Xử lý dữ liệu cá nhân là gì? Doanh nghiệp cần làm gì để xử lý dữ liệu cá nhân đúng quy định

Trong hoạt động kinh doanh, doanh nghiệp thường xuyên thu thập, lưu trữ, sử dụng, chia sẻ hoặc chuyển giao dữ liệu cá nhân của khách hàng, người lao động, ứng viên, đối tác, nhà cung cấp hoặc người dùng website, ứng dụng, nền tảng. Những hoạt động này đều có thể được xem là xử lý dữ liệu cá nhân.

Tuy nhiên, nhiều doanh nghiệp vẫn hiểu khá hẹp về khái niệm này. Không ít doanh nghiệp cho rằng chỉ khi “phân tích dữ liệu”, “bán dữ liệu” hoặc “chuyển dữ liệu cho bên khác” thì mới là xử lý dữ liệu cá nhân. Trên thực tế, chỉ cần doanh nghiệp có hành động tác động đến dữ liệu cá nhân, từ việc thu thập, lưu trữ, chỉnh sửa, sao chép cho đến xóa dữ liệu, thì đều có thể phát sinh nghĩa vụ tuân thủ.

Việc hiểu đúng xử lý dữ liệu cá nhân là gì là bước quan trọng để doanh nghiệp xây dựng chính sách, biểu mẫu, hợp đồng, hồ sơ đánh giá tác động và quy trình nội bộ phù hợp.

Căn cứ pháp lý về xử lý dữ liệu cá nhân

Hiện nay, khung pháp lý quan trọng về bảo vệ dữ liệu cá nhân tại Việt Nam gồm Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, được ban hành ngày 26/06/2025 và có hiệu lực từ ngày 01/01/2026, cùng Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 01/01/2026.

Theo Luật Bảo vệ dữ liệu cá nhân 2025, Luật này quy định về bảo vệ dữ liệu cá nhân, quyền và nghĩa vụ của chủ thể dữ liệu cá nhân, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan trong quá trình xử lý dữ liệu cá nhân.

Xử lý dữ liệu cá nhân là gì?

Theo Luật Bảo vệ dữ liệu cá nhân 2025, xử lý dữ liệu cá nhân là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và các hoạt động khác tác động đến dữ liệu cá nhân.

Hiểu đơn giản, xử lý dữ liệu cá nhân là bất kỳ hoạt động nào doanh nghiệp thực hiện đối với dữ liệu cá nhân.

Ví dụ:

Thu thập họ tên, số điện thoại, email của khách hàng qua form website;
Lưu hồ sơ ứng viên tuyển dụng;
Lưu hợp đồng lao động, căn cước công dân, mã số thuế, tài khoản ngân hàng của nhân viên;
Nhập thông tin khách hàng vào phần mềm CRM;
Gửi email marketing hoặc tin nhắn chăm sóc khách hàng;
Chia sẻ thông tin đơn hàng cho đơn vị vận chuyển;
Cung cấp dữ liệu cho nhà cung cấp phần mềm, agency marketing, đơn vị kế toán, nhân sự;
Lưu trữ dữ liệu trên cloud hoặc hệ thống máy chủ;
Xóa dữ liệu khách hàng khi hết mục đích sử dụng.

Như vậy, xử lý dữ liệu cá nhân không chỉ là “sử dụng” dữ liệu, mà bao gồm toàn bộ vòng đời của dữ liệu: từ thu thập, lưu trữ, khai thác, chia sẻ, chuyển giao cho đến xóa hoặc hủy dữ liệu.

Những hoạt động xử lý dữ liệu cá nhân thường gặp trong doanh nghiệp

Trong thực tế, doanh nghiệp có thể xử lý dữ liệu cá nhân ở nhiều bộ phận khác nhau.

1. Trong hoạt động bán hàng và chăm sóc khách hàng

Doanh nghiệp thường thu thập thông tin khách hàng như họ tên, số điện thoại, email, địa chỉ, nhu cầu tư vấn, lịch sử mua hàng, phản hồi dịch vụ hoặc thông tin thanh toán.

Các dữ liệu này có thể được sử dụng để tư vấn, ký hợp đồng, cung cấp dịch vụ, bảo hành, chăm sóc khách hàng, gửi báo giá hoặc xử lý khiếu nại.

2. Trong hoạt động marketing

Bộ phận marketing có thể xử lý dữ liệu cá nhân khi chạy quảng cáo, gửi email marketing, tin nhắn khuyến mại, remarketing, quản lý danh sách khách hàng tiềm năng hoặc phân tích hành vi người dùng trên website.

Nếu doanh nghiệp sử dụng cookie, pixel, analytics, chatbot, CRM hoặc công cụ email marketing, doanh nghiệp cũng cần rà soát việc thu thập và chia sẻ dữ liệu với các nền tảng, nhà cung cấp bên thứ ba.

3. Trong hoạt động nhân sự

Doanh nghiệp xử lý nhiều dữ liệu cá nhân của người lao động và ứng viên, ví dụ hồ sơ xin việc, căn cước công dân, mã số thuế, tài khoản ngân hàng, hợp đồng lao động, bảng lương, dữ liệu chấm công, thông tin người phụ thuộc, hồ sơ đánh giá hiệu suất, hồ sơ kỷ luật hoặc hồ sơ nghỉ việc.

Đây là nhóm dữ liệu cần được phân quyền truy cập chặt chẽ vì thường liên quan đến thông tin định danh, tài chính, thu nhập và đời sống riêng tư của người lao động.

4. Trong hoạt động kế toán, tài chính

Bộ phận kế toán, tài chính có thể xử lý dữ liệu cá nhân khi thực hiện thanh toán lương, hoàn ứng, chi trả phí dịch vụ cho cá nhân, kê khai thuế thu nhập cá nhân, lưu chứng từ thanh toán hoặc làm việc với ngân hàng, đơn vị kế toán, kiểm toán, tư vấn thuế.

5. Trong hoạt động vận hành website, ứng dụng, nền tảng

Website, ứng dụng hoặc nền tảng của doanh nghiệp có thể thu thập dữ liệu qua form liên hệ, tài khoản người dùng, hệ thống đặt hàng, thanh toán, chatbot, cookie, công cụ phân tích truy cập hoặc plugin bên thứ ba.

Do đó, doanh nghiệp có website hoặc app nên có Chính sách quyền riêng tư, thông báo xử lý dữ liệu cá nhân và cơ chế chấp thuận phù hợp tại các điểm thu thập dữ liệu.

Vì sao doanh nghiệp cần xử lý dữ liệu cá nhân đúng quy định?

Dữ liệu cá nhân gắn trực tiếp với quyền riêng tư và quyền lợi hợp pháp của cá nhân. Nếu doanh nghiệp xử lý dữ liệu cá nhân không đúng quy định, rủi ro có thể phát sinh ở nhiều cấp độ: khiếu nại từ khách hàng, tranh chấp với người lao động, mất uy tín thương hiệu, rủi ro trong thẩm định pháp lý hoặc trách nhiệm khi xảy ra sự cố dữ liệu.

Một số lỗi thường gặp gồm:

Thu thập dữ liệu cá nhân nhưng không có thông báo phù hợp;
Sử dụng dữ liệu cho mục đích khác với mục đích ban đầu;
Không có căn cứ hoặc cơ chế ghi nhận sự đồng ý trong trường hợp cần thiết;
Chia sẻ dữ liệu cho bên thứ ba nhưng không có thỏa thuận xử lý dữ liệu;
Không kiểm soát quyền truy cập của nhân sự nội bộ;
Lưu dữ liệu trên file, email, cloud hoặc phần mềm không được phân quyền;
Không có quy trình xử lý yêu cầu của chủ thể dữ liệu;
Không có quy trình xử lý sự cố khi dữ liệu bị lộ, mất hoặc truy cập trái phép;
Không lập hoặc không cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có nghĩa vụ.

Luật Bảo vệ dữ liệu cá nhân 2025 cũng quy định về trách nhiệm thông báo trong một số trường hợp vi phạm quy định về bảo vệ dữ liệu cá nhân có khả năng gây tổn hại; thời hạn thông báo cho cơ quan chuyên trách là chậm nhất 72 giờ kể từ khi phát hiện hành vi vi phạm.

Doanh nghiệp cần làm gì để xử lý dữ liệu cá nhân đúng quy định?

Để xử lý dữ liệu cá nhân đúng quy định, doanh nghiệp không nên chỉ soạn một văn bản riêng lẻ. Cần xây dựng một hệ thống tuân thủ gồm chính sách, biểu mẫu, hợp đồng, quy trình và hồ sơ quản lý dữ liệu.

1. Rà soát toàn bộ hoạt động xử lý dữ liệu cá nhân

Doanh nghiệp cần bắt đầu bằng việc rà soát mình đang xử lý dữ liệu cá nhân ở đâu, gồm:

Website, app, nền tảng;
Form liên hệ, form đăng ký tư vấn, form nhận báo giá;
Hồ sơ khách hàng;
Hồ sơ nhân sự, hồ sơ ứng viên;
Hợp đồng, phụ lục, chứng từ thanh toán;
CRM, ERP, HRM, phần mềm kế toán;
Email marketing, chatbot, công cụ quảng cáo;
Cloud, máy chủ, phần mềm bên thứ ba.

Mục tiêu của bước này là xác định doanh nghiệp đang có những luồng dữ liệu nào, dữ liệu được thu thập từ ai, lưu trữ ở đâu, ai được truy cập và có chia sẻ cho bên thứ ba hay không.

2. Phân loại dữ liệu cá nhân

Doanh nghiệp cần phân loại dữ liệu cá nhân thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Việc phân loại này giúp doanh nghiệp xác định mức độ rủi ro và biện pháp bảo vệ phù hợp.

Ví dụ, họ tên, số điện thoại, email thường là dữ liệu cá nhân cơ bản. Trong khi đó, thông tin sức khỏe, dữ liệu sinh trắc học, dữ liệu vị trí, thông tin tài chính, dữ liệu ngân hàng hoặc hình ảnh giấy tờ định danh có thể thuộc nhóm dữ liệu cần kiểm soát chặt chẽ hơn theo quy định pháp luật.

3. Xác định mục đích xử lý dữ liệu

Mỗi hoạt động xử lý dữ liệu cá nhân cần có mục đích rõ ràng. Doanh nghiệp không nên thu thập dữ liệu theo kiểu “có thể sau này cần dùng”.

Ví dụ:

Thu thập số điện thoại để liên hệ tư vấn;
Thu thập địa chỉ để giao hàng;
Thu thập tài khoản ngân hàng để trả lương;
Thu thập hồ sơ ứng viên để tuyển dụng;
Thu thập email để gửi thông tin dịch vụ nếu có căn cứ phù hợp;
Thu thập dữ liệu truy cập website để cải thiện trải nghiệm người dùng.

Khi mục đích xử lý không rõ, doanh nghiệp sẽ rất khó xây dựng thông báo, biểu mẫu chấp thuận, chính sách quyền riêng tư và hồ sơ đánh giá tác động phù hợp.

4. Thông báo cho chủ thể dữ liệu

Doanh nghiệp cần có thông báo xử lý dữ liệu cá nhân phù hợp với từng nhóm chủ thể dữ liệu, ví dụ khách hàng, người lao động, ứng viên, người dùng website hoặc đối tác.

Thông báo nên làm rõ:

Doanh nghiệp thu thập dữ liệu gì;
Mục đích xử lý dữ liệu;
Phạm vi sử dụng dữ liệu;
Thời hạn lưu trữ;
Bên thứ ba có thể được chia sẻ dữ liệu;
Quyền của chủ thể dữ liệu;
Đầu mối liên hệ để gửi yêu cầu liên quan đến dữ liệu cá nhân.

Đối với website, thông báo này thường được thể hiện qua Chính sách quyền riêng tư hoặc Privacy Policy.

5. Thiết lập cơ chế chấp thuận khi cần thiết

Trong nhiều trường hợp, doanh nghiệp cần có cơ chế ghi nhận sự đồng ý của chủ thể dữ liệu. Cơ chế này có thể được thể hiện qua biểu mẫu giấy, checkbox trên website, điều khoản trong hợp đồng, form đăng ký, email xác nhận hoặc phương thức điện tử khác phù hợp.

Doanh nghiệp cần tránh việc dùng một câu đồng ý quá chung chung cho mọi mục đích. Ví dụ, việc đồng ý cung cấp số điện thoại để nhận tư vấn không đồng nghĩa với việc đồng ý nhận toàn bộ thông tin quảng cáo, chia sẻ dữ liệu cho mọi đối tác hoặc xử lý dữ liệu cho các mục đích không liên quan.

6. Xây dựng Chính sách quyền riêng tư và chính sách nội bộ

Doanh nghiệp nên có ít nhất hai nhóm tài liệu:

Thứ nhất, Chính sách quyền riêng tư/Privacy Policy công khai trên website, ứng dụng hoặc nền tảng, để người dùng biết doanh nghiệp xử lý dữ liệu cá nhân như thế nào.

Thứ hai, Chính sách bảo vệ dữ liệu cá nhân nội bộ áp dụng cho nhân sự, phòng ban, cộng tác viên hoặc cá nhân có quyền truy cập dữ liệu trong doanh nghiệp.

Chính sách nội bộ nên quy định rõ trách nhiệm của từng bộ phận, nguyên tắc xử lý dữ liệu, phân quyền truy cập, quy trình chia sẻ dữ liệu, lưu trữ, xóa dữ liệu và xử lý vi phạm nội bộ.

7. Kiểm soát việc chia sẻ dữ liệu cho bên thứ ba

Trong thực tế, doanh nghiệp thường chia sẻ dữ liệu cá nhân cho các bên như:

Nhà cung cấp phần mềm;
Đơn vị hosting, cloud;
Agency marketing;
Công ty kế toán, thuế;
Đơn vị nhân sự, tuyển dụng;
Cổng thanh toán;
Đơn vị vận chuyển;
Đối tác chăm sóc khách hàng;
Công ty mẹ, công ty liên kết.

Doanh nghiệp cần rà soát hợp đồng với các bên này và bổ sung điều khoản bảo vệ dữ liệu cá nhân hoặc thỏa thuận xử lý dữ liệu cá nhân.

Các nội dung nên có gồm: mục đích xử lý, phạm vi dữ liệu, nghĩa vụ bảo mật, giới hạn chia sẻ tiếp, thời hạn xử lý, nghĩa vụ xóa hoặc hoàn trả dữ liệu, thông báo sự cố, trách nhiệm phối hợp và bồi thường khi vi phạm.

8. Rà soát hoạt động chuyển dữ liệu cá nhân ra nước ngoài

Nếu doanh nghiệp sử dụng phần mềm, cloud, CRM, email marketing, analytics, payment gateway hoặc máy chủ đặt ở nước ngoài, có thể phát sinh hoạt động chuyển dữ liệu cá nhân xuyên biên giới.

Doanh nghiệp cần kiểm tra:

Dữ liệu có được lưu trữ ở nước ngoài không;
Bên nhận dữ liệu ở nước ngoài là ai;
Dữ liệu nào được chuyển;
Mục đích chuyển dữ liệu là gì;
Có cần lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới không;
Hợp đồng với nhà cung cấp nước ngoài đã có điều khoản bảo vệ dữ liệu phù hợp chưa.

9. Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Theo Nghị định 356/2025/NĐ-CP, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của cơ quan chuyên trách bảo vệ dữ liệu cá nhân và phải được nộp trong thời hạn 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

Hồ sơ này thường cần phản ánh các nội dung như hoạt động xử lý dữ liệu, loại dữ liệu, mục đích xử lý, chủ thể dữ liệu, bên tham gia xử lý, rủi ro có thể phát sinh và biện pháp bảo vệ dữ liệu cá nhân.

10. Xây dựng quy trình xử lý yêu cầu của chủ thể dữ liệu

Chủ thể dữ liệu có các quyền liên quan đến dữ liệu cá nhân của mình. Doanh nghiệp cần có quy trình tiếp nhận, xác minh, phân loại, xử lý và phản hồi các yêu cầu như truy cập, chỉnh sửa, xóa dữ liệu, rút lại sự đồng ý hoặc hạn chế xử lý dữ liệu.

Doanh nghiệp nên chuẩn bị:

Mẫu yêu cầu của chủ thể dữ liệu;
Đầu mối tiếp nhận;
Quy trình xác minh danh tính;
Thời hạn xử lý nội bộ;
Mẫu phản hồi;
Cơ chế lưu hồ sơ xử lý yêu cầu.

11. Xây dựng quy trình xử lý sự cố dữ liệu cá nhân

Sự cố dữ liệu cá nhân có thể xảy ra do gửi nhầm email, mất thiết bị, nhân sự sao chép dữ liệu trái phép, tài khoản bị xâm nhập, phần mềm bị tấn công hoặc nhà cung cấp bên thứ ba làm lộ dữ liệu.

Doanh nghiệp cần có quy trình xử lý sự cố gồm:

Cách ghi nhận sự cố;
Cơ chế báo cáo nội bộ;
Phân loại mức độ rủi ro;
Biện pháp cô lập và khắc phục ban đầu;
Đánh giá nghĩa vụ thông báo;
Mẫu biên bản sự cố;
Mẫu báo cáo sự cố;
Cách lưu hồ sơ và phòng ngừa tái diễn.

Checklist nhanh cho doanh nghiệp

Doanh nghiệp có thể tự kiểm tra bước đầu bằng các câu hỏi sau:

1. Doanh nghiệp đã biết mình đang thu thập những loại dữ liệu cá nhân nào chưa?

2. Có danh mục dữ liệu cá nhân theo từng bộ phận chưa?

3. Có xác định rõ mục đích xử lý dữ liệu chưa?

4. Website đã có Chính sách quyền riêng tư chưa?

5. Form liên hệ, form tư vấn, form tuyển dụng đã có thông báo xử lý dữ liệu chưa?

6. Có biểu mẫu hoặc cơ chế ghi nhận sự đồng ý khi cần chưa?

7. Hợp đồng với nhà cung cấp phần mềm, agency, kế toán, nhân sự, vận chuyển đã có điều khoản dữ liệu cá nhân chưa?

8. Có dữ liệu được lưu trữ hoặc chuyển ra nước ngoài không?

9. Đã có hồ sơ đánh giá tác động xử lý dữ liệu cá nhân chưa?

10. Đã có quy trình xử lý yêu cầu và sự cố dữ liệu cá nhân chưa?

Nếu phần lớn câu trả lời là “chưa”, doanh nghiệp nên thực hiện rà soát tuân thủ dữ liệu cá nhân càng sớm càng tốt.

Justeps hỗ trợ doanh nghiệp xử lý dữ liệu cá nhân đúng quy định

Justeps hỗ trợ doanh nghiệp rà soát, xây dựng và chuẩn hóa hệ thống tuân thủ bảo vệ dữ liệu cá nhân, bao gồm:

Rà soát hoạt động xử lý dữ liệu cá nhân;
Phân loại dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm;
Xây dựng bản đồ dữ liệu cá nhân;
Soạn Chính sách quyền riêng tư website;
Soạn chính sách bảo vệ dữ liệu cá nhân nội bộ;
Soạn thông báo xử lý dữ liệu cá nhân;
Soạn biểu mẫu chấp thuận xử lý dữ liệu cá nhân;
Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;
Rà soát hoạt động chuyển dữ liệu cá nhân xuyên biên giới;
Soạn thỏa thuận xử lý dữ liệu với bên thứ ba;
Xây dựng quy trình xử lý yêu cầu của chủ thể dữ liệu;
Xây dựng quy trình xử lý sự cố dữ liệu cá nhân.

Xử lý dữ liệu cá nhân không chỉ là việc phân tích hoặc sử dụng dữ liệu, mà bao gồm toàn bộ các hoạt động tác động đến dữ liệu cá nhân như thu thập, lưu trữ, chỉnh sửa, chia sẻ, chuyển giao, xóa hoặc hủy dữ liệu.

Đối với doanh nghiệp, việc xử lý dữ liệu cá nhân đúng quy định cần bắt đầu từ việc hiểu rõ dữ liệu đang nằm ở đâu, được xử lý vì mục đích gì, ai được truy cập, có chia sẻ cho bên thứ ba không và cần áp dụng biện pháp bảo vệ nào.

Email: info@justepslegal.com