Nghị Định 13/2023/NĐ-CP

Nghị định 13/2023/NĐ-CP là Nghị định của Chính phủ Việt Nam về bảo vệ dữ liệu cá nhân, được ban hành ngày 17 tháng 4 năm 2023 và có hiệu lực từ ngày 1 tháng 7 năm 2023.

tải xuống

---

🧩 Tóm tắt nội dung chính:

1. Mục đích

Nghị định này nhằm:

• Bảo vệ quyền riêng tư và dữ liệu cá nhân của công dân Việt Nam.

• Quy định rõ trách nhiệm của tổ chức, cá nhân, doanh nghiệp khi thu thập, xử lý, lưu trữ và chia sẻ dữ liệu cá nhân.

---

2. Đối tượng áp dụng

Áp dụng cho:

• Mọi cá nhân, tổ chức trong và ngoài nước có hoạt động liên quan đến dữ liệu cá nhân của công dân Việt Nam.

• Bao gồm cả doanh nghiệp Việt Nam và doanh nghiệp nước ngoài cung cấp dịch vụ tại Việt Nam (ví dụ như Facebook, Google…).

---

3. Phân loại dữ liệu cá nhân

Nghị định chia dữ liệu cá nhân thành hai loại:

• Dữ liệu cá nhân cơ bản: họ tên, ngày sinh, số CMND/CCCD, địa chỉ, email, số điện thoại, v.v.

• Dữ liệu cá nhân nhạy cảm: tình trạng sức khỏe, tài chính, quan điểm chính trị, tôn giáo, dữ liệu sinh trắc học, vị trí địa lý, đời sống riêng tư…

---

4. Quy định về xử lý dữ liệu cá nhân

Việc thu thập, lưu trữ, sử dụng, chia sẻ, công khai, chuyển giao… dữ liệu cá nhân phải:

• Có sự đồng ý rõ ràng của chủ thể dữ liệu (người mà dữ liệu thuộc về).

• Thông báo mục đích, phạm vi, hình thức, thời gian lưu trữ.

• Không được sử dụng trái mục đích, hoặc chia sẻ cho bên thứ ba nếu không được đồng ý.

---

5. Quyền của chủ thể dữ liệu cá nhân

Người có dữ liệu cá nhân có quyền:

• Biết dữ liệu của mình được thu thập và sử dụng như thế nào.

• Rút lại sự đồng ý hoặc yêu cầu xóa dữ liệu.

• Yêu cầu chỉnh sửa hoặc cung cấp bản sao dữ liệu.

• Phản đối việc xử lý dữ liệu nếu cảm thấy bị xâm phạm.

---

6. Trách nhiệm của tổ chức, doanh nghiệp

Doanh nghiệp phải:

• Có bộ phận bảo vệ dữ liệu cá nhân (DPO).

• Đăng ký hoặc thông báo việc xử lý dữ liệu cá nhân cho Cục An toàn thông tin (Bộ TT&TT).

• Báo cáo, ghi nhận và xử lý sự cố rò rỉ dữ liệu trong vòng 72 giờ.

• Nếu chuyển dữ liệu ra nước ngoài, phải đăng ký và được chấp thuận.

---

7. Chế tài xử phạt

Hiện nay, mức phạt cụ thể đang được hướng dẫn bổ sung, nhưng vi phạm có thể bị:

• Phạt hành chính,

• Đình chỉ hoạt động xử lý dữ liệu,

• Và trong trường hợp nghiêm trọng có thể bị truy cứu trách nhiệm hình sự theo Bộ luật Hình sự (Điều 288, 289…).

---

⚖️ Ý nghĩa thực tế

Nghị định 13/2023/NĐ-CP là bước đầu tiên trong việc Việt Nam thiết lập khung pháp lý tương tự GDPR (quy định bảo vệ dữ liệu cá nhân của EU).
Doanh nghiệp cần rà soát lại toàn bộ quy trình thu thập – lưu trữ – sử dụng dữ liệu khách hàng (như thông tin form liên hệ, khách hàng, nhân viên, cookies, CRM, marketing…) để đảm bảo tuân thủ.