Định 13 Toàn Diện

Việc triển khai tuân thủ Nghị định 13 đòi hỏi kiến thức chuyên sâu và nguồn lực đáng kể. Để giúp doanh nghiệp tiết kiệm thời gian và đảm bảo tuân thủ một cách chính xác, DPVN cung cấp gói dịch vụ tư vấn toàn diện.

Hãy liên hệ với Luật sư Nguyễn Lâm Sơn để được tư vấn lộ trình phù hợp nhất:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Nguồn tham khảo:

1. Toàn văn Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
3. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
4. Quyết định 4660/QĐ-BCA-A05 của Bộ Công an về công bố TTHC: https://baovedlcn.gov.vn/quyet-dinh-4660-qd-bca-a05-ngay-04-7-2023/
5. Luật An ninh mạng 2018: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Luat-an-ninh-mang-2018-383236.aspx