Tuân thủ Nghị định 13/2023 (PDPA Việt Nam) trong marketing: hướng dẫn cho agency

Vai trò pháp lý của agency

Theo Nghị định 13, agency thường là 'Bên xử lý dữ liệu' (Data Processor), thực hiện theo chỉ đạo của 'Bên kiểm soát dữ liệu' (client). Vai trò này yêu cầu hợp đồng xử lý dữ liệu (DPA) rõ ràng.

Checklist 12 điểm

Mỗi điểm cần có bằng chứng tuân thủ:

• Có DPA ký với từng client trước khi nhận data
• Phân loại dữ liệu: cơ bản vs nhạy cảm (sức khoẻ, tài chính, giới tính…)
• Nhật ký xử lý dữ liệu (Record of Processing Activities)
• Biện pháp kỹ thuật: mã hoá at-rest và in-transit
• Phân quyền truy cập theo vai trò (RBAC)
• Quy trình phản hồi yêu cầu của chủ thể dữ liệu trong 72h
• Quy trình thông báo vi phạm dữ liệu cho Bộ Công an trong 72h
• Đánh giá tác động (DPIA) cho hoạt động xử lý dữ liệu rủi ro cao
• Đào tạo nhân sự định kỳ (≥1 lần/năm)
• Hợp đồng với sub-processor (vendor AI, cloud, email)
• Cơ chế thu hồi đồng ý của khách hàng
• Lưu trữ data tại Việt Nam khi luật yêu cầu (data localization)

AI và dữ liệu cá nhân

Đưa email/số điện thoại khách hàng vào ChatGPT để 'phân tích' là vi phạm. Phải hoặc dùng AI tự host, hoặc anonymize trước khi gửi, hoặc có DPA với nhà cung cấp AI.

Mức phạt và rủi ro thực tế

Phạt hành chính tối đa 5% doanh thu năm trước, có thể đình chỉ hoạt động xử lý dữ liệu. Rủi ro thương mại lớn hơn: client mất niềm tin, kéo theo mất hợp đồng.