Data mapping cho SME: Biết mình đang giữ dữ liệu cá nhân nào

Giải thích dữ liệu cá nhân là gì và cách làm data mapping cho SME theo Nghị định 13/2023/NĐ-CP để xây hồ sơ bảo vệ dữ liệu cá nhân và thực hiện đúng nghĩa vụ bảo vệ dữ liệu của doanh nghiệp. 

1. Dữ liệu cá nhân là gì theo góc nhìn SME? 

Để làm data mapping, bạn phải trả lời được câu hỏi cơ bản nhất: dữ liệu cá nhân là gì. 
Hiểu đơn giản, đó là mọi thông tin gắn với một người cụ thể, giúp: 

• Nhận diện họ (biết người đó là ai), hoặc 
• Liên hệ được với họ, hoặc 
• Gắn họ với một hành vi/giao dịch cụ thể. 

Ví dụ rất quen thuộc trong doanh nghiệp vừa và nhỏ: 

• Họ tên, số điện thoại, email, địa chỉ. 
• Thông tin tài khoản đăng nhập, ID khách hàng, ID nhân viên. 
• Lịch sử mua hàng, lịch sử sử dụng dịch vụ, ticket hỗ trợ. 

Một phần trong số đó có thể là dữ liệu cá nhân nhạy cảm (sức khỏe, tài chính chi tiết, dữ liệu trẻ em…), nhưng bài này tập trung vào bước đầu: nghiêm túc nhận diện xem mình đang giữ những dữ liệu cá nhân nào vàở đâu. 

2. Data mapping là gì và liên quan gì đến Nghị định 13/2023/NĐ-CP? 

Trong bối cảnh Nghị định 13/2023/NĐ-CP, doanh nghiệp có các nghĩa vụ bảo vệ dữ liệu của doanh nghiệp như: 

• Biết mình đang thu thập và xử lý những loại dữ liệu cá nhân nào. 
• Dùng chúng vào mục đích gì, chia sẻ cho ai, lưu giữ trong bao lâu. 
• Có hồ sơ bảo vệ dữ liệu cá nhân để giải trình khi cần. 

Muốn làm được, bạn không thể “nhớ trong đầu”, mà cần một bản đồ dữ liệu – data map: 

Danh sách các hệ thống, công cụ, file… đang chứa dữ liệu cá nhân, mỗi chỗ chứa những loại thông tin nào, dùng cho mục đích gì, ai được quyền truy cập. 

Data mapping chính là bước nền giúp bạn: 

• Thấy toàn cảnh dữ liệu, tránh “bỏ quên” một kho data nào đó. 
• Ưu tiên bảo vệ đúng chỗ (nơi rủi ro cao, nhiều dữ liệu cá nhân). 
• Dễ dàng xây và cập nhật hồ sơ bảo vệ dữ liệu cá nhân. 

3. 3 bước data mapping đơn giản cho SME (không cần hệ thống lớn) 

Bước 1: Liệt kê tất cả “nơi dữ liệu đang sống” 

Hãy cùng các bộ phận ngồi lại và ghi ra: hiện dữ liệu khách hàng, nhân sự, đối tác… đang nằm ở đâu. Ví dụ: 

• CRM / ERP / hệ thống bán hàng. 
• Công cụ email marketing, SMS, chatbot. 
• File Excel/Google Sheets lưu danh sách khách hàng, nhà cung cấp. 
• Hệ thống kế toán, ngân hàng. 
• Công cụ hỗ trợ: helpdesk, ticket, công cụ support. 
• Thư mục chung trên server, NAS, cloud (Google Drive, OneDrive…). 

Đừng quên cả các kho dữ liệu “tự phát”: file trên máy cá nhân, danh sách riêng của sales, mini game cũ… 

Bước 2: Xác định dữ liệu nào là dữ liệu cá nhân trong từng “kho” 

Với mỗi hệ thống/kho dữ liệu ở bước 1, đặt câu hỏi: 

• Ở đây có trường thông tin nào gắn với một người cụ thể không? 
• Những trường đó là gì? 

Ví dụ: 

• CRM: họ tên, số điện thoại, email, công ty, chức danh, lịch sử giao dịch. 
• Email marketing: email, tên, nhóm nội dung quan tâm. 
• Hệ thống kế toán: tên cá nhân thanh toán, số tài khoản (nếu là cá nhân), địa chỉ. 
• Hồ sơ nhân sự: thông tin liên hệ, người thân, số tài khoản lương… 

Chỉ cần liệt kê ra cột “Trường dữ liệu cá nhân” là bạn đã làm được phần quan trọng nhất của data mapping. 

Bước 3: Gắn thêm 3 thông tin tối thiểu cho mỗi bộ dữ liệu 

Để phục vụ hồ sơ bảo vệ dữ liệu cá nhân, với mỗi “bộ dữ liệu” (ví dụ: CRM, email list, hồ sơ nhân sự), hãy bổ sung 3 thông tin: 

1. Mục đích xử lý 
2. Ví dụ: CRM – quản lý cơ hội bán hàng, chăm sóc khách hàng sau bán. 
3. Email list – gửi bản tin, mời tham dự sự kiện. 
4. Nhóm người được truy cập 
5. Sales, CSKH, marketing, HR, kế toán… 
6. Có chia sẻ cho bên thứ ba không (đối tác vận chuyển, nhà tổ chức sự kiện…). 
7. Thời hạn lưu giữ & cách xóa 
8. Lưu tối đa bao lâu nếu khách hàng không tương tác nữa? 
9. Khi có yêu cầu xóa dữ liệu, quy trình là gì? 

Chỉ cần vậy, bạn đã có một phiên bản data map hoàn chỉnh ở mức SME – đủ để quản lý, cải thiện và làm nền cho các yêu cầu của Nghị định 13/2023/NĐ-CP. 

4. Ví dụ data mapping rút gọn cho một doanh nghiệp nhỏ 

Giả sử bạn là công ty dịch vụ B2B khoảng 30–50 người, data map rút gọn có thể trông như sau (mô tả bằng lời): 

1. CRM bán hàng 

• Dữ liệu cá nhân: họ tên, email, số điện thoại, công ty, chức danh, lịch sử trao đổi. 
• Mục đích: quản lý lead, cơ hội bán hàng, chăm sóc sau bán. 
• Người truy cập: sales, CSKH, một số quản lý. 
• Lưu giữ: 3 năm; lead không tương tác 12 tháng sẽ chuyển trạng thái “inactive” và ẩn khỏi các chiến dịch marketing. 

2. Công cụ email marketing 

• Dữ liệu cá nhân: email, tên, nhóm nội dung quan tâm. 
• Mục đích: gửi newsletter, mời sự kiện, thông báo cập nhật sản phẩm. 
• Người truy cập: marketing. 
• Lưu giữ: theo chu kỳ dọn dẹp 12 tháng; có link “hủy đăng ký” trong email. 

3. Hồ sơ nhân sự 

• Dữ liệu cá nhân: thông tin liên hệ, số CMND/CCCD, số tài khoản lương, thông tin người thân liên hệ khẩn cấp. 
• Mục đích: ký hợp đồng lao động, trả lương, thực hiện nghĩa vụ bảo hiểm – thuế. 
• Người truy cập: HR, một số quản lý, kế toán (một phần). 
• Lưu giữ: theo quy định pháp luật lao động, lưu bản cứng và số hóa, có phân quyền. 

Chính những mô tả như vậy sẽ trở thành “xương sống” cho hồ sơ bảo vệ dữ liệu cá nhân của doanh nghiệp. 

5. Data mapping giúp SME thực hiện nghĩa vụ bảo vệ dữ liệu như thế nào? 

Khi đã có bản đồ dữ liệu rõ ràng, bạn dễ dàng: 

• Trả lời các câu hỏi từ cơ quan quản lý hoặc khách hàng: 
• Anh/chị đang lưu dữ liệu của tôi ở đâu? 
• Dùng vào việc gì? Ai được xem? 
• Thiết kế chính sách & quy trình thực tế 
• Chính sách bảo mật chỉ còn là việc “viết lại những gì đang có” một cách có hệ thống. 
• Dễ thêm các điều khoản về bảo mật dữ liệu cá nhân vào hợp đồng, điều khoản sử dụng, privacy notice. 
• Ưu tiên đầu tư bảo mật đúng chỗ 
• Biết hệ thống nào chứa nhiều dữ liệu cá nhân nhất để tăng cường phân quyền, log, backup, giám sát. 

Nói cách khác, data mapping không phải “bài tập giấy tờ”, mà là bước đầu để doanh nghiệp thực sự kiểm soát dữ liệu của mình, từ đó đáp ứng tốt hơn nghĩa vụ bảo vệ dữ liệu của doanh nghiệp theo Nghị định13/2023/NĐ-CP. 

6. SME nên bắt đầu từ đâu ngay tuần này? 

Nếu bạn muốn bắt đầu ngay mà không quá tải, có thể: 

1. Hẹn một buổi 60–90 phút với đại diện các phòng: sales, marketing, CSKH, HR, kế toán, IT. 
2. Vẽ ra danh sách hệ thống/kho dữ liệu hiện có. 
3. Đánh dấu ở đâu có dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm. 
4. Ghi nhanh mục đích sử dụng và nhóm người truy cập. 

Đây đã là bản data mapping phiên bản 1.0. Sau đó, bạn có thể tinh chỉnh, bổ sung dần và dùng nó làm nền để xây: 

• Chính sách bảo vệ dữ liệu. 
• Hồ sơ bảo vệ dữ liệu cá nhân. 
• Các hoạt động đào tạo nội bộ về quyền riêng tư và bảo mật. 

Chỉ cần trả lời rõ ràng cho câu hỏi “dữ liệu cá nhân là gì và mình đang giữ những dữ liệu nào”, SME đã đi được một bước rất lớn trên con đường bảo vệ dữ liệu và tuân thủ pháp luật trong kỷ nguyên số.