Nghị định 13 về bảo vệ dữ liệu cá nhân: Quy định mới nhất 2025

Ngày đăng - 01/06/2024

Luật sư Nguyễn Lâm Sơn Tư vấn Nghị định 13/2023/NĐ-CP, Tư vấn Luật bảo vệ dữ liệu cá nhân

Nghị định 13 về bảo vệ dữ liệu cá nhân là văn bản pháp lý toàn diện đầu tiên tại Việt Nam, đặt ra các quy định quan trọng mà mọi doanh nghiệp cần tuân thủ. Tại DPVN, chúng tôi cung cấp bản tóm tắt Nghị định 13 và phân tích các điểm mới, giúp doanh nghiệp bạn nắm vững quy định và xây dựng lộ trình tuân thủ hiệu quả.

Đối tượng áp dụng và phạm vi điều chỉnh của Nghị định 13 là gì?

Nghị định 13/2023/NĐ-CP có phạm vi điều chỉnh rất rộng, áp dụng đối với mọi cơ quan, tổ chức, cá nhân Việt Nam và nước ngoài có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam, kể cả các hoạt động xử lý dữ liệu của công dân Việt Nam được thực hiện ở nước ngoài.

Được ban hành ngày 17/4/2023 và có hiệu lực từ 01/7/2023, Nghị định 13 năm 2023 đã tạo ra một bước ngoặt, lần đầu tiên thiết lập một khung pháp lý chuyên ngành và thống nhất cho hoạt động bảo vệ dữ liệu cá nhân. Về đối tượng áp dụng, Khoản 2, Điều 1 của Nghị định quy định rõ bao gồm:

  • Cơ quan, tổ chức, cá nhân Việt Nam.
  • Cơ quan, tổ chức, cá nhân nước ngoài tại Việt Nam.
  • Cơ quan, tổ chức, cá nhân Việt Nam hoạt động tại nước ngoài.
  • Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

Về chuyên môn sâu, quy định cuối cùng có ý nghĩa đặc biệt quan trọng. Nó khẳng định yếu tố “ảnh hưởng ngoài lãnh thổ”, nghĩa là một công ty không có hiện diện vật lý tại Việt Nam nhưng có xử lý dữ liệu của người dùng Việt (ví dụ: một nền tảng mạng xã hội, một nhà cung cấp dịch vụ đám mây) vẫn phải tuân thủ Nghị định. Điều này cho thấy sự hội nhập của pháp luật Việt Nam với các tiêu chuẩn quốc tế và khẳng định chủ quyền số quốc gia.

Tải về Toàn văn Nghị định 13/2023/NĐ-CP tại đây

8 điểm mới nổi bật nhất của Nghị định 13 về bảo vệ dữ liệu cá nhân là gì?

Nghị định 13 năm 2023 mang đến nhiều điểm mới quan trọng, tạo ra một khung pháp lý toàn diện hơn hẳn so với các quy định trước đó. Tám điểm nổi bật nhất bao gồm: Phân loại dữ liệu rõ ràng, quy định chặt chẽ về sự đồng ý, trao 11 quyền cho chủ thể dữ liệu, xác định vai trò các bên, yêu cầu lập hồ sơ đánh giá tác động, quy định về chuyển dữ liệu ra nước ngoài, nghĩa vụ thông báo vi phạm trong 72 giờ và thành lập Cổng thông tin quốc gia.

Việc nắm vững các quy định quan trọng này là nền tảng để doanh nghiệp có thể xây dựng một chiến lược tuân thủ hiệu quả.

Điểm nổi bật Tác động đến Doanh nghiệp
1. Phân loại dữ liệu cá nhân Lần đầu tiên phân biệt rõ dữ liệu cá nhân cơ bảndữ liệu cá nhân nhạy cảm. Doanh nghiệp phải rà soát, phân loại dữ liệu đang xử lý để áp dụng biện pháp bảo vệ tương xứng.
2. Quy định chặt chẽ về sự đồng ý Sự đồng ý phải rõ ràng, tự nguyện, cho từng mục đích cụ thể. Sự im lặng không phải là đồng ý. Doanh nghiệp phải rà soát lại toàn bộ quy trình thu thập sự đồng ý.
3. 11 quyền của chủ thể dữ liệu Trao cho cá nhân các quyền mạnh mẽ (truy cập, xóa, rút lại sự đồng ý…). Doanh nghiệp phải xây dựng quy trình để tiếp nhận và xử lý các yêu cầu này trong 72 giờ.
4. Xác định rõ vai trò các bên Phân định rõ Bên Kiểm soát, Bên Xử lý, Bên thứ ba… Doanh nghiệp phải xác định đúng vai trò của mình và đối tác để phân định trách nhiệm.
5. Bắt buộc lập Hồ sơ ĐGTĐ Yêu cầu doanh nghiệp phải lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và nộp cho cơ quan chức năng. Đây là một thủ tục hành chính hoàn toàn mới.
6. Quy định về chuyển dữ liệu ra nước ngoài Yêu cầu phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài riêng và nộp cho cơ quan chức năng.
7. Thông báo vi phạm trong 72 giờ Khi xảy ra sự cố, doanh nghiệp có nghĩa vụ thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân cho Cục A05 trong vòng 72 giờ.
8. Thiết lập cơ quan chuyên trách Giao Cục A05 – Bộ Công an làm cơ quan chuyên trách và thành lập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.

Doanh nghiệp cần làm gì để tuân thủ Nghị định 13 về bảo vệ dữ liệu cá nhân?

Để tuân thủ Nghị định 13, doanh nghiệp cần thực hiện một chương trình hành động toàn diện, bao gồm các bước chính như: Chỉ định nhân sự phụ trách, rà soát và lập bản đồ dữ liệu, xây dựng các chính sách và quy trình nội bộ, rà soát lại cơ chế thu thập sự đồng ý, và quan trọng nhất là hoàn thành các thủ tục hành chính bắt buộc.

Việc tuân thủ không phải là một dự án có thể hoàn thành trong ngày một ngày hai. Nó đòi hỏi sự cam kết từ ban lãnh đạo và một lộ trình triển khai rõ ràng.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Qua kinh nghiệm tư vấn cho hàng loạt doanh nghiệp sau khi Nghị định 13 có hiệu lực, chúng tôi nhận thấy nhiều đơn vị bắt đầu một cách lúng túng vì không biết phải làm gì trước. Lời khuyên của chúng tôi luôn là: Hãy bắt đầu bằng một cuộc ‘tổng kiểm kê dữ liệu’ (Data Mapping). Bạn không thể bảo vệ cái mà bạn không biết mình đang có. Việc lập bản đồ chi tiết các luồng dữ liệu sẽ là nền tảng vững chắc nhất cho mọi hành động tuân thủ sau này.”

Dưới đây là một checklist các đầu việc cốt lõi mà doanh nghiệp cần triển khai:

  • Xây dựng khung quản trị: Thành lập bộ phận bảo vệ dữ liệu cá nhân hoặc chỉ định nhân sự phụ trách (DPO) và ban hành quyết định chính thức.
  • Xây dựng chính sách: Soạn thảo và công khai Chính sách bảo vệ dữ liệu cá nhân (Chính sách quyền riêng tư).
  • Rà soát sự đồng ý: Kiểm tra lại tất cả các hình thức thu thập sự đồng ý (trên web, app, hợp đồng) để đảm bảo tuân thủ các tiêu chí mới.
  • Lập và nộp Hồ sơ ĐGTĐ: Thực hiện quy trình lập hồ sơ đánh giá tác động và nộp cho Cục A05 đúng hạn.
  • Quản lý đối tác: Rà soát và ký kết các thỏa thuận bảo vệ dữ liệu cá nhân (DPA) với các Bên Xử lý và Bên thứ ba.
  • Xây dựng quy trình nội bộ: Thiết lập quy trình để đáp ứng các quyền của chủ thể dữ liệu và quy trình ứng phó khi có sự cố vi phạm.
  • Đào tạo nhân viên: Nâng cao nhận thức cho toàn thể nhân viên về tầm quan trọng và các quy định cơ bản của việc bảo vệ dữ liệu.

DPVN: Dịch Vụ Tư Vấn Tuân Thủ Nghị Định 13 Toàn Diện

Việc triển khai tuân thủ Nghị định 13 đòi hỏi kiến thức chuyên sâu và nguồn lực đáng kể. Để giúp doanh nghiệp tiết kiệm thời gian và đảm bảo tuân thủ một cách chính xác, DPVN cung cấp gói dịch vụ tư vấn toàn diện.

Hãy tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp với Luật sư Nguyễn Lâm Sơn để được tư vấn lộ trình phù hợp nhất:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Câu hỏi thường gặp về Nghị định 13/2023/NĐ-CP

1. Nghị định 13 có còn hiệu lực khi Luật Bảo vệ dữ liệu cá nhân 2025 được ban hành không?

Nghị định 13/2023/NĐ-CP vẫn có hiệu lực pháp lý cao nhất cho đến khi Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 chính thức có hiệu lực vào ngày 01/01/2026. Sau thời điểm đó, các quy định của Luật sẽ được ưu tiên áp dụng. Tuy nhiên, nhiều nội dung của Nghị định 13 dự kiến sẽ được giữ lại trong các văn bản hướng dẫn thi hành Luật.

2. Nếu công ty chúng tôi chỉ xử lý dữ liệu của nhân viên, có phải tuân thủ Nghị định 13 không?

Chắc chắn CÓ. Người lao động cũng là chủ thể dữ liệu, và dữ liệu nhân sự (bao gồm cả các thông tin nhạy cảm như tình trạng sức khỏe, thông tin gia đình) phải được bảo vệ theo đúng các quy định của Nghị định.

3. “Xử lý dữ liệu cá nhân” theo Nghị định 13 bao gồm những hoạt động gì?

Theo định nghĩa tại Khoản 7, Điều 2, “xử lý dữ liệu cá nhân” có phạm vi rất rộng, bao gồm một hoặc nhiều hoạt động như: thu thập, ghi, phân tích, lưu trữ, chỉnh sửa, công khai, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy và các hành động khác có liên quan. Hầu như mọi thao tác tác động đến dữ liệu cá nhân đều được coi là xử lý.

4. Mức phạt vi phạm hành chính đối với các hành vi vi phạm Nghị định 13 là bao nhiêu?

Nghị định 13 chưa quy định mức phạt cụ thể. Hiện tại, việc xử phạt vẫn có thể dựa trên các quy định tại Nghị định 15/2020/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông. Tuy nhiên, Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã đưa ra các mức phạt rất cao, có thể lên tới 5% tổng doanh thu.

5. Doanh nghiệp siêu nhỏ có được miễn trừ áp dụng Nghị định 13 không?

Khoản 2, Điều 43 Nghị định 13 có quy định miễn trừ cho doanh nghiệp siêu nhỏ, nhỏ, vừa, và khởi nghiệp đối với việc chỉ định cá nhân và bộ phận bảo vệ dữ liệu trong 02 năm đầu thành lập, trừ khi họ kinh doanh dịch vụ xử lý dữ liệu. Tuy nhiên, họ vẫn phải tuân thủ tất cả các nghĩa vụ khác như lập hồ sơ ĐGTĐ, lấy sự đồng ý…

Nguồn tham khảo:

  1. Toàn văn Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  3. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/
  4. Quyết định 4660/QĐ-BCA-A05 của Bộ Công an về công bố TTHC: https://baovedlcn.gov.vn/quyet-dinh-4660-qd-bca-a05-ngay-04-7-2023/
  5. Luật An ninh mạng 2018: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Luat-an-ninh-mang-2018-383236.aspx
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486