GDPR for Vietnamese Entrepreneurs: What You Need to Know When Doing Business in the EU

Personal data protection is mandatory in the EU. Here is a clear guide for small business owners.

GDPR là gì và tại sao doanh nghiệp Việt cần quan tâm?

GDPR (General Data Protection Regulation — Nařízení o ochraně osobních údajů) là quy định của EU về bảo vệ dữ liệu cá nhân, có hiệu lực từ tháng 5/2018. Quy định này áp dụng cho mọi doanh nghiệp hoạt động tại EU, bất kể quốc tịch chủ sở hữu. Nghĩa là: nếu bạn là người Việt Nam kinh doanh tại Séc, bạn phải tuân thủ GDPR.

Mức phạt vi phạm GDPR có thể lên đến 20 triệu EUR hoặc 4% doanh thu toàn cầu — con số đủ để phá sản bất kỳ doanh nghiệp nhỏ nào. Tuy nhiên, đừng hoảng sợ: đối với cửa hàng nhỏ, tuân thủ GDPR không quá phức tạp nếu bạn nắm rõ những nguyên tắc cơ bản.

Dữ liệu cá nhân trong cửa hàng bán lẻ

Cửa hàng Potraviny thu thập dữ liệu cá nhân ở nhiều nơi hơn bạn nghĩ:

  • Chương trình khách hàng thân thiết: Tên, số điện thoại, email, lịch sử mua hàng
  • Camera giám sát: Hình ảnh, video của khách hàng (thuộc phạm vi dữ liệu cá nhân)
  • Thanh toán thẻ: Dữ liệu giao dịch liên kết với tài khoản ngân hàng
  • WiFi cửa hàng: Nếu cung cấp WiFi miễn phí, bạn thu thập địa chỉ MAC của thiết bị
  • Delivery order: Địa chỉ giao hàng, số điện thoại liên hệ
  • Nhân viên: Dữ liệu cá nhân trong hợp đồng lao động, bảng lương

7 nguyên tắc GDPR cơ bản

1. Thu thập có mục đích (Purpose limitation)

Chỉ thu thập dữ liệu cho mục đích cụ thể và hợp pháp. Ví dụ: thu thập số điện thoại khách hàng để gửi thông báo khuyến mãi là OK — nhưng phải thông báo rõ mục đích này khi thu thập.

2. Tối thiểu dữ liệu (Data minimization)

Chỉ thu thập dữ liệu thực sự cần thiết. Nếu chỉ cần số điện thoại cho chương trình tích điểm, đừng hỏi thêm ngày sinh, địa chỉ — trừ khi có lý do chính đáng.

3. Chính xác (Accuracy)

Dữ liệu phải được cập nhật và chính xác. Cho phép khách hàng sửa thông tin của họ khi có thay đổi.

4. Giới hạn lưu trữ (Storage limitation)

Không giữ dữ liệu lâu hơn cần thiết. Ví dụ: video camera giám sát thường chỉ nên lưu 7-30 ngày. Dữ liệu khách hàng không hoạt động nên xoá sau 2-3 năm.

5. Bảo mật (Integrity and confidentiality)

Bảo vệ dữ liệu khỏi truy cập trái phép, mất mát, hoặc hư hỏng. Sử dụng mật khẩu mạnh, mã hoá dữ liệu nhạy cảm, backup thường xuyên.

6. Trách nhiệm giải trình (Accountability)

Doanh nghiệp phải chứng minh được việc tuân thủ GDPR. Ghi chép lại các biện pháp bảo vệ dữ liệu đã thực hiện.

7. Sự đồng ý (Consent)

Khi dựa vào sự đồng ý để xử lý dữ liệu, phải được đồng ý rõ ràng, tự nguyện và có thể rút lại bất cứ lúc nào.

GDPR và camera giám sát trong cửa hàng

Đây là lĩnh vực mà nhiều cửa hàng Việt tại Séc cần đặc biệt lưu ý. Quy tắc cơ bản:

  • Biển báo: Treo biển thông báo bằng tiếng Séc (và có thể thêm tiếng Việt/Anh) tại lối vào, ghi rõ: ai vận hành camera, mục đích, thời gian lưu trữ, quyền của khách hàng
  • Không quay khu vực riêng tư: Toilet, phòng thay đồ, phòng nghỉ nhân viên
  • Thời gian lưu trữ: Tối đa 72 giờ cho mục đích bảo mật, trừ khi có sự cố cần điều tra
  • Truy cập hạn chế: Chỉ chủ cửa hàng và người được uỷ quyền mới được xem footage
  • DPIA: Nếu sử dụng camera AI (nhận diện khuôn mặt, phân tích hành vi), cần thực hiện Data Protection Impact Assessment

Lưu ý quan trọng: Úřad pro ochranu osobních údajů (ÚOOÚ — Cơ quan Bảo vệ Dữ liệu Cá nhân Séc) đã tăng cường kiểm tra các cửa hàng bán lẻ trong năm 2024-2025. Đảm bảo tuân thủ để tránh phạt.

Checklist GDPR cho cửa hàng Potraviny

Danh sách kiểm tra thực tế cho chủ cửa hàng:

  • ☐ Treo biển báo camera bằng tiếng Séc tại lối vào
  • ☐ Cài đặt camera tự xoá footage sau 72 giờ (hoặc tối đa 30 ngày)
  • ☐ Không quay khu vực riêng tư
  • ☐ Đổi mật khẩu mặc định của camera IP và router
  • ☐ Sử dụng phần mềm POS có bảo mật dữ liệu (mã hoá, phân quyền)
  • ☐ Nếu có chương trình tích điểm: thông báo rõ mục đích thu thập dữ liệu
  • ☐ Backup dữ liệu thường xuyên
  • ☐ Huấn luyện nhân viên về bảo mật cơ bản (không chia sẻ mật khẩu, khoá máy khi rời quầy)
  • ☐ Ghi chép Záznam o činnostech zpracování (Record of Processing Activities)
  • ☐ Chuẩn bị quy trình xử lý khi khách hàng yêu cầu xoá dữ liệu

Phần mềm hỗ trợ tuân thủ GDPR

Phần mềm ERP hiện đại đã tích hợp nhiều tính năng hỗ trợ GDPR:

  • Phân quyền truy cập: Mỗi nhân viên chỉ thấy dữ liệu cần thiết cho công việc
  • Audit log: Ghi nhận ai truy cập dữ liệu gì, khi nào
  • Quyền xoá dữ liệu: Cho phép xoá dữ liệu khách hàng khi có yêu cầu
  • Mã hoá: Dữ liệu nhạy cảm được mã hoá trong database
  • Backup tự động: Sao lưu dữ liệu thường xuyên, đề phòng mất mát

Potraviny POS của ITViet.cz tuân thủ các nguyên tắc GDPR, với phân quyền nhân viên, audit trail và bảo mật dữ liệu. Chủ cửa hàng có thể yên tâm kinh doanh mà không lo vi phạm quy định.

Kết luận

GDPR không phải rào cản — mà là cơ hội để xây dựng niềm tin với khách hàng. Khi khách hàng biết bạn bảo vệ dữ liệu của họ nghiêm túc, họ sẽ tin tưởng và trung thành hơn. Tuân thủ GDPR cũng giúp bạn tránh những rắc rối pháp lý tốn kém. Bắt đầu với checklist ở trên — không cần hoàn hảo ngay, nhưng hãy bắt đầu ngay hôm nay.

Business Process Automation: From Receiving Goods to Reporting
Automation saves time and money. Discover which processes in your store can be automated.