Bạn là một doanh nghiệp Việt Nam:
Cung cấp dịch vụ online cho khách hàng ở EU?
Có người dùng quốc tế từ Đức, Pháp, Hà Lan… đăng ký tài khoản?
Chạy chiến dịch marketing cho khách nước ngoài?
Nếu câu trả lời là có, thì GDPR (Quy định Bảo vệ Dữ liệu Cá nhân của EU) vẫn áp dụng cho bạn – dù công ty bạn không đặt trụ sở tại châu Âu.
Bài viết này của Cyber IT Security sẽ giúp bạn hiểu:
GDPR yêu cầu gì?
Các bước tuân thủ cơ bản cho doanh nghiệp Việt
Cách tránh bị phạt đến hàng triệu euro
GDPR (General Data Protection Regulation) là quy định của Liên minh châu Âu (EU) về việc thu thập, lưu trữ và xử lý dữ liệu cá nhân của công dân EU.
🔒 Mục tiêu: bảo vệ quyền riêng tư người dùng
🧭 Áp dụng từ: 25/05/2018
📍 Áp dụng với: mọi tổ chức trên toàn thế giới nếu thu thập dữ liệu cá nhân người EU
| Tình huống | Có bị áp dụng GDPR không? |
|---|---|
| Khách hàng EU mua hàng / đăng ký tài khoản trên website | ✅ Có |
| Dịch vụ SaaS Việt Nam có người dùng EU | ✅ Có |
| Tổ chức gửi email marketing tới khách hàng EU | ✅ Có |
| Website có traffic từ EU nhưng không xử lý dữ liệu cá nhân | ❌ Không |
| Doanh nghiệp chỉ hoạt động nội địa, không thu thập dữ liệu EU | ❌ Không |
Không được mặc định tick checkbox "Tôi đồng ý..."
→ Phải để người dùng tự chọn và có thể rút lại
Nói rõ lý do thu thập – không được dùng sai mục đích
Người dùng có thể yêu cầu xem, chỉnh sửa hoặc xóa vĩnh viễn dữ liệu của họ
Phải cung cấp bản sao dữ liệu khi người dùng yêu cầu chuyển sang dịch vụ khác
Nếu bị tấn công hoặc rò rỉ dữ liệu → phải báo trong 72 giờ
| Bước | Hành động cần làm |
|---|---|
| 1 | Rà soát xem bạn có đang xử lý dữ liệu người EU không |
| 2 | Cập nhật chính sách bảo mật & cookies minh bạch |
| 3 | Triển khai form đồng ý rõ ràng, không mặc định tích |
| 4 | Thiết lập quy trình xử lý yêu cầu xóa / chỉnh sửa dữ liệu |
| 5 | Bảo mật hệ thống (phân quyền, mã hóa, nhật ký truy cập) |
| 6 | Đào tạo nhân viên về xử lý dữ liệu cá nhân |
| 7 | Xem xét bổ nhiệm DPO (Data Protection Officer) |
| Mức độ vi phạm | Mức phạt tối đa |
|---|---|
| Nhẹ (cảnh báo, lỗi kỹ thuật) | €10 triệu hoặc 2% doanh thu toàn cầu |
| Nặng (không xin phép, không bảo mật, không báo cáo vi phạm) | €20 triệu hoặc 4% doanh thu toàn cầu |
➡️ Các công ty lớn như Google, Meta đã bị phạt từ vài triệu đến hàng trăm triệu euro
Dù doanh nghiệp bạn nhỏ, nếu vi phạm có hệ thống – vẫn bị kiện hoặc bị chặn cung cấp dịch vụ tại EU.
ISO/IEC 27701 là tiêu chuẩn quốc tế mở rộng từ ISO 27001, chuyên về quản lý dữ liệu cá nhân (Privacy Information Management System).
💼 Tích hợp ISO 27701 giúp:
Tuân thủ cấu trúc quản lý giống GDPR
Dễ chứng minh nỗ lực bảo vệ dữ liệu nếu bị kiểm tra
Tăng uy tín với khách hàng quốc tế
➡️ Cyber IT Security cung cấp dịch vụ triển khai ISO 27001 + 27701 kết hợp, hỗ trợ doanh nghiệp Việt bảo vệ dữ liệu và mở rộng toàn cầu.
✅ Rà soát rủi ro GDPR
✅ Cập nhật chính sách website, cookies
✅ Thiết lập quy trình xử lý dữ liệu cá nhân
✅ Tư vấn ISO 27701 giúp tuân thủ bài bản