Bảo Vệ Dữ Liệu Cá Nhân Học Viên: Trung Tâm Cần Làm Gì 2026?

StuMana 6 min read

Nhiều anh/chị chủ trung tâm nghĩ luật bảo vệ dữ liệu cá nhân học viên chỉ dành cho ngân hàng, sàn thương mại điện tử hay công ty công nghệ lớn. Thực tế, luật này áp dụng cho mọi tổ chức thu thập dữ liệu cá nhân — kể cả một trung tâm dạy thêm 30 học viên. Bài viết dưới đây nói rõ trung tâm cần chuẩn bị gì trước khi bị kiểm tra hoặc bị phụ huynh khiếu nại.

Luật bảo vệ dữ liệu cá nhân 2026 áp dụng cho trung tâm thế nào?

Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 được Quốc hội thông qua ngày 26/6/2025 và chính thức có hiệu lực từ 1/1/2026. Đi kèm là Nghị định 356/2025/NĐ-CP, hướng dẫn chi tiết cách xin đồng ý, đánh giá tác động và xử lý khi rò rỉ dữ liệu. Theo Cổng thông tin Bộ Công an, luật không phân biệt quy mô doanh nghiệp. Bất kỳ ai thu thập tên, số điện thoại, hình ảnh học viên đều là bên xử lý dữ liệu cá nhân và phải tuân thủ.

Trung tâm đang giữ những dữ liệu nhạy cảm nào của học viên?

Ngoài họ tên, ngày sinh, số điện thoại phụ huynh, nhiều trung tâm còn lưu dữ liệu nhạy cảm hơn: tình trạng sức khỏe hoặc dị ứng thực phẩm (đặc biệt ở mầm non tư thục), kết quả học tập, và hình ảnh/video học viên dùng cho fanpage. Luật xếp các thông tin này vào nhóm cần bảo vệ ở mức cao hơn. Với trẻ dưới 7 tuổi, người đại diện hợp pháp (phụ huynh) đồng ý thay con. Với trẻ từ 7 tuổi trở lên, luật yêu cầu cả trẻ và người đại diện cùng đồng ý khi tiết lộ thông tin đời tư — chi tiết nhiều trung tâm chưa để ý.

4 việc trung tâm nên làm ngay trong 30 ngày tới

Không cần đợi bị nhắc nhở mới hành động. Bốn bước sau giúp trung tâm giảm rủi ro mà không cần thuê hẳn một phòng pháp chế:

  • Xin đồng ý theo từng mục đích, không gộp chung. Đồng ý cho phép liên hệ Zalo khác với đồng ý đăng ảnh học viên lên fanpage marketing — phải tách riêng từng lựa chọn.
  • Lưu lại bằng chứng đồng ý. Ghi rõ ai đồng ý, đồng ý mục gì, lúc nào — và cho phép phụ huynh rút lại bất cứ lúc nào.
  • Chuẩn bị quy trình thông báo vi phạm. Nếu dữ liệu học viên bị rò rỉ, trung tâm phải thông báo cơ quan chức năng và người bị ảnh hưởng trong 72 giờ kể từ khi phát hiện.
  • Giới hạn ai được xem dữ liệu gì. Giáo viên chỉ cần xem học viên lớp mình dạy, không cần quyền xem toàn bộ danh sách học viên trung tâm.

Ví dụ thực tế: một trung tâm mầm non tư thục muốn đăng ảnh các bé lên fanpage để quảng cáo tuyển sinh mùa hè. Trên StuMana, mục đồng ý dùng hình ảnh tách riêng khỏi các mục khác (học tập, liên hệ, y tế) và luôn hỏi rõ phạm vi: chỉ lưu nội bộ, chia sẻ trong nhóm Zalo của lớp, hay công khai marketing. Phụ huynh chọn đúng phạm vi mình đồng ý, trung tâm không đăng vượt quyền.

Mức phạt nếu trung tâm vi phạm

Luật quy định mức phạt không nhẹ. Vi phạm nghĩa vụ bảo vệ dữ liệu cá nhân có thể bị phạt tới 3 tỷ đồng đối với tổ chức. Riêng hành vi chuyển dữ liệu ra nước ngoài trái phép — ví dụ dùng công cụ marketing quốc tế không tuân thủ — có thể bị phạt tới 5% doanh thu năm liền trước. Với một trung tâm quy mô vừa và nhỏ, đây là số tiền đủ lớn để cân nhắc nghiêm túc thay vì bỏ qua.

StuMana giúp trung tâm quản lý sự đồng ý ra sao?

Từ ngày đầu tiên học viên nhập học, StuMana ghi nhận sự đồng ý của phụ huynh theo từng mục đích riêng biệt: dùng dữ liệu học tập, chia sẻ với giáo viên phụ trách, liên hệ về lịch học, lưu thông tin y tế/dị ứng, và dùng hình ảnh. Mỗi lần phụ huynh đồng ý hoặc rút lại đều được ghi lại, trung tâm có bằng chứng khi cần giải trình. Đây là công cụ hỗ trợ ghi nhận và lưu trữ, không thay thế tư vấn pháp lý; anh/chị vẫn nên trao đổi với luật sư hoặc kế toán về cách áp dụng cụ thể cho trung tâm mình, đặc biệt nếu đã chuẩn hóa hồ sơ giáo viên theo quy định mới hay đang chuẩn bị công khai học phí theo quy định 2026.

Câu hỏi thường gặp

Trung tâm chỉ có 20-30 học viên có phải tuân thủ không?

Có. Luật không đặt ngưỡng quy mô tối thiểu. Bất kỳ tổ chức nào thu thập, lưu trữ hoặc xử lý dữ liệu cá nhân đều là bên xử lý dữ liệu và phải tuân thủ, kể cả trung tâm gia sư một giáo viên.

Phụ huynh có thể rút lại sự đồng ý đã cho không?

Có. Luật cho phép rút lại sự đồng ý bất cứ lúc nào. Trung tâm cần có quy trình ghi nhận việc rút đồng ý và dừng sử dụng dữ liệu cho mục đích đó ngay sau đó.

Ảnh học viên đăng trong nhóm Zalo của lớp có cần xin phép riêng không?

Có, và nên tách riêng khỏi đồng ý đăng ảnh marketing công khai. Chia sẻ trong nhóm lớp là phạm vi hẹp hơn nhiều so với đăng lên fanpage hay quảng cáo, nên cần hỏi rõ phạm vi ngay từ đầu.

Ghi nhớ

  • Luật Bảo vệ dữ liệu cá nhân (91/2025/QH15) và Nghị định 356/2025/NĐ-CP có hiệu lực từ 1/1/2026, áp dụng cho mọi trung tâm bất kể quy mô.
  • Dữ liệu sức khỏe, dị ứng và hình ảnh học viên thuộc nhóm dữ liệu nhạy cảm, cần xin đồng ý riêng theo từng mục đích.
  • Vi phạm có thể bị phạt tới 3 tỷ đồng; rò rỉ dữ liệu phải thông báo trong 72 giờ.
  • Ghi nhận và lưu trữ bằng chứng đồng ý — có thể rút lại bất cứ lúc nào — là bước tối thiểu mọi trung tâm nên làm ngay.