Bảo vệ dữ liệu cá nhân trong ngành du lịch, khách sạn

Bảo vệ dữ liệu cá nhân trong ngành du lịch, khách sạn đòi hỏi sự tuân thủ nghiêm ngặt các quy định về thu thập, xử lý và lưu trữ thông tin khách hàng để đảm bảo an toàn và nâng cao uy tín. Giải pháp toàn diện từ DPO.VN giúp doanh nghiệp của bạn đáp ứng đầy đủ yêu cầu pháp lý, từ đó xây dựng niềm tin và phát triển bền vững. An toàn thông tin, tuân thủ pháp luật, quản lý rủi ro.

Doanh nghiệp du lịch, khách sạn cần tuân thủ những quy định pháp lý nào về bảo vệ dữ liệu cá nhân?

Doanh nghiệp phải tuân thủ chặt chẽ Nghị định 13/2023/NĐ-CP, Luật An ninh mạng 24/2018/QH14, và chuẩn bị cho Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Các văn bản này tạo ra một khuôn khổ pháp lý toàn diện, yêu cầu doanh nghiệp phải có trách nhiệm cao trong việc thu thập, xử lý, và bảo mật thông tin của khách hàng.

Ngành du lịch, khách sạn, với đặc thù xử lý một khối lượng lớn dữ liệu cá nhân đa dạng của khách hàng trong và ngoài nước, đang đối mặt với những yêu cầu pháp lý ngày càng khắt khe. Việc am hiểu và áp dụng đúng các quy định không chỉ là nghĩa vụ mà còn là yếu tố sống còn giúp doanh nghiệp xây dựng niềm tin và lợi thế cạnh tranh.

Luật sư Nguyễn Tiến Hảo của DPO.VN chia sẻ: “Nhiều đơn vị trong ngành khách sạn vẫn còn lúng túng trong việc phân biệt giữa các loại dữ liệu và áp dụng biện pháp bảo vệ tương ứng. Ví dụ, thông tin hộ chiếu, thẻ tín dụng, và thậm chí cả các yêu cầu đặc biệt về sức khỏe (dị ứng thực phẩm) đều là dữ liệu nhạy cảm, đòi hỏi mức độ bảo vệ cao hơn hẳn so với dữ liệu cơ bản như tên hay email”.

Các văn bản pháp luật chính mà doanh nghiệp cần tập trung bao gồm:

• Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân: Đây là văn bản cốt lõi, quy định chi tiết về các nguyên tắc, quyền của chủ thể dữ liệu, và trách nhiệm của các bên liên quan trong mọi hoạt động xử lý dữ liệu cá nhân.
• Luật An ninh mạng 24/2018/QH14 và Nghị định 53/2022/NĐ-CP: Các văn bản này đặt ra yêu cầu về việc bảo vệ hệ thống thông tin, đặc biệt là các hệ thống quản lý khách sạn (PMS), hệ thống đặt phòng trực tuyến, và nghĩa vụ lưu trữ một số loại dữ liệu tại Việt Nam.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (hiệu lực từ 01/01/2026): Sẽ thay thế Nghị định 13, luật hóa các quy định với những yêu cầu chặt chẽ hơn và chế tài xử phạt nghiêm khắc hơn, đặc biệt với các hành vi như mua bán dữ liệu trái phép hay vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài.

Việc tuân thủ các quy định này giúp doanh nghiệp tránh được các rủi ro pháp lý và xây dựng được một nền tảng kinh doanh bền vững dựa trên sự tin cậy của khách hàng.

Làm thế nào để thu thập dữ liệu khách hàng tại quầy lễ tân và qua kênh đặt phòng trực tuyến đúng luật?

Doanh nghiệp phải thông báo rõ ràng mục đích thu thập, chỉ yêu cầu các thông tin cần thiết (CCCD/Hộ chiếu để khai báo tạm trú), và có được sự đồng ý hợp lệ của khách hàng. Sự đồng ý phải được thể hiện minh bạch, không dùng các ô đánh dấu sẵn và phải lưu lại bằng chứng về sự đồng ý đó.

Thu thập dữ liệu là bước đầu tiên và quan trọng nhất trong quy trình xử lý. Sai sót ở giai đoạn này có thể dẫn đến vi phạm hệ thống. Doanh nghiệp cần triển khai một quy trình chuẩn hóa, tuân thủ các nguyên tắc cốt lõi của pháp luật.

Quy trình thu thập tại quầy lễ tân (check-in) cần thực hiện như thế nào?

Nhân viên cần thông báo cho khách hàng về mục đích thu thập thông tin (ví dụ, để làm thủ tục khai báo tạm trú theo quy định). Chỉ được phép sao chụp hoặc ghi lại những thông tin cần thiết, và phải có biện pháp bảo vệ ngay các bản sao giấy tờ đó, tránh để công khai trên quầy.

DPO.VN hướng dẫn quy trình 4 bước để đảm bảo tuân thủ khi khách hàng làm thủ tục nhận phòng:

1. Thông báo minh bạch: Trước khi yêu cầu giấy tờ tùy thân (CCCD/Hộ chiếu), nhân viên lễ tân phải thông báo rõ cho khách hàng về mục đích của việc thu thập thông tin này, chủ yếu là để thực hiện nghĩa vụ khai báo tạm trú với cơ quan công an theo quy định của pháp luật.
2. Tối thiểu hóa dữ liệu: Chỉ thu thập những thông tin thực sự cần thiết cho mục đích đã nêu. Tránh yêu cầu các thông tin không liên quan như nghề nghiệp, tình trạng hôn nhân nếu không phục vụ cho một mục đích hợp pháp đã được thông báo trước.
3. Lấy sự đồng ý riêng biệt: Nếu khách sạn muốn sử dụng thông tin (email, số điện thoại) cho các mục đích khác như marketing, gửi khuyến mãi, cần có một hình thức lấy sự đồng ý của chủ thể dữ liệu riêng, ví dụ như một ô tick trong phiếu đăng ký (không được đánh dấu sẵn).
4. Bảo mật ngay lập tức: Các bản sao giấy tờ tùy thân của khách phải được cất giữ an toàn ngay sau khi hoàn tất thủ tục, không được để hớ hênh trên bàn làm việc, nơi người khác có thể nhìn thấy hoặc chụp lại.

Làm sao để đảm bảo tuân thủ khi khách hàng đặt phòng qua website và các nền tảng OTA?

Doanh nghiệp cần tích hợp Chính sách quyền riêng tư rõ ràng trên website/ứng dụng. Quá trình đặt phòng phải có các hộp kiểm (checkbox) không đánh dấu sẵn để khách hàng chủ động đồng ý với các mục đích xử lý dữ liệu khác nhau (ví dụ: một cho xử lý đặt phòng, một cho nhận tin quảng cáo).

Đối với các kênh trực tuyến, việc thu thập sự đồng ý cần được thiết kế một cách minh bạch và chủ động. Theo Điều 11 Nghị định 13/2023/NĐ-CP, sự im lặng hoặc không phản hồi không được coi là sự đồng ý. Do đó:

• Chính sách quyền riêng tư dễ tiếp cận: Phải có một đường dẫn đến Chính sách Bảo vệ Dữ liệu Cá nhân ở vị trí dễ thấy trên trang đặt phòng, giải thích chi tiết về việc dữ liệu được thu thập, sử dụng và bảo vệ như thế nào.
• Cơ chế đồng ý chi tiết (Granular Consent): Thay vì một nút đồng ý chung chung, hãy tách bạch các mục đích. Ví dụ:
  • [ ] Tôi đồng ý xử lý dữ liệu để hoàn tất đặt phòng này. (Bắt buộc)
  • [ ] Tôi muốn nhận các ưu đãi và thông tin khuyến mãi qua email. (Tùy chọn)
  • [ ] Tôi đồng ý tham gia chương trình khách hàng thân thiết. (Tùy chọn)
• Hợp đồng với OTA: Khi làm việc với các Nền tảng Đặt phòng Trực tuyến (OTA) như Agoda, Booking.com, khách sạn cần có thỏa thuận rõ ràng về vai trò và trách nhiệm của mỗi bên trong việc bảo vệ dữ liệu khách hàng, xác định ai là Bên Kiểm soát và ai là Bên Xử lý dữ liệu.

Việc sử dụng dữ liệu khách hàng cho marketing và chăm sóc khách hàng cần tuân thủ những quy định gì?

Doanh nghiệp chỉ được sử dụng dữ liệu cho marketing khi có sự đồng ý rõ ràng, riêng biệt từ khách hàng cho mục đích này. Mỗi thông điệp marketing phải cung cấp tùy chọn từ chối nhận tin một cách dễ dàng. Việc phân tích lịch sử lưu trú để cá nhân hóa ưu đãi cũng cần sự đồng ý trước.

Sử dụng dữ liệu để tăng doanh thu là mục tiêu chính đáng, nhưng phải được thực hiện trong khuôn khổ pháp luật. Điều 21 Nghị định 13/2023/NĐ-CP đặt ra các yêu cầu cụ thể cho hoạt động bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo và tiếp thị.

• Nguyên tắc Opt-in: Doanh nghiệp không được tự động thêm khách hàng vào danh sách marketing. Khách hàng phải chủ động thực hiện một hành động để đồng ý (ví dụ: tick vào ô đồng ý, điền vào form đăng ký nhận tin).
• Quyền từ chối (Opt-out): Mọi email, tin nhắn quảng cáo đều phải có hướng dẫn rõ ràng và đơn giản để khách hàng có thể hủy đăng ký hoặc từ chối nhận các thông điệp tương tự trong tương lai. Doanh nghiệp phải tôn trọng và thực hiện ngay lập tức yêu cầu này.
• Chương trình khách hàng thân thiết: Việc đăng ký thành viên cho chương trình khách hàng thân thiết cũng cần sự đồng ý tự nguyện. Chính sách của chương trình phải nêu rõ các loại dữ liệu nào được thu thập (lịch sử chi tiêu, sở thích…) và chúng được dùng để làm gì (cá nhân hóa ưu đãi, phân hạng thành viên…).
• Phân tích dữ liệu: Việc phân tích lịch sử đặt phòng, sở thích, hay các dữ liệu khác để tạo ra các gói ưu đãi cá nhân hóa được xem là một hoạt động xử lý dữ liệu và cần có sự đồng ý của khách hàng.

Một ví dụ điển hình về tuân thủ tốt là khi một chuỗi khách sạn gửi email cho khách hàng cũ với nội dung: “Cảm ơn quý khách đã lựa chọn chúng tôi. Nếu quý khách muốn nhận các ưu đãi đặc biệt trong tương lai, vui lòng nhấn vào đây để đăng ký”. Cách tiếp cận này tôn trọng quyền riêng tư và xây dựng mối quan hệ lâu dài với khách hàng.

Doanh nghiệp phải làm gì khi chia sẻ dữ liệu khách hàng với bên thứ ba hoặc chuyển dữ liệu ra nước ngoài?

Khi chia sẻ dữ liệu với đối tác, doanh nghiệp phải có hợp đồng xử lý dữ liệu, nêu rõ trách nhiệm bảo mật của mỗi bên. Khi chuyển dữ liệu ra nước ngoài, bắt buộc phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và nộp cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) trong vòng 60 ngày.

Trong ngành du lịch, việc hợp tác với các đối tác là không thể tránh khỏi. Tuy nhiên, mỗi khi dữ liệu được chia sẻ, rủi ro bị xâm phạm lại tăng lên.

Trách nhiệm khi làm việc với các đối tác trong nước là gì?

Doanh nghiệp phải thông báo cho khách hàng về việc chia sẻ dữ liệu và ký kết hợp đồng hoặc thỏa thuận xử lý dữ liệu với đối tác, trong đó quy định rõ mục đích, phạm vi chia sẻ, và các biện pháp bảo mật mà đối tác phải tuân thủ.

Khi một khách sạn chia sẻ danh sách khách (tên, số điện thoại, lịch trình) cho một công ty vận chuyển để sắp xếp xe đưa đón sân bay, khách sạn (Bên Kiểm soát) phải:

• Thông báo và có sự đồng ý: Thông báo cho khách hàng rằng thông tin của họ sẽ được chia sẻ với đối tác vận chuyển để thực hiện dịch vụ.
• Ký thỏa thuận xử lý dữ liệu: Lập một hợp đồng với công ty vận chuyển (Bên Xử lý), yêu cầu họ chỉ sử dụng dữ liệu cho mục đích đưa đón, phải bảo mật thông tin và xóa dữ liệu sau khi hoàn thành dịch vụ.
• Giới hạn thông tin: Chỉ chia sẻ những thông tin tối thiểu cần thiết. Ví dụ, không cần chia sẻ số hộ chiếu hay thông tin thẻ tín dụng của khách cho đối tác vận chuyển.

Thủ tục bắt buộc khi chuyển dữ liệu khách hàng ra nước ngoài là gì?

Doanh nghiệp phải hoàn thành Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Mẫu Đ25-DLCN-04, có được sự đồng ý của khách hàng, và nộp hồ sơ này cho Cục A05 trong vòng 60 ngày kể từ ngày tiến hành chuyển dữ liệu. Sau khi chuyển thành công, phải có văn bản thông báo cho Cục A05.

Đây là một trong những yêu cầu phức tạp và nghiêm ngặt nhất, đặc biệt đối với các chuỗi khách sạn quốc tế. Theo Điều 25 Nghị định 13/2023/NĐ-CP, quy trình này bao gồm các bước không thể bỏ qua:

1. Lập Hồ sơ đánh giá tác động: Doanh nghiệp phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Hồ sơ này phải phân tích chi tiết các rủi ro, biện pháp bảo vệ, và chứng minh việc chuyển dữ liệu là cần thiết và an toàn.
2. Gửi hồ sơ cho cơ quan chức năng: Nộp 01 bản chính của hồ sơ tới Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an trong thời hạn 60 ngày kể từ khi bắt đầu hoạt động chuyển dữ liệu.
3. Thông báo sau khi chuyển: Sau khi việc chuyển dữ liệu diễn ra thành công, doanh nghiệp phải gửi văn bản thông báo cho Cục A05.
4. Cập nhật khi có thay đổi: Nếu có bất kỳ sự thay đổi nào trong nội dung hồ sơ (ví dụ: thay đổi đối tác nhận dữ liệu, thay đổi biện pháp bảo mật), doanh nghiệp phải cập nhật và nộp lại hồ sơ theo Mẫu số 05a hoặc 05b.

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 cũng đã đưa ra một số trường hợp miễn trừ nghĩa vụ này, chẳng hạn như khi một tổ chức lưu trữ dữ liệu người lao động trên dịch vụ điện toán đám mây của nhà cung cấp nước ngoài. Tuy nhiên, việc lưu trữ dữ liệu khách hàng của khách sạn thường không thuộc trường hợp này và vẫn phải tuân thủ nghiêm ngặt.

Làm thế nào để đảm bảo an ninh vật lý và kỹ thuật, đặc biệt với hệ thống camera giám sát và PMS?

Doanh nghiệp phải lắp đặt camera ở khu vực công cộng và đặt biển báo rõ ràng. Hệ thống PMS và các hệ thống khác phải được bảo vệ bằng các biện pháp kỹ thuật như mã hóa, tường lửa, kiểm soát truy cập nghiêm ngặt và thường xuyên kiểm tra lỗ hổng bảo mật.

Bảo mật là nguyên tắc nền tảng được quy định tại Điều 3.6 Nghị định 13/2023/NĐ-CP và Điều 3.4 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Doanh nghiệp phải áp dụng đồng bộ các biện pháp bảo vệ dữ liệu cá nhân.

Quy định về lắp đặt camera giám sát trong khách sạn là gì?

Camera chỉ được lắp đặt tại các khu vực chung như sảnh, hành lang, lối ra vào, bãi đỗ xe vì mục đích an ninh. Nghiêm cấm lắp đặt camera trong các khu vực riêng tư như phòng ở, phòng tắm, phòng thay đồ. Phải có biển báo rõ ràng tại các khu vực có camera để thông báo cho khách hàng.

Điều 18 Nghị định 13/2023/NĐ-CP và Điều 32 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 cho phép xử lý dữ liệu từ hoạt động ghi hình tại nơi công cộng vì mục đích an ninh mà không cần sự đồng ý, nhưng phải thông báo cho chủ thể dữ liệu.

• Vị trí lắp đặt: Chỉ giới hạn ở các không gian công cộng.
• Biển báo: Phải có các biển báo như “Khu vực này có camera giám sát an ninh” đặt ở vị trí dễ quan sát.
• Kiểm soát truy cập: Dữ liệu từ camera phải được bảo mật, chỉ những nhân viên an ninh có thẩm quyền mới được truy cập.
• Lưu trữ có giới hạn: Dữ liệu ghi hình chỉ nên được lưu trữ trong một khoảng thời gian hợp lý (ví dụ 7-30 ngày) rồi ghi đè, trừ khi cần thiết cho việc điều tra một sự cố cụ thể.

Hệ thống quản lý khách sạn (PMS) cần đáp ứng tiêu chuẩn bảo mật nào?

PMS phải tuân thủ các biện pháp kỹ thuật như mã hóa cơ sở dữ liệu (đặc biệt là thông tin thanh toán), phân quyền truy cập chi tiết cho từng nhân viên, ghi lại nhật ký truy cập, và thường xuyên được cập nhật, vá lỗi bảo mật từ nhà cung cấp.

Hệ thống PMS là “trái tim” chứa đựng toàn bộ dữ liệu nhạy cảm của khách hàng. Theo Điều 27 Nghị định 13/2023/NĐ-CP, doanh nghiệp phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân cơ bản và các biện pháp tăng cường đối với dữ liệu nhạy cảm.

• Mã hóa dữ liệu: Toàn bộ cơ sở dữ liệu khách hàng, đặc biệt là thông tin thẻ tín dụng, phải được mã hóa cả khi lưu trữ và khi truyền đi.
• Kiểm soát truy cập theo vai trò: Nhân viên lễ tân chỉ nên thấy thông tin đặt phòng, nhân viên kế toán chỉ thấy thông tin thanh toán, và chỉ quản lý cấp cao mới có quyền truy cập toàn bộ.
• Ghi nhật ký (Logging): Mọi hành động truy cập, chỉnh sửa, hay xóa dữ liệu trên hệ thống PMS đều phải được ghi lại để phục vụ cho việc truy vết khi có sự cố.
• Bảo mật vật lý: Máy chủ chứa hệ thống PMS phải được đặt trong phòng máy chủ an toàn, có kiểm soát ra vào nghiêm ngặt.

Nghĩa vụ lưu trữ và xóa/hủy dữ liệu khách hàng sau khi trả phòng được quy định như thế nào?

Doanh nghiệp phải lưu trữ dữ liệu theo thời hạn quy định của pháp luật chuyên ngành (như khai báo tạm trú, kế toán). Sau khi hết thời hạn lưu trữ và mục đích xử lý ban đầu đã hoàn thành, doanh nghiệp bắt buộc phải xóa hoặc hủy dữ liệu một cách an toàn để không thể khôi phục.

Nguyên tắc giới hạn lưu trữ (Điều 3.7 Nghị định 13/2023/NĐ-CP) và quyền yêu cầu xóa dữ liệu (Điều 9.5 Nghị định 13/2023/NĐ-CP) là hai khía cạnh quan trọng mà doanh nghiệp cần cân bằng.

• Thời gian lưu trữ bắt buộc: Một số thông tin phải được lưu trữ theo quy định pháp luật. Ví dụ, thông tin khai báo tạm trú cho khách du lịch cần được lưu trữ theo quy định của Luật Nhập cảnh, xuất cảnh, quá cảnh, cư trú của người nước ngoài tại Việt Nam. Các hóa đơn, chứng từ thanh toán phải được lưu trữ theo quy định của Luật Kế toán.
• Thời gian lưu trữ cho mục đích kinh doanh: Đối với dữ liệu phục vụ mục đích kinh doanh (ví dụ: chương trình khách hàng thân thiết), doanh nghiệp có thể lưu trữ lâu hơn, nhưng phải dựa trên sự đồng ý của khách hàng và phải nêu rõ thời gian lưu trữ trong chính sách của mình.
• Nghĩa vụ xoá huỷ dữ liệu cá nhân của khách hàng: Theo Điều 16 Nghị định 13/2023/NĐ-CP, khi không còn cần thiết cho mục đích thu thập ban đầu, hoặc khi khách hàng rút lại sự đồng ý và yêu cầu xóa, doanh nghiệp phải thực hiện xóa dữ liệu trong vòng 72 giờ. Quy trình xóa phải đảm bảo dữ liệu không thể khôi phục được.
• Xóa dữ liệu nhạy cảm: Đặc biệt, thông tin thẻ tín dụng nên được xóa hoặc mã hóa (tokenization) ngay sau khi giao dịch thanh toán hoàn tất và giai đoạn khiếu nại kết thúc, trừ khi khách hàng đồng ý lưu lại để tiện cho các lần đặt phòng sau.

Luật sư Nguyễn Tiến Hảo nhấn mạnh: “Việc xây dựng một Lịch trình lưu trữ dữ liệu (Data Retention Schedule) là một thực hành tốt nhất. Nó giúp doanh nghiệp tự động hóa quy trình xóa dữ liệu, vừa tuân thủ pháp luật vừa giảm thiểu rủi ro dữ liệu bị tồn đọng và lạm dụng.”

Việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân trong ngành du lịch, khách sạn không chỉ là một nghĩa vụ pháp lý mà còn là một chiến lược kinh doanh thông minh. Bằng cách xây dựng một môi trường an toàn và minh bạch, doanh nghiệp có thể nâng cao niềm tin của khách hàng, tạo ra lợi thế cạnh tranh và phát triển một cách bền vững trong kỷ nguyên số.

Các Câu Hỏi Thường Gặp Về Bảo Vệ Dữ Liệu Cá Nhân Ngành Du Lịch, Khách Sạn

Tài liệu tham khảo

• Cổng thông tin điện tử Bộ Công an.
• Nghị định 13/2023/NĐ-CP.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15
• Báo cáo về An ninh mạng trong ngành Khách sạn của PwC (PwC Hospitality Cybersecurity Report).
• Cổng Dịch vụ công Quốc gia – Thủ tục về bảo vệ dữ liệu cá nhân.
• Tạp chí Du lịch Việt Nam – Chuyển đổi số và bảo mật thông tin.