Hướng Dẫn Xây Dựng Chính Sách Bảo Vệ Dữ Liệu Cá Nhân Theo Luật Mới (Phần 1)

Chính sách bảo vệ dữ liệu cá nhân được xác định là văn bản bắt buộc mà mỗi doanh nghiệp cần phải xây dựng cho mục đích tuân thủ quy định của Luật bảo vệ dữ liệu cá nhân và Nghị định 356/2026/NĐ-CP. Tùy thuộc vào ngành nghề kinh doanh, mức độ thu thập dữ liệu, công nghệ áp dụng và nhiều yếu tố khác mà chính sách bảo vệ dữ liệu cá nhân của mỗi doanh nghiệp sẽ có sự khác biệt. Tuy nhiên nhìn chung chính sách bảo vệ dữ liệu cá nhân sẽ phải thể hiện rõ vai trò của doanh nghiệp là bên kiểm soát dữ liệu cá nhân hay bên kiểm soát và xử lý dữ liệu cá nhân cho từng loại dữ liệu cá nhân, các loại dữ liệu cá nhân (“DLCN”) công ty thu thập, phương thức bảo vệ, phương thức ghi nhận và quản lý sự đồng ý của chủ thể dữ liệu, trách nhiệm của mỗi bên, quy trình ứng phó sự cố dữ liệu … tất cả sẽ cần được quy định một cách rõ ràng trong chính sách bảo vệ DLCN của mỗi doanh nghiệp.

1. Điều khoản phạm vi áp dụng, giải thích thuật ngữ có thực sự cần thiết

Chính sách bảo vệ DLCN sẽ cần xác định đối tượng áp dụng, phạm vi thông tin cá nhân mà chính sách đang điều chỉnh, chủ thể dữ liệu cá nhân gồm những đối tượng nào, đồng thời xác định phạm vi các hoạt động nào mà khi xảy ra trên thực tế thì được xem là một trong các hoạt động xử lý dữ liệu cá nhân. Bên cạnh đó quy định về dữ liệu cá nhân đã được các quốc gia khác triển khai từ rất lâu và không còn là vấn đề mới, tuy nhiên tại Việt Nam vấn đề về DLCN thực sự mới được quan tâm và triển khai rộng rãi trong các doanh nghiệp từ giữa năm 2025. Chính vì vậy trong bối cảnh mới triển khai quy định pháp luật thì không dễ dàng để cả doanh nghiệp, bên có liên quan và chủ thể dữ liệu cá nhân có được cách hiểu đúng, thống nhất về các thuật ngữ được sử dụng trong chính sách dữ liệu cá nhân, ví dụ như: dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm, khử nhận dạng dữ liệu cá nhân, bên thứ ba, sự đồng ý …. Tất cả các thuật ngữ sẽ được diễn giải chi tiết theo cách hiểu đúng của luật và theo đúng bối cảnh hoạt động của doanh nghiệp.

2. Điều khoản về các loại dữ liệu cá nhân được xử lý

Dữ liệu cá nhân theo quy định sẽ gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, dữ liệu cá nhân cũng sẽ được thu thập, xử lý theo môi trường số hay môi trường vật lý tùy thuộc vào hoạt động kinh doanh, công nghệ mà doanh nghiệp áp dụng. Tại điều khoản này doanh nghiệp cần quy định rõ các vấn đề:

Các dữ liệu cá nhân cơ bản mà công ty thu thập, xử lý, theo đó nhóm dữ liệu cá nhân cơ bản được hiểu là tất cả những thông tin thuộc về cá nhân đó trừ đi nhóm dữ liệu cá nhân nhạy cảm, ví dụ về một số dữ liệu cá nhân cơ bản như sau:

Họ, chữ đệm và tên khai sinh, tên gọi khác; Ngày tháng năm sinh; thông tin căn cước công dân (tên, số, giới tính, ngày sinh, chức vụ); Nơi sinh, quê quán, địa chri thường trú, tạm trú, địa chỉ hiện tại; Quốc tịch …

Dữ liệu cá nhân nhạy cảm được xác định là nhóm thông tin có mối liên hệ trực tiếp đến quyền riêng tư cốt yếu của cá nhân, mà nếu bị xâm phạm sẽ gây ra những ảnh hưởng tiêu cực nghiêm trọng đến quyền và lợi ích hợp pháp của chủ thể. Danh mục này bao gồm nhưng không giới hạn ở: quan điểm chính trị, tôn giáo; tình trạng sức khỏe; dữ liệu sinh trắc học và di truyền; thông tin về đời sống và xu hướng tình dục; dữ liệu tội phạm; vị trí địa lý định vị; cùng toàn bộ thông tin định danh điện tử và tài chính, ngân hàng, bảo hiểm, chứng khoán, lịch sử giao dịch và dữ liệu theo dõi hành vi, hoạt động của cá nhân trên không gian mạng.

Tuy nhiên các dữ liệu nêu trên chỉ mới là nhóm dữ liệu cá nhân chính mà hầu hết doanh nghiệp nào cũng đang thu thập xử lý, và để chính sách dữ liệu cá nhân đúng và đủ với mỗi doanh nghiệp, thì sẽ cần dựa vào cách thức hoạt động trên thực tế của doanh nghiệp để ghi nhận vào điều khoản này các dữ liệu khác được xem là dữ liệu cá nhân mà doanh nghiệp sẽ thu thập. Điển hình như đối với nhóm doanh nghiệp hoạt động trong lĩnh vực thương mại điện tử, tài chính thì các dữ liệu cá nhân khác mà doanh nghiệp sẽ thu thập xử lý sẽ không giới hạn ở một số dữ liệu như: dữ liệu về hình ảnh, sinh trắc học, âm thanh, video, nhận diện khuôn mặt, các dữ liệu do cá nhân đó đăng tải lên cho mục đích sử dụng nền tảng hay ứng dụng của doanh nghiệp, các tài khoản số do cá nhân tạo ra, thông tin cuộc gọi, tin nhắn thoại …

3. Điều khoản về mục đích kiểm soát, xử lý dữ liệu cá nhân

Theo quy định tại Điều 4 của Luật bảo vệ dữ liệu cá nhân thì mỗi cá nhân có quyền được biết về hoạt động xử lý dữ liệu cá nhân của doanh nghiệp, điển hình là loại dữ liệu cá nhân được thu thập xử lý, mục đích của doanh nghiệp khi thu thập xử lý DLCN là gì. Từ đó mà buộc doanh nghiệp là Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải xây dựng quy trình, thủ tục, biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu cá nhân phù hợp với hoạt động xử lý dữ liệu cá nhân và trách nhiệm các bộ phận có liên quan; đảm bảo chủ thể dữ liệu cá nhân được biết về mục đích mà doanh nghiệp thu thập xử lý DLCN.

Theo đó điều khoản này trong Chính sách sẽ được liệt kê rõ ràng các mục đích của doanh nghiệp, ví dụ nhóm mục đích về thực hiện hợp đồng, cung ứng dịch vụ: trao đổi thông tin, chăm sóc khách hàng, giải quyết khiếu nại, bảo hành sản phẩm, cung ứng dịch vụ cụ thể từng giai đoạn, thực hiện các công việc khác như ghi nhận tại hợp đồng …. Hoặc nhóm mục đích về chống gian lận theo quy định của pháp luật về an ninh mạng như: xác minh danh tính, ngăn chặn đánh cắp thông tin dữ liệu khách hàng, bảo vệ tài khoản …Doanh nghiệp sẽ dựa vào hoạt động kinh doanh để phân loại các mục đích cho phù hợp.

Để xây dựng điều khoản về “Mục đích thu thập và xử lý dữ liệu cá nhân” một cách chuẩn mực, doanh nghiệp cần thiết kế nội dung theo nguyên tắc cụ thể hóa và phân lớp mục đích để đảm bảo tính minh bạch tối đa. Thay vì sử dụng những thuật ngữ chung chung, doanh nghiệp phải liệt kê rõ ràng các nhóm mục đích gắn liền với hoạt động vận hành như thực hiện hợp đồng, giao hàng, quản lý tài khoản, khuyến mãi và hỗ trợ khách hàng, đồng thời phân tách riêng biệt các mục đích tùy chọn như nghiên cứu thị trường, cá nhân hóa trải nghiệm hay marketing vốn cần sự đồng ý riêng từ chủ thể. Đặc biệt, theo tinh thần của Luật số 91/2025/QH15 và Nghị định 356/2025/NĐ-CP, điều khoản này còn phải nêu rõ các mục đích tuân thủ pháp lý bắt buộc như nghĩa vụ thuế hoặc ngăn chặn gian lận để tạo ra một “hành lang an toàn” cho dòng chảy dữ liệu. Việc xây dựng điều khoản chi tiết cũng giúp giúp doanh nghiệp đáp ứng yêu cầu khắt khe của hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (DPIA)

Việc thiết lập các điều khoản cơ bản ở trên được xem là những điều khoản ban đầu cần có trong chính sách bảo vệ DLCN, tại phần 2 CDLAF sẽ hướng dẫn bạn soạn thảo các điều khoản khác bắt buộc phải có như: Phương thức thu thập, kiểm soát và xử lý DLCN; Thời gian lưu trữ DLCN; Quyền của chủ thể DLCN; Xử lý DLCN không cần sự đồng ý của chủ thể DLCN; Bộ phận và nhân sự bảo vệ DLCN và các điều khoản khác cần thiết phải có trong chính sách của doanh nghiệp. Việc chuẩn hóa các nội dung này không chỉ giúp doanh nghiệp nội địa hóa giải các thách thức về hạ tầng kỹ thuật mà còn là bằng chứng pháp lý quan trọng nhất để chứng minh năng lực tuân thủ, giảm thiểu rủi ro bị áp dụng các chế tài nghiêm khắc về tài chính và đình chỉ hoạt động xử lý dữ liệu.

Thời gian viết bài: 10/04/2026

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Bạn có thể tham thảo thêm:

• Rút Đơn Khởi Kiện Để Thương Lượng Ngoài Tố Tụng: Góc Nhìn Chiến Lược Trong Giải Quyết Tranh Chấp
• Giao dịch với người có liên quan và những điều kiện để giao dịch có hiệu lực
• Tác Động Pháp Lý Từ Việc Thu Hẹp Phạm Vi Dự Án Phải Chấp Thuận Chủ Trương Đầu Tư Theo Luật Đầu Tư 2025
• Bức Tranh Mới Về Ngành, Nghề Đầu Tư Kinh Doanh Có Điều Kiện Từ Năm 2026: Cắt Giảm Và Chuyển Đổi