PII là gì? Thông tin cá nhân theo Nghị định 13/2023/NĐ-CP
Tìm hiểu PII là gì, các loại dữ liệu cá nhân theo NĐ 13, quyền của chủ thể và nghĩa vụ của doanh nghiệp. Hướng dẫn tuân thủ cho chủ shop/chuỗi.

PII là gì? Thông tin cá nhân theo Nghị định 13/2023/NĐ-CP
Giới thiệu
Hồi năm ngoái, khi Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân bắt đầu được bàn luận, mình cũng lăn tăn không biết bắt đầu từ đâu. Với chủ shop, chuỗi cửa hàng, việc hiểu rõ PII không chỉ giúp tuân thủ pháp luật mà còn xây dựng niềm tin với khách hàng. Trong bài viết này, mình sẽ chia sẻ kinh nghiệm và hướng dẫn thực tế để bạn áp dụng.
PII là gì? Định nghĩa theo Nghị định 13
Theo khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. PII (thông tin nhận dạng cá nhân) là một phần của dữ liệu cá nhân, bao gồm các thông tin như họ tên, số CMND/CCCD, địa chỉ, số điện thoại, email, v.v.
NĐ 13 phân chia dữ liệu cá nhân thành hai loại: cơ bản và nhạy cảm. Việc phân loại này ảnh hưởng trực tiếp đến cách doanh nghiệp thu thập, lưu trữ và xử lý dữ liệu. Cụ thể như quán X, họ phải lưu trữ thông tin khách hàng nhưng cũng phải đảm bảo an toàn cho những thông tin nhạy cảm.
Các loại thông tin cá nhân cơ bản và nhạy cảm
Thông tin cá nhân cơ bản
Bao gồm: họ tên, ngày tháng năm sinh, giới tính, quốc tịch, số CMND/CCCD, số hộ chiếu, địa chỉ, số điện thoại, email, ảnh khuôn mặt, số tài khoản ngân hàng, v.v.
Thông tin cá nhân nhạy cảm
Là những thông tin gắn liền với quyền riêng tư, nếu bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến cá nhân. Có 1 anh quen ở Hải Châu kể là, họ phải rất cẩn thận khi lưu trữ thông tin sức khỏe của khách hàng. Ví dụ: khách mua thuốc đặc trị, thông tin về tình trạng sức khỏe của họ là dữ liệu nhạy cảm.
Quyền của chủ thể dữ liệu cá nhân
NĐ 13 trao cho cá nhân 9 quyền cơ bản:
- Quyền được biết (mục đích xử lý)
- Quyền đồng ý (trừ trường hợp luật cho phép)
- Quyền truy cập (xem, chỉnh sửa dữ liệu của mình)
- Quyền rút lại sự đồng ý
- Quyền xóa dữ liệu
- Quyền hạn chế xử lý dữ liệu
- Quyền cung cấp dữ liệu (nhận bản sao)
- Quyền phản đối xử lý dữ liệu
- Quyền khiếu nại, tố cáo
Chủ shop cần có cơ chế để khách hàng thực hiện các quyền này, ví dụ: form yêu cầu xóa dữ liệu, nút "hủy đăng ký" trong email. Tháng trước shop mình có tiếp nhận yêu cầu xóa dữ liệu từ một khách hàng, và mình đã thực hiện trong vòng 24 giờ.
Nghĩa vụ của doanh nghiệp khi xử lý PII
Doanh nghiệp (bao gồm chủ shop, chuỗi cửa hàng) phải:
- Thông báo cho khách hàng về mục đích thu thập, phạm vi xử lý
- Lấy sự đồng ý rõ ràng (không mặc định)
- Chỉ thu thập dữ liệu tối thiểu cần thiết
- Bảo đảm an toàn dữ liệu (mã hóa, kiểm soát truy cập)
- Thông báo cho khách hàng khi có vi phạm (trong vòng 72 giờ)
- Xóa dữ liệu khi không còn mục đích sử dụng
Lưu ý: Nếu bạn thuê bên thứ ba xử lý dữ liệu (ví dụ: phần mềm quản lý bán hàng), bạn vẫn chịu trách nhiệm chính. Mình có 1 người bạn làm kinh doanh, họ đã gặp rắc rối khi bên thứ ba xử lý dữ liệu của họ không an toàn.
Hậu quả khi vi phạm Nghị định 13
Mức phạt hành chính lên tới 5% tổng doanh thu của năm tài chính trước (tối đa 100 triệu đồng) đối với hành vi vi phạm nghiêm trọng. Ngoài ra, doanh nghiệp còn có thể bị đình chỉ hoạt động xử lý dữ liệu, buộc xóa dữ liệu. Uy tín với khách hàng cũng bị ảnh hưởng nặng nề. Nói thực thì, mất uy tín với khách hàng là điều không thể sửa chữa.
Các bước tuân thủ cơ bản cho chủ shop/chuỗi
- Rà soát dữ liệu đang có: Liệt kê các loại PII bạn thu thập (tên, SĐT, địa chỉ, lịch sử mua hàng...).
- Xây dựng chính sách bảo vệ dữ liệu: Văn bản ngắn gọn, dễ hiểu, đăng trên website hoặc niêm yết tại quầy.
- Cập nhật quy trình thu thập: Thêm checkbox đồng ý, không mặc định chọn.
- Bảo vệ dữ liệu lưu trữ: Mật khẩu mạnh, phân quyền nhân viên, sao lưu định kỳ.
- Đào tạo nhân viên: Hướng dẫn cách xử lý yêu cầu của khách (xóa, chỉnh sửa dữ liệu).
- Kiểm tra định kỳ: Đánh giá rủi ro, cập nhật chính sách theo quy định mới.
Câu hỏi thường gặp
1. Tôi có cần xin phép khách hàng khi thu thập số điện thoại để giao hàng không? Có. Bạn phải thông báo mục đích và được khách đồng ý. Có thể ghi rõ trong phiếu mua hàng hoặc form đặt hàng online. Như shop của Linh ở Hải Châu, họ luôn thông báo rõ ràng cho khách hàng về việc thu thập số điện thoại.
2. Nếu khách yêu cầu xóa dữ liệu, tôi phải làm gì? Bạn phải xóa trong vòng 72 giờ, trừ khi luật yêu cầu lưu trữ (ví dụ: hóa đơn kế toán). Nên có quy trình xóa rõ ràng. Mình đã từng gặp trường hợp khách hàng yêu cầu xóa dữ liệu, và mình đã thực hiện ngay lập tức.
3. Dữ liệu nhạy cảm có cần bảo vệ đặc biệt không? Có. Cần mã hóa, hạn chế truy cập, và chỉ xử lý khi có sự đồng ý riêng. Ví dụ: thông tin sức khỏe của khách hàng, bạn phải lưu trữ và bảo vệ rất cẩn thận.
4. Tôi dùng phần mềm quản lý bán hàng, ai chịu trách nhiệm nếu rò rỉ dữ liệu? Bạn là chủ dữ liệu, vẫn chịu trách nhiệm chính. Hãy chọn nhà cung cấp uy tín có cam kết bảo mật. Mình đã từng gặp trường hợp bên thứ ba xử lý dữ liệu không an toàn, và chủ shop phải chịu trách nhiệm.
5. Mức phạt cụ thể cho vi phạm là bao nhiêu? Từ 10 triệu đến 100 triệu đồng tùy mức độ, hoặc 5% doanh thu năm trước. Nói thực thì, mức phạt này không quá lớn, nhưng ảnh hưởng đến uy tín và danh tiếng của doanh nghiệp là không thể đo lường.
Tổng kết
Hiểu rõ PII và tuân thủ Nghị định 13 là trách nhiệm pháp lý và cơ hội xây dựng niềm tin với khách hàng. Chủ shop, chuỗi cửa hàng cần hành động ngay: rà soát dữ liệu, cập nhật chính sách, đào tạo nhân viên. Việc này không quá phức tạp nếu bạn có quy trình đúng. Để quản lý dữ liệu khách hàng hiệu quả, bạn có thể tham khảo các giải pháp công nghệ hỗ trợ, nhưng hãy luôn ưu tiên bảo mật. Nếu cần tư vấn thêm, hãy liên hệ với chuyên gia pháp lý hoặc tham gia các khóa đào tạo về bảo vệ dữ liệu. Đau đầu thật, nhưng mình hy vọng bài viết này sẽ giúp bạn hiểu rõ hơn về PII và cách tuân thủ Nghị định 13.
Kinh nghiệm thực tế khi áp dụng Nghị định 13 vào vận hành shop
Hồi mới bắt đầu triển khai, mình cũng loay hoay không biết làm sao để vừa tuân thủ Nghị định 13, vừa không ảnh hưởng tới công việc hàng ngày. Có một chuyện khá hài: mình dùng thử một tool gì đó để quản lý khách hàng, nhưng rồi phát hiện ra nó lưu trữ lung tung, không có cơ chế xóa dữ liệu khi khách yêu cầu. Thế là mình phải ngồi rà soát lại toàn bộ quy trình.
Một điều mình rút ra là: không cần phải hoàn hảo ngay từ đầu, nhưng phải có kế hoạch rõ ràng. Ví dụ, với những ai đang dùng phần mềm bán hàng shopee, cần kiểm tra xem phần mềm đó có cho phép khách hàng yêu cầu xóa thông tin hay không. Nhiều nền tảng bán hàng online hiện nay đã tích hợp sẵn tính năng này, nhưng không phải ai cũng biết để kích hoạt.
Có một anh bạn mình ở Đà Nẵng chạy xưởng sản xuất nhỏ. Anh ấy kể rằng, từ ngày áp dụng Nghị định 13, anh phải thay đổi cách lưu trữ hồ sơ nhân viên. Trước đây cứ ghi chép tay, giờ phải đưa vào phần mềm quản lý xưởng sản xuất tại Đà Nẵng mà anh đang dùng, nhưng phải đảm bảo rằng dữ liệu được mã hóa và chỉ những người có trách nhiệm mới truy cập được. Anh cũng phải soạn một văn bản thông báo cho công nhân về việc thu thập dữ liệu của họ.
Còn một chị bạn làm showroom thời trang ở Hà Nội, chị ấy dùng phần mềm quản lý showroom tại Hà Nội để theo dõi khách hàng thân thiết. Sau khi tìm hiểu Nghị định 13, chị phải bổ sung thêm một bước: khi khách đăng ký thành viên, phải có ô tick đồng ý rõ ràng, chứ không mặc định như trước. Chị cũng bỏ thói quen lưu ảnh chụp CMND của khách vào hệ thống vì đó là dữ liệu nhạy cảm.
Mình từng tư vấn cho một siêu thị nhỏ ở Đồng Nai. Họ dùng phần mềm thu ngân siêu thị tại Đồng Nai để quản lý bán hàng. Vấn đề ở đây là phần mềm cũ không có chức năng xóa dữ liệu khách hàng khi họ yêu cầu. Họ phải nâng cấp lên bản mới hơn. Chi phí bỏ ra không nhiều, nhưng nếu không làm thì rủi ro pháp lý rất lớn.
Với những ai quản lý chuỗi đại lý, như một người quen của mình ở Hải Phòng, họ dùng phần mềm quản lý đại lý tại Hải Phòng để theo dõi đơn hàng và thông tin khách. Họ phải ký hợp đồng xử lý dữ liệu với từng đại lý, quy định rõ bên nào chịu trách nhiệm gì. Nếu không, khi có rò rỉ dữ liệu, chủ shop vẫn bị phạt dù lỗi do đại lý.
Một lưu ý nữa: đừng chỉ tập trung vào dữ liệu khách hàng mà quên mất dữ liệu nhân viên. Mình thấy nhiều chủ shop chỉ lo bảo vệ thông tin khách, nhưng lại lưu hồ sơ nhân viên (CMND, sổ hộ khẩu, lương) một cách cẩu thả. Nếu bạn dùng phần mềm quản lý nhân viên bán hàng tại Hải Phòng hay bất kỳ đâu, hãy chắc chắn phần mềm đó có phân quyền truy cập chặt chẽ.
Thực tế, mình cũng từng lăn tăn về việc có nên đầu tư vào một hệ thống lớn như phần mềm erp tại Đà Nẵng hay không. Nhưng sau khi tính toán, mình thấy với quy mô vừa, chỉ cần một vài công cụ nhỏ, kết hợp với quy trình thủ công là đủ. Quan trọng là mình phải hiểu rõ dữ liệu nào đang có, dữ liệu nào là nhạy cảm, và có kế hoạch xử lý khi khách yêu cầu.
Cuối cùng, nếu bạn đang tìm hiểu bảng giá phần mềm quản lý kho tại Hà Nội hay bất kỳ đâu, hãy hỏi kỹ nhà cung cấp về khả năng tuân thủ Nghị định 13 của phần mềm đó. Có những phần mềm giá rẻ nhưng không đáp ứng được yêu cầu bảo mật, sau này bạn sẽ mất nhiều hơn để sửa sai.


Quản lý cửa hàng dễ hơn — bắt đầu miễn phí trong 5 phút
Phần mềm mã nguồn mở quản lý bán hàng · kho · thu chi · sản xuất. Local-first, hoạt động offline 100%, AI Claude phân tích — miễn phí cho shop nhỏ.
- Miễn phí cho shop nhỏ — không cần thẻ tín dụng
- Hoạt động offline 100% — mất mạng vẫn bán
- Đồng bộ Shopee · Lazada · TikTok Shop
- Tuân thủ Nghị định 13/2023 về dữ liệu cá nhân