Bỏ qua đến nội dung
Viện Nghiên cứu Pháp luật và Phát triển Giáo dục Viện Nghiên cứu Pháp luật
và Phát triển Giáo dục
Cẩm nang Bảo vệ dữ liệu cá nhân · 12 phút đọc

Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân: Checklist tuân thủ cho SME

Phân tích nghĩa vụ cốt lõi của Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu theo Nghị định 13/2023/NĐ-CP và checklist 12 bước triển khai cho doanh nghiệp vừa và nhỏ.

HH

LG. Trương Hữu Hiệp

Phó Viện trưởng — Luật học, ILED

Xuất bản:

Phạm vi áp dụng

Nghị định 13/2023/NĐ-CP áp dụng cho cơ quan, tổ chức, cá nhân Việt Nam và nước ngoài có hoạt động xử lý dữ liệu cá nhân tại Việt Nam, bao gồm cả các nền tảng cung cấp dịch vụ xuyên biên giới.

Nghĩa vụ cốt lõi của SME

  1. Chỉ định người chịu trách nhiệm xử lý dữ liệu cá nhân (DPO hoặc tương đương).
  2. Lập và lưu Hồ sơ DPIA — đánh giá tác động xử lý dữ liệu cá nhân.
  3. Thu thập sự đồng ý hợp lệ trước khi xử lý.
  4. Triển khai biện pháp kỹ thuật & tổ chức để bảo vệ dữ liệu.
  5. Thông báo vi phạm trong 72 giờ.
  6. Phản hồi yêu cầu của chủ thể dữ liệu (rút đồng ý, xóa, chỉnh sửa, phản đối).

Checklist 12 bước cho SME

(Phần đầy đủ — liên hệ ILED để nhận checklist chi tiết và mẫu DPIA tham khảo.)

Khuyến nghị

SME nên ưu tiên 3 nội dung trước: (1) cập nhật biểu mẫu đồng ý trên website/landing page; (2) rà soát hợp đồng với bên thứ ba xử lý dữ liệu (cloud, marketing, payment); (3) lập DPIA nội bộ.

Lưu ý pháp lý

Bài viết là kết quả nghiên cứu của ILED và mang tính tham khảo. Để áp dụng cho tình huống cụ thể, vui lòng liên hệ đội ngũ ILED để được tư vấn dựa trên hồ sơ thực tế.

FAQ

Câu hỏi thường gặp

SME dưới 10 nhân sự có cần làm DPIA không?
Có. Nghị định 13/2023/NĐ-CP không miễn trừ theo quy mô. Mọi tổ chức xử lý dữ liệu cá nhân đều phải lập và lưu hồ sơ DPIA, sẵn sàng cung cấp khi cơ quan có thẩm quyền yêu cầu.
Hình thức đồng ý như thế nào là hợp lệ?
Đồng ý phải được thể hiện rõ ràng (tích chọn chủ động, ký xác nhận), cụ thể (gắn với mục đích xử lý cụ thể), có thông báo đầy đủ và có thể rút lại bất kỳ lúc nào. Đồng ý dạng tích sẵn (pre-checked) hoặc đồng ý ngầm là không hợp lệ.
Chuyển dữ liệu cá nhân ra nước ngoài có cần xin phép không?
Có nghĩa vụ lập Hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới (TIA) và gửi tới Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) — Bộ Công an trong 60 ngày kể từ khi tiến hành xử lý.

Đọc tiếp

Bài liên quan

Phân tích

Chuyển đổi Hộ kinh doanh thành Doanh nghiệp: Lộ trình & Ưu đãi 2026

So sánh quyền lợi, nghĩa vụ thuế, cơ chế quản trị giữa hộ kinh doanh và công ty TNHH một thành viên — kèm lộ trình chuyển đổi 6 bước.

 Cẩm nang

Hợp đồng lao động 2026: 7 Lưu ý tuân thủ cho phòng nhân sự

Cập nhật các nội dung bắt buộc của hợp đồng lao động theo Bộ luật Lao động 2019, các vướng mắc thực tiễn và 7 lưu ý quan trọng cho phòng nhân sự khi soạn thảo HĐLĐ năm 2026.

Hỗ trợ chuyên gia

Sẵn sàng nhận tư vấn pháp lý từ ILED?

Đội ngũ chuyên gia ILED phản hồi trong 1–2 ngày làm việc. Mọi trao đổi được bảo mật theo Nghị định 13/2023/NĐ-CP.

Liên hệ Gọi 0852 72 86 82
  • Chuyên gia có học vị TS, ThS, LS, LG
  • Trích dẫn căn cứ pháp lý đầy đủ
  • Bảo mật thông tin theo NĐ 13/2023
  • Phản hồi 1–2 ngày làm việc