Nghị định 13/2023 về dữ liệu cá nhân có áp dụng cho quán cà phê không?

NĐ 13/2023/NĐ-CP (có hiệu lực 1/7/2023) là khung pháp lý đầu tiên của VN về bảo vệ dữ liệu cá nhân — tương đương GDPR của châu Âu nhưng phạm vi hẹp hơn. Áp dụng cho MỌI tổ chức, cá nhân xử lý dữ liệu cá nhân của công dân VN — bao gồm quán cà phê, nhà hàng, spa, salon thu thập SĐT/tên/ngày sinh khách cho loyalty program.

7 nghĩa vụ chính cho quán F&B/dịch vụ: (1) Có chính sách bảo mật công khai trên website/app/quán; (2) Lấy sự đồng ý rõ ràng (checkbox, không tự động tick) trước khi thu thập; (3) Nêu rõ mục đích sử dụng và bên thứ ba được chia sẻ; (4) Cho phép khách yêu cầu xem/sửa/xóa dữ liệu trong 72 giờ; (5) Báo cáo vi phạm dữ liệu cho Bộ Công an trong 72 giờ; (6) Đăng ký xử lý dữ liệu nhạy cảm với Bộ Công an (sinh trắc học, sức khỏe); (7) Có DPO (Data Protection Officer) nếu xử lý dữ liệu của >10.000 người (chuỗi lớn).

Mức phạt theo NĐ 13/2023 + NĐ 14/2025/NĐ-CP: vi phạm nhẹ 50–100 triệu, vi phạm nghiêm trọng 100–500 triệu, vi phạm rất nghiêm trọng có thể truy cứu hình sự. Năm 2025 đã có vụ phạt 200 triệu cho công ty bán lẻ chia sẻ data khách hàng với bên thứ ba không có sự đồng ý.

Checklist 10 bước tuân thủ cho quán cà phê, nhà hàng VN: (1) Soạn chính sách bảo mật song ngữ VN/EN; (2) Đăng tải tại website, app, Mini App, QR menu; (3) Form đăng ký loyalty có checkbox đồng ý rõ ràng; (4) Lưu log đồng ý (thời điểm, IP, phiên bản chính sách); (5) Quy trình xử lý yêu cầu xóa data trong 72h; (6) Hợp đồng với mọi vendor (POS, loyalty, marketing) có điều khoản tuân thủ NĐ 13; (7) Mã hóa dữ liệu lưu trữ và truyền; (8) Hạn chế quyền truy cập theo vai trò nhân viên; (9) Đào tạo nhân viên về bảo mật dữ liệu; (10) Audit định kỳ 6 tháng.

Platform loyalty tuân thủ NĐ 13 sẵn (PEKO, Haravan, CNV Loyalty bản mới) giải quyết 70% nghĩa vụ kỹ thuật — quán chỉ cần ký phụ lục DPA và đảm bảo form thu thập có sự đồng ý rõ ràng. Quán dùng Excel/Google Sheet tự quản lý data khách dễ vi phạm — không có log đồng ý, không bảo mật, không cơ chế xóa.