Phân loại dữ liệu cá nhân: SME cần làm đến đâu?

Hướng dẫn phân loại dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm theo Nghị định bảo vệ dữ liệu cá nhân, giúp SME biết làm đến mức nào là đủ cho hồ sơ bảo vệ dữ liệu. 

1. Vì sao SME phải quan tâm đến phân loại dữ liệu cá nhân? 

Trước đây, nhiều doanh nghiệp vừa và nhỏ chỉ nghĩ đơn giản: “Dữ liệu khách hàng là quan trọng, bảo mật là được.” Nhưng với Nghị định bảo vệ dữ liệu cá nhân, câu hỏi không còn chỉ là “có bảo vệ hay không” mà là: 

• Bạn đang xử lý dữ liệu cá nhân hay dữ liệu cá nhân nhạy cảm? 
• Bạn có thông báo, xin đồng ý đúng cách chưa? 
• Bạn có hồ sơ bảo vệ dữ liệu cá nhân đủ để chứng minh mình làm đúng chưa? 

Để trả lời được, bước đầu tiên là phân loại dữ liệu cá nhân. Tuy nhiên, SME không nhất thiết phải dựng một hệ thống cực kỳ phức tạp như tập đoàn. Quan trọng là làm đủ sâu để hiểu rủi ro và có tài liệu chứng minh, không phải làm cho đẹp trên giấy. 

2. Dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm là gì? 

2.1. Dữ liệu cá nhân 

Hiểu đơn giản: đó là bất kỳ thông tin nào gắn với một người cụ thể, giúp nhận diện hoặc liên hệ họ. Ví dụ thường gặp trong SME: 

• Họ tên, số điện thoại, email, địa chỉ. 
• Thông tin tài khoản đăng nhập, ID khách hàng, ID nhân viên. 
• Lịch sử mua hàng, lịch sử sử dụng dịch vụ. 

2.2. Dữ liệu cá nhân nhạy cảm 

Đây là nhóm dữ liệu mà nếu bị lộ sẽ gây ảnh hưởng lớn đến quyền và lợi ích của người đó. Ví dụ: 

• Sức khỏe, hồ sơ bệnh án. 
• Thông tin tài chính chi tiết (số tài khoản, sao kê, thu nhập… nếu gắn với cá nhân). 
• Dữ liệu về trẻ em. 
• Thông tin về nguồn gốc dân tộc, quan điểm chính trị, tôn giáo, đời sống riêng tư… 

Với dữ liệu cá nhân nhạy cảm, yêu cầu thường chặt chẽ hơn: thông báo rõ ràng, xin đồng ý riêng, bảo vệ kỹ hơn, và phải ghi chép trong hồ sơ bảo vệ dữ liệu cá nhân. 

3. SME cần phân loại dữ liệu đến mức nào là đủ? 

Không phải doanh nghiệp nào cũng có nguồn lực để làm ma trận phân loại cực kỳ chi tiết. Với SME, cách thực tế là: 

1. Chia dữ liệu thành 3 nhóm lớn: 

• Nhóm A: Dữ liệu cá nhân nhạy cảm (ưu tiên cao nhất). 
• Nhóm B: Dữ liệu cá nhân thông thường. 
• Nhóm C: Dữ liệu không phải dữ liệu cá nhân (số liệu tổng hợp, ẩn danh…). 

2. Trong từng nhóm, liệt kê các “bộ dữ liệu” chính bạn đang có, ví dụ: 

• Hồ sơ nhân sự. 
• CRM khách hàng. 
• Dữ liệu từ form đăng ký, mini game, landing page. 
• Log hệ thống có chứa IP, user ID… 

3. Với mỗi bộ dữ liệu, trả lời 3 câu: 

• Thu thập từ đâu, cho mục đích gì? 
• Có thành phần nào là dữ liệu cá nhân nhạy cảm không? 
• Đang bảo vệ như thế nào (quyền truy cập, mã hóa, backup, xóa)? 

Chỉ cần làm đến mức này, bạn đã có nền tảng tốt để: 

• Viết chính sách bảo vệ dữ liệu rõ ràng. 
• Chuẩn bị hồ sơ bảo vệ dữ liệu cá nhân khi cần giải trình. 

 4. Ví dụ phân loại dữ liệu cho một SME điển hình 

Giả sử một doanh nghiệp dịch vụ B2B khoảng 40 người, bạn có thể phân loại như sau: 

Nhóm A – Dữ liệu cá nhân nhạy cảm 

• Một số thông tin trong hồ sơ nhân sự: 
• Thông tin sức khỏe nếu có (giấy khám sức khỏe đầu vào). 
• Thông tin tài khoản ngân hàng cá nhân dùng để trả lương. 
• Dữ liệu liên quan đến trẻ em (nếu công ty có sản phẩm/dịch vụ cho nhóm này). 

Việc cần làm: 

• Hạn chế người được truy cập (thường chỉ HR và một số quản lý). 
• Lưu trữ ở khu vực riêng, phân quyền kỹ, có mã hóa nếu có thể. 
• Ghi rõ trong hồ sơ: ai là “owner”, lưu bao lâu, xóa thế nào. 

Nhóm B – Dữ liệu cá nhân thông thường 

• CRM khách hàng: họ tên, email, số điện thoại, công ty, chức vụ, lịch sử tương tác. 
• Dữ liệu marketing: form đăng ký, danh sách tham dự sự kiện, danh sách nhận newsletter. 
• Thông tin tài khoản người dùng trên sản phẩm/dịch vụ của công ty. 

Việc cần làm: 

• Thông báo rõ mục đích thu thập, xin đồng ý khi cần. 
• Có quyền truy cập theo vai trò (sales, CSKH, marketing…). 
• Có quy trình đáp ứng yêu cầu xem/xóa dữ liệu khi khách hàng yêu cầu. 

Nhóm C – Dữ liệu không phải dữ liệu cá nhân 

• Số liệu tổng hợp: doanh số theo tháng, tỷ lệ chuyển đổi, thống kê lượt truy cập đã ẩn danh. 
• Báo cáo nội bộ không chứa thông tin nhận diện cá nhân. 

Việc cần làm: 

• Vẫn bảo vệ ở mức cơ bản (không để ai cũng có thể chỉnh sửa), nhưng không cần quy định chặt như dữ liệu cá nhân. 

5. Liên kết phân loại dữ liệu với hồ sơ bảo vệ dữ liệu cá nhân 

Nhiều doanh nghiệp nghe đến hồ sơ bảo vệ dữ liệu cá nhân là thấy phức tạp. Nếu bạn đã làm bước phân loại ở trên, việc lập hồ sơ sẽ nhẹ hơn rất nhiều. 

Một bộ hồ sơ tối thiểu cho SME có thể gồm: 

1. Danh mục các bộ dữ liệu cá nhân (đã phân loại A/B/C). 
2. Mục đích xử lý cho từng bộ dữ liệu. 
3. Căn cứ pháp lý (đồng ý của khách hàng, hợp đồng, nghĩa vụ pháp luật…). 
4. Biện pháp bảo vệ: phân quyền, mã hóa, backup, hạn chế chia sẻ cho bên thứ ba. 
5. Thời hạn lưu giữ & cách xóa: sau bao lâu sẽ ẩn/xóa nếu không còn cần thiết. 

Bạn không cần một hệ thống đắt tiền – một file Excel được quản lý tốt cũng có thể là khởi điểm hợp lý, miễn là thông tin đúng, đủ và được cập nhật. 

6. Những sai lầm thường gặp khi phân loại dữ liệu ở SME 

1. Coi mọi thứ là “bình thường”, không có dữ liệu cá nhân nhạy cảm 

• Trong hồ sơ nhân sự và một số nghiệp vụ tài chính thường có thành phần nhạy cảm mà doanh nghiệp quên phân loại. 

2. Chỉ tập trung vào khách hàng, quên dữ liệu của nhân viên 

• Nghị định bảo vệ dữ liệu cá nhân áp dụng cho cả nhân sự nội bộ, không chỉ người mua hàng. 

3. Làm tài liệu rất đẹp nhưng không gắn với thực tế 

• Trên giấy phân loại rất chi tiết, nhưng trong hệ thống: ai cũng xem được mọi thứ, không phân quyền, không log. 

4. Không cập nhật khi có sản phẩm/dịch vụ mới 

• Mỗi lần mở thêm kênh thu lead, mini game, chương trình loyalty… đều có thể phát sinh loại dữ liệu mới cần phân loại. 

7. SME nên bắt đầu từ đâu, nếu chưa làm gì cả? 

Nếu bạn đang bắt đầu từ con số 0, có thể đi theo 4 bước gọn: 

1. Liệt kê các nguồn dữ liệu chính 

• CRM, hệ thống sản phẩm, hồ sơ nhân sự, dữ liệu marketing, file chung… 

2. Dán nhãn A/B/C cho từng bộ dữ liệu 

• A: có dữ liệu cá nhân nhạy cảm. 
• B: chỉ có dữ liệu cá nhân thông thường. 
• C: đã ẩn danh, không gắn với cá nhân. 

3. Xác định 3–5 rủi ro lớn nhất 

• Ví dụ: nhân viên sao chép data khách hàng, file nhân sự bị lộ, mất máy tính chứa dữ liệu chưa mã hóa… 

4. Viết 1–2 trang quy định ngắn 

• Nêu cách xử lý dữ liệu A/B/C, ai được quyền làm gì, phải báo cho ai khi có sự cố. 

Sau đó, khi có điều kiện, bạn có thể mở rộng thành chính sách bảo vệ dữ liệu và hồ sơ bảo vệ dữ liệu cá nhân hoàn chỉnh hơn, hoặc gắn với các tiêu chuẩn như ISO 27001. 

8. Kết luận 

Phân loại dữ liệu cá nhân không phải bài toán chỉ dành cho các tập đoàn có đội ngũ pháp lý và bảo mật lớn. Với doanh nghiệp vừa và nhỏ, mục tiêu thực tế là: 

• Nhận diện được đâu là dữ liệu cá nhân nhạy cảm cần bảo vệ kỹ hơn. 
• Hiểu mình đang xử lý những bộ dữ liệu nào, cho mục đích gì. 
• Có hồ sơ bảo vệ dữ liệu cá nhân ở mức tối thiểu để chứng minh rằng doanh nghiệp làm việc có trách nhiệm. 

Làm vừa đủ sâu, gắn với cách bạn đang vận hành hằng ngày, quan trọng hơn nhiều so với một bộ tài liệu dày nhưng không ai dùng. Bắt đầu từ một bản phân loại đơn giản hôm nay, bạn đã đi một bước rất xa trên hành trìnhbảo vệ dữ liệu và tuân thủ pháp luật cho SME của mình.