§
Quay lại danh sách
Tổng hợp

Bảo vệ dữ liệu cá nhân và tuân thủ GDPR cho doanh nghiệp năm 2026

Hướng dẫn thực tiễn về yêu cầu GDPR và quy định bảo vệ dữ liệu cá nhân của Hungary dành cho doanh nghiệp – chính sách xử lý dữ liệu, sự đồng ý, xử lý sự cố vi phạm dữ liệu.

D

Dr. Nagy Ildikó

Quy định chung về bảo vệ dữ liệu cá nhân (GDPR) của Liên minh Châu Âu đã được áp dụng bắt buộc tại tất cả các quốc gia thành viên EU, bao gồm Hungary, kể từ tháng 5 năm 2018. Trong pháp luật Hungary, Luật số CXII năm 2011 về quyền tự quyết thông tin (az információs önrendelkezési jogról szóló 2011. évi CXII. törvény, gọi tắt là “Info tv.”) bổ sung cho các quy định của GDPR. Thực tiễn của Cơ quan Bảo vệ dữ liệu và Tự do thông tin Quốc gia (NAIH) cho thấy rõ rằng: các quy định này không chỉ áp dụng cho các tập đoàn lớn mà còn bắt buộc đối với doanh nghiệp ở mọi quy mô.

Ai được coi là người kiểm soát dữ liệu?

Người kiểm soát dữ liệu (adatkezelő) là thể nhân hoặc pháp nhân xác định mục đích và phương tiện xử lý dữ liệu cá nhân. Trên thực tế, hầu hết mọi doanh nghiệp đều là người kiểm soát dữ liệu nếu:

  • Duy trì cơ sở dữ liệu khách hàng
  • Xử lý dữ liệu của người lao động
  • Vận hành trang web (cookie, biểu mẫu liên hệ)
  • Gửi bản tin
  • Vận hành hệ thống camera giám sát

Sáu cơ sở pháp lý cho việc xử lý hợp pháp

GDPR công nhận sáu cơ sở pháp lý:

  1. Sự đồng ý của chủ thể dữ liệu – tự nguyện, cụ thể, được thông báo và rõ ràng
  2. Thực hiện hợp đồng – ví dụ: xử lý dữ liệu cần thiết để thực hiện đơn hàng
  3. Nghĩa vụ pháp lý – ví dụ: lưu trữ theo quy định về thuế và kế toán
  4. Lợi ích sống còn – hiếm gặp, chỉ trong tình huống nguy hiểm tính mạng
  5. Nhiệm vụ công cộng – cơ quan nhà nước, tổ chức thực hiện nhiệm vụ công
  6. Lợi ích chính đáng – lợi ích kinh doanh của người kiểm soát, nhưng cần cân nhắc với lợi ích của chủ thể dữ liệu (bài kiểm tra cân bằng lợi ích)

Tài liệu bắt buộc cho doanh nghiệp

1. Chính sách xử lý dữ liệu

Mọi doanh nghiệp phải công bố chính sách xử lý dữ liệu rõ ràng, dễ hiểu, bao gồm:

  • Tên và thông tin liên hệ của người kiểm soát dữ liệu
  • Mục đích và cơ sở pháp lý của việc xử lý
  • Phạm vi dữ liệu được xử lý
  • Thời gian lưu trữ
  • Quyền của chủ thể dữ liệu (truy cập, chỉnh sửa, xóa, chuyển dữ liệu, phản đối)
  • Thông tin liên hệ của cơ quan giám sát (NAIH)

2. Hồ sơ hoạt động xử lý (ROPA)

Theo Điều 30 GDPR, mọi người kiểm soát dữ liệu phải duy trì hồ sơ về các hoạt động xử lý. Các tổ chức có dưới 250 nhân viên được miễn nghĩa vụ này — trừ khi việc xử lý diễn ra thường xuyên hoặc liên quan đến dữ liệu thuộc loại đặc biệt.

Kinh nghiệm thực tiễn: Trong các đợt kiểm tra của NAIH, sự tồn tại của hồ sơ hoạt động xử lý là câu hỏi được đặt ra đầu tiên. Mọi doanh nghiệp nên duy trì hồ sơ này bất kể quy mô.

3. Hợp đồng xử lý dữ liệu ủy thác

Nếu doanh nghiệp ủy thác việc xử lý dữ liệu cho nhà cung cấp dịch vụ bên thứ ba (ví dụ: kế toán, dịch vụ đám mây, nhà cung cấp email), phải ký kết hợp đồng xử lý dữ liệu ủy thác (adatfeldolgozói szerződés) bằng văn bản, bao gồm các nội dung quy định tại Điều 28 GDPR.

Nghĩa vụ liên quan đến trang web

Theo chỉ thị e-Privacy và quan điểm của NAIH:

  • Cookie thiết yếu – có thể sử dụng mà không cần đồng ý (ví dụ: cookie phiên)
  • Cookie chức năng và phân tích – cần có sự đồng ý, trừ khi thu thập số liệu thống kê ẩn danh
  • Cookie tiếp thị/theo dõi – chỉ được phép khi có sự đồng ý chủ động, được thông báo trước (opt-in)

Biểu mẫu liên hệ

Đối với biểu mẫu liên hệ trên trang web:

  • Phải thông báo cho chủ thể dữ liệu về mục đích xử lý và thời gian lưu trữ
  • Ý chí đồng ý phải được thể hiện bằng hành động chủ động (đánh dấu vào ô kiểm)
  • Phải có khả năng chứng minh sự đồng ý

Xử lý sự cố vi phạm dữ liệu

Theo Điều 33 GDPR, sự cố vi phạm dữ liệu phải được báo cáo cho NAIH trong vòng 72 giờ nếu sự cố có khả năng gây rủi ro cho quyền và tự do của chủ thể dữ liệu. Các bước xử lý sự cố:

  1. Phát hiện và ghi nhận – xác định sự cố, thời điểm, dữ liệu bị ảnh hưởng
  2. Đánh giá rủi ro – phân tích tác động đến quyền và tự do của chủ thể dữ liệu
  3. Báo cáo NAIH – trong vòng 72 giờ nếu cần
  4. Thông báo cho chủ thể dữ liệu – trong trường hợp rủi ro cao
  5. Biện pháp khắc phục – phòng ngừa sự cố trong tương lai

Chế tài

Theo GDPR, cơ quan giám sát có thể áp dụng các chế tài sau:

  • Cảnh cáo, lệnh yêu cầu
  • Hạn chế hoặc cấm xử lý dữ liệu
  • Phạt tiền: tối đa 20 triệu euro hoặc 4% doanh thu toàn cầu hàng năm của doanh nghiệp (tùy theo mức nào cao hơn)

NAIH đã áp dụng nhiều khoản phạt đối với các doanh nghiệp Hungary trong năm 2025 — nguyên nhân phổ biến nhất: thiếu chính sách xử lý dữ liệu, tiếp thị trực tiếp không có cơ sở pháp lý, và không báo cáo sự cố vi phạm.

Danh mục kiểm tra thực tiễn

  • Chính sách xử lý dữ liệu trên trang web
  • Thanh đồng ý cookie (opt-in cho cookie không thiết yếu)
  • Duy trì hồ sơ hoạt động xử lý
  • Ký kết hợp đồng xử lý dữ liệu ủy thác
  • Xây dựng kế hoạch xử lý sự cố
  • Đào tạo nhân viên về bảo vệ dữ liệu
  • Quy trình nội bộ xử lý yêu cầu xóa dữ liệu

Khi nào phải chỉ định Nhân viên bảo vệ dữ liệu (DPO)?

  • Bắt buộc đối với cơ quan thực hiện nhiệm vụ công
  • Khi giám sát chủ thể dữ liệu thường xuyên và trên quy mô lớn
  • Khi xử lý dữ liệu đặc biệt trên quy mô lớn

Đối với doanh nghiệp nhỏ, không bắt buộc nhưng nên chỉ định một người chịu trách nhiệm về bảo vệ dữ liệu.

Văn phòng luật sư của chúng tôi cung cấp dịch vụ tư vấn pháp lý toàn diện về bảo vệ dữ liệu: từ soạn thảo chính sách xử lý dữ liệu đến kiểm toán bảo vệ dữ liệu. Liên hệ với chúng tôi.

#bảo vệ dữ liệu #GDPR #xử lý dữ liệu #doanh nghiệp #Info tv.
Chia sẻ: