Vietnam PDPD Compliance Checker | Decree 13/2023 Assessment Tool | Nghị định 13

PDPD Compliance Assessment

Đánh giá Tuân thủ Bảo vệ Dữ liệu Cá nhân

📋 About Vietnam's Decree 13/2023

Decree 13/2023/NĐ-CP (Nghị định 13) is Vietnam's comprehensive Personal Data Protection Decree, establishing requirements for collecting, processing, storing, and transferring personal data. It applies to all organizations operating in Vietnam or processing Vietnamese citizens' data.

⏱️ Effective: July 1, 2023

0 of 22 questions answered • 0/22 câu hỏi đã trả lời

✅ Legal Basis & Consent

Cơ sở pháp lý & Đồng ý

📖 Articles 9, 11 - Điều 9, 11

Do you obtain explicit consent before collecting personal data, clearly stating the purpose?

Bạn có thu thập sự đồng ý rõ ràng trước khi thu thập dữ liệu cá nhân, nêu rõ mục đích không?

Is consent recorded in a verifiable format (written, electronic signature, or recorded action)?

Sự đồng ý có được ghi lại theo định dạng có thể xác minh không?

Can data subjects withdraw consent easily and at any time?

Chủ thể dữ liệu có thể rút lại sự đồng ý dễ dàng và bất cứ lúc nào không?

👤 Data Subject Rights

Quyền của Chủ thể Dữ liệu

📖 Article 9 - Điều 9

Do you provide mechanisms for data subjects to access their personal data upon request?

Bạn có cung cấp cơ chế để chủ thể dữ liệu truy cập dữ liệu cá nhân của họ không?

Can data subjects request correction of inaccurate personal data?

Chủ thể dữ liệu có thể yêu cầu sửa chữa dữ liệu cá nhân không chính xác không?

Do you have procedures for data subjects to request deletion of their data?

Bạn có quy trình để chủ thể dữ liệu yêu cầu xóa dữ liệu của họ không?

🔐 Sensitive Personal Data

Dữ liệu Cá nhân Nhạy cảm

📖 Article 2 - Điều 2

Have you identified and classified sensitive personal data (health, biometric, political views, etc.)?

Bạn đã xác định và phân loại dữ liệu cá nhân nhạy cảm chưa?

Do you apply enhanced protection measures for sensitive data processing?

Bạn có áp dụng các biện pháp bảo vệ nâng cao cho xử lý dữ liệu nhạy cảm không?

🌍 Cross-Border Data Transfer

Chuyển Dữ liệu Xuyên Biên giới

📖 Article 25 - Điều 25

Do you conduct impact assessments before transferring data outside Vietnam?

Bạn có thực hiện đánh giá tác động trước khi chuyển dữ liệu ra nước ngoài không?

Do you notify the Ministry of Public Security before transferring sensitive data abroad?

Bạn có thông báo cho Bộ Công an trước khi chuyển dữ liệu nhạy cảm ra nước ngoài không?

Do you ensure foreign recipients provide adequate data protection levels?

Bạn có đảm bảo bên nhận nước ngoài cung cấp mức độ bảo vệ dữ liệu đầy đủ không?

🔒 Security Measures

Biện pháp Bảo mật

📖 Article 26 - Điều 26

Do you implement encryption for personal data at rest and in transit?

Bạn có triển khai mã hóa cho dữ liệu cá nhân khi lưu trữ và truyền tải không?

Do you have access controls limiting who can view and process personal data?

Bạn có kiểm soát truy cập hạn chế ai có thể xem và xử lý dữ liệu cá nhân không?

Do you maintain audit logs of data access and processing activities?

Bạn có duy trì nhật ký kiểm tra các hoạt động truy cập và xử lý dữ liệu không?

🚨 Data Breach Response

Phản ứng Vi phạm Dữ liệu

📖 Article 23 - Điều 23

Do you have a documented data breach response procedure?

Bạn có quy trình phản ứng vi phạm dữ liệu được ghi chép không?

Can you notify authorities within 72 hours of discovering a data breach?

Bạn có thể thông báo cho cơ quan chức năng trong vòng 72 giờ sau khi phát hiện vi phạm không?

Do you have processes to notify affected data subjects of breaches?

Bạn có quy trình thông báo cho chủ thể dữ liệu bị ảnh hưởng về vi phạm không?

👔 DPO & Accountability

Người phụ trách Bảo vệ Dữ liệu & Trách nhiệm giải trình

📖 Article 28 - Điều 28

Have you designated a person responsible for data protection (DPO equivalent)?

Bạn đã chỉ định người chịu trách nhiệm bảo vệ dữ liệu chưa?

Do you maintain records of data processing activities?

Bạn có duy trì hồ sơ các hoạt động xử lý dữ liệu không?

📢 Notice & Transparency

Thông báo & Minh bạch

📖 Article 13 - Điều 13

Do you have a clear, accessible privacy policy in Vietnamese?

Bạn có chính sách bảo mật rõ ràng, dễ tiếp cận bằng tiếng Việt không?

Do you inform data subjects of all purposes, recipients, and retention periods?

Bạn có thông báo cho chủ thể dữ liệu về tất cả mục đích, bên nhận và thời gian lưu giữ không?

Do you provide staff training on data protection obligations?

Bạn có cung cấp đào tạo nhân viên về nghĩa vụ bảo vệ dữ liệu không?

Vietnam PDPD Compliance Score

Điểm Tuân thủ Nghị định 13

Calculating...

✨ Recommendations • Khuyến nghị ✨

Need Help with Vietnam PDPD Compliance? 🇻🇳

Our Ho Chi Minh City-based consultants specialize in Decree 13/2023 compliance. We help organizations implement compliant systems, conduct gap assessments, and prepare for regulatory inspections.

💬 Get Free Consultation • Tư vấn Miễn phí

Understanding Vietnam's Personal Data Protection Decree (PDPD)

What is Decree 13/2023/NĐ-CP?

Decree 13/2023/NĐ-CP (Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân) is Vietnam's first comprehensive personal data protection regulation. Effective from July 1, 2023, it establishes a framework governing the collection, processing, storage, and transfer of personal data for all organizations operating in Vietnam or handling Vietnamese citizens' data.

Key Requirements Under Decree 13/2023

The decree introduces several critical obligations for data controllers and processors:

Consent Requirements (Article 11) - Explicit, informed consent must be obtained before data collection, recorded in verifiable format
Data Subject Rights (Article 9) - Rights to access, correct, delete, and restrict processing of personal data
Sensitive Data Classification (Article 2) - Special categories including health, biometric, political views, religious beliefs, and sexual orientation require enhanced protection
Cross-Border Transfer Rules (Article 25) - Impact assessments required; Ministry of Public Security notification mandatory for sensitive data transfers
72-Hour Breach Notification (Article 23) - Authorities must be notified within 72 hours of discovering a data breach
Data Protection Officer (Article 28) - Organizations processing large volumes of sensitive data must designate a responsible person

Who Must Comply with Vietnam PDPD?

The decree applies to:

Vietnamese companies and organizations
Foreign companies with operations in Vietnam
Foreign companies processing data of Vietnamese citizens (extraterritorial scope)
Government agencies and public entities
Data processors acting on behalf of data controllers

Penalties for Non-Compliance

Violations of Decree 13/2023 can result in administrative fines up to 100 million VND for organizations, criminal liability for serious violations, and potential business license suspension. The Ministry of Public Security is the primary enforcement authority.

PDPD vs. International Standards

Vietnam's PDPD shares similarities with the EU's GDPR and Singapore's PDPA, including consent requirements, data subject rights, and breach notification obligations. However, it includes Vietnam-specific requirements such as mandatory notification to the Ministry of Public Security for cross-border transfers of sensitive data and the requirement for privacy policies to be available in Vietnamese.

Frequently Asked Questions • Câu hỏi Thường gặp

What is Vietnam's Decree 13/2023 (PDPD)?

Decree 13/2023/NĐ-CP (Nghị định 13) is Vietnam's comprehensive Personal Data Protection Decree, effective July 1, 2023. It establishes requirements for collecting, processing, storing, and transferring personal data of Vietnamese citizens, applying to all organizations operating in Vietnam or processing Vietnamese citizens' data globally.

Who must comply with Vietnam PDPD Decree 13/2023?

All organizations that collect, process, or store personal data of Vietnamese citizens must comply, including Vietnamese companies, foreign companies with Vietnam operations, foreign companies processing Vietnamese citizens' data (extraterritorial scope), government agencies, and data processors acting on behalf of controllers.

What are the penalties for PDPD non-compliance in Vietnam?

Penalties include administrative fines up to 100 million VND for organizations, criminal liability for serious violations, mandatory data breach notification within 72 hours, and potential business license suspension for repeated violations. The Ministry of Public Security enforces these requirements.

Does Vietnam PDPD require a Data Protection Officer?

Yes, Article 28 requires organizations processing large volumes of sensitive personal data or conducting systematic monitoring to designate a Data Protection Officer (DPO) or equivalent responsible person for data protection compliance.

What are Vietnam's cross-border data transfer requirements?

Cross-border transfers under Article 25 require: impact assessment documentation, Ministry of Public Security notification for sensitive data transfers, ensuring recipient country has adequate protection levels, contractual safeguards with foreign recipients, and data subject consent in most cases.

How does Vietnam PDPD compare to GDPR?

Vietnam's PDPD shares similarities with GDPR including consent requirements, data subject rights, and 72-hour breach notification. Key differences include mandatory government notification for sensitive data cross-border transfers, requirement for Vietnamese-language privacy policies, and enforcement by the Ministry of Public Security rather than an independent data protection authority.

Vietnam PDPDCompliance Checker