Luật bảo vệ dữ liệu cá nhân sẽ có hiệu lực thi hành vào đầu năm 2026 sẽ đặt ra nhiều thách thức cho các doanh nghiệp trong cuộc chạy đua tuân thủ về dữ liệu, đặc biệt là các doanh nghiệp hoạt động các lĩnh vực nắm giữ nhiều thông tin thuộc về dữ liệu cá nhân, điển hình như giáo dục, y tế hay thương mại điện tử, tài chính ngân hàng. Trong bài viết này, CDLAF chia sẻ đến bạn tất cả những thông tin, thủ tục pháp lý về dữ liệu cá nhân mà doanh nghiệp hoạt động lĩnh vực giáo dục cần lưu ý để tuân thủ.
1. Dữ liệu cá nhân mà công ty giáo dục và các Trường đang thu thập
Dữ liệu cá nhân không đơn thuần chỉ là thông tin của cá nhân đó còn là dữ liệu của khách hàng và các bên có liên quan, là tài sản quan trọng và đồng thời là rủi ro pháp lý tiềm ẩn. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và Luật Bảo vệ dữ liệu cá nhân đang đặt doanh nghiệp giáo dục trước yêu cầu tuân thủ chặt chẽ, đặc biệt khi nhóm đối tượng chính là trẻ em dưới 16 tuổi – vốn được pháp luật Việt Nam và quốc tế bảo vệ ở mức cao nhất. Vậy các doanh nghiệp giáo dục, các Trường, các trung tâm đào tạo đang thu thập những loại dữ liệu cá nhân nào?
Dữ liệu cá nhân cơ bản (DLCN cơ bản), theo đó trong quá trình tuyển sinh, giảng dạy và quản lý, doanh nghiệp giáo dục thường thu thập:
Thông tin định danh: họ tên, ngày sinh, giới tính, quốc tịch, số CMND/CCCD, ảnh chân dung, chữ ký.
Thông tin liên hệ: địa chỉ, số điện thoại, email của học sinh, phụ huynh, giáo viên.
Thông tin học tập: kết quả học tập, bảng điểm, chứng chỉ, nhận xét đánh giá từ giáo viên.
Thông tin tài chính: học phí, phương thức thanh toán, thông tin tài khoản nếu phụ huynh nộp qua ngân hàng hoặc ví điện tử.
Thông tin nghề nghiệp – đào tạo: trình độ chuyên môn, bằng cấp, chứng chỉ hành nghề của giáo viên và nhân sự.
Dữ liệu cá nhân nhạy cảm (DLCN nhạy cảm), một số dữ liệu mà doanh nghiệp giáo dục thu thập được pháp luật xếp vào nhóm dữ liệu cá nhân nhạy cảm, bao gồm:
Dữ liệu sức khỏe: hồ sơ y tế học sinh (tiêm chủng, bệnh lý, dị ứng, giấy khám sức khỏe nhập học).
Dữ liệu về vị trí: nếu trường/ trung tâm sử dụng hệ thống GPS hoặc camera để theo dõi đưa đón học sinh.
Dữ liệu sinh trắc học: dấu vân tay, khuôn mặt dùng cho điểm danh/ kiểm soát ra vào.
Thông tin đời sống riêng tư: hoàn cảnh gia đình, thu nhập, tình trạng hôn nhân của phụ huynh (trường có thể yêu cầu trong hồ sơ miễn giảm học phí, học bổng).
Thông tin tài chính chi tiết: số thẻ ngân hàng, giao dịch học phí (trong một số trường hợp có thể xem là nhạy cảm).
2. Pháp luật về dữ liệu cá nhân yêu cầu doanh nghiệp giáo dục điều gì?
Theo quy định của pháp luật hiện hành là Nghị định 13/2023/NĐ-CP và sắp tới là Luật dữ liệu cá nhân thì các doanh nghiệp giao dục cần đảm bảo rằng:
Các thông tin công ty thu thập, sử dụng, lưu giữ đã có được sự đồng ý rõ ràng, minh bạch của chủ thể dữ liệu (phụ huynh hoặc người giám hộ đối với học sinh dưới 16 tuổi). Đồng ý phải được thể hiện dưới dạng văn bản, điện tử hoặc hình thức có thể chứng minh được.
Công ty phải thông thông báo đầy đủ cho chủ thể dữ liệu được biết trước khi xử lý dữ liệu, bao gồm các thông tin về: loại dữ liệu, mục đích sử dụng, thời gian lưu trữ, bên thứ ba có quyền tiếp cận (nếu có). Đồng thời công ty cũng chỉ thu thập dữ liệu trong phạm vi cần thiết cho mục đích đào tạo, quản lý và sử dụng theo mục đích đó, thiết lập biện pháp bảo mật: mã hóa, phân quyền truy cập, lưu trữ an toàn, ngăn ngừa rò rỉ. Công ty cũng cần xây dựng các cơ chế để đáp ứng quyền của chủ thể dữ liệu trong việc truy cập, quyền chỉnh sửa, quyền rút lại sự đồng ý, quyền yêu cầu xóa dữ liệu.
3. Doanh nghiệp giáo dục sẽ cần thực hiện điều gì để đảm bảo sự tuân thủ?
Về hợp đồng và điều khoản pháp lý, doanh nghiệp sẽ cần bổ sung điều khoản dữ liệu cá nhân trong hợp đồng đào tạo, phiếu đăng ký học, hợp đồng lao động với giáo viên.
Xây dựng chính sách bảo mật (Privacy Policy), công khai trên website/ứng dụng, giải thích rõ loại dữ liệu được thu thập, mục đích và quyền của phụ huynh/học viên.
Đưa vào Điều khoản & Điều kiện (Terms & Conditions) phần quy định về việc thu thập và xử lý dữ liệu, cùng các mục miễn trừ trách nhiệm kỹ thuật. Áp dụng checkbox “tôi đồng ý” trước khi thu thập dữ liệu trực tuyến.
Về quản trị nội bộ, doanh nghiệp cần lập sổ đăng ký hoạt động xử lý dữ liệu cá nhân (Data Processing Record). Phân quyền truy cập dữ liệu: giáo viên chỉ được truy cập thông tin học tập; kế toán chỉ được xử lý dữ liệu tài chính; bộ phận tuyển sinh chỉ quản lý hồ sơ nhập học. Đào tạo nhân viên định kỳ về bảo mật dữ liệu, kỷ luật nghiêm hành vi chia sẻ thông tin học sinh ra ngoài. Thiết lập kế hoạch ứng phó sự cố dữ liệu (data breach response plan): quy định rõ thời gian thông báo cho phụ huynh, cơ quan chức năng khi có rò rỉ dữ liệu.
Thực hiện các thủ tục hành chính bắt buộc về dữ liệu cá nhân:
Xây dựng Hồ sơ đánh giá tác động xử lý DLCN: Lập Hồ sơ, đảm bảo các nội dung ghi nhận vào hồ sơ phù hợp với hoạt động trên thực tế của doanh nghiệp, đảm bảo đầy đủ các nội dung theo yêu cầu; Nộp bản chính của hồ sơ tới cơ quan có thẩm quyền (Bộ Công an) trong vòng 60 ngày kể từ ngày xử lý dữ liệu; Lưu trữ và luôn có sẵn hồ sơ tại trụ sở/văn phòng để phục vụ công tác kiểm tra của cơ quan có thẩm quyền
Xây dựng hồ sơ đánh giá tác động chuyển DLCN ra nước ngoài (khi Luật Bảo vệ DLCN có hiệu lực thì Hồ sơ tên là “Hồ sơ đánh giá tác động chuyển DLCN xuyên biên giới”): Lập Hồ sơ, đảm bảo các nội dung ghi nhận vào hồ sơ phù hợp với hoạt động trên thực tế của doanh nghiệp, đảm bảo đầy đủ các nội dung theo yêu cầu; Nộp bản chính của hồ sơ tới cơ quan có thẩm quyền (Bộ Công an) trong vòng 60 ngày kể từ ngày xử lý dữ liệu; Lưu trữ và luôn có sẵn hồ sơ tại trụ sở/văn phòng để phục vụ công tác kiểm tra của cơ quan có thẩm quyền
Bảo vệ dữ liệu cá nhân trong lĩnh vực giáo dục không còn là “thủ tục pháp lý bắt buộc”, mà đã trở thành chuẩn mực quản trị chiến lược. Doanh nghiệp giáo dục đang vận hành trong một môi trường mà niềm tin của phụ huynh và học sinh chính là tài sản quý giá nhất. Một khi dữ liệu bị xử lý sai cách hoặc rò rỉ, thiệt hại không chỉ là chi phí pháp lý, mà còn là sự sụp đổ uy tín thương hiệu – điều mà không một mô hình kinh doanh nào có thể bù đắp.
Trong thực tiễn quản trị hiện đại, dữ liệu cá nhân cần được coi là một tài sản hữu hình: phải có quy trình quản lý, cơ chế kiểm toán, biện pháp bảo vệ và chiến lược khai thác hợp pháp. Điều này đòi hỏi doanh nghiệp giáo dục không chỉ “đáp ứng” luật, mà còn phải đi trước một bước, biến tuân thủ dữ liệu thành cam kết minh bạch với phụ huynh và xã hội. Khi làm được điều đó, doanh nghiệp không chỉ tránh rủi ro pháp lý mà còn tạo dựng nền tảng để mở rộng hợp tác quốc tế, đặc biệt trong các dự án EdTech xuyên biên giới.
Góc nhìn & khuyến nghị từ CDLAF
Từ kinh nghiệm tư vấn và đồng hành cùng nhiều doanh nghiệp lớn, CDLAF khuyến nghị các cơ sở giáo dục cần:
Thực hiện ngay hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (PDA) đối với dữ liệu trẻ em, dữ liệu nhạy cảm.
Rà soát toàn bộ hợp đồng đào tạo, chính sách nội bộ, nền tảng trực tuyến, bổ sung điều khoản về thu thập và sử dụng dữ liệu cá nhân.
Bổ nhiệm Người phụ trách bảo vệ dữ liệu (DPO) hoặc tổ chuyên trách, để đảm bảo tuân thủ xuyên suốt và giảm thiểu rủi ro.
Xây dựng cơ chế kiểm toán định kỳ và quy trình ứng phó sự cố dữ liệu (data breach response plan).
Chúng tôi tin rằng, một chiến lược dữ liệu minh bạch và chuẩn mực sẽ giúp các doanh nghiệp giáo dục không chỉ vững vàng về pháp lý, mà còn tăng trưởng bền vững nhờ niềm tin phụ huynh và học viên – yếu tố cạnh tranh không thể thay thế trong kỷ nguyên số.
Thời gian viết bài: 29/08/2025
Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn
Vì sao chọn dịch vụ CDLAF
- Chúng tôi cung cấp đến bạn giải pháp pháp lý hiệu quả và toàn diện, giúp bạn tiết kiệm ngân sách, duy trì sự tuân thủ trong doanh nghiệp;
- Chúng tôi tiếp tục duy trì việc theo dõi vấn đề pháp lý của bạn ngay cả khi dịch vụ đã hoàn thành và cập nhật đến bạn khi có bất kỳ sự thay đổi nào từ hệ thống pháp luật Việt Nam;
- Hệ thống biểu mẫu về doanh nghiệp, đầu tư được xây dựng và cập nhật liên tục sẽ cung cấp khi khách hàng yêu cầu, rút ngắn thời gian thực hiện thủ tục;
- Doanh nghiệp cập nhật kịp thời các chính sách và phương thức làm việc tại các cơ quan nhà nước có thẩm quyền;
- Đội ngũ Luật sư của CDLAF nhiều năm kinh nghiệm hoạt động tại lĩnh vực Lao động, Doanh nghiệp, Đầu tư cùng với các cố vấn nhân sự, tài chính;
- Quy trình bảo mật thông tin nghiêm ngặt trong suốt quá trình thực hiện dịch vụ và ngay cả khi dịch vụ được hoàn thành sau đó;
Bạn có thể tham thảo thêm:
- Hợp đồng là gì, khi nào bạn cần xác lập hợp đồng?
- Tổng hợp các điểm mới của Luật Quản lý và đầu tư vốn nhà nước tại doanh nghiệp 2025
- Luật quảng cáo mới của việt nam (Luật số 75/2025/QH15)
- Hướng dẫn thực hiện thủ tục chấm dứt dự án đầu tư và giải thể doanh nghiệp
- Điểm tin 6 cập nhật pháp lý quan trọng vừa qua
