Dữ liệu cá nhân là gì? Doanh nghiệp cần hiểu đúng để tránh rủi ro pháp lý

Trong quá trình hoạt động, hầu hết doanh nghiệp đều đang thu thập, lưu trữ hoặc sử dụng dữ liệu cá nhân mỗi ngày. Đó có thể là thông tin khách hàng để tư vấn dịch vụ, hồ sơ người lao động để quản lý nhân sự, thông tin ứng viên để tuyển dụng, dữ liệu người dùng website hoặc thông tin đối tác trong quá trình ký kết hợp đồng.

Tuy nhiên, không phải doanh nghiệp nào cũng hiểu đúng dữ liệu cá nhân là gì, đâu là dữ liệu cá nhân thông thường, đâu là dữ liệu cá nhân nhạy cảm và những hoạt động nào được xem là xử lý dữ liệu cá nhân.

Việc hiểu sai hoặc đánh giá thấp vấn đề này có thể khiến doanh nghiệp gặp rủi ro pháp lý, đặc biệt khi pháp luật Việt Nam về bảo vệ dữ liệu cá nhân ngày càng được hoàn thiện. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 được ban hành ngày 26/06/2025 và có hiệu lực từ ngày 01/01/2026; Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân cũng có hiệu lực từ ngày 01/01/2026.

Dữ liệu cá nhân là gì?

Theo Luật Bảo vệ dữ liệu cá nhân 2025, dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Hiểu một cách đơn giản, dữ liệu cá nhân là bất kỳ thông tin nào có thể trực tiếp hoặc gián tiếp gắn với một cá nhân cụ thể.

Ví dụ, các thông tin sau thường được xem là dữ liệu cá nhân:

Họ và tên;
Ngày, tháng, năm sinh;
Số điện thoại;
Email;
Địa chỉ liên hệ;
Số căn cước công dân, hộ chiếu;
Mã số thuế cá nhân;
Số tài khoản ngân hàng;
Hình ảnh cá nhân;
Thông tin tài khoản đăng nhập;
Dữ liệu giao dịch;
Dữ liệu nhân sự, hợp đồng lao động, bảng lương;
Dữ liệu truy cập website, địa chỉ IP, cookie, thiết bị, trình duyệt.

Ví dụ, khi khách hàng điền form “Đăng ký tư vấn” trên website và để lại họ tên, số điện thoại, email, nhu cầu tư vấn, doanh nghiệp đã phát sinh hoạt động thu thập dữ liệu cá nhân. Tương tự, khi công ty lưu căn cước công dân, tài khoản ngân hàng, mã số thuế, hợp đồng lao động, dữ liệu chấm công và bảng lương của nhân viên, đây cũng là hoạt động liên quan đến dữ liệu cá nhân.

Dữ liệu cá nhân không chỉ là số căn cước công dân

Một lỗi phổ biến của nhiều doanh nghiệp là chỉ xem căn cước công dân, hộ chiếu hoặc số tài khoản ngân hàng là dữ liệu cá nhân. Trên thực tế, dữ liệu cá nhân có phạm vi rộng hơn rất nhiều.

Chỉ cần một thông tin có thể xác định hoặc giúp xác định một người cụ thể thì thông tin đó có thể là dữ liệu cá nhân. Vì vậy, email, số điện thoại, ảnh đại diện, địa chỉ IP, lịch sử giao dịch, dữ liệu tài khoản hoặc dữ liệu hành vi trên website đều cần được xem xét trong hệ thống tuân thủ dữ liệu cá nhân.

Đối với doanh nghiệp, điều này có nghĩa là dữ liệu cá nhân có thể đang xuất hiện ở nhiều bộ phận khác nhau: kinh doanh, marketing, chăm sóc khách hàng, nhân sự, kế toán, pháp lý, IT, vận hành và cả các nhà cung cấp bên ngoài.

Dữ liệu cá nhân cơ bản là gì?

Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội và thuộc danh mục do Chính phủ ban hành. Trong thực tế, dữ liệu cá nhân cơ bản thường bao gồm các thông tin mà doanh nghiệp hay thu thập trong quá trình giao dịch với khách hàng, người lao động, ứng viên hoặc đối tác.

Ví dụ:

Họ tên;
Ngày sinh;
Giới tính;
Quốc tịch;
Số điện thoại;
Email;
Địa chỉ;
Thông tin định danh;
Thông tin tài khoản người dùng;
Thông tin liên hệ trong hợp đồng.

Mặc dù được gọi là “cơ bản”, nhóm dữ liệu này vẫn cần được xử lý đúng mục đích, đúng phạm vi và có biện pháp bảo vệ phù hợp. Doanh nghiệp không nên cho rằng dữ liệu cơ bản thì có thể tự do thu thập, chia sẻ hoặc sử dụng cho mọi mục đích.

Dữ liệu cá nhân nhạy cảm là gì?

Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân và thuộc danh mục do Chính phủ ban hành.

Đây là nhóm dữ liệu có mức độ rủi ro cao hơn dữ liệu cá nhân cơ bản. Doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm cần kiểm soát chặt chẽ hơn về mục đích xử lý, phạm vi truy cập, biện pháp bảo mật, thông báo, sự đồng ý và hồ sơ tuân thủ.

Trong thực tế, dữ liệu cá nhân nhạy cảm có thể liên quan đến:

Thông tin sức khỏe;
Thông tin sinh trắc học;
Dữ liệu vị trí cá nhân;
Thông tin tài chính, ngân hàng trong một số trường hợp;
Thông tin đời tư;
Dữ liệu về trẻ em;
Dữ liệu khác có mức độ ảnh hưởng cao đến quyền riêng tư của cá nhân.

Ví dụ, một phòng khám lưu hồ sơ bệnh án của khách hàng; một công ty fintech xử lý thông tin tài chính của người dùng; một doanh nghiệp sử dụng nhận diện khuôn mặt để chấm công; hoặc một ứng dụng theo dõi vị trí người dùng đều có thể phát sinh vấn đề liên quan đến dữ liệu cá nhân nhạy cảm.

Xử lý dữ liệu cá nhân là gì?

Doanh nghiệp không chỉ “xử lý dữ liệu cá nhân” khi phân tích hoặc sử dụng dữ liệu. Theo Luật Bảo vệ dữ liệu cá nhân 2025, xử lý dữ liệu cá nhân là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và các hoạt động khác tác động đến dữ liệu cá nhân.

Như vậy, các hoạt động rất quen thuộc trong doanh nghiệp đều có thể là xử lý dữ liệu cá nhân, ví dụ:

Thu thập thông tin khách hàng qua form website;
Lưu hồ sơ ứng viên tuyển dụng;
Gửi email marketing cho khách hàng;
Nhập thông tin khách hàng vào CRM;
Lưu bảng lương và thông tin tài khoản ngân hàng của nhân viên;
Chia sẻ thông tin đơn hàng cho đơn vị vận chuyển;
Cung cấp dữ liệu cho nhà cung cấp phần mềm;
Lưu trữ dữ liệu trên cloud;
Xóa dữ liệu khi hết mục đích sử dụng.

Vì vậy, doanh nghiệp cần kiểm soát toàn bộ vòng đời của dữ liệu, từ khi thu thập, lưu trữ, sử dụng, chia sẻ cho đến khi xóa hoặc hủy dữ liệu.

Vì sao doanh nghiệp cần hiểu đúng dữ liệu cá nhân là gì?

Hiểu đúng khái niệm dữ liệu cá nhân giúp doanh nghiệp xác định đúng phạm vi trách nhiệm của mình. Nếu doanh nghiệp không nhận diện đúng dữ liệu cá nhân, doanh nghiệp rất dễ bỏ sót nghĩa vụ tuân thủ.

Một số rủi ro thường gặp gồm:

Thu thập dữ liệu nhưng không có thông báo xử lý dữ liệu cá nhân;
Không có cơ chế ghi nhận sự đồng ý của chủ thể dữ liệu trong trường hợp cần thiết;
Sử dụng dữ liệu cho mục đích marketing nhưng chưa thông báo rõ;
Chia sẻ dữ liệu cho bên thứ ba nhưng chưa có điều khoản bảo vệ dữ liệu cá nhân;
Lưu trữ dữ liệu trên phần mềm hoặc cloud nước ngoài nhưng chưa rà soát vấn đề chuyển dữ liệu xuyên biên giới;
Không có chính sách quyền riêng tư trên website;
Không có quy trình xử lý yêu cầu chỉnh sửa, xóa, rút lại sự đồng ý;
Không có quy trình xử lý khi xảy ra sự cố lộ, mất hoặc truy cập trái phép dữ liệu.

Luật Bảo vệ dữ liệu cá nhân 2025 quy định việc xử lý dữ liệu cá nhân phải tuân thủ nguyên tắc thu thập, xử lý đúng phạm vi, mục đích cụ thể, rõ ràng và bảo đảm tuân thủ pháp luật.

Ví dụ thực tế về dữ liệu cá nhân trong doanh nghiệp

Ví dụ 1: Website có form đăng ký tư vấn

Một công ty dịch vụ có website với form “Nhận tư vấn miễn phí”. Khách hàng nhập họ tên, số điện thoại, email và nhu cầu tư vấn. Đây là dữ liệu cá nhân. Doanh nghiệp nên có Chính sách quyền riêng tư, thông báo xử lý dữ liệu và cơ chế chấp thuận phù hợp tại form.

Ví dụ 2: Bộ phận nhân sự lưu hồ sơ người lao động

Doanh nghiệp lưu căn cước công dân, hợp đồng lao động, thông tin tài khoản ngân hàng, mã số thuế, dữ liệu chấm công, bảng lương và hồ sơ đánh giá nhân sự. Đây là hoạt động xử lý dữ liệu cá nhân trong quan hệ lao động. Doanh nghiệp nên có thông báo xử lý dữ liệu cá nhân cho người lao động và quy định nội bộ về quyền truy cập hồ sơ nhân sự.

Ví dụ 3: Marketing sử dụng data khách hàng

Bộ phận marketing sử dụng danh sách số điện thoại, email khách hàng để gửi tin nhắn, email hoặc chạy chiến dịch remarketing. Nếu doanh nghiệp chưa thông báo rõ mục đích marketing hoặc chưa có căn cứ phù hợp, hoạt động này có thể phát sinh rủi ro pháp lý.

Ví dụ 4: Chia sẻ dữ liệu cho nhà cung cấp phần mềm

Doanh nghiệp sử dụng CRM, HRM, email marketing, chatbot, payment gateway hoặc cloud. Khi dữ liệu cá nhân được lưu trữ, truy cập hoặc xử lý bởi nhà cung cấp bên ngoài, doanh nghiệp cần rà soát hợp đồng, điều khoản bảo mật và trách nhiệm xử lý dữ liệu của bên thứ ba.

Doanh nghiệp cần làm gì sau khi xác định có dữ liệu cá nhân?

Sau khi xác định doanh nghiệp có thu thập hoặc xử lý dữ liệu cá nhân, doanh nghiệp nên thực hiện các bước cơ bản sau:

Bước 1: Rà soát dữ liệu đang có

Doanh nghiệp cần xác định đang thu thập dữ liệu gì, từ ai, qua kênh nào, lưu trữ ở đâu, bộ phận nào được truy cập và dữ liệu có được chia sẻ cho bên thứ ba hay không.

Bước 2: Phân loại dữ liệu

Doanh nghiệp cần phân loại dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm để áp dụng mức độ kiểm soát phù hợp.

Bước 3: Xác định mục đích xử lý

Mỗi hoạt động xử lý dữ liệu cần có mục đích rõ ràng, ví dụ: cung cấp dịch vụ, chăm sóc khách hàng, tuyển dụng, quản lý lao động, thanh toán, marketing hoặc thực hiện nghĩa vụ pháp lý.

Bước 4: Chuẩn hóa chính sách và biểu mẫu

Doanh nghiệp nên xây dựng Chính sách quyền riêng tư website, chính sách bảo vệ dữ liệu cá nhân nội bộ, thông báo xử lý dữ liệu cá nhân, biểu mẫu chấp thuận và quy trình xử lý yêu cầu của chủ thể dữ liệu.

Bước 5: Kiểm soát bên thứ ba

Nếu dữ liệu được chia sẻ cho nhà cung cấp phần mềm, agency marketing, đơn vị kế toán, nhân sự, logistics, cổng thanh toán hoặc đối tác khác, doanh nghiệp nên có điều khoản hoặc thỏa thuận xử lý dữ liệu cá nhân rõ ràng.

Bước 6: Rà soát hồ sơ đánh giá tác động

Nghị định 356/2025/NĐ-CP quy định hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của cơ quan chuyên trách bảo vệ dữ liệu cá nhân và được nộp theo thời hạn quy định.

Bước 7: Chuẩn bị quy trình xử lý sự cố dữ liệu

Một số trường hợp vi phạm quy định về bảo vệ dữ liệu cá nhân có thể phải thông báo cho cơ quan chuyên trách chậm nhất 72 giờ kể từ khi phát hiện hành vi vi phạm. Do đó, doanh nghiệp nên có quy trình nội bộ để ghi nhận, đánh giá, xử lý, khắc phục và lưu hồ sơ khi phát sinh sự cố.

Justeps hỗ trợ doanh nghiệp rà soát và bảo vệ dữ liệu cá nhân

Justeps hỗ trợ doanh nghiệp nhận diện, rà soát và xây dựng hệ thống tuân thủ bảo vệ dữ liệu cá nhân phù hợp với mô hình hoạt động thực tế.

Phạm vi hỗ trợ có thể bao gồm:

Rà soát hoạt động xử lý dữ liệu cá nhân;
Phân loại dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm;
Soạn Chính sách quyền riêng tư website;
Soạn chính sách bảo vệ dữ liệu cá nhân nội bộ;
Soạn thông báo xử lý dữ liệu cá nhân;
Soạn biểu mẫu chấp thuận xử lý dữ liệu cá nhân;
Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;
Rà soát hoạt động chuyển dữ liệu cá nhân xuyên biên giới;
Soạn thỏa thuận xử lý dữ liệu với bên thứ ba;
Xây dựng quy trình xử lý yêu cầu của chủ thể dữ liệu;
Xây dựng quy trình xử lý sự cố dữ liệu cá nhân.

Dữ liệu cá nhân không chỉ là số căn cước công dân hay thông tin tài khoản ngân hàng. Trong hoạt động doanh nghiệp, dữ liệu cá nhân có thể xuất hiện ở website, hợp đồng, hồ sơ nhân sự, hệ thống CRM, phần mềm kế toán, công cụ marketing, chatbot, cloud và nhiều kênh vận hành khác.

Hiểu đúng dữ liệu cá nhân là gì là bước đầu tiên để doanh nghiệp tránh thu thập, sử dụng hoặc chia sẻ dữ liệu sai cách. Từ đó, doanh nghiệp có thể xây dựng chính sách, biểu mẫu, hợp đồng, hồ sơ đánh giá tác động và quy trình nội bộ phù hợp.

Justeps cung cấp dịch vụ tư vấn bảo vệ dữ liệu cá nhân cho doanh nghiệp, giúp rà soát hiện trạng, nhận diện rủi ro và xây dựng hệ thống tài liệu tuân thủ phù hợp với quy định pháp luật Việt Nam.

Email: info@justepslegal.com