Chọn trang

Nghị định 13 & và lưu ý cho phần mềm nhân sự và phần mềm an ninh

bởi | Th1 6, 2026 | Tinh Hoa | 0 Lời bình

1) Nghị định 13 là gì? Vì sao có liên quan đến phần mềm nhân sự & phần mêm an ninh

Lưu ý pháp lý : Bài viết mang tính tham khảo triển khai hệ thống. Khi làm hồ sơ/đánh giá tác động và hợp đồng, nên có tư vấn pháp chế.

Nghị định 13/2023/NĐ-CP là khung quy định về bảo vệ dữ liệu cá nhân và trách nhiệm của cơ quan/tổ chức/cá nhân khi xử lý dữ liệu cá nhân. Nghị định có hiệu lực từ 01/07/2023.

Điểm quan trọng: HRTech và Secutech là nhóm hệ thống định danh con người ở mức sâu, nên gần như chắc chắn xử lý các loại dữ liệu mà Nghị định 13 điều chỉnh, ví dụ:

  • Hồ sơ nhân sự, hợp đồng lao động, thông tin liên hệ
  • Chấm công, ca kíp, lịch sử ra/vào cổng
  • Sinh trắc học (khuôn mặt, vân tay)
  • CCTV/AI camera có thể nhận diện người

2) Cập nhật 2026: NĐ 13 còn hiệu lực không?

Từ 01/01/2026, Việt Nam có Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) có hiệu lực.
Đồng thời, Nghị định 356/2025/NĐ-CP (hướng dẫn Luật) có hiệu lực 01/01/2026.
Các nguồn tổng hợp pháp lý cũng nêu rõ NĐ 13/2023/NĐ-CP hết hiệu lực từ 01/01/2026 khi nghị định mới có hiệu lực

Vì vậy, nếu bạn đang triển khai trong năm 2026, hãy dùng bài này như “khung tư duy” theo NĐ 13 và đối chiếu thêm Luật 91/2025/QH15 + NĐ 356/2025/NĐ-CP để chốt hồ sơ/biểu mẫu.

3) 5 yêu cầu “cốt lõi” của NĐ 13 mà phần mềm HR & an ninh phải lưu ý

(1) Xác định đúng vai trò: Bên kiểm soát & Bên xử lý

Trong đa số dự án:

  • Doanh nghiệp = Bên kiểm soát dữ liệu (quyết định mục đích/cách xử lý)
  • Nhà cung cấp phần mềm/đơn vị vận hành cloud = Bên xử lý dữ liệu (xử lý theo hợp đồng)

NĐ 13 yêu cầu bên xử lý chỉ nhận dữ liệu khi có hợp đồng/thỏa thuận xử lý, xử lý đúng thỏa thuận và xóa/trả dữ liệu khi kết thúc.

Hàm ý cho Doanh nghiệp: hợp đồng với vendor phải ghi rõ phạm vi dữ liệu, mục đích, thời hạn lưu, sub-processor, quy trình sự cố, yêu cầu xóa/hoàn trả.

(2) Có biện pháp kỹ thuật/tổ chức để “chứng minh tuân thủ”

NĐ 13 nêu trách nhiệm bên kiểm soát phải áp dụng biện pháp phù hợp và ghi/lưu nhật ký hệ thống quá trình xử lý dữ liệu.

Hàm ý cho phần mềm:

  • Audit log bắt buộc: ai xem dữ liệu, ai xuất file, ai tải video, ai sửa cấu hình…
  • Phân quyền theo vai trò (RBAC) + giới hạn quyền admin
  • Lưu vết thay đổi (change history)

3) Quản trị dữ liệu nhạy cảm (đặc biệt sinh trắc học & camera)

NĐ 13 có yêu cầu chặt hơn với dữ liệu cá nhân nhạy cảm, gồm việc tổ chức bộ phận/nhân sự phụ trách và thông báo xử lý dữ liệu nhạy cảm trong các trường hợp áp dụng.

Hàm ý thực tế:

  • FaceID/vân tay: ưu tiên lưu template mã hóa thay vì ảnh gốc (nếu có lựa chọn)
  • CCTV/AI: quy định rõ khu vực, mục đích, thời gian lưu; hạn chế tải về; watermark khi xuất

(4) Quy trình thông báo/ứng phó vi phạm dữ liệu

NĐ 13 đặt nghĩa vụ liên quan thông báo hành vi vi phạm theo điều khoản tương ứng và yêu cầu phối hợp cơ quan có thẩm quyền.

Hàm ý cho hệ thống:

  • Có kịch bản incident cho rò rỉ dữ liệu nhân sự / rò rỉ video
  • Có log và cơ chế truy vết nhanh (phục vụ điều tra nội bộ)

(5) Chuyển dữ liệu cá nhân ra nước ngoài (cross-border)

Nếu bạn dùng:

  • Cloud đặt server ngoài Việt Nam
  • Vendor/đối tác vận hành từ nước ngoài
  • Hệ thống camera/AI gửi dữ liệu lên nền tảng quốc tế

…thì NĐ 13 có quy định về Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và cơ chế nộp/tiếp nhận qua cổng thông tin theo hướng dẫn.

4) “Bản đồ dữ liệu” điển hình: HRTech vs Secutech và mức rủi ro

Dữ liệu thường gặp trong phần mềm nhân sự

  • Hồ sơ nhân viên: CCCD/hộ chiếu, địa chỉ, SĐT, email
  • Hợp đồng, phụ lục, quyết định
  • Lương, thưởng, phụ cấp, kỷ luật (rủi ro tranh chấp cao)
  • Chấm công/ca kíp/OT (có thể suy ra hành vi)

Dữ liệu thường gặp trong phần mềm an ninh

  • Lịch sử ra/vào cổng, vùng hạn chế (access logs)
  • Visitor/nhà thầu: giấy tờ tùy thân, ảnh, biển số
  • CCTV/AI video, ảnh chụp sự kiện
  • Sinh trắc: khuôn mặt/vân tay (rủi ro rất cao)

5) Checklist chọn phần mềm HR & an ninh “đỡ rủi ro” theo tinh thần NĐ 13

Khi đánh giá nhà cung cấp, bạn có thể yêu cầu demo/giấy tờ theo 10 điểm sau:

  • Phân quyền RBAC chi tiết theo phòng ban (HR/GA/Security/IT), không gom quyền “siêu admin” cho quá nhiều người
  • Audit log đầy đủ: xem/sửa/xóa/xuất dữ liệu + log tải video, log mở khóa cửa
  • Mã hóa dữ liệu khi truyền và khi lưu; quản lý khóa rõ ràng
  • Data retention cấu hình được: tự động xóa/ẩn theo thời hạn (VD: video 30–90 ngày, visitor 30 ngày…)
  • Mask dữ liệu khi tra cứu (ẩn 1 phần CCCD/SĐT)
  • Export control: giới hạn xuất Excel/PDF/video + watermark + phê duyệt (nếu cần)
  • Cơ chế xóa/hoàn trả dữ liệu khi chấm dứt hợp đồng vendor (cam kết + quy trình)
  • Module quản trị sinh trắc: chỉ lưu template, có thu hồi khi nghỉ việc, có thống kê ai còn mẫu
  • Chuyển dữ liệu ra nước ngoài: vendor cung cấp sơ đồ luồng dữ liệu + hỗ trợ hồ sơ đánh giá tác động khi cần
  • Kịch bản sự cố: SLA thông báo, hỗ trợ truy vết, trích xuất log

Các nội dung có thể bạn quan tâm