Dùng phần mềm nước ngoài mà vẫn tuân thủ Nghị định 13

Hướng dẫn doanh nghiệp nhỏ dùng phần mềm nước ngoài mà vẫn tuân thủ Nghị định bảo vệ dữ liệu cá nhân, hiểu rủi ro lưu trữ dữ liệu ở nước ngoài và yêu cầu của Luật An ninh mạng Việt Nam. 

1. Câu hỏi lớn: dùng phần mềm nước ngoài có “phạm luật” không? 

Không. Doanh nghiệp nhỏ vẫn có thể dùng phần mềm nước ngoài, miễn là bạn: 

• Hiểu dữ liệu cá nhân nào đang được đưa lên phần mềm 
• Biết dữ liệu được lưu trữ ở đâu (trong hay ngoài Việt Nam) 
• Có cách kiểm soát, bảo vệ và trả lời được khi khách hàng hỏi 
• Đáp ứng các yêu cầu chính của: 
• Nghị định bảo vệ dữ liệu cá nhân cho doanh nghiệp nhỏ (Nghị định 13/2023/NĐ-CP) 
• Luật An ninh mạng Việt Nam 

Bài này giúp bạn đi qua các câu hỏi quan trọng theo kiểu checklist, không dùng quá nhiều thuật ngữ kỹ thuật. 

2. Bước 1: Xác định “Phần mềm này đang giữ dữ liệu cá nhân gì?” 

Trước khi nghĩ đến luật, hãy trả lời 3 câu rất đơn giản: 

1. Phần mềm này dùng cho việc gì? 

• CRM, email marketing, HR, kế toán, quản lý task… 

2. Trong đó có dữ liệu cá nhân không? 
   Ví dụ: 

• Tên, email, số điện thoại, địa chỉ của khách hàng/nhân viên 
• Thông tin đăng nhập, hành vi sử dụng dịch vụ 
• Hồ sơ nhân sự, lương thưởng, thông tin liên hệ khẩn cấp 

3. Có dữ liệu cá nhân nhạy cảm không? 
   (Dù không cần trích định nghĩa pháp lý chi tiết, bạn nên cẩn trọng với: sức khỏe, tài chính chi tiết, dữ liệu trẻ em, định danh sinh trắc học…) 

Nếu câu trả lời cho (2) là “có”, thì phần mềm này liên quan trực tiếp tới “phần mềm và dữ liệu cá nhân”, và bạn cần quan tâm tới việc tuân thủ Nghị định bảo vệ dữ liệu cá nhân. 

3. Bước 2: Dữ liệu đang được lưu ở đâu – trong nước hay nước ngoài? 

Lưu trữ dữ liệu ở nước ngoài không tự động sai, nhưng kéo theo thêm một lớp rủi ro và trách nhiệm. 

Hãy làm rõ với nhà cung cấp dịch vụ phần mềm: 

• Dữ liệu được lưu ở quốc gia nào (EU, Mỹ, Singapore, v.v.) 
• Có cơ chế sao lưu, dự phòng ở đâu nữa không 
• Họ có tuân theo chuẩn bảo mật nào (ISO 27001, SOC 2…) 

Về thực tế, bạn nên: 

• Ghi rõ trong chính sách bảo vệ dữ liệu/personal privacy của mình: 
• Dữ liệu có thể được lưu và xử lý trên hệ thống của bên thứ ba ở nước ngoài. 
• Đảm bảo hợp đồng hoặc điều khoản dịch vụ với nhà cung cấp phần mềm có đoạn về: 
• Bảo mật dữ liệu 
• Không dùng dữ liệu cho mục đích riêng 
• Hỗ trợ khi có yêu cầu xóa/sửa/xuất dữ liệu từ phía bạn 

Ý tưởng đơn giản: bạn vẫn là “chủ dữ liệu” với khách hàng, còn nhà cung cấp dịch vụ phần mềm là “người xử lý dữ liệu” cho bạn. 

4. Bước 3: SME cần làm gì để tuân thủ Nghị định bảo vệ dữ liệu cá nhân? 

Ở mức thực tế, với Nghị định bảo vệ dữ liệu cá nhân cho doanh nghiệp nhỏ, bạn nên đảm bảo 4 nhóm việc sau khi dùng phần mềm nước ngoài: 

4.1. Minh bạch với khách hàng/nhân viên 

• Nói rõ thu thập những dữ liệu nào, dùng để làm gì, chia sẻ cho ai (trong đó có nhà cung cấp dịch vụ phần mềm). 
• Cho họ biết dữ liệu có thể được lưu trữ ở nước ngoài. 
• Cho họ kênh yêu cầu: xem, sửa, xóa, rút lại đồng ý (email hoặc form). 

Không cần viết quá “pháp lý”, chỉ cần rõ ràng, dễ hiểu. 

4.2. Hợp đồng / điều khoản với nhà cung cấp dịch vụ phần mềm 

Dù là điều khoản online hay hợp đồng riêng, hãy chú ý: 

• Có điều khoản bảo mật dữ liệu (Data Protection / Privacy / DPA). 
• Họ cam kết: 
• Bảo vệ dữ liệu theo chuẩn nhất định (mã hóa, phân quyền, log…) 
• Không tự ý dùng dữ liệu của bạn cho mục đích marketing riêng 
• Hỗ trợ bạn khi khách hàng yêu cầu xóa/thu hồi đồng ý 
• Nếu có sub-processor (họ lại thuê thêm bên thứ ba), bạn cũng cần được thông báo. 

Đây là cách bạn thể hiện mình vẫn kiểm soát dữ liệu, dù dùng hạ tầng của phần mềm nước ngoài. 

4.3. Quyền của chủ thể dữ liệu: bạn cần trả lời được 3 câu 

Khi dùng phần mềm, hãy đảm bảo bạn vẫn trả lời được nếu khách hàng/nhân viên hỏi: 

1. Anh/chị đang lưu dữ liệu của tôi ở đâu (hệ thống nào, vùng nào)? 
2. Anh/chị đang dùng nó để làm gì? 
3. Nếu tôi yêu cầu xóa hoặc rút lại đồng ý, anh/chị sẽ làm thế nào? 

Thực tế là bạn sẽ phải: 

• Dùng các chức năng trong phần mềm để xóa/ẩn danh dữ liệu khi có yêu cầu hợp lệ. 
• Hoặc yêu cầu nhà cung cấp dịch vụ phần mềm hỗ trợ xóa nếu bạn không tự thao tác được. 

4.4. Bảo mật tài khoản và truy cập 

Luật là một chuyện, an ninh thực tế là chuyện khác. Để tránh vi phạm từ bên trong: 

• Không chia sẻ user/password phần mềm lung tung trong nội bộ. 
• Bật 2FA/MFA cho tài khoản admin. 
• Phân quyền: ai được xem dữ liệu gì? có thực sự cần thiết không? 
• Khi nhân viên nghỉ việc, phải thu hồi quyền truy cập ngay. 

Dùng phần mềm nước ngoài nhưng vẫn tuân thủ luật an ninh mạng Việt Nam nghĩa là bạn không chỉ “gửi hết cho nước ngoài”, mà vẫn chủ động kiểm soát và bảo vệ 

5. Bước 4: Làm sao để đơn giản hóa cho doanh nghiệp nhỏ? 

Nếu bạn là SME, hãy nghĩ ở cấp độ thực tế, không cần “chuẩn enterprise” ngay từ đầu. 

5.1. Tạo một “bảng phần mềm” nội bộ 

Một file Excel hoặc Google Sheet đơn giản, gồm các cột: 

• Tên phần mềm 
• Mục đích sử dụng 
• Có dữ liệu cá nhân không? loại gì? 
• Dữ liệu lưu ở đâu (country/region) 
• Người phụ trách chính (owner) 
• Link điều khoản bảo mật/bảo vệ dữ liệu của họ 

Bảng này giúp bạn: 

• Biết mình đang phụ thuộc vào những phần mềm nào 
• Có chỗ để xem lại khi cần cập nhật chính sách bảo mật hoặc trả lời khách hàng 

5.2. Chuẩn hóa cách chọn phần mềm mới 

Khi đội ngũ đề xuất dùng phần mềm mới, hãy thêm 3 câu hỏi bắt buộc: 

1. Phần mềm này có hỗ trợ xuất/xóa dữ liệu cá nhân không? 
2. Họ có nói rõ lưu trữ dữ liệu ở đâu và có chứng chỉ bảo mật nào không? 
3. Nếu họ đóng cửa/dừng dịch vụ, mình lấy lại dữ liệu thế nào? 

Không cần checklist quá phức tạp, chỉ cần hỏi đúng câu cơ bản. 

5.3. Cập nhật chính sách bảo vệ dữ liệu của chính bạn 

• Thêm mục: “Chúng tôi sử dụng một số dịch vụ phần mềm bên thứ ba (có thể trong và ngoài Việt Nam) để vận hành dịch vụ tốt hơn…” 
• Mô tả ngắn về: loại dịch vụ, mục đích, phạm vi chia sẻ dữ liệu. 

Điều này giúp bạn minh bạch với khách hàng, đồng thời cho thấy bạn nghiêm túc với Nghị định bảo vệ dữ liệu cá nhân. 

6. Tóm tắt cho lãnh đạo SME 

Nếu phải tóm gọn trong vài dòng: 

• Có thể dùng phần mềm nước ngoài mà vẫn tuân thủ Nghị định bảo vệ dữ liệu cá nhân cho doanh nghiệp nhỏ. 
• Quan trọng là bạn: 
• Biết dữ liệu nào đang được đưa lên phần mềm 
• Biết dữ liệu đang được lưu trữ ở nước ngoài ra sao 
• Có hợp đồng/điều khoản bảo mật tối thiểu với nhà cung cấp 
• Giữ được khả năng xóa, sửa, cung cấp dữ liệu khi khách hàng/nhân viên yêu cầu 
• Thực sự áp dụng các bước bảo mật cơ bản (phân quyền, 2FA, thu hồi quyền truy cập…) 

Nói cách khác, luật không cấm bạn dùng phần mềm nước ngoài, nhưng bắt bạn phải hiểu và chịu trách nhiệm về dữ liệu cá nhân của khách hàng và nhân viên – dù dữ liệu đó đang nằm trên máy chủ ở đâu trên thế giới.