Nghị định 13 Về Bảo Vệ Dữ Liệu Cá Nhân [Toàn văn]

Nghị định 13 về bảo vệ dữ liệu cá nhân là khung pháp lý quan trọng, đặt ra các nghĩa vụ tuân thủ chi tiết cho mọi doanh nghiệp. Để đảm bảo hoạt động đúng luật và giảm thiểu rủi ro, DPO.VN mang đến giải pháp toàn diện giúp bạn nắm vững các quy định và hoàn thành thủ tục một cách chính xác. Quy định bảo mật thông tin, xử lý dữ liệu, tuân thủ pháp luật.

Nghị định 13/2023/NĐ-CP là gì và có vai trò quan trọng như thế nào đối với doanh nghiệp?

Nghị định 13/2023/NĐ-CP, có hiệu lực từ ngày 01/07/2023, là văn bản pháp lý đầu tiên tại Việt Nam quy định chi tiết và toàn diện về bảo vệ dữ liệu cá nhân, đặt ra nền tảng pháp lý bắt buộc cho mọi cơ quan, tổ chức, cá nhân có hoạt động xử lý dữ liệu cá nhân tại Việt Nam.

Nghị định 13/2023/NĐ-CP của Chính phủ ra đời trong bối cảnh an ninh mạng và quyền riêng tư ngày càng trở nên cấp thiết. Văn bản này không chỉ là một quy định hành chính mà còn là một bộ quy tắc ứng xử chuẩn mực cho doanh nghiệp trong kỷ nguyên số. Nó xác định rõ các quyền của chủ thể dữ liệu (khách hàng, nhân viên) và nghĩa vụ tương ứng của doanh nghiệp khi thu thập, lưu trữ, sử dụng, và chuyển giao thông tin cá nhân.

Đối với doanh nghiệp, Nghị định 13 tạo ra một hành lang pháp lý rõ ràng, giúp chuẩn hóa quy trình nội bộ, nâng cao uy tín thương hiệu và xây dựng lòng tin với khách hàng. Đồng thời, đây cũng là tiền đề quan trọng cho Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, dự kiến có hiệu lực từ ngày 01/01/2026, sẽ kế thừa và phát triển các quy định này lên một tầm cao mới với các chế tài xử phạt nghiêm khắc hơn. Việc tuân thủ Nghị định 13 ngay từ bây giờ là bước chuẩn bị chiến lược giúp doanh nghiệp thích ứng với môi trường pháp lý trong tương lai.

Các khái niệm cốt lõi trong Nghị định 13 mà doanh nghiệp cần nắm vững là gì?

Doanh nghiệp cần phân biệt rõ Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm, đồng thời xác định chính xác vai trò của mình là Bên Kiểm soát, Bên Xử lý dữ liệu cá nhân hay Bên thứ ba để thực hiện đúng trách nhiệm pháp lý.

Dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm được phân biệt như thế nào?

Điều 2 của Nghị định 13/2023/NĐ-CP đã định nghĩa và phân loại rõ ràng hai nhóm dữ liệu này, việc phân biệt chúng có ý nghĩa then chốt vì việc xử lý dữ liệu nhạy cảm đòi hỏi các biện pháp bảo vệ nghiêm ngặt hơn.

DPO.VN lưu ý rằng, theo Điều 28 Nghị định 13, khi xử lý dữ liệu cá nhân nhạy cảm, doanh nghiệp bắt buộc phải chỉ định bộ phận và nhân sự phụ trách bảo vệ dữ liệu cá nhân và thông báo cho chủ thể dữ liệu về việc này.

Vai trò của Bên Kiểm soát, Bên Xử lý và Bên thứ ba được quy định ra sao?

Việc xác định đúng vai trò của mình là bước đầu tiên để doanh nghiệp áp dụng đúng các nghĩa vụ pháp lý. Điều 2 của Nghị định 13 định nghĩa rõ các vai trò này:

• Bên Kiểm soát dữ liệu cá nhân: Là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân. Ví dụ: Một công ty thương mại điện tử quyết định thu thập email khách hàng để gửi bản tin khuyến mãi.
• Bên Xử lý dữ liệu cá nhân: Là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho Bên Kiểm soát, thông qua một hợp đồng. Ví dụ: Một công ty dịch vụ marketing được thuê để gửi email hàng loạt cho danh sách khách hàng của công ty thương mại điện tử.
• Bên Kiểm soát và xử lý dữ liệu cá nhân: Là trường hợp một tổ chức, cá nhân vừa quyết định mục đích, phương tiện, vừa trực tiếp xử lý dữ liệu. Đây là mô hình phổ biến ở nhiều doanh nghiệp tự thực hiện các hoạt động marketing, bán hàng.
• Bên thứ ba: Là tổ chức, cá nhân ngoài các bên trên được phép xử lý dữ liệu cá nhân. Ví dụ: Một đơn vị vận chuyển nhận thông tin khách hàng để giao hàng.

Bên Kiểm soát dữ liệu chịu trách nhiệm cao nhất trước chủ thể dữ liệu và pháp luật, bao gồm cả việc lựa chọn Bên Xử lý dữ liệu có đủ năng lực bảo vệ thông tin.

Các nghĩa vụ pháp lý chính mà doanh nghiệp phải thực hiện theo Nghị định 13 là gì?

Doanh nghiệp bắt buộc phải thực hiện ba nghĩa vụ cốt lõi: Lập và nộp Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, lập và nộp Hồ sơ đánh giá tác động khi chuyển dữ liệu ra nước ngoài, và thông báo cho cơ quan chức năng trong vòng 72 giờ khi có vi phạm.

Khi nào doanh nghiệp cần lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?

Mọi Bên Kiểm soát và Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập, lưu giữ hồ sơ này ngay từ khi bắt đầu xử lý dữ liệu và gửi 01 bản chính cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an trong vòng 60 ngày.

Đây là một trong những nghĩa vụ quan trọng và cấp bách nhất được quy định tại Điều 24 Nghị định 13. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân là tài liệu chứng minh sự tuân thủ (trách nhiệm giải trình), giúp doanh nghiệp nhận diện và giảm thiểu rủi ro.

Quy trình thực hiện:

1. Lập Hồ sơ: Doanh nghiệp (với vai trò là Bên Kiểm soát hoặc Bên Kiểm soát và xử lý) cần điền đầy đủ thông tin vào các mẫu biểu tương ứng: Mẫu Đ24-DLCN-01, Mẫu Đ24-DLCN-02 (nếu có thuê Bên xử lý), và Mẫu Đ24-DLCN-03 (nếu có Bên thứ ba).
2. Chuẩn bị Thông báo: Lập Thông báo gửi hồ sơ theo Mẫu số 04a (đối với tổ chức) hoặc Mẫu số 04b (đối với cá nhân).
3. Nộp Hồ sơ: Gửi 01 bản chính của bộ hồ sơ hoàn chỉnh tới Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) trong vòng 60 ngày kể từ ngày bắt đầu xử lý dữ liệu.
4. Lưu trữ và Cập nhật: Doanh nghiệp phải lưu giữ hồ sơ này và cập nhật khi có thay đổi nội dung, nộp thông báo thay đổi theo Mẫu số 05a hoặc Mẫu số 05b.

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 tiếp tục duy trì nghĩa vụ này tại Điều 21 và quy định việc cập nhật hồ sơ định kỳ 06 tháng hoặc khi có thay đổi lớn (Điều 22). Tuy nhiên, có một số trường hợp được miễn trừ như doanh nghiệp nhỏ, siêu nhỏ, khởi nghiệp (trừ các trường hợp có rủi ro cao) trong một thời gian nhất định để giảm gánh nặng tuân thủ.

Quy trình chuyển dữ liệu cá nhân ra nước ngoài được thực hiện như thế nào?

Doanh nghiệp phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, có sự đồng ý của chủ thể dữ liệu và nộp hồ sơ cho Cục A05 trong vòng 60 ngày kể từ ngày tiến hành chuyển dữ liệu.

Với xu thế toàn cầu hóa, việc chuyển dữ liệu cá nhân ra nước ngoài (ví dụ: sử dụng dịch vụ lưu trữ đám mây của Amazon, Google; gửi dữ liệu về trụ sở chính ở nước ngoài) bị quản lý rất chặt chẽ theo Điều 25 Nghị định 13 và Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.

Các bước thực hiện:

• Lập Hồ sơ: Bên chuyển dữ liệu phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Mẫu Đ25-DLCN-04. Hồ sơ phải nêu rõ các biện pháp bảo vệ, văn bản thể hiện sự ràng buộc trách nhiệm giữa bên chuyển và bên nhận.
• Chuẩn bị Thông báo: Lập Thông báo gửi hồ sơ theo Mẫu số 06a (đối với tổ chức) hoặc Mẫu số 06b (đối với cá nhân).
• Nộp hồ sơ: Gửi 01 bản chính tới Cục A05 trong vòng 60 ngày kể từ ngày bắt đầu chuyển dữ liệu.
• Thông báo sau khi chuyển thành công: Sau khi hoàn tất việc chuyển dữ liệu, doanh nghiệp phải có văn bản thông báo cho Cục A05.

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 cũng quy định một số trường hợp được miễn trừ nghĩa vụ này, chẳng hạn như khi cơ quan, tổ chức lưu trữ dữ liệu của người lao động trên dịch vụ điện toán đám mây.

Doanh nghiệp cần làm gì khi phát hiện vi phạm bảo vệ dữ liệu cá nhân?

Phải thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) chậm nhất là 72 giờ sau khi phát hiện vi phạm, sử dụng Mẫu số 03a đối với tổ chức hoặc Mẫu số 03b đối với cá nhân.

Phản ứng nhanh và minh bạch khi xảy ra sự cố là yêu cầu bắt buộc tại Điều 23 Nghị định 13. Việc chậm trễ thông báo không chỉ làm tăng thiệt hại mà còn khiến doanh nghiệp đối mặt với chế tài nghiêm khắc hơn.

Quy trình thông báo:

1. Phát hiện và Đánh giá: Ngay khi phát hiện sự cố (ví dụ: hacker tấn công, nhân viên làm lộ dữ liệu), doanh nghiệp cần đánh giá sơ bộ về tính chất, quy mô, loại dữ liệu bị ảnh hưởng.
2. Lập thông báo: Điền đầy đủ thông tin vào Mẫu số 03a (dành cho tổ chức). Nội dung cần mô tả rõ thời gian, địa điểm, hành vi vi phạm, loại dữ liệu bị ảnh hưởng, hậu quả có thể xảy ra và các biện pháp đã hoặc sẽ áp dụng để khắc phục.
3. Gửi thông báo: Gửi thông báo đến Cục A05 trong vòng 72 giờ. Nếu gửi sau thời hạn này, doanh nghiệp phải giải trình lý do chậm trễ.
4. Phối hợp xử lý: Doanh nghiệp phải lập biên bản xác nhận vi phạm và phối hợp chặt chẽ với Cục A05 trong quá trình điều tra, xử lý.

Doanh nghiệp đối mặt với rủi ro pháp lý nào nếu vi phạm Nghị định 13?

Vi phạm quy định bảo vệ dữ liệu cá nhân có thể dẫn đến các chế tài hành chính nghiêm khắc, bao gồm phạt tiền lên tới 5% doanh thu năm trước, bị truy cứu trách nhiệm hình sự, và phải bồi thường thiệt hại cho chủ thể dữ liệu.

Việc hiểu rõ các quy định về xử lý vi phạm không chỉ là để đối phó, mà là để chủ động xây dựng một hệ thống phòng thủ pháp lý vững chắc. Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 tại Điều 8 đã đưa ra các mức phạt rất cụ thể và có tính răn đe cao, cho thấy tầm quan trọng của việc tuân thủ.

• Phạt tiền theo doanh thu: Đối với hành vi vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tối đa có thể lên tới 5% tổng doanh thu của năm trước liền kề của tổ chức. Đây là một mức phạt có thể gây ảnh hưởng nghiêm trọng đến sự tồn tại của doanh nghiệp.
• Phạt tiền theo lợi nhuận bất hợp pháp: Với hành vi mua, bán dữ liệu cá nhân, mức phạt tối đa là 10 lần khoản thu có được từ hành vi vi phạm.
• Phạt tiền cố định: Đối với các hành vi vi phạm khác, mức phạt tiền tối đa là 03 tỷ đồng đối với tổ chức.

Bên cạnh xử phạt hành chính, doanh nghiệp còn phải đối mặt với nguy cơ bị truy cứu trách nhiệm hình sự và các vụ kiện đòi bồi thường thiệt hại từ khách hàng, nhân viên, gây tổn thất nặng nề về cả tài chính và uy tín.

Các Câu Hỏi Thường Gặp Về Nghị định 13/2023/NĐ-CP