★ PEKO LOYALTY CLUB ★ PEKO ★ REWARDS ★

    Từ điển /

    NĐ 13/2023 là gì?

    Viết bởi PEKO Team.Cập nhật lần cuối: 21/05/2026.

    Nghị định 13/2023/NĐ-CP (có hiệu lực 01/07/2023) là khung pháp lý đầu tiên của Việt Nam về bảo vệ dữ liệu cá nhân (PDPD — Personal Data Protection Decree). Quy định cách thu thập, sử dụng, lưu trữ và xóa dữ liệu cá nhân của khách hàng. Áp dụng cho mọi doanh nghiệp xử lý data người Việt — bao gồm quán cà phê, nhà hàng, spa khi thu số điện thoại loyalty.

    Xuất bản: 21/05/2026

    4 nguyên tắc cốt lõi của NĐ 13/2023 cho F&B/dịch vụ: (1) Cơ sở pháp lý — phải có 1 trong 5 cơ sở khi xử lý data (phổ biến nhất: consent của khách); (2) Mục đích rõ ràng — không thu data 'phòng khi cần', phải nêu rõ dùng làm gì; (3) Hạn chế dữ liệu — chỉ thu cái thực sự cần (số điện thoại đủ, không cần CCCD); (4) Quyền của chủ thể data — khách có quyền xem, sửa, xóa data của họ bất cứ lúc nào.

    5 việc bắt buộc khi thu số điện thoại khách F&B năm 2026: (1) Tick-box consent rõ ràng — không pre-check, không ép buộc; nội dung consent nêu rõ 'Tôi đồng ý nhận thông tin khuyến mãi qua Zalo/SMS từ [tên quán]'; (2) Privacy policy công khai — link Mini App / website / QR tại bàn; (3) Cơ chế ngừng nhận tin dễ dàng — link unsubscribe trong mỗi tin; (4) Không bán/chia sẻ data cho bên thứ ba ngoài mục đích đã consent; (5) Lưu trữ data an toàn — không lưu Excel ngẫu nhiên trên máy tính ca nhân viên.

    Hậu quả không tuân thủ — mức phạt theo Nghị định 13/2023 và Nghị định xử phạt vi phạm 15/2020: phạt tiền 50–200 triệu cho hành vi xử lý dữ liệu trái phép; trường hợp nghiêm trọng (bán data, lộ data 1.000+ khách) có thể truy tố hình sự Điều 288 Bộ luật Hình sự. Năm 2025–2026 cơ quan chức năng bắt đầu xử lý các vụ vi phạm — quán nào chuẩn hóa sớm có lợi thế khi mở rộng chuỗi.

    Cách triển khai NĐ 13/2023 cho quán nhỏ — 5 bước thực tế: (1) Soạn privacy policy ngắn gọn 1 trang (template miễn phí trên PEKO, Bizfly); (2) Thêm tick-box consent vào QR đăng ký loyalty / Mini App / POS; (3) Thêm link 'Ngừng nhận tin' vào mỗi tin Zalo OA / SMS; (4) Lưu data trên platform tuân thủ (không Excel cá nhân, không Google Sheet mở public); (5) Đào tạo nhân viên — không yêu cầu khách cho số điện thoại nếu không tham gia loyalty. Tổng thời gian setup: 2–4 giờ.

    FAQ pháp lý cho chủ quán: (a) Khách Việt Nam vào quán mua hàng không định danh có cần consent không? — Không, vì không thu data cá nhân. Chỉ cần consent khi thu số điện thoại / email / CCCD. (b) Hộ kinh doanh nhỏ có áp dụng không? — Có, không phân biệt quy mô; bất kỳ ai xử lý data cá nhân đều áp dụng. (c) Tự kê khai data với Bộ Công an có cần không? — Yêu cầu cho doanh nghiệp xử lý data nhạy cảm hoặc quy mô lớn (10.000+ chủ thể); quán nhỏ thường được miễn. (d) Khách 16–18 tuổi cần consent từ phụ huynh không? — Có, theo NĐ 13/2023 — cần consent của người giám hộ cho khách <18 tuổi.

    Ví dụ thực tế

    Một chuỗi 8 quán trà sữa tại HN+TPHCM Q2/2025 chưa tuân thủ NĐ 13/2023: thu số khách qua giấy, lưu Excel ngẫu nhiên, không có consent rõ ràng, gửi tin Zalo OA không có unsubscribe. Tháng 9/2025 bị khách khiếu nại, bị phạt 80 triệu VND. Q1/2026 chuyển sang PEKO: privacy policy template + tick-box consent trên Mini App + unsubscribe trong mỗi tin + lưu data trên cloud tuân thủ. Tổng chi phí setup compliance: 0đ (gói Free) + 3 giờ làm việc. Tránh được mọi rủi ro pháp lý + tăng niềm tin khách (khảo sát NPS +12 điểm sau khi công khai privacy policy).

    Câu hỏi thường gặp

    Nghị định 13/2023 là gì?

    Nghị định 13/2023/NĐ-CP (hiệu lực 01/07/2023) là khung pháp lý đầu tiên của VN về bảo vệ dữ liệu cá nhân. Quy định cách thu thập, sử dụng, lưu trữ và xóa data cá nhân. Áp dụng cho mọi doanh nghiệp xử lý data người Việt.

    NĐ 13/2023 có áp dụng quán cà phê nhỏ không?

    Có. Bất kỳ ai xử lý data cá nhân (số điện thoại, email, CCCD) đều áp dụng — không phân biệt quy mô. Hộ kinh doanh nhỏ vẫn phải có consent, privacy policy và unsubscribe khi thu số khách.

    Phải làm gì để tuân thủ NĐ 13/2023?

    5 việc: (1) Tick-box consent khi thu số; (2) Privacy policy công khai; (3) Link unsubscribe trong mỗi tin; (4) Lưu data an toàn (không Excel cá nhân); (5) Đào tạo nhân viên không ép khách cho số. Setup 2–4 giờ.

    Mức phạt vi phạm NĐ 13/2023 là bao nhiêu?

    50–200 triệu VND cho xử lý data trái phép. Nghiêm trọng (bán data, lộ data 1.000+ khách) có thể truy tố hình sự Điều 288 Bộ luật Hình sự. 2025–2026 cơ quan bắt đầu xử lý nhiều vụ.

    Loyalty platform nào tuân thủ NĐ 13/2023?

    PEKO, CNV Loyalty, Haravan, Bizfly đều có sẵn template privacy policy, tick-box consent và cơ chế unsubscribe. Tự build hệ thống thường thiếu các cơ chế này — rủi ro pháp lý cao.

    Có cần đăng ký với Bộ Công an không?

    Yêu cầu cho doanh nghiệp xử lý data nhạy cảm hoặc quy mô lớn (10.000+ chủ thể). Quán nhỏ độc lập <10.000 khách thường được miễn. Chuỗi lớn nên tham vấn luật sư để xác định.

    Kiểm tra mức tuân thủ NĐ 13/2023 cho quán

    Liên quan đến

    People also read

    Term

    Email marketing là gì?

    Email marketing là việc gửi thông điệp thương mại tới danh sách khách qua email với mục tiêu giữ chân, bán thêm hoặc kích hoạt lại. Tại VN 2026, email vẫn mạnh cho B2B và D2C cao cấp nhưng đã bị Zalo OA vượt mặt rõ rệt trong F&B/dịch vụ đại trà — open rate trung bình kém Zalo 4–6 lần.

    Term

    Omnichannel là gì?

    Omnichannel (đa kênh đồng bộ) là chiến lược kết nối mọi điểm chạm khách hàng — POS tại quầy, Zalo OA, website, app, GrabFood/ShopeeFood, Facebook — vào một profile và một trải nghiệm thống nhất. Khác multichannel ở chỗ dữ liệu và ngữ cảnh đi theo khách qua mọi kênh, không bị reset ở mỗi điểm chạm.

    Term

    Birthday marketing là gì?

    Birthday marketing (marketing sinh nhật) là chuỗi tin nhắn/voucher tự động gửi đến khách trong khoảng thời gian quanh ngày sinh nhật. Là automation có ROI cao nhất trong loyalty marketing — trung bình 8–14x cho F&B/dịch vụ VN — vì tỷ lệ mở và đổi voucher cao gấp 3–5 lần campaign thông thường.