NĐ 13/2023 bảo vệ dữ liệu cá nhân: những việc website và CRM nên làm để giảm ma sát tuân thủ
· Tác giả: Trường — Founder Webchốt
NĐ 13/2023 bảo vệ dữ liệu cá nhân đặt kỳ vọng mới cho DN thu thập họ tên, SĐT, email qua landing marketing — dù quy mô nhỏ, việc không map luồng dữ liệu vẫn tạo rủi ro khiếu nại. Phần kỹ thuật nên song hành pháp chế: tách PII khỏi log debug, giới hạn quyền CMS, và retention job xoá lead cũ. Bài viết không thay luật sư — chỉ là checklist vận hành Webchốt thường làm khi build Next.js. Trao đổi: dịch vụ, giá, liên hệ — 0905 151 701, hi@webchot.com.
Privacy là feature vận hành — không chỉ banner | Nguồn: webchot.com
Bản đồ dữ liệu (data map) tối thiểu cho site lead-gen
Liệt kê nguồn thu (form, chat, import), đích lưu (DB, sheet, CRM), và subprocessors email/SMS. NĐ 13/2023 bảo vệ dữ liệu cá nhân yêu cầu nhận thức rõ luồng — không để nhân viên export CSV vô hạn qua email cá nhân. Mã hoá ở trạng thái nghỉ nếu DB chứa CCCD scan.
Role-based access: sales chỉ thấy lead được assign.
UI/UX consent không đối đầu người dùng
Nút từ chối dễ bấm như chấp nhận; không pre-tick.
- Điểm 1: Văn bản ngắn kèm link chính sách đầy đủ.
- Điểm 2: Versioning chính sách có ngày.
- Điểm 3: Log IP thô + timestamp consent.
- Điểm 4: Export/xoá request có ticket nội bộ.
Bảng: lưu trữ tối thiểu vs tối đa cần
Retention phải có lý do kinh doanh hợp lệ và chứng cứ.
| Loại dữ liệu | Tối thiểu | Gợi ý review | Ghi chú |
|---|---|---|---|
| SĐT lead | 12 tháng nếu không bán | 6 tháng | Job purge tự động |
| CCCD | Chỉ khi bắt buộc pháp lý | Vault + ACL | Tránh OCR lên server log |
| Cookie ID | Theo policy marketing | Rút consent xoá | Đồng bộ CMP |
| Log server | 30–90 ngày | Ẩn IP cuối | Giảm rủi ro |
Retention sai ngành có thể khác — tham vấn pháp chế.
Quy trình phản hồi chủ thể dữ liệu
- Bước 1: Cổng yêu cầu có ticket ID.
- Bước 2: Xác minh danh tính vừa đủ.
- Bước 3: Truy vết các hệ thống liên quan.
- Bước 4: Thực hiện sửa/xoá/hạn chế.
- Bước 5: Lưu biên bản hoàn tất.
Quá hạn xử lý làm tổn uy tín thương hiệu dù chưa bị phạt.
Triển khai kỹ thuật với Webchốt
Xem bảng giá và module privacy. Liên hệ gửi yêu cầu pháp chế. Template form có sẵn block consent.
Sai lầm phổ biến
Gửi CC email group không cần thiết; lưu bản sao khách hàng trên laptop cá nhân; banner “đồng ý” che nội dung vĩnh viễn.
- Sai lầm 1: Nhầm GDPR template cho thị trường VN mà không chỉnh.
- Sai lầm 2: Không hợp đồng xử lý dữ liệu với vendor.
- Sai lầm 3: Không đào tạo sales về chia sẻ PII.
- Sai lầm 4: Test staging dùng dữ liệu prod.
Liên hệ cơ quan quản lý và hồ sơ nội bộ nên chuẩn bị gì
DN xử lý dữ liệu nhạy cảm cần có sổ hoạt động xử lý dữ liệu và assessment rủi ro — NĐ 13/2023 bảo vệ dữ liệu cá nhân nhấn mạnh trách nhiệm chủ thể xử lý; bài viết không liệt kê đầy đủ nghĩa vụ pháp lý nên bạn vẫn phải đối chiếu văn bản chính thống và luật sư. Về web, hãy giữ log consent version và export CSV khi khách yêu cầu — kiểm tra hiệu năng query để không DDoS chính mình.
Đối với agency, vai trò xử lý hay kiểm soát phải rõ trong hợp đồng DPA — ai chịu trách nhiệm khi breach do misconfig server. Training nhân viên CSKH về không chia sẻ PII qua Zalo cá nhân là rào cản văn hoá quan trọng. Khi làm product analytics, pseudonymisation có thể đủ cho một số use case nhưng không thay thế đánh giá DPIA khi có profiling.
Ảnh CCCD khách upload cần TTL và ACL — đừng để public bucket CDN. Ghi nhớ khung xử lý sự cố breach nội bộ: ai báo cáo, trong bao lâu, và mẫu thông báo chủ thể dữ liệu. Nếu dùng remarketing, kiểm tra lại consent trước khi sync audience sang Meta/Google — sai sót dễ bị phàn nàn.
NĐ 13/2023 bảo vệ dữ liệu cá nhân áp dụng với portal có form đăng ký ship — cần mục đích xử lý từng field, không gom chung “và các mục đích khác”. DSR quyền truy cập/xóa/hạn chế phải có ticket flow SLA nội bộ; email thủ công không scale. Thu thập từ trẻ em cần consent phụ huynh — game/edtech hay sa lầy nếu bỏ qua.
Transfer ra ngoài VN cần đánh giá biện pháp bảo đảm: SCC, DPA vendor US, hoặc vị trí server contract. DPIA bắt buộc khi profiling quảng cáo dựa trên hành vi chi tiết. Log retention cookie consent phải chứng minh được opt-in thật — screenshot không đủ, cần server log hoặc CMP export.
Marketing gắn pixel: kiểm tra purpose limitation; không reuse dataset recruitment cho remarketing nếu không discloses. Nhân sự: exit interview thu feedback có PII phải destroy theo schedule. Tabletop breach với luồng báo cơ quan trong 72h khung hướng dẫn — template press chuẩn bị trước. Training nhắc CSKH không screenshot Zalo chứa CCCD gửi group.
Subprocessor list công khai trên website phải khớp thực tế CRM, email, analytics — lawyer due diligence đối chiếu. Khách EU nhỏ lẻ vẫn có thể hỏi GDPR; chuẩn bị TIA ngắn cho Google Analytics nếu share IP. Ẩn danh hoá log HLS video premium: không lưu IP đủ lâu để ghép profile.
Hợp đồng lao động IT có thể đụng độ IP code viết ngoài giờ — điều khoản riêng rõ ràng trước khi audit investor. Khách yêu cầu xóa dữ liệu: verify danh tính qua nhiều lớp để tránh social engineering. Khẩn cấp y tế: health app collect pulse cần consent riêng và retention ngắn.
Khi merger & acquisition, trùng lặp database khách từ hai hệ CRM cần chiến lược survivorship — ưu tiên timestamp hay nguồn marketing? Ghi rõ trong DPIA phụ lục. Telesale outbound: scrub list với registry “không gọi” nếu áp dụng; log opt-out vĩnh viễn. Sinh viên thực tập truy cập staging: tài khoản guest TTL 30 ngày, không seed production PII.
FAQ — NĐ 13/2023 bảo vệ dữ liệu cá nhân
Cần DPO riêng không?
Tuỳ quy mô và ngành — pháp chế nội bộ quyết.
GA4 có vi phạm không?
Phụ thuộc cấu hình và consent — kiểm tra không gửi PII.
Backup có phải xoá khi khách yêu cầu?
Quy trình backup rotation phải có policy — hỏi luật sư.
Hợp đồng Webchốt có điều khoản subprocessors không?
Có thể bổ sung theo yêu cầu — email hi@webchot.com.
Khẩn cần review landing?
0905 151 701 trong giờ làm việc.
Liên Hệ Webchốt
NĐ 13/2023 bảo vệ dữ liệu cá nhân đẩy privacy vào công việc hàng ngày của marketing và dev — Webchốt hỗ trợ kỹ thuật minh bạch consent và logging. Gọi 0905 151 701, Zalo 0905151701, hi@webchot.com.
- Hotline / Zalo: 0905 151 701 — gặp anh Trường (founder/dev).
- Chat Zalo: zalo.me/0905151701 — phản hồi nhanh.
- Email: hi@webchot.com — phản hồi <12h làm việc.
- Studio: 262/1/93 Phan Anh, Phường Phú Thạnh, TP.HCM (T2–T7, 9h–18h).
Tham khảo thêm: 17 template Next.js · 10 dịch vụ web chuyên sâu · bảng giá Webchốt 2026 · 12 công cụ kế toán/tài chính miễn phí.
Nguồn tham chiếu pháp lý do doanh nghiệp tự tra cứu văn bản chính thống; đây không phải tư vấn luật.
