Siêu thị tuân thủ pháp luật bảo vệ dữ liệu cá nhân

Trong bối cảnh công nghệ thông tin phát triển mạnh mẽ việc bảo vệ dữ liệu cá nhân trở thành yêu cầu cấp thiết với mọi tổ chức, đặc biệt là siêu thị nơi thu thập và xử lý lượng lớn thông tin khách hàng hàng ngày.

Trong phạm vi bài viết này, Luật Kỳ Vọng Việt sẽ làm rõ Siêu thị tuân thủ pháp luật bảo vệ dữ liệu cá nhân, dựa trên các quy định của pháp luật.

I. Dữ liệu cá nhân được siêu thị xử lý

Căn cứ: Khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP

– Thông tin cơ bản khách hàng: họ tên, giới tính, địa chỉ liên hệ, số điện thoại, email, số CMND/CCCD,…

– Thông tin tài khoản và thành viên: mã số thành viên, tài khoản khách hàng, mật khẩu (nếu có), lịch sử tích điểm, ưu đãi và thẻ khách hàng,…

– Lịch sử giao dịch và mua sắm: thông tin về các mặt hàng đã mua, số lượng, giá trị giao dịch, phương thức thanh toán (tiền mặt, thẻ tín dụng, chuyển khoản),…

– Dữ liệu camera giám sát: hình ảnh, video ghi lại khu vực bán hàng, lối vào, thùng tiền,…

– Dữ liệu tương tác và phản hồi: phản hồi, đánh giá dịch vụ của khách, thông tin khiếu nại,…

– Thông tin cá nhân có liên quan khác.

II. Yêu cầu pháp lý đối với siêu thị

Căn cứ: Khoản 2 Điều 27 Nghị định 13/2023/NĐ-CP

             Điều 11, 12, 16, 23 Nghị định 13/2023/NĐ-CP

             Khoản 1 Điều 30 Nghị định 13/2023/NĐ-CP

1. Xây dựng chính sách bảo vệ dữ liệu cá nhân

– Siêu thị phải ban hành chính sách/quy trình bảo vệ dữ liệu, trình bày rõ mục đích, phạm vi thu thập, sử dụng và bảo vệ dữ liệu cá nhân.

– Siêu thị cần có quy định nội bộ nhằm đảm bảo nhân viên tuân thủ, đồng thời công bố chính sách bảo mật để khách hàng nắm rõ quyền lợi và cam kết của siêu thị.

2. Cơ chế thu thập và xin ý kiến đồng thuận

– Mọi hoạt động thu thập dữ liệu cá nhân phải dựa trên sự đồng ý tự nguyện, rõ ràng của khách hàng, trừ các trường hợp khẩn cấp.

– Siêu thị cần chuẩn hóa mẫu xin đồng ý (mua hàng online, thẻ thành viên, khảo sát khách hàng) theo nguyên tắc này, đồng thời lưu giữ bằng chứng đồng ý của khách (hóa đơn, giao diện tick “đồng ý” trên website,…). Hệ thống cần cho phép khách hàng rút lại sự đồng ý bất kỳ lúc nào và phải ghi nhận việc này theo quy định.

3. Lưu trữ và bảo mật dữ liệu

– Siêu thị phải bảo đảm dữ liệu cá nhân được lưu trữ an toàn. Theo quy định, dữ liệu chỉ được lưu trữ trong thời gian cần thiết và phải mã hóa, sao lưu, kiểm soát truy cập nghiêm ngặt.

– Các biện pháp bảo mật khác (phần mềm antivirus, tường lửa, quản lý quyền truy cập, phân quyền người dùng nội bộ) cũng phải được thiết lập để phòng chống mất mát, truy cập trái phép và các sự cố an ninh.

4. Kiểm tra và rà soát định kỳ

– Thường xuyên kiểm tra việc thực hiện chính sách bảo vệ dữ liệu (đánh giá rủi ro).

– Cập nhật chính sách, quy trình để phù hợp với các quy định mới ban hành. Phối hợp với chuyên gia pháp lý/ATTT để rà soát và khắc phục kịp thời các lỗ hổng.

5. Bổ nhiệm cá nhân/phòng ban phụ trách bảo vệ dữ liệu

– Siêu thị cần có bộ phận hay cá nhân chịu trách nhiệm về bảo mật thông tin.

– Ví dụ: Phòng Công nghệ thông tin, phòng Pháp chế hoặc Chánh văn phòng được uỷ quyền.

6. Cơ chế xử lý vi phạm và yêu cầu từ chủ thể dữ liệu

– Siêu thị xây dựng quy trình xử lý yêu cầu truy cập, xem, sửa, xóa, chuyển giao DLCN.

– Siêu thị cung cấp biểu mẫu/hệ thống trực tuyến để khách hàng gửi yêu cầu, trả lời trong 72 giờ.

– Siêu thị phải có kế hoạch ứng phó nhanh chóng khi phát hiện vi phạm dữ liệu cá nhân.

– Thông báo cho Cục An ninh mạng trong 72 giờ và cho chủ thể dữ liệu. Nếu thông báo muộn phải nêu lý do và lưu hồ sơ xử lý để chứng minh tuân thủ quy định.

III. Rủi ro pháp lý nếu không tuân thủ quy định của pháp luật

Căn cứ: Điều 46 Nghị định 24/2025/NĐ-CP

1. Nếu vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ Siêu thị có thể bị xử phạt như sau:

a. Xử phạt vi phạm hành chính

– Tùy vào trường hợp cụ thể, hành vi vi phạm về bảo vệ thông tin của người tiêu dùng có thể bị phạt tiền từ 20 đến 160 triệu đồng.

– Tại Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng, cơ quan chức năng đã đề xuất quy định xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân như sau:

+ Phạt tiền theo hành vi, tối đa 5% tổng doanh thu năm tài chính liền trước tại Việt Nam.

+ Bên cạnh đó, còn bị áp dụng các hình thức phạt bổ sung như: Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 1-3 tháng; Tịch thu tang vật, phương tiện vi phạm hành chính; Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 1-3 tháng; Trục xuất khỏi lãnh thổ Việt Nam đối với người nước ngoài.

+ Đồng thời, còn phải thực hiện các biện pháp khắc phục hậu quả: Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân; Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm; Công khai xin lỗi trên các phương tiện thông tin đại chúng…

b. Bồi thường thiệt hại theo quy định pháp luật về dân sự (nếu có)

Tùy thuộc vào từng trường hợp cụ thể, nếu để xảy ra thiệt hại cho khách hàng do việc vi phạm quy định về bảo vệ thông tin cá nhân, nhân thân, địa chỉ, số điện thoại của Khách hàng, v.v. gây thiệt hại cho Khách hàng, Siêu thị có thể sẽ phải bồi thường cho Khách hàng theo quy định pháp luật về dân sự.

2. Ngoài ra đối với cá nhân người lao động của Siêu thị cũng có thể phải chịu trách nhiệm như sau:

a. Xử lí kỉ luật

Đối với cá nhân vi phạm trong siêu thị, hành vi vi phạm có thể bị xử lí kỉ luật nội bộ. Chế tài này áp dụng cho toàn bộ nhân viên và người lao động trong Siêu thị. Việc xử lý có thể bao gồm cảnh cáo, khiển trách, đình chỉ công tác hoặc thậm chí buộc thôi việc tùy theo mức độ nghiêm trọng của hành vi và quy định tại nội quy lao động của Siêu thị.

b. Xử phạt vi phạm hành chính

Trường hợp người lao động vi phạm có thể bị xử phạt tùy theo hành vi và mức độ.

c. Xử lý hình sự

Trong trường hợp vi phạm nghiêm trọng, cá nhân vi phạm có thể bị truy cứu trách nhiệm hình sự.

IV. Kết luận

Việc tuân thủ pháp luật bảo vệ dữ liệu cá nhân giúp siêu thị xây dựng uy tín, tạo lòng tin với khách hàng và đảm bảo hoạt động kinh doanh bền vững tránh rủi ro pháp lý.

Trên đây là nội dung tư vấn về Siêu thị tuân thủ pháp luật bảo vệ dữ liệu cá nhân. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với Luật Kỳ Vọng Việt để được tư vấn, hỗ trợ một cách chính xác nhất.

Zalo: 090.225.5492

Xem thêm: