Dữ liệu cá nhân nhạy cảm là gì? Những nhóm dữ liệu cần đặc biệt lưu ý

Trong hoạt động kinh doanh, doanh nghiệp không chỉ xử lý các dữ liệu cá nhân cơ bản như họ tên, số điện thoại, email, địa chỉ, thông tin tài khoản hoặc dữ liệu giao dịch. Trong nhiều trường hợp, doanh nghiệp còn có thể thu thập, lưu trữ hoặc sử dụng những nhóm dữ liệu có mức độ rủi ro cao hơn, ví dụ thông tin sức khỏe, dữ liệu sinh trắc học, dữ liệu vị trí, thông tin tài chính, dữ liệu ngân hàng, dữ liệu hành vi trên nền tảng số hoặc thông tin đời sống riêng tư.

Đây là các nhóm dữ liệu cần được đặc biệt lưu ý vì có thể được xem là dữ liệu cá nhân nhạy cảm. Nếu doanh nghiệp xử lý nhóm dữ liệu này nhưng không có chính sách, quy trình, biện pháp bảo mật và hồ sơ tuân thủ phù hợp, rủi ro pháp lý sẽ cao hơn so với dữ liệu cá nhân thông thường.

Về căn cứ pháp lý, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 được ban hành ngày 26/06/2025 và có hiệu lực từ ngày 01/01/2026. Nghị định 356/2025/NĐ-CP được ban hành ngày 31/12/2025 để quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.

Dữ liệu cá nhân nhạy cảm là gì?

Theo khoản 3 Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025, dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân và thuộc danh mục do Chính phủ ban hành.

Hiểu đơn giản, dữ liệu cá nhân nhạy cảm là nhóm dữ liệu có khả năng gây ảnh hưởng nghiêm trọng hơn đến cá nhân nếu bị lộ, bị sử dụng sai mục đích, bị truy cập trái phép hoặc bị chia sẻ không kiểm soát.

Ví dụ, việc lộ số điện thoại của khách hàng đã là rủi ro. Nhưng việc lộ hồ sơ bệnh án, dữ liệu vị trí, thông tin tài khoản ngân hàng, lịch sử giao dịch tài chính, dữ liệu sinh trắc học hoặc thông tin đời sống riêng tư có thể gây tác động nghiêm trọng hơn nhiều đến quyền riêng tư, tài sản, danh dự, an toàn cá nhân và lợi ích hợp pháp của chủ thể dữ liệu.

Dữ liệu cá nhân nhạy cảm khác gì dữ liệu cá nhân cơ bản?

Dữ liệu cá nhân cơ bản thường là những thông tin phổ biến dùng để nhận diện, liên hệ hoặc xác định một cá nhân, ví dụ họ tên, ngày sinh, giới tính, địa chỉ, số điện thoại, hình ảnh cá nhân, số giấy tờ định danh, thông tin tài khoản số và các thông tin khác gắn với một con người cụ thể nhưng không thuộc danh mục dữ liệu cá nhân nhạy cảm. Nghị định 356/2025/NĐ-CP quy định danh mục dữ liệu cá nhân cơ bản tại Điều 3.

Trong khi đó, dữ liệu cá nhân nhạy cảm là nhóm dữ liệu có mức độ riêng tư và rủi ro cao hơn. Doanh nghiệp khi xử lý dữ liệu cá nhân nhạy cảm cần áp dụng cơ chế kiểm soát chặt chẽ hơn, bao gồm phân quyền truy cập, quy trình xử lý, biện pháp bảo mật và thông báo rõ cho chủ thể dữ liệu trong trường hợp xin sự đồng ý xử lý dữ liệu cá nhân nhạy cảm.

Những nhóm dữ liệu cá nhân nhạy cảm cần đặc biệt lưu ý

Theo Điều 4 Nghị định 356/2025/NĐ-CP, dữ liệu cá nhân nhạy cảm bao gồm nhiều nhóm thông tin khác nhau. Doanh nghiệp cần đặc biệt lưu ý các nhóm sau:

1. Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc

Đây là nhóm dữ liệu liên quan đến nguồn gốc chủng tộc, dân tộc của cá nhân. Trong hoạt động doanh nghiệp thông thường, nhóm dữ liệu này ít khi cần thiết, trừ một số trường hợp đặc thù theo yêu cầu pháp luật, nghiên cứu, nhân sự hoặc chương trình có yếu tố dân tộc, cộng đồng.

Doanh nghiệp không nên thu thập nhóm dữ liệu này nếu không có mục đích rõ ràng và căn cứ phù hợp.

2. Quan điểm chính trị, tôn giáo, tín ngưỡng

Thông tin về quan điểm chính trị, tôn giáo, tín ngưỡng là nhóm dữ liệu nhạy cảm vì gắn trực tiếp với quyền tự do cá nhân và đời sống riêng tư.

Trong quan hệ lao động, tuyển dụng, khách hàng hoặc thành viên nền tảng, doanh nghiệp cần rất thận trọng khi đặt câu hỏi, thu thập hoặc lưu trữ thông tin liên quan đến quan điểm chính trị, tôn giáo, tín ngưỡng, trừ trường hợp thực sự cần thiết và có căn cứ hợp pháp.

3. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình

Đây là nhóm dữ liệu có phạm vi khá rộng và dễ phát sinh trong thực tế. Ví dụ: thông tin về quan hệ gia đình, tình trạng cá nhân, nội dung trao đổi riêng tư, hồ sơ khiếu nại, dữ liệu trong các vụ việc nội bộ, thông tin đời tư do khách hàng hoặc người lao động cung cấp.

Đối với doanh nghiệp, nhóm dữ liệu này có thể xuất hiện trong hồ sơ nhân sự, hồ sơ xử lý kỷ luật lao động, hồ sơ tranh chấp, hồ sơ khách hàng, dịch vụ tư vấn hoặc các nền tảng có chức năng trao đổi thông tin cá nhân.

4. Tình trạng sức khỏe

Thông tin về tình trạng sức khỏe là một trong những nhóm dữ liệu nhạy cảm rất phổ biến trong thực tế.

Ví dụ:

Hồ sơ khám sức khỏe của người lao động;
Giấy nghỉ ốm, hồ sơ bệnh án hoặc tài liệu y tế;
Thông tin về bệnh lý, thuốc điều trị, tình trạng mang thai;
Dữ liệu sức khỏe do phòng khám, bệnh viện, spa, fitness center, bảo hiểm hoặc nền tảng chăm sóc sức khỏe xử lý.

Doanh nghiệp trong lĩnh vực y tế, bảo hiểm, chăm sóc sức khỏe, giáo dục, nhân sự hoặc dịch vụ có thu thập hồ sơ sức khỏe cần đặc biệt chú ý đến cơ chế bảo mật, phân quyền truy cập và mục đích xử lý.

5. Dữ liệu sinh trắc học, đặc điểm di truyền

Dữ liệu sinh trắc học có thể bao gồm dữ liệu khuôn mặt, vân tay, giọng nói, mống mắt hoặc các đặc điểm sinh học dùng để nhận dạng cá nhân. Đặc điểm di truyền có thể bao gồm thông tin liên quan đến gen hoặc đặc điểm di truyền của một người.

Trong thực tế, doanh nghiệp có thể xử lý dữ liệu sinh trắc học khi sử dụng:

Máy chấm công bằng vân tay;
Nhận diện khuôn mặt;
Xác thực danh tính điện tử;
Hệ thống kiểm soát ra vào bằng sinh trắc học;
Công nghệ định danh khách hàng;
Ứng dụng tài chính, ngân hàng, bảo hiểm, y tế hoặc an ninh.

Do nhóm dữ liệu này gắn trực tiếp với đặc điểm không dễ thay đổi của cá nhân, doanh nghiệp cần cân nhắc kỹ trước khi thu thập và không nên sử dụng nếu có phương án thay thế ít xâm phạm hơn.

6. Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân

Đây là nhóm dữ liệu rất riêng tư và có mức độ rủi ro cao nếu bị tiết lộ hoặc sử dụng sai mục đích. Doanh nghiệp thông thường gần như không nên thu thập nhóm dữ liệu này nếu không có lý do pháp lý hoặc chuyên môn đặc biệt.

Các tổ chức trong lĩnh vực y tế, tư vấn tâm lý, chăm sóc sức khỏe hoặc dịch vụ đặc thù cần có cơ chế bảo mật nghiêm ngặt nếu phát sinh xử lý nhóm dữ liệu này.

7. Dữ liệu về tội phạm, vi phạm pháp luật do cơ quan thực thi pháp luật thu thập, lưu trữ

Nhóm dữ liệu này liên quan đến hành vi phạm tội, vi phạm pháp luật và được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật.

Trong hoạt động doanh nghiệp, cần phân biệt giữa việc doanh nghiệp tự thu thập thông tin kiểm tra lý lịch, thông tin tranh chấp, thông tin vi phạm nội quy với nhóm dữ liệu chính thức do cơ quan thực thi pháp luật thu thập, lưu trữ. Khi có nhu cầu kiểm tra thông tin nhân sự, đối tác hoặc khách hàng, doanh nghiệp cần bảo đảm việc thu thập và sử dụng dữ liệu có căn cứ, đúng mục đích và không xâm phạm quyền riêng tư.

8. Dữ liệu vị trí cá nhân được xác định qua dịch vụ định vị

Dữ liệu vị trí là nhóm dữ liệu rất quan trọng trong thời đại số. Doanh nghiệp có thể xử lý dữ liệu vị trí khi sử dụng ứng dụng giao hàng, ứng dụng đặt xe, phần mềm quản lý nhân viên ngoài thị trường, ứng dụng chấm công GPS, hệ thống theo dõi thiết bị, nền tảng logistics hoặc các dịch vụ dựa trên vị trí.

Doanh nghiệp cần thông báo rõ cho người dùng hoặc người lao động biết khi nào dữ liệu vị trí được thu thập, thu thập để làm gì, trong thời gian bao lâu, ai được truy cập và có chia sẻ cho bên thứ ba hay không.

9. Tên đăng nhập, mật khẩu tài khoản định danh điện tử và hình ảnh giấy tờ định danh

Nghị định 356/2025/NĐ-CP xếp tên đăng nhập, mật khẩu truy cập tài khoản định danh điện tử của cá nhân, hình ảnh thẻ căn cước, căn cước công dân, chứng minh nhân dân vào nhóm dữ liệu cá nhân nhạy cảm.

Đây là điểm doanh nghiệp cần đặc biệt lưu ý vì trong thực tế, rất nhiều doanh nghiệp đang thu thập bản chụp căn cước công dân của khách hàng, nhân viên, cộng tác viên, nhà cung cấp, người đại diện hợp đồng hoặc người dùng nền tảng.

Doanh nghiệp nên rà soát lại:

Có thực sự cần thu bản chụp giấy tờ định danh không;
Ai được quyền xem, tải, lưu hoặc gửi bản chụp giấy tờ định danh;
Dữ liệu được lưu ở đâu;
Có bị gửi qua Zalo, email cá nhân, Google Drive không kiểm soát không;
Khi hết mục đích sử dụng thì xóa hoặc hủy thế nào.

10. Thông tin ngân hàng, tài chính, tín dụng, chứng khoán, bảo hiểm

Đây là nhóm dữ liệu rất quan trọng đối với ngân hàng, fintech, bảo hiểm, chứng khoán, trung gian thanh toán, công ty tài chính, nền tảng đầu tư và cả các doanh nghiệp thông thường có xử lý thông tin thanh toán.

Nghị định 356/2025/NĐ-CP liệt kê các thông tin như tên đăng nhập, mật khẩu tài khoản ngân hàng, thông tin thẻ ngân hàng, dữ liệu lịch sử giao dịch tài khoản ngân hàng, thông tin tài chính, tín dụng, chứng khoán, bảo hiểm và các thông tin về hoạt động, lịch sử giao dịch tài chính của khách hàng tại các tổ chức liên quan.

Với nhóm dữ liệu này, doanh nghiệp cần đặc biệt kiểm soát:

Phạm vi nhân sự được tiếp cận;
Việc lưu trữ trong file nội bộ;
Việc gửi thông tin qua email, Zalo, nền tảng chat;
Việc chia sẻ cho kế toán, ngân hàng, cổng thanh toán, nhà cung cấp phần mềm;
Cơ chế mã hóa, phân quyền, ghi nhận lịch sử truy cập.

11. Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, truyền thông trực tuyến và dịch vụ trên không gian mạng

Nhóm dữ liệu này rất đáng chú ý đối với doanh nghiệp số, nền tảng công nghệ, thương mại điện tử, marketing, quảng cáo, SaaS, ứng dụng di động, website, mạng xã hội nội bộ hoặc dịch vụ trực tuyến.

Ví dụ:

Lịch sử truy cập website;
Hành vi click, xem, mua hàng;
Dữ liệu tương tác trên ứng dụng;
Dữ liệu theo dõi hành vi người dùng;
Dữ liệu phân tích quảng cáo;
Dữ liệu remarketing;
Dữ liệu sử dụng dịch vụ trực tuyến.

Không phải cứ dùng cookie, pixel, analytics hoặc CRM là chắc chắn vi phạm. Vấn đề là doanh nghiệp cần minh bạch về mục đích, phạm vi xử lý, bên thứ ba nhận dữ liệu, cơ chế đồng ý nếu cần và biện pháp bảo vệ tương ứng.

12. Dữ liệu cá nhân khác cần giữ bí mật hoặc cần biện pháp bảo mật chặt chẽ theo pháp luật

Nghị định 356/2025/NĐ-CP còn mở rộng đến các dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.

Điều này có nghĩa là doanh nghiệp không nên chỉ nhìn vào danh mục cố định, mà cần đánh giá theo từng lĩnh vực hoạt động. Ví dụ, dữ liệu trong lĩnh vực y tế, tài chính, ngân hàng, bảo hiểm, chứng khoán, viễn thông, trẻ em, giáo dục, an ninh, công nghệ hoặc nền tảng số có thể phải tuân thủ thêm các quy định chuyên ngành.

Vì sao doanh nghiệp phải đặc biệt cẩn trọng với dữ liệu cá nhân nhạy cảm?

Dữ liệu cá nhân nhạy cảm có mức độ rủi ro cao vì nếu bị xâm phạm có thể ảnh hưởng trực tiếp đến quyền riêng tư, danh dự, nhân phẩm, tài sản, sức khỏe, an toàn cá nhân hoặc lợi ích hợp pháp của chủ thể dữ liệu.

Theo Nghị định 356/2025/NĐ-CP, trong quá trình xử lý dữ liệu cá nhân nhạy cảm, cơ quan, tổ chức phải thiết lập quy định phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật. Ngoài ra, khi xin sự đồng ý xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.

Đối với doanh nghiệp, điều này có nghĩa là không thể xử lý dữ liệu cá nhân nhạy cảm theo cách “gom data rồi dùng sau”. Mỗi hoạt động xử lý cần được xác định rõ mục đích, phạm vi, người có quyền truy cập, thời hạn lưu trữ, bên thứ ba nhận dữ liệu và biện pháp bảo vệ tương ứng.

Một số ví dụ doanh nghiệp dễ gặp trong thực tế

Ví dụ 1: Công ty dùng vân tay hoặc khuôn mặt để chấm công

Dữ liệu vân tay hoặc khuôn mặt có thể là dữ liệu sinh trắc học. Nếu doanh nghiệp dùng công nghệ này để chấm công, cần rà soát mục đích, căn cứ xử lý, thông báo cho người lao động, phạm vi lưu trữ, nhà cung cấp máy chấm công/phần mềm và biện pháp bảo mật.

Ví dụ 2: Website thu bản chụp căn cước công dân để xác minh tài khoản

Hình ảnh căn cước, căn cước công dân, chứng minh nhân dân được xếp vào nhóm dữ liệu cá nhân nhạy cảm theo Nghị định 356/2025/NĐ-CP. Vì vậy, doanh nghiệp cần kiểm soát chặt chẽ việc tải lên, lưu trữ, truy cập, sử dụng và xóa dữ liệu sau khi hoàn thành mục đích xác minh.

Ví dụ 3: Doanh nghiệp lưu thông tin tài khoản ngân hàng của nhân viên

Thông tin tài khoản ngân hàng phục vụ trả lương thường xuất hiện ở bộ phận nhân sự, kế toán và tài chính. Doanh nghiệp cần phân quyền rõ ai được truy cập, không lưu tràn lan trên file không bảo mật, không gửi qua các kênh cá nhân thiếu kiểm soát và có chính sách lưu trữ/xóa phù hợp.

Ví dụ 4: Ứng dụng theo dõi vị trí nhân viên giao hàng

Nếu doanh nghiệp theo dõi vị trí của nhân viên qua GPS hoặc ứng dụng nội bộ, cần thông báo rõ mục đích theo dõi, thời gian theo dõi, phạm vi sử dụng, bộ phận được truy cập và thời hạn lưu trữ dữ liệu vị trí.

Ví dụ 5: Doanh nghiệp chạy quảng cáo, pixel, analytics, remarketing

Dữ liệu theo dõi hành vi sử dụng dịch vụ trên không gian mạng có thể thuộc nhóm dữ liệu cá nhân nhạy cảm theo Nghị định 356/2025/NĐ-CP. Doanh nghiệp có website, app, thương mại điện tử hoặc nền tảng số cần rà soát cookie, pixel, analytics, CRM, email marketing và chính sách quyền riêng tư.

Doanh nghiệp cần làm gì khi xử lý dữ liệu cá nhân nhạy cảm?

Khi phát hiện doanh nghiệp có xử lý dữ liệu cá nhân nhạy cảm, doanh nghiệp nên thực hiện các công việc sau:

1. Rà soát và lập danh mục dữ liệu nhạy cảm

Doanh nghiệp cần xác định đang có những nhóm dữ liệu nhạy cảm nào, nằm ở bộ phận nào, hệ thống nào, ai có quyền truy cập và dữ liệu được chia sẻ cho bên thứ ba nào.

2. Xác định mục đích xử lý rõ ràng

Mỗi loại dữ liệu nhạy cảm cần có mục đích xử lý cụ thể. Ví dụ, thu thập thông tin tài khoản ngân hàng để trả lương, thu thập dữ liệu vị trí để điều phối giao hàng, thu thập dữ liệu sức khỏe để quản lý chế độ nghỉ ốm hoặc bảo hiểm.

3. Thông báo rõ cho chủ thể dữ liệu

Khi xin sự đồng ý xử lý dữ liệu cá nhân nhạy cảm, doanh nghiệp phải thông báo cho chủ thể dữ liệu biết rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm. Đây là yêu cầu được quy định tại Điều 6 Nghị định 356/2025/NĐ-CP.

4. Phân quyền truy cập nghiêm ngặt

Không phải mọi nhân sự đều được quyền tiếp cận dữ liệu nhạy cảm. Doanh nghiệp nên giới hạn quyền truy cập theo vai trò công việc, ghi nhận lịch sử truy cập nếu cần và hạn chế tải, sao chép, gửi dữ liệu ra ngoài hệ thống.

5. Kiểm soát việc chuyển giao dữ liệu cho bên thứ ba

Nếu chuyển giao dữ liệu cá nhân cho bên thứ ba, Nghị định 356/2025/NĐ-CP yêu cầu xác lập thỏa thuận chuyển giao dữ liệu cá nhân với các nội dung như mục đích chuyển giao, loại dữ liệu, thời hạn xử lý, yêu cầu xóa/hủy, cơ sở pháp lý, trách nhiệm bảo vệ dữ liệu, trách nhiệm thực hiện quyền của chủ thể dữ liệu và trách nhiệm phối hợp khi phát hiện vi phạm. Đối với dữ liệu cá nhân nhạy cảm, việc chuyển giao phải có biện pháp bảo mật vật lý, mã hóa, ẩn danh và các biện pháp bảo mật khác trong quá trình chuyển giao.

6. Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Nghị định 356/2025/NĐ-CP quy định hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ kiểm tra, đánh giá của cơ quan chuyên trách bảo vệ dữ liệu cá nhân và phải nộp trong thời hạn 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

7. Chuẩn bị quy trình xử lý sự cố dữ liệu cá nhân

Theo Luật Bảo vệ dữ liệu cá nhân 2025, một số trường hợp vi phạm quy định về bảo vệ dữ liệu cá nhân có nguy cơ gây tổn hại phải được thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất 72 giờ kể từ khi phát hiện hành vi vi phạm.

Vì vậy, doanh nghiệp nên có quy trình xử lý sự cố, bao gồm: ghi nhận sự cố, phân loại mức độ rủi ro, cô lập dữ liệu, thông báo nội bộ, đánh giá nghĩa vụ thông báo, khắc phục hậu quả và lưu hồ sơ xử lý.

Những lỗi doanh nghiệp thường gặp khi xử lý dữ liệu cá nhân nhạy cảm

Một số lỗi phổ biến gồm:

Thu thập bản chụp căn cước công dân nhưng không có quy trình lưu trữ và xóa dữ liệu;
Dùng vân tay, khuôn mặt để chấm công nhưng chưa rà soát căn cứ xử lý;
Lưu thông tin tài khoản ngân hàng, bảng lương, hồ sơ sức khỏe trên file không được phân quyền;
Gửi dữ liệu nhạy cảm qua Zalo, email cá nhân hoặc nhóm chat không kiểm soát;
Chia sẻ dữ liệu cho nhà cung cấp phần mềm, agency, kế toán, nhân sự nhưng hợp đồng không có điều khoản bảo vệ dữ liệu;
Không có thông báo xử lý dữ liệu cá nhân hoặc biểu mẫu chấp thuận phù hợp;
Không có hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;
Không có quy trình xử lý sự cố khi xảy ra lộ, mất hoặc truy cập trái phép dữ liệu.

Justeps hỗ trợ doanh nghiệp xử lý vấn đề dữ liệu cá nhân nhạy cảm

Justeps hỗ trợ doanh nghiệp rà soát và xây dựng hệ thống tuân thủ đối với dữ liệu cá nhân, bao gồm cả dữ liệu cá nhân nhạy cảm.

Phạm vi hỗ trợ có thể bao gồm:

Rà soát hoạt động xử lý dữ liệu cá nhân nhạy cảm;
Phân loại dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm;
Xây dựng danh mục dữ liệu cá nhân doanh nghiệp đang xử lý;
Soạn chính sách bảo vệ dữ liệu cá nhân nội bộ;
Soạn Chính sách quyền riêng tư website;
Soạn thông báo xử lý dữ liệu cá nhân;
Soạn biểu mẫu chấp thuận xử lý dữ liệu cá nhân nhạy cảm;
Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;
Rà soát thỏa thuận với bên thứ ba;
Soạn điều khoản bảo vệ dữ liệu cá nhân trong hợp đồng;
Xây dựng quy trình xử lý yêu cầu của chủ thể dữ liệu;
Xây dựng quy trình xử lý sự cố dữ liệu cá nhân.

Dữ liệu cá nhân nhạy cảm là nhóm dữ liệu có mức độ rủi ro cao, gắn trực tiếp với quyền riêng tư và lợi ích hợp pháp của cá nhân. Doanh nghiệp xử lý nhóm dữ liệu này cần đặc biệt thận trọng, từ khâu thu thập, thông báo, xin sự đồng ý, lưu trữ, phân quyền truy cập, chuyển giao cho bên thứ ba đến xử lý sự cố.

Trong bối cảnh Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP đã có hiệu lực từ ngày 01/01/2026, doanh nghiệp nên rà soát sớm để xác định mình có đang xử lý dữ liệu cá nhân nhạy cảm hay không và cần bổ sung tài liệu, quy trình, hồ sơ nào để bảo đảm tuân thủ.

Justeps cung cấp dịch vụ tư vấn bảo vệ dữ liệu cá nhân cho doanh nghiệp, giúp rà soát hiện trạng, nhận diện dữ liệu cá nhân nhạy cảm, đánh giá rủi ro và xây dựng hệ thống tài liệu tuân thủ phù hợp với quy định pháp luật Việt Nam.

Email: info@justepslegal.com