Khi nào doanh nghiệp Việt phải tuân thủ GDPR
Điều 3 GDPR: extraterritorial scope. Doanh nghiệp ngoài EU phải tuân thủ nếu:
- Offer goods/services tới EU resident (có phiên bản tiếng EU, ngân tệ EUR, ship đến EU).
- Monitor behavior của EU resident (track qua cookies + analytics).
Doanh nghiệp Việt thuần bán nội địa VN: không cần GDPR. Có 1 trang tiếng Anh marketing tới EU: có thể vẫn không cần. Bán sản phẩm cho khách EU: cần.
12 nguyên tắc cốt lõi
- Lawful basis cho processing (consent, contract, legal obligation, vital interest, public interest, legitimate interest).
- Purpose limitation — collect data cho mục đích cụ thể, không reuse.
- Data minimization — chỉ collect cái cần thiết.
- Accuracy — keep data updated.
- Storage limitation — không lưu mãi mãi, có policy retention.
- Integrity + confidentiality — security measures.
- Accountability — document compliance.
- Right to access: user yêu cầu xem data của mình.
- Right to rectification: user sửa data sai.
- Right to erasure (right to be forgotten): user yêu cầu xoá data.
- Right to portability: user xuất data sang dịch vụ khác.
- Right to object: user reject xử lý data cho marketing.
Privacy policy cho EU
- Identity + contact của doanh nghiệp.
- DPO contact (nếu có).
- Mục đích thu thập + legal basis.
- Categories of data collected.
- Recipients (bên thứ 3 share data).
- International transfer (data sang ngoài EU).
- Retention period.
- Data subject rights + cách exercise.
- Right to lodge complaint với supervisory authority.
- Source of data nếu không từ user.
Cookie consent
EU đòi explicit opt-in cho cookie không-essential (analytics, marketing). Banner consent với 3 option (necessary / preferences / marketing), default deny, granular control.
Breach notification 72h
Phát hiện data breach → notify supervisory authority trong 72 giờ. Nếu risk cao cho user → notify user. Doanh nghiệp Việt cần định appointment representative EU.
GDPR vs ND13
- Consent: GDPR opt-in explicit, ND13 cho phép legitimate interest.
- Breach notification: cả 2 là 72h.
- Phạt: GDPR đến 4% revenue toàn cầu, ND13 đến 5% revenue VN.
- DPO: GDPR mandatory khi xử lý nhiều data, ND13 chỉ recommended.
- Data subject rights: GDPR strict hơn về portability.
Cost compliance
- Privacy policy lawyer review: 15-40tr 1 lần.
- Tech upgrade (cookie banner, data export, deletion): 20-60tr.
- DPO outsourced (if needed): 80-200tr/năm.
- Annual audit: 30-80tr.
Doanh nghiệp Việt bán qua EU cần audit GDPR? Alodev hợp tác với EU legal counsel. /lien-he