Bỏ qua menu, vào nội dung chính

← Tin tức · Bảo mật

28/02/2026 · 7 phút đọc

GDPR và doanh nghiệp Việt bán qua EU — checklist tuân thủ

Doanh nghiệp Việt bán sản phẩm/dịch vụ cho khách EU phải tuân thủ GDPR — không quan trọng bạn ở đâu. Phạt lên 4% revenue toàn cầu. Bài này là checklist tuân thủ + so sánh với ND13 VN.

GDPREUBảo mật

Khi nào doanh nghiệp Việt phải tuân thủ GDPR

Điều 3 GDPR: extraterritorial scope. Doanh nghiệp ngoài EU phải tuân thủ nếu:

  • Offer goods/services tới EU resident (có phiên bản tiếng EU, ngân tệ EUR, ship đến EU).
  • Monitor behavior của EU resident (track qua cookies + analytics).

Doanh nghiệp Việt thuần bán nội địa VN: không cần GDPR. Có 1 trang tiếng Anh marketing tới EU: có thể vẫn không cần. Bán sản phẩm cho khách EU: cần.

12 nguyên tắc cốt lõi

  1. Lawful basis cho processing (consent, contract, legal obligation, vital interest, public interest, legitimate interest).
  2. Purpose limitation — collect data cho mục đích cụ thể, không reuse.
  3. Data minimization — chỉ collect cái cần thiết.
  4. Accuracy — keep data updated.
  5. Storage limitation — không lưu mãi mãi, có policy retention.
  6. Integrity + confidentiality — security measures.
  7. Accountability — document compliance.
  8. Right to access: user yêu cầu xem data của mình.
  9. Right to rectification: user sửa data sai.
  10. Right to erasure (right to be forgotten): user yêu cầu xoá data.
  11. Right to portability: user xuất data sang dịch vụ khác.
  12. Right to object: user reject xử lý data cho marketing.

Privacy policy cho EU

  • Identity + contact của doanh nghiệp.
  • DPO contact (nếu có).
  • Mục đích thu thập + legal basis.
  • Categories of data collected.
  • Recipients (bên thứ 3 share data).
  • International transfer (data sang ngoài EU).
  • Retention period.
  • Data subject rights + cách exercise.
  • Right to lodge complaint với supervisory authority.
  • Source of data nếu không từ user.

Cookie consent

EU đòi explicit opt-in cho cookie không-essential (analytics, marketing). Banner consent với 3 option (necessary / preferences / marketing), default deny, granular control.

Breach notification 72h

Phát hiện data breach → notify supervisory authority trong 72 giờ. Nếu risk cao cho user → notify user. Doanh nghiệp Việt cần định appointment representative EU.

GDPR vs ND13

  • Consent: GDPR opt-in explicit, ND13 cho phép legitimate interest.
  • Breach notification: cả 2 là 72h.
  • Phạt: GDPR đến 4% revenue toàn cầu, ND13 đến 5% revenue VN.
  • DPO: GDPR mandatory khi xử lý nhiều data, ND13 chỉ recommended.
  • Data subject rights: GDPR strict hơn về portability.

Cost compliance

  • Privacy policy lawyer review: 15-40tr 1 lần.
  • Tech upgrade (cookie banner, data export, deletion): 20-60tr.
  • DPO outsourced (if needed): 80-200tr/năm.
  • Annual audit: 30-80tr.

Doanh nghiệp Việt bán qua EU cần audit GDPR? Alodev hợp tác với EU legal counsel. /lien-he

Cần tư vấn?

Founder phản hồi
trong 24 giờ.