Email có phải là dữ liệu cá nhân không?

1. Hiểu thế nào về dữ liệu cá nhân?

Theo khoản 1 Điều 3 Luật Bảo vệ dữ liệu cá nhân 2025, dữ liệu cá nhân được xác định như sau:

“Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.”

Từ quy định này có thể hiểu, dữ liệu cá nhân là mọi thông tin có khả năng trực tiếp hoặc gián tiếp xác định danh tính của một cá nhân.

Luật Bảo vệ cá nhân 2025 cũng đã chia dữ liệu cá nhân thành hai nhóm chính là dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, tương ứng với mức độ bảo vệ khác nhau.

2. Email có phải là dữ liệu cá nhân không?

Cũng  Điều 3 Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân nêu rõ danh mục dữ liệu cá nhân cơ bản, pháp luật liệt kê nhiều loại thông tin gắn liền với một cá nhân cụ thể, trong đó có:

- Thông tin nhận diện cá nhân như họ tên, ngày sinh, giới tính, quốc tịch;

- Thông tin liên hệ, bao gồm địa chỉ liên hệ;

- Thông tin về tài khoản số của cá nhân;

Và các thông tin khác có khả năng xác định một con người cụ thể, trừ các dữ liệu cá nhân nhạy cảm.

Địa chỉ email là một dạng tài khoản số gắn với cá nhân, thường chứa tên, biệt danh hoặc yếu tố nhận diện riêng của người sử dụng, đồng thời được dùng để liên hệ, xác thực danh tính và giao dịch trên môi trường số. Có thể thấy, email đáp ứng đầy đủ tiêu chí “giúp xác định một con người cụ thể”.

Như vậy, email là dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 2025 và được xếp vào nhóm dữ liệu cá nhân cơ bản.

Do đó, việc thu thập, lưu trữ, sử dụng, chia sẻ địa chỉ email của cá nhân phải tuân thủ đầy đủ các nguyên tắc bảo vệ dữ liệu cá nhân theo quy định của pháp luật, đặc biệt là yêu cầu về mục đích xử lý, bảo mật thông tin và quyền của chủ thể dữ liệu.

3. Quyền của chủ thể dữ liệu cá nhân được thực hiện như thế nào?

Điều 5 Nghị định 356/2025/NĐ-CP đã quy định cụ thể về cách thức thực hiện quyền của chủ thể dữ liệu cá nhân.

3.1. Trách nhiệm xây dựng quy trình thực hiện quyền của chủ thể dữ liệu

Bên kiểm soát dữ liệu cá nhân và bên vừa kiểm soát vừa xử lý dữ liệu cá nhân phải xây dựng đầy đủ quy trình, thủ tục và biểu mẫu để thực hiện các quyền của chủ thể dữ liệu, phù hợp với hoạt động xử lý dữ liệu và phân định rõ trách nhiệm của các bộ phận liên quan.

Đồng thời, các bên này phải bảo đảm chủ thể dữ liệu được biết rõ về thủ tục thực hiện các quyền theo quy định tại khoản 1 Điều 4 Luật Bảo vệ dữ liệu cá nhân.

Khoản 1 Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025, từ 01/01/2026, 06 quyền của chủ thể dữ liệu cá nhân chính thức có hiệu lực, gồm:

- Được biết về hoạt động xử lý dữ liệu cá nhân.

- Đồng ý, không đồng ý hoặc rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân.

- Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân.

- Yêu cầu cung cấp, xóa, hạn chế xử lý và phản đối xử lý dữ liệu cá nhân.

- Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định pháp luật.

- Yêu cầu áp dụng các biện pháp, giải pháp bảo vệ dữ liệu cá nhân theo quy định pháp luật.

3.2. Thực hiện quyền rút lại sự đồng ý, hạn chế hoặc phản đối xử lý dữ liệu

Khi nhận được yêu cầu hợp lệ về rút lại sự đồng ý, hạn chế hoặc phản đối xử lý dữ liệu cá nhân, bên kiểm soát dữ liệu hoặc bên kiểm soát và xử lý dữ liệu phải:

- Phản hồi trong thời hạn 02 ngày làm việc;

- Cung cấp đầy đủ thông tin về thủ tục ngừng xử lý dữ liệu;

- Thực hiện việc ngừng xử lý trong thời hạn 15 ngày, trừ trường hợp pháp luật cho phép xử lý dữ liệu mà không cần sự đồng ý của chủ thể dữ liệu.

Trường hợp phải yêu cầu bên xử lý dữ liệu hoặc bên thứ ba ngừng xử lý dữ liệu thì thời hạn thực hiện là 20 ngày.

Nếu yêu cầu có tính chất phức tạp, thời gian xử lý được gia hạn tối đa 01 lần, không quá 15 ngày, và phải thông báo rõ lý do gia hạn, đồng thời chịu trách nhiệm chứng minh sự cần thiết, hợp lý của việc gia hạn.

3.3 Thực hiện quyền xem, chỉnh sửa và cung cấp dữ liệu cá nhân

Khi nhận được yêu cầu hợp lệ về việc xem, chỉnh sửa hoặc cung cấp dữ liệu cá nhân, bên có trách nhiệm xử lý phải:

- Phản hồi trong 02 ngày làm việc;

- Thực hiện yêu cầu trong thời hạn 10 ngày.

Trường hợp cần yêu cầu bên xử lý dữ liệu hoặc bên thứ ba chỉnh sửa dữ liệu thì thời hạn là 15 ngày.

Việc gia hạn xử lý (nếu cần) chỉ được thực hiện 01 lần, tối đa 10 ngày, kèm theo thông báo và giải trình rõ lý do.

3.4  Thực hiện quyền xóa dữ liệu cá nhân

Khi chủ thể dữ liệu yêu cầu xóa dữ liệu cá nhân theo đúng thủ tục, bên kiểm soát dữ liệu hoặc bên kiểm soát và xử lý dữ liệu phải:

- Phản hồi trong 02 ngày làm việc;

- Thực hiện việc xóa trong thời hạn 20 ngày.

Trường hợp cần yêu cầu bên xử lý dữ liệu hoặc bên thứ ba phối hợp xóa, hạn chế hoặc cung cấp dữ liệu thì thời hạn là 30 ngày.

Nếu cần gia hạn, thời gian gia hạn tối đa 20 ngày, chỉ được gia hạn 01 lần, kèm thông báo và trách nhiệm chứng minh tính cần thiết.

3.5 Thực hiện quyền yêu cầu áp dụng biện pháp bảo vệ dữ liệu cá nhân

Khi nhận được yêu cầu áp dụng các biện pháp, giải pháp bảo vệ dữ liệu cá nhân, cơ quan có thẩm quyền hoặc các tổ chức, cá nhân liên quan đến xử lý dữ liệu phải:

- Phản hồi trong 02 ngày làm việc;

- Thực hiện yêu cầu trong thời hạn 15 ngày.

Trường hợp gia hạn, thời gian gia hạn tối đa 15 ngày, chỉ được gia hạn 01 lần, và phải thông báo rõ lý do cũng như chịu trách nhiệm chứng minh sự cần thiết.

Trên đây là thông tin giải đáp cho vấn đề email có phải là dữ liệu cá nhân không?