Xử lý dữ liệu cá nhân là gì theo Luật bảo vệ dữ liệu cá nhân

Luật sư Nguyễn Tiến Hảo Góc nhìn chuyên gia DPO.VN
Xu-ly-du-lieu-ca-nhan-la-gi-theo-Luat-bao-ve-du-lieu-ca-nhan

Xử lý dữ liệu cá nhân là gì và các hoạt động nào của doanh nghiệp bị điều chỉnh là câu hỏi cấp bách nhất hiện nay, đòi hỏi giải pháp tuân thủ toàn diện từ DPO.VN để đảm bảo hoạt động hợp pháp. Việc hiểu đúng bản chất các hoạt động tác động đến thông tin cá nhân giúp doanh nghiệp xác định chính xác nghĩa vụ và tránh rủi ro pháp lý.

Xử lý dữ liệu cá nhân là gì theo quy định pháp luật Việt Nam?

Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, từ thu thập, ghi, phân tích đến lưu trữ, chia sẻ, xóa, hủy và các hành động liên quan khác, được quy định cụ thể tại Nghị định 13/2023/NĐ-CP và sẽ được làm rõ hơn trong Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ 01/01/2026.

Hiểu đúng định nghĩa pháp lý về hoạt động xử lý dữ liệu cá nhân là bước đầu tiên và quan trọng nhất để doanh nghiệp xây dựng một chiến lược tuân thủ hiệu quả. Pháp luật Việt Nam đã có những định nghĩa rất rõ ràng, giúp các tổ chức nhận diện chính xác phạm vi trách nhiệm của mình.

Hiện tại, theo Khoản 7 Điều 2 Nghị định 13/2023/NĐ-CP, hoạt động này bao gồm một loạt các hành động tác động đến dữ liệu cá nhân. Sắp tới, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (có hiệu lực từ 01/01/2026) tại Khoản 6 Điều 2 đã tinh gọn và làm rõ hơn định nghĩa này, bổ sung các hoạt động như tổng hợp, mã hóa, giải mã, và khử nhận dạng.

Hoạt động xử lý dữ liệu cá nhân (Nghị định 13/2023/NĐ-CP) Hoạt động xử lý dữ liệu cá nhân (Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15)
Thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan. Thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Điểm mới quan trọng trong Luật Bảo vệ dữ liệu cá nhân là việc bổ sung và làm rõ các hoạt động như tổng hợp và khử nhận dạng. Điều này cho thấy pháp luật đang tiến gần hơn đến các chuẩn mực quốc tế, đòi hỏi doanh nghiệp phải có cách tiếp cận tinh vi và trách nhiệm hơn trong việc quản lý vòng đời của dữ liệu.

Những hoạt động nào trong doanh nghiệp được xem là xử lý dữ liệu cá nhân?

Hầu hết các hoạt động hàng ngày của doanh nghiệp đều là xử lý dữ liệu cá nhân, từ tuyển dụng, quản lý nhân sự, chăm sóc khách hàng, marketing, bán hàng cho đến đảm bảo an ninh hệ thống. Việc nhận diện đúng các hoạt động này là yêu cầu bắt buộc để tuân thủ pháp luật.

nhung-hoat-dong-trong-doanh-nghiep-duoc-xem-la-xu-ly-du-lieu-ca-nhan
Những hoạt động nào trong doanh nghiệp được xem là xử lý dữ liệu cá nhân?

Nhiều doanh nghiệp vẫn lầm tưởng rằng chỉ những hoạt động phức tạp như phân tích dữ liệu lớn mới là xử lý dữ liệu. Thực tế, định nghĩa này bao trùm các hoạt động rất phổ biến. Việc xác định rõ các hoạt động này giúp doanh nghiệp áp dụng đúng các biện pháp bảo vệ và thực hiện các nghĩa vụ pháp lý tương ứng.

  • Hoạt động Nhân sự (HR):
    • Thu thập: Nhận và lưu trữ CV, hồ sơ ứng viên.
    • Lưu trữ: Quản lý thông tin cá nhân của nhân viên trong hợp đồng lao động, hồ sơ bảo hiểm xã hội, thông tin liên lạc khẩn cấp.
    • Phân tích: Đánh giá hiệu suất làm việc của nhân viên.
  • Hoạt động Kinh doanh & Marketing:
    • Thu thập: Lấy thông tin khách hàng qua form đăng ký, khảo sát, hoặc khi mua hàng.
    • Lưu trữ: Nhập và quản lý thông tin khách hàng trên hệ thống CRM.
    • Phân tích: Theo dõi hành vi người dùng trên website, ứng dụng để cá nhân hóa trải nghiệm.
    • Chia sẻ/Cung cấp: Gửi email marketing, tin nhắn quảng cáo (SMS), hoặc gọi điện thoại tư vấn.
  • Hoạt động Công nghệ thông tin (IT) và An ninh:
    • Ghi/Truy xuất: Ghi lại nhật ký truy cập (log) của người dùng vào hệ thống nội bộ.
    • Giám sát: Sử dụng camera an ninh có ghi hình tại nơi làm việc.
    • Sao chép/Lưu trữ: Sao lưu (backup) cơ sở dữ liệu chứa thông tin khách hàng và nhân viên.

Chỉ cần một trong các hoạt động trên được thực hiện, doanh nghiệp đã tham gia vào quá trình xử lý dữ liệu cá nhân và phải tuân thủ các quy định pháp luật.

Các bên liên quan trong hoạt động xử lý dữ liệu cá nhân có vai trò và trách nhiệm gì?

Pháp luật phân định rõ bốn vai trò chính: Bên Kiểm soát, Bên Xử lý, Bên Kiểm soát và Xử lý đồng thời, và Bên thứ ba. Mỗi vai trò có trách nhiệm pháp lý riêng biệt, trong đó Bên Kiểm soát dữ liệu cá nhân là bên chịu trách nhiệm cao nhất trước chủ thể dữ liệu.

Việc phân biệt rõ vai trò là yếu tố then chốt để xác định đúng nghĩa vụ pháp lý, đặc biệt là nghĩa vụ lập và nộp Hồ sơ đánh giá tác động.

Vai trò Định nghĩa Trách nhiệm chính
Bên Kiểm soát dữ liệu cá nhân Tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu. Chịu trách nhiệm cao nhất, phải lập và nộp Hồ sơ đánh giá tác động (Mẫu Đ24-DLCN-01), đảm bảo quyền của chủ thể dữ liệu.
Bên Xử lý dữ liệu cá nhân Tổ chức, cá nhân xử lý dữ liệu thay mặt cho Bên Kiểm soát thông qua hợp đồng. Chỉ xử lý dữ liệu theo hợp đồng, phải có các biện pháp bảo vệ phù hợp. Phải lập và lưu trữ Hồ sơ đánh giá tác động (Mẫu Đ24-DLCN-02).
Bên Kiểm soát và xử lý dữ liệu cá nhân Tổ chức, cá nhân vừa quyết định mục đích, phương tiện, vừa trực tiếp xử lý. Gánh vác toàn bộ trách nhiệm của cả Bên Kiểm soát và Bên Xử lý.
Bên thứ ba Tổ chức, cá nhân ngoài các bên trên được phép xử lý dữ liệu. Phải tuân thủ các quy định như các bên khác và lập, lưu trữ Hồ sơ đánh giá tác động (Mẫu Đ24-DLCN-03).

Ví dụ, một công ty bán lẻ (Bên Kiểm soát) thuê một đơn vị cung cấp dịch vụ email marketing (Bên Xử lý). Công ty bán lẻ quyết định danh sách khách hàng và nội dung email, do đó họ chịu trách nhiệm chính. Đơn vị email marketing chỉ thực hiện gửi email theo yêu cầu và phải bảo mật danh sách khách hàng đó.

Doanh nghiệp cần tuân thủ những nguyên tắc cốt lõi nào khi thực hiện hoạt động xử lý dữ liệu cá nhân?

Mọi hoạt động xử lý dữ liệu cá nhân phải tuân thủ các nguyên tắc bất biến về tính hợp pháp, minh bạch, giới hạn mục đích, tối thiểu hóa dữ liệu, tính chính xác, giới hạn lưu trữ, bảo mật và trách nhiệm giải trình. Đây là kim chỉ nam cho mọi hành động của doanh nghiệp.

Các nguyên tắc này được quy định tại Điều 3 của cả Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân, là nền tảng của toàn bộ khung pháp lý. Việc vi phạm bất kỳ nguyên tắc nào cũng có thể dẫn đến rủi ro pháp lý nghiêm trọng.

  • Hợp pháp và Minh bạch: Xử lý dữ liệu phải có cơ sở pháp lý và phải thông báo đầy đủ cho chủ thể dữ liệu.
  • Giới hạn Mục đích: Chỉ xử lý dữ liệu cho các mục đích cụ thể, rõ ràng đã được thông báo.
  • Tối thiểu hóa Dữ liệu: Chỉ thu thập lượng dữ liệu cần thiết cho mục đích đã định.
  • Chính xác: Dữ liệu phải được duy trì chính xác và cập nhật.
  • Giới hạn Lưu trữ: Không lưu trữ dữ liệu lâu hơn mức cần thiết.
  • Bảo mật và Toàn vẹn: Phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân phù hợp.
  • Trách nhiệm Giải trình: Doanh nghiệp phải có khả năng chứng minh sự tuân thủ của mình.

Khi nào doanh nghiệp được phép xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu?

Pháp luật cho phép xử lý dữ liệu cá nhân không cần sự đồng ý trong các trường hợp đặc biệt như bảo vệ tính mạng, sức khỏe; tình trạng khẩn cấp về quốc phòng, an ninh; thực hiện nghĩa vụ theo hợp đồng; hoặc phục vụ hoạt động của cơ quan nhà nước theo luật định.

Mặc dù sự đồng ý là nền tảng, pháp luật cũng dự liệu các trường hợp ngoại lệ để đảm bảo lợi ích chung và các hoạt động thiết yếu của xã hội. Điều 17 Nghị định 13/2023/NĐ-CP và Điều 19 Luật Bảo vệ dữ liệu cá nhân quy định các trường hợp này.

Các trường hợp chính bao gồm:

  1. Trường hợp khẩn cấp: Để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên xử lý dữ liệu phải có trách nhiệm chứng minh được tính cấp bách của tình huống.
  2. An ninh quốc gia: Xử lý dữ liệu trong tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm.
  3. Thực hiện hợp đồng: Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với các bên liên quan. Ví dụ, công ty vận chuyển xử lý địa chỉ của khách hàng để giao hàng đã đặt mua.
  4. Phục vụ cơ quan nhà nước: Khi việc xử lý dữ liệu phục vụ hoạt động của cơ quan nhà nước đã được quy định trong luật chuyên ngành.

DPO.VN lưu ý rằng ngay cả trong các trường hợp này, doanh nghiệp vẫn phải tuân thủ các nguyên tắc xử lý dữ liệu khác như tối thiểu hóa, bảo mật và phải thiết lập cơ chế giám sát chặt chẽ.

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 có thay đổi gì quan trọng về định nghĩa xử lý dữ liệu cá nhân?

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã tinh gọn và hệ thống hóa lại định nghĩa về xử lý dữ liệu cá nhân, làm rõ các hoạt động kỹ thuật số hiện đại như tổng hợp, giải mã và đặc biệt là khử nhận dạng, phản ánh sự phát triển của công nghệ và các chuẩn mực quốc tế.

So với Nghị định 13, Luật Bảo vệ dữ liệu cá nhân sắp có hiệu lực mang tính khái quát và chặt chẽ hơn, tạo ra một hành lang pháp lý vững chắc và lâu dài.

Những điểm thay đổi chính trong định nghĩa tại Khoản 6 Điều 2 của Luật mới bao gồm:

  • Loại bỏ các thuật ngữ trùng lặp: Các từ như ghi, xác nhận, kết hợp, truy cập, truy xuất, thu hồi, sao chép, truyền đưa được gộp vào các thuật ngữ bao hàm hơn như thu thập, cung cấp, chuyển giao.
  • Bổ sung hoạt động mới:
    • Tổng hợp: Chính thức công nhận việc gộp dữ liệu từ nhiều nguồn khác nhau là một hoạt động xử lý.
    • Khử nhận dạng: Lần đầu tiên đưa vào định nghĩa, nhấn mạnh đây là một hoạt động xử lý dữ liệu và yêu cầu tuân thủ các quy định bảo vệ nghiêm ngặt.
  • Cấu trúc rõ ràng hơn: Định nghĩa mới được cấu trúc logic hơn, tập trung vào các hành động cốt lõi tác động đến dữ liệu, giúp doanh nghiệp dễ dàng nhận diện và áp dụng.

Sự thay đổi này đòi hỏi các doanh nghiệp, đặc biệt là các công ty công nghệ và phân tích dữ liệu, phải rà soát lại quy trình của mình để đảm bảo tuân thủ đầy đủ khi Luật có hiệu lực.

Các Câu Hỏi Thường Gặp Về Xử lý Dữ liệu Cá nhân

1. Việc xem một hồ sơ nhân sự có được coi là xử lý dữ liệu cá nhân không?

Trả lời: Có. Theo định nghĩa tại Nghị định 13/2023/NĐ-CP, các hành vi như truy cập, truy xuất đều là hoạt động xử lý dữ liệu cá nhân. Do đó, việc một nhân viên HR mở và xem hồ sơ của một nhân viên khác là một hành động xử lý dữ liệu và phải tuân thủ các quy định về bảo mật và phân quyền truy cập.

2. Doanh nghiệp có cần lập hồ sơ đánh giá tác động cho mọi hoạt động xử lý dữ liệu không?

Trả lời: Theo quy định hiện hành, Bên Kiểm soát và Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập một bộ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cho toàn bộ các hoạt động xử lý của mình, không phải lập riêng cho từng hoạt động. Hồ sơ này phải được nộp cho Bộ Công an trong vòng 60 ngày kể từ khi bắt đầu xử lý và được cập nhật khi có thay đổi.

3. Việc sử dụng Google Analytics trên website có phải là xử lý dữ liệu cá nhân không?

Trả lời: Có. Google Analytics thu thập các dữ liệu như địa chỉ IP, thông tin thiết bị, và hành vi duyệt web của người dùng, vốn là các dữ liệu có thể giúp xác định một cá nhân. Do đó, đây là hoạt động xử lý dữ liệu cá nhân. Doanh nghiệp sử dụng công cụ này phải thông báo cho người dùng, xin sự đồng ý của chủ thể dữ liệu (ví dụ qua cookie banner) và tuân thủ các quy định khác.

4. Một cá nhân kinh doanh online nhỏ có phải tuân thủ các quy định này không?

Trả lời: Có. Luật áp dụng cho mọi cơ quan, tổ chức, cá nhân có liên quan đến xử lý dữ liệu cá nhân tại Việt Nam, không phân biệt quy mô. Một cá nhân kinh doanh online khi thu thập tên, số điện thoại, địa chỉ của khách hàng để giao hàng cũng được xem là Bên Kiểm soát dữ liệu cá nhân và phải tuân thủ các nguyên tắc cơ bản như xin phép sự đồng ý và bảo mật thông tin.

5. Nếu dữ liệu được lưu trữ trên máy chủ đám mây ở nước ngoài thì sao?

Trả lời: Đây được xem là hoạt động chuyển dữ liệu cá nhân ra nước ngoài. Doanh nghiệp phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo quy định tại Điều 25 Nghị định 13 và nộp cho Bộ Công an. Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 cũng có những quy định miễn trừ đối với một số trường hợp cụ thể như lưu trữ dữ liệu người lao động.

Tìm Hiểu Thêm Về Bảo Vệ Dữ Liệu Cá Nhân Cùng DPO.VN

Để xây dựng một chiến lược tuân thủ pháp luật về bảo vệ dữ liệu cá nhân hiệu quả, đảm bảo an toàn thông tin và uy tín cho doanh nghiệp, hãy liên hệ với chuyên gia của DPO.VN. Chúng tôi, Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia, với sự đồng hành của Luật sư Nguyễn Tiến Hảo, cam kết mang đến giải pháp toàn diện và chuyên nghiệp nhất.

Website: dpo.vn

Hotline: 0914.315.886

Email: info@dpo.vn

Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Yên Hoà, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam.

Tài liệu tham khảo

  • Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
  • Luật An ninh mạng 24/2018/QH14.
  • Cổng thông tin điện tử Bộ Công an.
  • Cổng Dịch vụ công Quốc gia.
  • Luật Bảo vệ dữ liệu cá nhân.
Luat-Su-Nguyen-Tien-Hao

Luật sư Nguyễn Tiến Hảo

Với kinh nghiệm tư vấn pháp lý về bảo vệ dữ liệu cá nhân cho gần 100 doanh nghiệp trong nước và quốc tế, Luật sư Nguyễn Tiến Hảo đã khẳng định vị thế là một trong những chuyên gia pháp lý hàng đầu tại Việt Nam về quản trị rủi ro và tuân thủ pháp lý trong lĩnh vực Bảo vệ dữ liệu cá nhân. Với chuyên môn sâu sắc trong việc diễn giải và áp dụng các quy định về Bảo vệ Dữ liệu Cá nhân, thể hiện qua năng lực xây dựng các Hồ sơ Đánh giá Tác động Xử Lý Dữ Liệu Cá Nhân đạt tiêu chuẩn và có tính ứng dụng cao. Các giải pháp cung cấp cho doanh nghiệp không chỉ đảm bảo sự tuân thủ nghiêm ngặt với pháp luật Việt Nam mà còn tương thích với các thông lệ quốc tế tốt nhất. Mang lại cho khách hàng sự bảo vệ pháp lý toàn diện và một lợi thế cạnh tranh rõ rệt. Tiểu sử tác giả

Bài viết liên quan

dpo-la-gi
17/10/2025 | Luật sư Nguyễn Tiến Hảo | Góc nhìn chuyên gia DPO.VN
DPO Là Gì? Vai Trò Và Trách Nhiệm Theo Luật Việt Nam
nghia-vu-cua-chu-the-du-lieu-ca-nhan-gom-nhung-gi
10/09/2025 | Luật sư Nguyễn Tiến Hảo | Góc nhìn chuyên gia DPO.VN
Nghĩa vụ của chủ thể dữ liệu cá nhân gồm những gì?
doanh-nghiep-thuc-hien-luat-bao-ve-du-lieu-ca-nhan-nhu-the-nao
10/09/2025 | Luật sư Nguyễn Tiến Hảo | Góc nhìn chuyên gia DPO.VN
Doanh nghiệp thực hiện Luật bảo vệ dữ liệu cá nhân như thế nào?
Quy-dinh-dac-thu-ve-bao-du-lieu-sinh-trac-hoc
30/07/2025 | Luật sư Nguyễn Tiến Hảo | Góc nhìn chuyên gia DPO.VN
Quy định về bảo vệ dữ liệu sinh trắc học theo luật mới
Quan-ly-rui-ro-va-xu-ly-vi-pham-ve-bao-ve-du-lieu-ca-nhan
30/07/2025 | Luật sư Nguyễn Tiến Hảo | Góc nhìn chuyên gia DPO.VN
Quản lý Rủi ro và Xử lý Vi phạm về Bảo vệ Dữ liệu cá nhân
Bao-ve-du-lieu-ca-nhan-trong-nganh-giao-duc
29/07/2025 | Luật sư Nguyễn Tiến Hảo | Góc nhìn chuyên gia DPO.VN, Tin tức - Sự kiện
Bảo Vệ Dữ Liệu Cá Nhân Trong Ngành Giáo Dục
Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

DPO.VN DPO.VN
DPO.VN DPO.VN
DPO.VN DPO.VN