Bảo Vệ Dữ Liệu Cá Nhân Trong Ngành Giáo Dục

Bảo vệ dữ liệu cá nhân trong ngành giáo dục đòi hỏi sự tuân thủ nghiêm ngặt các quy định pháp luật về thông tin học sinh, sinh viên và phụ huynh. Để đảm bảo an toàn và giảm thiểu rủi ro pháp lý, các cơ sở giáo dục cần một giải pháp toàn diện, và DPO.VN sẵn sàng đồng hành cùng bạn. An toàn thông tin học đường, quy định xử lý dữ liệu, tuân thủ pháp luật giáo dục.

Tại sao bảo vệ dữ liệu cá nhân lại cấp thiết đối với ngành giáo dục?

Ngành giáo dục quản lý một khối lượng lớn dữ liệu cá nhân nhạy cảm của học sinh, từ thông tin nhân thân, sức khỏe đến kết quả học tập. Việc bảo vệ các dữ liệu này không chỉ là nghĩa vụ pháp lý theo Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân sắp tới, mà còn là nền tảng xây dựng niềm tin với phụ huynh và bảo vệ an toàn cho trẻ em trên không gian mạng.

Trong môi trường giáo dục, dữ liệu cá nhân không chỉ giới hạn ở họ tên hay ngày sinh. Nó bao gồm một hệ thống thông tin phức tạp và nhạy cảm, là mục tiêu hấp dẫn cho các hành vi xâm phạm. Các loại dữ liệu này bao gồm:

• Dữ liệu cá nhân cơ bản: Họ tên, ngày tháng năm sinh, giới tính, nơi thường trú, quốc tịch, hình ảnh cá nhân của học sinh và phụ huynh.
• Dữ liệu cá nhân nhạy cảm: Tình trạng sức khỏe ghi trong hồ sơ y tế học đường, thông tin về mối quan hệ gia đình, dữ liệu sinh trắc học (vân tay, nhận dạng khuôn mặt cho việc điểm danh), kết quả học tập, đánh giá hạnh kiểm, và các thông tin tài chính của phụ huynh liên quan đến học phí.

Sự rò rỉ hoặc lạm dụng các thông tin này có thể dẫn đến những hậu quả nghiêm trọng: từ việc bắt nạt trực tuyến, lừa đảo nhắm vào phụ huynh, đến các rủi ro lớn hơn về an toàn của trẻ em. Do đó, việc tuân thủ pháp luật không chỉ là tránh các chế tài xử phạt mà còn là trách nhiệm đạo đức cao nhất của mỗi cơ sở giáo dục.

Quy tắc thu thập và xử lý dữ liệu của học sinh, sinh viên là gì?

Mọi hoạt động thu thập và xử lý dữ liệu cá nhân của học sinh phải dựa trên nguyên tắc có sự đồng ý của phụ huynh hoặc người giám hộ, đặc biệt đối với trẻ em. Phạm vi thu thập phải được giới hạn ở mức cần thiết cho mục đích giáo dục và quản lý, đảm bảo tính minh bạch và tuân thủ pháp luật.

Khi nào cần có sự đồng ý của phụ huynh hoặc người giám hộ?

Sự đồng ý của phụ huynh hoặc người giám hộ là bắt buộc đối với việc xử lý dữ liệu cá nhân của trẻ em. Đối với trẻ em từ đủ 7 tuổi trở lên, cần có sự đồng ý của cả trẻ và người đại diện theo pháp luật, đặc biệt khi công bố thông tin đời tư, bí mật cá nhân của trẻ.

Pháp luật Việt Nam đặt ra yêu cầu rất cao về việc bảo vệ quyền lợi của trẻ em. Điều 20 Nghị định 13/2023/NĐ-CP và Điều 24 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đều nhấn mạnh nguyên tắc này. Cụ thể:

• Xử lý dữ liệu cá nhân của trẻ em: Luôn phải có sự đồng ý của cha, mẹ hoặc người giám hộ.
• Trẻ em từ đủ 7 tuổi trở lên: Ngoài sự đồng ý của người đại diện, cần có cả sự đồng ý của chính trẻ em.
• Xác minh tuổi: Cơ sở giáo dục, với vai trò là Bên Kiểm soát dữ liệu, có nghĩa vụ xác minh tuổi của trẻ em trước khi tiến hành xử lý dữ liệu để đảm bảo tuân thủ đúng quy định.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Một sai lầm phổ biến mà chúng tôi thường thấy ở các trường học là việc sử dụng chung một mẫu đơn đồng ý cho mọi hoạt động, từ học tập đến ngoại khóa. Điều này vi phạm nguyên tắc giới hạn mục đích. Mỗi mục đích xử lý dữ liệu, chẳng hạn như đăng ảnh lên website, chia sẻ dữ liệu cho đối tác đưa đón, đều cần có sự đồng ý riêng biệt và rõ ràng từ phụ huynh.

Phạm vi dữ liệu nào được phép thu thập khi tuyển sinh và trong quá trình học tập?

Các cơ sở giáo dục chỉ được phép thu thập dữ liệu cá nhân phù hợp và giới hạn trong phạm vi cần thiết cho mục đích tuyển sinh, giảng dạy, quản lý học sinh và các hoạt động hỗ trợ trực tiếp, tuân thủ nguyên tắc tối thiểu hóa dữ liệu.

Nguyên tắc tối thiểu hóa dữ liệu (Điều 3 Nghị định 13/2023/NĐ-CP) yêu cầu các nhà trường phải tự đặt câu hỏi: Dữ liệu này có thực sự cần thiết cho hoạt động của chúng ta không?

Nhà trường được chia sẻ dữ liệu học sinh với bên thứ ba và công khai hình ảnh như thế nào?

Việc chia sẻ dữ liệu học sinh cho bên thứ ba hoặc công khai hình ảnh, video phải có sự đồng ý rõ ràng của phụ huynh (và học sinh từ 7 tuổi trở lên). Hợp đồng với các đối tác dịch vụ phải có điều khoản chặt chẽ về bảo vệ dữ liệu, và việc công khai thông tin phải tuân thủ mục đích giáo dục, không xâm phạm quyền riêng tư.

Quy định chia sẻ dữ liệu với cơ quan quản lý giáo dục là gì?

Nhà trường được phép chia sẻ dữ liệu học sinh với các cơ quan quản lý nhà nước như Sở, Phòng Giáo dục và Đào tạo để phục vụ hoạt động quản lý theo quy định của pháp luật mà không cần sự đồng ý của chủ thể dữ liệu.

Điều 17 Nghị định 13/2023/NĐ-CP và Điều 19 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định các trường hợp xử lý dữ liệu không cần sự đồng ý, trong đó có việc phục vụ hoạt động của cơ quan nhà nước. Do đó, việc nhà trường báo cáo dữ liệu học sinh cho các cơ quan quản lý cấp trên là hoạt động hợp pháp và bắt buộc. Tuy nhiên, việc chia sẻ phải đảm bảo đúng mục đích, đúng phạm vi yêu cầu và được thực hiện qua các kênh an toàn, bảo mật.

Có được phép chia sẻ thông tin cho các đối tác cung cấp dịch vụ (EdTech, đưa đón) không?

Nhà trường được phép chia sẻ dữ liệu cho đối tác sau khi có sự đồng ý của phụ huynh và phải ký kết hợp đồng hoặc thỏa thuận với đối tác, trong đó quy định rõ trách nhiệm bảo vệ dữ liệu cá nhân.

Khi hợp tác với các bên thứ ba như công ty cung cấp phần mềm quản lý học tập (EdTech), dịch vụ xe buýt, hay suất ăn bán trú, nhà trường đóng vai trò là Bên Kiểm soát dữ liệu cá nhân, còn đối tác là Bên Xử lý dữ liệu cá nhân. Theo Điều 39 Nghị định 13/2023/NĐ-CP, Bên Xử lý dữ liệu chỉ được tiếp nhận và xử lý dữ liệu sau khi có hợp đồng với Bên Kiểm soát.

DPO.VN khuyến nghị hợp đồng phải bao gồm các điều khoản sau:

• Mục đích và phạm vi xử lý dữ liệu được giới hạn chặt chẽ.
• Yêu cầu đối tác áp dụng các biện pháp bảo vệ dữ liệu cá nhân tương đương với nhà trường.
• Quy định rõ trách nhiệm của đối tác trong trường hợp xảy ra sự cố rò rỉ dữ liệu.
• Yêu cầu xóa hoặc trả lại toàn bộ dữ liệu sau khi kết thúc hợp đồng.

Quy định về việc đăng tải hình ảnh, video của học sinh lên website, mạng xã hội ra sao?

Việc đăng tải hình ảnh, video của học sinh lên các nền tảng công cộng phải có sự đồng ý rõ ràng, tự nguyện của phụ huynh (và của học sinh từ 7 tuổi trở lên). Nhà trường phải thông báo rõ mục đích, phạm vi sử dụng và không được công khai hình ảnh mang tính riêng tư hoặc có thể gây ảnh hưởng tiêu cực đến học sinh.

Hình ảnh cá nhân là một loại dữ liệu cá nhân cơ bản được pháp luật bảo vệ. Điều 32 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 cho phép ghi âm, ghi hình tại các hoạt động công cộng như lễ khai giảng, thi đấu thể thao mà không cần sự đồng ý nếu không làm tổn hại đến danh dự, nhân phẩm của chủ thể. Tuy nhiên, để đảm bảo an toàn và sự tin tưởng, việc có được sự đồng ý trước khi đăng tải vẫn là phương pháp tối ưu.

DPO.VN tư vấn các cơ sở giáo dục nên thiết kế mẫu đơn xin phép sử dụng hình ảnh riêng, trong đó phụ huynh có thể lựa chọn đồng ý hoặc không đồng ý cho từng mục đích cụ thể (ví dụ: website trường, fanpage Facebook, ấn phẩm quảng cáo).

Làm thế nào để xây dựng chính sách và biện pháp bảo vệ dữ liệu cho một cơ sở giáo dục?

Cơ sở giáo dục cần xây dựng một chính sách bảo vệ dữ liệu cá nhân toàn diện, chỉ định bộ phận hoặc nhân sự phụ trách, áp dụng các biện pháp bảo mật cả về quản lý và kỹ thuật, đồng thời thường xuyên đào tạo, nâng cao nhận thức cho toàn bộ cán bộ, giáo viên, nhân viên.

Xây dựng một khung chính sách vững chắc là bước đầu tiên để tuân thủ pháp luật và bảo vệ dữ liệu một cách hiệu quả. Quá trình này không chỉ là công việc của bộ phận IT hay pháp chế mà cần sự tham gia của toàn bộ tổ chức.

• Bước 1: Rà soát và Phân loại Dữ liệu: Xác định tất cả các loại dữ liệu cá nhân đang được thu thập và xử lý, từ hồ sơ tuyển sinh, học bạ điện tử, đến dữ liệu từ camera an ninh. Phân loại chúng thành dữ liệu cơ bản và dữ liệu nhạy cảm.
• Bước 2: Xây dựng Chính sách: Soạn thảo văn bản Chính sách Bảo vệ Dữ liệu Cá nhân, trong đó nêu rõ các nguyên tắc bảo vệ dữ liệu cá nhân, quyền của chủ thể dữ liệu, trách nhiệm của từng phòng ban, và quy trình xử lý dữ liệu.
• Bước 3: Chỉ định Nhân sự Phụ trách: Theo Điều 28 Nghị định 13/2023/NĐ-CP, việc xử lý dữ liệu cá nhân nhạy cảm yêu cầu chỉ định bộ phận và nhân sự phụ trách bảo vệ dữ liệu cá nhân (DPO).
• Bước 4: Áp dụng các Biện pháp Bảo vệ:
  • Biện pháp quản lý: Ban hành quy chế nội bộ, tổ chức đào tạo, phổ biến kiến thức cho giáo viên, nhân viên về tầm quan trọng của việc bảo vệ thông tin học sinh.
  • Biện pháp kỹ thuật: Mã hóa các cơ sở dữ liệu quan trọng, sử dụng tường lửa, phần mềm chống virus, kiểm soát truy cập chặt chẽ vào hệ thống thông tin, và thường xuyên sao lưu dữ liệu.
• Bước 5: Lập Hồ sơ Đánh giá Tác động: Thực hiện và nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định tại Điều 24 Nghị định 13/2023/NĐ-CP.

Quyền của phụ huynh, học sinh và nghĩa vụ tương ứng của nhà trường là gì?

Phụ huynh và học sinh có các quyền cơ bản như quyền được biết, truy cập, chỉnh sửa và yêu cầu xóa dữ liệu của mình. Tương ứng, nhà trường có nghĩa vụ phải tạo điều kiện, cung cấp cơ chế và phản hồi các yêu cầu này một cách kịp thời theo quy định của pháp luật.

Mối quan hệ giữa nhà trường và gia đình học sinh trong việc quản lý dữ liệu được xây dựng trên cơ sở các quyền và nghĩa vụ rõ ràng theo Điều 9 và Điều 10 của Nghị định 13/2023/NĐ-CP.

Quy tắc lưu trữ, hủy bỏ hồ sơ học sinh và trách nhiệm pháp lý của nhà trường là gì?

Hồ sơ học sinh phải được lưu trữ theo thời hạn quy định của ngành giáo dục và pháp luật về lưu trữ, sau đó phải được hủy bỏ một cách an toàn. Nhà trường chịu trách nhiệm pháp lý cao nhất khi để xảy ra sự cố lộ, mất dữ liệu, phải thông báo cho cơ quan chức năng trong 72 giờ và có thể đối mặt với các chế tài nghiêm khắc.

Hồ sơ học sinh sau khi ra trường hoặc chuyển trường phải được lưu trữ trong bao lâu?

Thời gian lưu trữ hồ sơ học sinh tuân theo các quy định của Bộ Giáo dục và Đào tạo và Luật Lưu trữ. Sau khi hết thời hạn lưu trữ bắt buộc, nhà trường phải tiến hành hủy bỏ hồ sơ một cách an toàn nếu không có yêu cầu lưu trữ khác.

Nguyên tắc giới hạn lưu trữ (Điều 3 Nghị định 13/2023/NĐ-CP) yêu cầu dữ liệu chỉ được giữ lại trong khoảng thời gian cần thiết. Đối với ngành giáo dục, thời gian này thường được quy định trong các văn bản chuyên ngành. Ví dụ, học bạ, sổ đăng bộ có thể có thời hạn lưu trữ vĩnh viễn hoặc rất dài. Các cơ sở giáo dục cần xây dựng một chính sách lưu trữ rõ ràng, xác định thời hạn cho từng loại tài liệu và có quy trình hủy bỏ an toàn (xóa không thể khôi phục đối với dữ liệu số, hủy vật lý đối với tài liệu giấy) khi hết thời hạn.

Trách nhiệm của nhà trường khi để xảy ra sự cố lộ, mất dữ liệu học sinh là gì?

Khi xảy ra sự cố, nhà trường phải ngay lập tức triển khai các biện pháp khắc phục, đồng thời thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an chậm nhất 72 giờ kể từ khi phát hiện.

Điều 23 Nghị định 13/2023/NĐ-CP quy định rất rõ về trách nhiệm thông báo vi phạm. Cụ thể, nhà trường phải:

• Thông báo kịp thời: Gửi thông báo bằng văn bản theo Mẫu số 03a tại Phụ lục của Nghị định 13 cho Cục A05 – Bộ Công an trong vòng 72 giờ. Nếu thông báo trễ, phải nêu rõ lý do.
• Cung cấp đầy đủ thông tin: Nội dung thông báo phải mô tả tính chất của vi phạm, loại dữ liệu và số lượng bị ảnh hưởng, hậu quả có thể xảy ra và các biện pháp đã và sẽ áp dụng để khắc phục.
• Phối hợp xử lý: Lập biên bản xác nhận vi phạm và phối hợp chặt chẽ với cơ quan chức năng để điều tra, xử lý.

Việc không tuân thủ quy định này có thể dẫn đến các chế tài xử phạt hành chính nghiêm khắc, thậm chí truy cứu trách nhiệm hình sự nếu gây hậu quả nghiêm trọng, đồng thời ảnh hưởng nặng nề đến uy tín của cơ sở giáo dục.

Các Câu Hỏi Thường Gặp Về Bảo Vệ Dữ Liệu Cá Nhân Trong Giáo Dục

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15
• UNESCO (2023), The new global report on technology in education.
• Bộ Giáo dục và Đào tạo Việt Nam – Các văn bản quy phạm pháp luật.
• Student Privacy Compass – The Future of Privacy Forum (FPF).