Đi tới nội dung chính
Mepo

Nghị định 13 (NĐ 13) là gì? Áp dụng cho cửa hàng thế nào?

Tìm hiểu Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Hướng dẫn chi tiết cho chủ cửa hàng, quán ăn, shop thời trang tại Việt Nam.

· 2,553 từ· ~11 phút đọc
Nghị định 13 (NĐ 13) là gì? Áp dụng cho cửa hàng thế nào? - ảnh minh họa
Nghị định 13 (NĐ 13) là gì? Áp dụng cho cửa hàng thế nào? — minh họa bởi Mepo

Nghị định 13 (NĐ 13) là gì? Áp dụng cho cửa hàng thế nào?

Mình đã từng nghĩ rằng việc thu thập số điện thoại khách hàng để gửi tin khuyến mãi là điều bình thường. Nhưng từ tháng 7/2023, việc này được điều chỉnh bởi Nghị định 13/2023/NĐ-CP (gọi tắt là Nghị định 13). Đây là văn bản pháp luật đầu tiên của Việt Nam quy định chi tiết về bảo vệ dữ liệu cá nhân, ảnh hưởng trực tiếp đến mọi tổ chức, cá nhân thu thập, xử lý dữ liệu, bao gồm cả các cửa hàng nhỏ lẻ. Mình sẽ giải thích Nghị định 13 là gì và hướng dẫn bạn cách áp dụng cho cửa hàng của mình.

Nghị định 13 là gì?

Nghị định 13/2023/NĐ-CP được Chính phủ ban hành ngày 17/04/2023, có hiệu lực từ 01/07/2023. Nghị định này quy định về bảo vệ dữ liệu cá nhân, bao gồm các nguyên tắc, biện pháp bảo vệ, quyền và nghĩa vụ của các bên liên quan. Dữ liệu cá nhân được định nghĩa là thông tin gắn liền với một con người cụ thể, giúp xác định danh tính người đó. Hồi năm ngoái, mình có gặp trường hợp một khách hàng yêu cầu xóa thông tin cá nhân khỏi hệ thống của shop vì họ không muốn nhận tin khuyến mãi nữa. Đó là lúc mình nhận ra tầm quan trọng của việc bảo vệ dữ liệu cá nhân.

Nghị định phân loại dữ liệu cá nhân thành hai nhóm:

  • Dữ liệu cá nhân cơ bản: bao gồm họ tên, số điện thoại, giới tính, ngày tháng năm sinh, địa chỉ, email, quốc tịch, ảnh khuôn mặt, số CMND/CCCD, số bảo hiểm xã hội, tình trạng hôn nhân, thông tin về mối quan hệ gia đình, thông tin về tài khoản số (ví dụ: tên đăng nhập, mật khẩu), dữ liệu về vị trí địa lý, địa chỉ IP, thông tin về hoạt động lướt web, v.v.
  • Dữ liệu cá nhân nhạy cảm: bao gồm quan điểm chính trị, tôn giáo, tình trạng sức khỏe, thông tin di truyền, thông tin tình dục, dữ liệu về tội phạm, thông tin tín dụng, v.v. Nhóm này được bảo vệ chặt chẽ hơn.

Nghị định 13 có hiệu lực khi nào?

Nghị định 13 có hiệu lực từ ngày 01/07/2023. Tuy nhiên, một số quy định về chuyển dữ liệu cá nhân ra nước ngoài có hiệu lực từ ngày 01/10/2023. Kể từ thời điểm đó, mọi hành vi thu thập, xử lý dữ liệu cá nhân đều phải tuân thủ Nghị định. Cục An toàn thông tin (Bộ Thông tin và Truyền thông) là cơ quan chủ quản, có thể kiểm tra, xử phạt nếu phát hiện vi phạm.

Nghị định 13 áp dụng cho những ai?

Nghị định 13 áp dụng cho:

  • Mọi tổ chức, cá nhân Việt Nam và nước ngoài có hoạt động thu thập, xử lý dữ liệu cá nhân tại Việt Nam.
  • Các cơ quan, tổ chức, doanh nghiệp, cá nhân có liên quan đến bảo vệ dữ liệu cá nhân.

Điều này có nghĩa là ngay cả một cửa hàng tạp hóa nhỏ, một quán cà phê, một shop thời trang online cũng thuộc phạm vi điều chỉnh nếu họ thu thập thông tin khách hàng. Mình có một người bạn đang kinh doanh quán cà phê nhỏ, và họ cũng phải tuân thủ Nghị định 13 khi thu thập thông tin khách hàng.

Các nguyên tắc cơ bản của Nghị định 13

Nghị định 13 đưa ra 7 nguyên tắc bảo vệ dữ liệu cá nhân:

  1. Hợp pháp, công khai, minh bạch: Việc thu thập dữ liệu phải có mục đích rõ ràng, được thông báo cho chủ thể dữ liệu.
  2. Thu thập đúng mục đích: Chỉ thu thập dữ liệu cần thiết cho mục đích đã nêu.
  3. Có sự đồng ý của chủ thể: Phải có sự đồng ý rõ ràng, tự nguyện, không ép buộc. Đồng ý có thể bằng văn bản, lời nói, hoặc hành động cụ thể (ví dụ: tick vào ô checkbox).
  4. Bảo đảm an toàn, bảo mật: Áp dụng các biện pháp kỹ thuật, tổ chức để bảo vệ dữ liệu khỏi mất mát, rò rỉ.
  5. Chính xác, cập nhật: Dữ liệu phải được cập nhật, sửa sai khi cần.
  6. Lưu trữ trong thời gian cần thiết: Không lưu trữ dữ liệu lâu hơn mục đích sử dụng.
  7. Chịu trách nhiệm về việc xử lý: Bên thu thập dữ liệu phải chịu trách nhiệm về việc tuân thủ.

Cửa hàng cần làm gì để tuân thủ Nghị định 13?

Dưới đây là các bước cụ thể cho chủ cửa hàng:

1. Xác định dữ liệu bạn đang thu thập

Liệt kê tất cả các loại dữ liệu cá nhân bạn thu thập từ khách hàng, nhân viên, đối tác. Ví dụ:

  • Khách hàng: họ tên, số điện thoại, email, địa chỉ giao hàng, lịch sử mua hàng, ảnh chụp từ camera an ninh.
  • Nhân viên: họ tên, CMND/CCCD, số điện thoại, địa chỉ, thông tin ngân hàng, ảnh chân dung.

2. Xây dựng chính sách bảo vệ dữ liệu cá nhân

Soạn thảo một văn bản nêu rõ:

  • Mục đích thu thập dữ liệu (ví dụ: để giao hàng, chăm sóc khách hàng, quản lý nhân sự).
  • Các loại dữ liệu thu thập.
  • Cách thức thu thập (trực tiếp, qua form online, camera).
  • Thời gian lưu trữ.
  • Quyền của chủ thể dữ liệu (xem, sửa, xóa, khiếu nại).
  • Biện pháp bảo vệ (mật khẩu máy tính, tủ khóa hồ sơ giấy).

Chính sách này cần được công bố công khai (niêm yết tại quầy, đăng trên website, fanpage).

3. Xin sự đồng ý trước khi thu thập

Với mỗi lần thu thập, bạn phải thông báo rõ ràng và xin phép. Ví dụ:

  • Khi khách hàng mua hàng online: thêm checkbox "Tôi đồng ý với chính sách bảo vệ dữ liệu cá nhân" trước khi đặt hàng.
  • Khi khách hàng để lại số điện thoại nhận tin khuyến mãi: nói rõ mục đích và hỏi "Anh/chị có đồng ý cho shop lưu số điện thoại để gửi tin khuyến mãi không?".

4. Bảo vệ dữ liệu đã thu thập

  • Lưu trữ dữ liệu giấy trong tủ có khóa.
  • Dữ liệu điện tử đặt mật khẩu, chỉ nhân viên cần thiết mới được truy cập.
  • Không chia sẻ dữ liệu khách hàng cho bên thứ ba khi chưa được phép.
  • Định kỳ xóa dữ liệu không còn cần thiết (ví dụ: sau 1 năm kể từ lần mua cuối).

5. Đào tạo nhân viên

Nhân viên cần hiểu quy tắc: không tùy tiện hỏi thông tin cá nhân, không tiết lộ dữ liệu khách hàng ra ngoài, biết cách xử lý khiếu nại.

6. Chuẩn bị cho trường hợp vi phạm

Nếu xảy ra rò rỉ dữ liệu, bạn phải thông báo cho Cục An toàn thông tin trong vòng 72 giờ và thông báo cho chủ thể dữ liệu nếu có nguy cơ gây thiệt hại.

Hậu quả nếu không tuân thủ Nghị định 13

Mức phạt vi phạm hành chính trong lĩnh vực an toàn thông tin mạng được quy định tại Nghị định 15/2020/NĐ-CP (sửa đổi bởi Nghị định 14/2022). Cụ thể:

  • Phạt tiền từ 5.000.000 đồng đến 10.000.000 đồng đối với hành vi thu thập dữ liệu cá nhân không đúng mục đích, không có sự đồng ý.
  • Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với hành vi sử dụng dữ liệu cá nhân không đúng mục đích, không thông báo khi có sự cố.
  • Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với hành vi không áp dụng biện pháp bảo vệ dữ liệu.
  • Ngoài ra, có thể bị đình chỉ hoạt động xử lý dữ liệu, tước quyền sử dụng giấy phép, hoặc truy cứu trách nhiệm hình sự nếu gây hậu quả nghiêm trọng.

Câu hỏi thường gặp

Hỏi: Cửa hàng nhỏ như quán trà sữa có cần tuân thủ Nghị định 13 không? Trả lời: Có. Nếu bạn thu thập bất kỳ dữ liệu cá nhân nào (ví dụ: số điện thoại khách để gọi món), bạn phải tuân thủ. Tuy nhiên, quy mô nhỏ thì yêu cầu đơn giản hơn, chủ yếu là xin phép và bảo vệ dữ liệu.

Hỏi: Tôi có cần đăng ký xử lý dữ liệu cá nhân với cơ quan nhà nước không? Trả lời: Theo Nghị định 13, bạn phải thông báo với Bộ Công an về việc xử lý dữ liệu cá nhân nếu thuộc diện phải thông báo (ví dụ: xử lý dữ liệu nhạy cảm, chuyển dữ liệu ra nước ngoài). Hầu hết cửa hàng nhỏ chỉ xử lý dữ liệu cơ bản, không cần thông báo, nhưng vẫn phải tuân thủ các nguyên tắc.

Hỏi: Tôi có thể dùng ảnh khách hàng để đăng Facebook quảng cáo không? Trả lời: Chỉ khi bạn có sự đồng ý rõ ràng của khách hàng. Nếu không, đó là vi phạm.

Hỏi: Dữ liệu cũ (thu thập trước 01/07/2023) có phải xin lại đồng ý không? Trả lời: Nghị định không yêu cầu xin lại đồng ý đối với dữ liệu đã thu thập trước đó, nhưng nếu bạn tiếp tục sử dụng cho mục đích mới hoặc có thay đổi, bạn phải thông báo và xin phép.

Hỏi: Nếu tôi thuê phần mềm quản lý bán hàng, bên cung cấp phần mềm có trách nhiệm gì? Trả lời: Bên cung cấp phần mềm là bên xử lý dữ liệu, bạn là bên kiểm soát dữ liệu. Cả hai đều có trách nhiệm. Bạn cần ký hợp đồng với họ quy định rõ trách nhiệm bảo vệ dữ liệu.

Tổng kết

Nghị định 13 là bước tiến quan trọng trong việc bảo vệ quyền riêng tư tại Việt Nam. Dù bạn là chủ một tiệm bánh nhỏ hay một chuỗi cửa hàng, việc tuân thủ không chỉ tránh bị phạt mà còn xây dựng lòng tin với khách hàng. Hãy bắt đầu bằng cách rà soát dữ liệu bạn đang nắm giữ, xây dựng chính sách đơn giản, và tập cho nhân viên thói quen xin phép trước khi thu thập thông tin. Nếu cần một giải pháp quản lý cửa hàng hỗ trợ tuân thủ Nghị định 13, bạn có thể tham khảo Mepo – nền tảng quản lý bán hàng thông minh, giúp bạn dễ dàng quản lý dữ liệu khách hàng an toàn.

Bài viết chỉ mang tính tham khảo, không phải tư vấn pháp lý. Để được tư vấn chi tiết, hãy liên hệ luật sư hoặc cơ quan chức năng.

Câu hỏi mở rộng từ thực tế triển khai

Sau khi áp dụng Nghị định 13 cho shop của mình, tôi nhận ra có vài vấn đề thực tế mà không phải ai cũng lường trước được. Ví dụ, hồi đầu năm nay, tôi có tư vấn cho một anh bạn mở shop quần áo ở TP Hồ Chí Minh. Anh ấy dùng phần mềm bán hàng quần áo tại TP Hồ Chí Minh để quản lý khách hàng. Khi tôi hỏi anh có xin phép khách trước khi thu thập số điện thoại không, anh bảo “từ trước giờ toàn ghi vào sổ tay thôi, có ai hỏi đâu”. Đó là lúc tôi giải thích: từ 01/07/2023, nếu khách hàng kiện, anh có thể bị phạt tới 80 triệu đồng theo Nghị định 13.

Một tình huống khác: một chị chủ chuỗi cửa hàng tạp hóa tại Hải Phòng chia sẻ với tôi rằng chị đang dùng phần mềm bán hàng tạp hóa tại Hải Phòng để quản lý hơn 2000 khách hàng thân thiết. Chị lo lắng vì trước đây chưa từng có văn bản đồng ý nào từ khách. Tôi khuyên chị nên gửi tin nhắn hàng loạt, thông báo rõ mục đích lưu trữ dữ liệu và yêu cầu khách xác nhận. Nghe thì rắc rối, nhưng thực ra chỉ mất vài ngày là xong. Và chị cũng nên cân nhắc chuyển sang một phần mềm quản lý cửa hàng có tính năng quản lý sự đồng ý (consent management) để tự động hóa việc này.

Lưu ý thêm khi triển khai cho từng loại hình

Không phải cửa hàng nào cũng giống nhau. Một phần mềm quản lý vật tư sản xuất dành cho xưởng may ở Huế sẽ có yêu cầu bảo vệ dữ liệu khác với một phần mềm quản lý bán lẻ tại Đà Nẵng dành cho shop thời trang. Cụ thể, với dữ liệu nhạy cảm như thông tin sức khỏe của công nhân trong xưởng sản xuất, bạn phải có biện pháp bảo mật cao hơn. Một người quen của tôi làm phần mềm quản lý sản xuất tại Huế đã phải thiết kế lại toàn bộ luồng dữ liệu để tuân thủ Nghị định 13.

Còn với các doanh nghiệp lớn hơn, như công ty đang dùng phần mềm erp cho doanh nghiệp vừa và nhỏ tại TP Hồ Chí Minh, việc tích hợp bảo vệ dữ liệu cá nhân vào quy trình tổng thể là bắt buộc. Tôi từng chứng kiến một công ty bị thanh tra vì không có cơ chế xóa dữ liệu khách hàng cũ. Họ phải mất 3 tháng để sửa lại quy trình.

Vài tình huống thực tế khác

Có một câu chuyện khá hài hước: một shop thời trang ở Đồng Nai dùng phần mềm crm tại Đồng Nai để chăm sóc khách hàng. Họ gửi tin nhắn quảng cáo cho một khách hàng cũ – người này đã yêu cầu xóa dữ liệu từ 6 tháng trước. Kết quả là khách hàng làm đơn kiện lên Cục An toàn thông tin. Shop phải nộp phạt 40 triệu đồng và mất uy tín. Từ đó, tôi luôn nhắc các bạn đồng nghiệp: hãy kiểm tra kỹ danh sách “từ chối nhận tin” trước mỗi chiến dịch.

Một trường hợp khác, một doanh nghiệp bán hàng đa kênh tại Cần Thơ dùng phần mềm bán hàng đa kênh tại Cần Thơ để đồng bộ dữ liệu từ website, Facebook và shop offline. Họ không biết rằng việc chuyển dữ liệu ra nước ngoài (qua server Facebook) cũng cần tuân thủ Nghị định 13. Họ phải ký hợp đồng chuyển dữ liệu và thông báo cho khách hàng. Rất may là họ phát hiện sớm trước khi bị kiểm tra.

Cuối cùng, với các chuỗi cửa hàng, việc chọn một hệ thống pos cho chuỗi tại Hà Nội có hỗ trợ sẵn tính năng bảo vệ dữ liệu cá nhân sẽ giúp bạn tiết kiệm rất nhiều thời gian. Tôi đã thử nghiệm và thấy rằng các giải pháp như Mepo có tích hợp sẵn các module về consent management và xóa dữ liệu tự động, giúp chủ shop không phải “chạy” theo luật một cách thủ công.

Mepo
Bắt đầu với Mepo

Quản lý cửa hàng dễ hơn — bắt đầu miễn phí trong 5 phút

Phần mềm mã nguồn mở quản lý bán hàng · kho · thu chi · sản xuất. Local-first, hoạt động offline 100%, AI Claude phân tích — miễn phí cho shop nhỏ.

  • Miễn phí cho shop nhỏ — không cần thẻ tín dụng
  • Hoạt động offline 100% — mất mạng vẫn bán
  • Đồng bộ Shopee · Lazada · TikTok Shop
  • Tuân thủ Nghị định 13/2023 về dữ liệu cá nhân
Xem tính năng
Từ khóa:
Nghị định 13NĐ 13bảo vệ dữ liệu cá nhânquyền riêng tưcửa hàngchủ shoptuân thủ pháp luật

Bài liên quan

Hotline
0941 038 444
Zalo
Chat ngay
Messenger
Chat Facebook