Trong thời đại số hóa, thông tin cá nhân đang trở thành tài sản quý giá – và cũng là một trong những yếu tố dễ bị khai thác, đánh cắp nhất. Tại Việt Nam, việc bảo mật thông tin khách hàng hiện được quy định nghiêm ngặt theo Nghị định số 13/2023/NĐ-CP – văn bản pháp lý đầu tiên chuyên biệt về bảo vệ dữ liệu cá nhân.

Vậy doanh nghiệp, tổ chức cần làm gì để tuân thủ? Những hành vi nào có thể bị xử phạt? Hãy cùng tìm hiểu chi tiết trong bài viết dưới đây.

1. Bảo vệ dữ liệu cá nhân là gì?

Dữ liệu cá nhân là mọi thông tin liên quan đến việc xác định hoặc có thể xác định một cá nhân cụ thể. Gồm 2 loại:

• Dữ liệu cá nhân cơ bản: Họ tên, ngày sinh, số điện thoại, email, địa chỉ, mã số định danh...
• Dữ liệu cá nhân nhạy cảm: Tài chính, y tế, tiểu sử pháp lý, thói quen tiêu dùng, vị trí địa lý, sinh trắc học, v.v.

Bảo vệ dữ liệu cá nhân là việc đảm bảo mọi hành vi thu thập, lưu trữ, xử lý, chia sẻ, truyền tải thông tin cá nhân phải được sự đồng ý của người dùng và tuân thủ nghiêm ngặt các quy định của pháp luật.

Xem thêm:   thủ tục thành lập trung tâm ngoại ngữ tin học

2. Quy định mới nổi bật theo Nghị định 13/2023/NĐ-CP

a. Phải có sự đồng ý rõ ràng, riêng biệt

• Người dùng phải đồng ý bằng văn bản, giọng nói, hành động cụ thể cho từng mục đích xử lý dữ liệu.
• Không được “gộp chung” đồng ý cho nhiều mục đích (ví dụ: đồng ý nhận khuyến mãi ≠ đồng ý chia sẻ với bên thứ ba).

b. Phải thông báo đầy đủ khi thu thập thông tin

Doanh nghiệp cần thông báo:

• Loại dữ liệu thu thập
• Mục đích sử dụng
• Bên thứ ba có thể tiếp cận dữ liệu
• Thời gian lưu trữ
• Quyền của chủ thể dữ liệu

c. Người dùng có quyền:

• Rút lại sự đồng ý bất kỳ lúc nào
• Truy cập, sửa đổi, xóa dữ liệu
• Yêu cầu chấm dứt xử lý, chia sẻ dữ liệu

d. Doanh nghiệp phải chỉ định người chịu trách nhiệm bảo vệ dữ liệu

• Với các tổ chức xử lý dữ liệu trên 10.000 cá nhân, cần cử người phụ trách bảo vệ dữ liệu cá nhân (DPO).
• Phải đăng ký với Cục An ninh mạng và phòng, chống tội phạm công nghệ cao (A05 - Bộ Công an).

Xem thêm:  xin giấy phép thành lập trung tâm ngoại ngữ

3. Doanh nghiệp cần làm gì để tuân thủ?

a. Rà soát toàn bộ quy trình thu thập – xử lý – lưu trữ dữ liệu

• Kiểm tra hệ thống CRM, website, biểu mẫu đăng ký
• Đảm bảo mọi kênh thu thập đều thông báo đầy đủ và có sự đồng ý

b. Cập nhật chính sách bảo mật thông tin

• Soạn thảo lại Privacy Policy (chính sách bảo mật) theo mẫu mới
• Hiển thị rõ trên website, ứng dụng, form liên hệ

c. Ký kết hợp đồng bảo mật với bên thứ ba

• Đối với các đối tác (giao hàng, lưu trữ dữ liệu, tiếp thị) – phải có điều khoản rõ về trách nhiệm bảo mật dữ liệu

d. Đào tạo nhân viên

• Tăng nhận thức về rủi ro rò rỉ dữ liệu
• Hướng dẫn xử lý yêu cầu từ khách hàng về dữ liệu cá nhân

4. Mức xử phạt nếu vi phạm

Dù Nghị định 13/2023/NĐ-CP chưa quy định chi tiết mức phạt, nhưng theo Nghị định 15/2020/NĐ-CP, mức phạt có thể lên đến:

• 50 triệu đồng với hành vi thu thập, sử dụng dữ liệu cá nhân mà không được đồng ý
• 70–100 triệu đồng nếu để rò rỉ, mất mát thông tin khách hàng
• Truy cứu hình sự nếu vi phạm nghiêm trọng, gây thiệt hại lớn

Kết luận

Luật Bảo vệ dữ liệu cá nhân (Nghị định 13/2023/NĐ-CP) đang định hình lại cách doanh nghiệp tiếp cận và xử lý thông tin khách hàng tại Việt Nam. Việc bảo mật thông tin khách hàng giờ đây không chỉ là trách nhiệm đạo đức, mà còn là nghĩa vụ pháp lý có thể dẫn đến xử phạt nặng nếu vi phạm.

Xem thêm: thủ tục xin giấy phép kinh doanh phòng khám