BẢO MẬT DỮ LIỆU CÁ NHÂN THEO NGHỊ ĐỊNH 13/2023 TẠI VIỆT NAM VÀ ẢNH HƯỞNG ĐẾN DOANH NGHIỆP KHI THUÊ BPO

Chuyển đổi số đang diễn ra mạnh mẽ trong các doanh nghiệp Việt Nam, đặc biệt là những ngành cần xử lý lượng lớn tài liệu, hồ sơ như ngân hàng, tài chính, bảo hiểm, giáo dục hoặc hành chính công. Trong quá trình này, dữ liệu cá nhân (personal data) trở thành tài sản cốt lõi và là mục tiêu bị tấn công nhiều nhất. Việc thuê ngoài dịch vụ BPO (Business Process Outsourcing) như số hóa tài liệu, nhập liệu, xử lý hồ sơ… ngày càng phổ biến, nhưng cũng kéo theo nỗi lo dữ liệu bị rò rỉ hoặc sử dụng sai mục đích.

Để giải quyết vấn đề này, Chính phủ Việt Nam đã ban hành Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 01/07/2023. Đây là văn bản pháp lý đầu tiên quy định rõ trách nhiệm của tổ chức trong việc thu thập, lưu trữ, xử lý và chia sẻ dữ liệu cá nhân — bao gồm cả trường hợp thuê BPO.

Nghị định 13/2023 là gì?

Nghị định 13/2023/NĐ-CP đặt ra khung pháp lý đầu tiên tại Việt Nam về bảo mật dữ liệu cá nhân. Nghị định áp dụng cho mọi cá nhân, tổ chức xử lý dữ liệu của công dân Việt Nam, bao gồm doanh nghiệp, tổ chức, ứng dụng công nghệ và cả đơn vị BPO.

Nghị định phân loại dữ liệu cá nhân thành hai nhóm:

• Dữ liệu cá nhân cơ bản: Họ tên, số điện thoại, email, địa chỉ…
• Dữ liệu cá nhân nhạy cảm: CCCD, tài khoản ngân hàng, sức khỏe, tài chính, vị trí địa lý…

Trong các dự án số hóa tài liệu, các loại dữ liệu này thường xuất hiện trong hồ sơ khách hàng, hợp đồng, bảng lương, chứng minh tài chính… khiến yêu cầu bảo mật càng trở nên nghiêm ngặt.

Các yêu cầu chính của Nghị định 13/2023 đối với doanh nghiệp

Thu thập dữ liệu: phải có sự đồng ý

• Doanh nghiệp phải thông báo mục đích thu thập và thời gian lưu trữ.
• Không được sử dụng cho mục đích khác nếu không có sự đồng ý bằng văn bản hoặc hình thức điện tử của chủ thể dữ liệu.

Xử lý và lưu trữ dữ liệu: đúng mục đích – đúng phạm vi

• Chỉ xử lý dữ liệu trong phạm vi được đồng ý.
• Nghiêm cấm chuyển dữ liệu cho bên thứ ba (ví dụ BPO) nếu không được phép.

Chịu trách nhiệm giải trình

• Doanh nghiệp phải có nhân sự hoặc bộ phận phụ trách bảo vệ dữ liệu cá nhân (DPO).
• Lưu trữ tài liệu chứng minh quá trình xử lý hợp pháp.

Báo cáo – xử lý sự cố

• Nếu xảy ra rò rỉ dữ liệu → phải báo cáo cơ quan quản lý trong vòng 72 giờ.

Như vậy, dù thuê ngoài, doanh nghiệp vẫn là đơn vị chịu trách nhiệm pháp lý cao nhất.

Ảnh hưởng đến doanh nghiệp khi thuê BPO

Việc thuê BPO đồng nghĩa chia sẻ dữ liệu cá nhân cho bên thứ ba. Điều này đặt doanh nghiệp vào rủi ro nếu nhà cung cấp dịch vụ không có năng lực bảo mật.

Theo Nghị định 13/2023, doanh nghiệp là data controller và BPO là data processor. Nếu BPO làm lộ dữ liệu, doanh nghiệp vẫn bị xử phạt.

Các yêu cầu tối thiểu khi chọn BPO:

• Ký thỏa thuận bảo mật NDA và hợp đồng xử lý dữ liệu.
• Chứng nhận ISO/IEC 27001, tiêu chuẩn quốc tế về quản lý bảo mật thông tin.
• Phân quyền truy cập chặt chẽ (Zero Trust).
• Có hệ thống giám sát và Audit log (ghi lại lịch sử truy cập dữ liệu).

Rủi ro nếu chọn nhà cung cấp giá rẻ, không bảo mật

• Nhân viên dùng thiết bị cá nhân sao chép dữ liệu.
• Không có phân quyền truy cập → “ai cũng xem được”.
• Lưu trữ tài liệu trên hệ thống cloud ở nước ngoài → mất kiểm soát pháp lý.

BPO.MP – Đối tác BPO tuân thủ Nghị định 13/2023 tại Việt Nam

BPO.MP áp dụng hệ thống bảo mật đạt chuẩn doanh nghiệp lớn:

✅ ISO/IEC 27001 – tiêu chuẩn quốc tế về bảo mật thông tin

✅ Ký NDA với doanh nghiệp và toàn bộ nhân sự trực tiếp xử lý tài liệu

✅ Mô hình Zero Device: không điện thoại, không USB, không thiết bị cá nhân

✅ Audit log truy vết 100% tác vụ xử lý dữ liệu

✅ Hạ tầng server riêng, không chia sẻ tài nguyên với đơn vị khác

✅ Ứng dụng AI & Automation để giảm thao tác của con người → giảm nguy cơ rò rỉ

Nghị định 13/2023 đặt ra yêu cầu cao hơn về bảo mật dữ liệu cá nhân tại Việt Nam. Đây là thách thức nhưng cũng là cơ hội để doanh nghiệp nâng cấp quy trình bảo mật, chuyên nghiệp hóa việc quản trị dữ liệu và xây dựng niềm tin với khách hàng.