Với kỷ nguyên số và tốc độ công nghệ hóa như hiện nay, hầu hết các dữ liệu của doanh nghiệp trong đó có dữ liệu cá nhân đều được doanh nghiệp thực hiện số hóa và lưu trữ trên các hệ thống không gian mạng của doanh nghiệp hoặc trên nền tảng cung cấp của bên thứ ba. Tuy nhiên việc lưu trữ thường được thực hiện một cách thức linh động để phù hợp với mỗi bộ phận của doanh nghiệp, mà ít doanh nghiệp xây dựng quy trình, sơ đồ cho việc lưu trữ dữ liệu. Thực tế, doanh nghiệp càng lớn, càng đa nền tảng – thì rủi ro dữ liệu cá nhân càng lan rộng và khó kiểm soát. Vấn đề không nằm ở “dữ liệu bị rò rỉ”, mà ở chỗ doanh nghiệp không biết chính xác dữ liệu cá nhân đang ở đâu, ai có quyền truy cập, và được xử lý ra sao. Chính vì vậy việc xây dựng bản đồ dữ liệu cá nhân – data map sẽ được xem là phương án tối ưu cho việc quản trị dữ liệu cá nhân của doanh nghiệp cũng như tuân thủ quy định về bảo vệ dữ liệu cá nhân.
1. Các hệ thống nào của doanh nghiệp thường chưa đựng dữ liệu cá nhân
Dữ liệu cá nhân hiện nay không còn nằm nhiều trên các văn bản giấy mà được lưu trữ trên các hệ thống, phần mềm của doanh nghiệp hoặc trên nền tảng lưu trữ của bên thứ ba. Đa phần trong mỗi doanh nghiệp, dữ liệu cá nhân sẽ do các bộ phận nhân sự, quan hệ khách hàng, kế toán, IT … nắm giữ tùy vào hoạt động kinh doanh cũng như cách sắp xếp cấu trúc vận hành của mỗi doanh nghiệp. Trong quá trình xây dựng hệ thống quản trị dữ liệu cá nhân hay lập các báo cáo đánh giá về dữ liệu cá nhân cho khách hàng, CDLAF thường bắt đầu bằng việc xác định luồng dữ liệu cá nhân trong mỗi doanh nghiệp, dựa trên đó để xây dựng bản đồ dữ liệu cá nhân. Và chúng tôi nhận thấy đa phần dữ liệu cá nhân sẽ được nắm giữ tại các hệ thống sau:
Hệ thống tài chính
Chúng tôi gọi tên chung là hệ thống tài chính, tuy nhiên mỗi doanh nghiệp sẽ sử dụng các phần mềm khác nhau để quản lý, kết nối các dữ liệu với nhau cho mục đích quản trị tài chính doanh nghiệp. Bên cạnh các tính năng liên quan đến kế toán như mua hàng hay kho vận, là hàng loạt dữ liệu cá nhân như thông tin số tài khoản ngân hàng, định danh điện tử, người phụ thuộc, mã số thuế … đối với nhân sự công ty hay thông tin khách hàng nhà cung cấp ( căn cước công dân, mã số thuế, hợp đồng , chữ ký số, lịch sử trao đổi ….). Vấn đề là các dữ liệu cá nhân này không nằm cố định tại một điểm mà sẽ được dịch chuyển trong các bộ phận, dịch chuyển ra bên ngoài thông qua hệ thống phần mềm hay chia sẻ thủ công.
Hệ thống quản lý nhân sự
Hiện đa phần các doanh nghiệp sẽ sử dụng các phần mềm, hệ thống công nghệ để quản lý nhân sự, bao gồm cả nhân sự của doanh nghiệp và nhân sự khách hàng đối với các doanh nghiệp có hoạt động dịch vụ liên quan đến cho thuê lao động, dịch vụ việc làm, xuất khẩu lao động ….Theo đó các dữ liệu cá nhân mà đặc biệt dữ liệu cá nhân nhạy cảm được các hệ thống, bộ phận này nắm giữ như thông tin về hồ sơ nhân sự (CCCD, hộ khẩu, quốc tịch, visa, bằng cấp), tình trạng nhân thân (Hồ sơ y tế, bảo hiểm, tình trạng hôn nhân, con cái), dữ liệu sinh trắc học, thông tin lương thưởng, kỷ luật, hợp đồng lao động. Một vấn đề mà chúng tôi cho rằng tất cả các doanh nghiệp khi sử dụng hệ thống về nhân sự cần xác định đó là liệu doanh nghiệp đã xác lập Hợp đồng xử lý dữ liệu hay chưa hay doanh nghiệp có biết dữ liệu được lưu trữ ở quốc gia nào hay không.
Hệ thống quản lý khách hàng – CRM
CRM có thể được xem là nơi ẩn chứa các nguồn rủi ro dữ liệu lớn nhất vì chứa đựng một khối lượng lớn các dữ liệu của khách hàng trong đó có cả dữ liệu nhạy cảm, đồng thời dữ liệu này cũng được dịch chuyển qua nhiều bộ phận và nhiều cá nhân tiếp cận được. Điển hình các hệ thống về bán hàng hóa dịch vụ sẽ lưu giữ nhiều thông tin về: Họ tên, số điện thoại, email, vị trí địa lý; Lịch sử tương tác, khiếu nại, sở thích mua hàng; Dữ liệu hành vi người dùng từ website, ứng dụng, chatbot, mạng xã hội.
Hệ thống Email, Chat nội bộ
Các hệ thống như Microsoft 365, Google Workspace, Slack, Notion… lưu trữ khối lượng khổng lồ dữ liệu cá nhân: hợp đồng, CV, thông tin lương, ảnh hộ chiếu, thông tin khách hàng. Phần lớn doanh nghiệp đang để dữ liệu này lưu trữ mặc định trên máy chủ quốc tế mà không biết đây chính là hành vi chuyển dữ liệu xuyên biên giới.
2. Bản đồ dữ liệu cá nhân trong doanh nghiệp và cách thức xây dựng
“Bản đồ dữ liệu” (Data Map) là sơ đồ thể hiện dòng chảy của dữ liệu cá nhân trong doanh nghiệp, bao gồm việc tạo lập, lưu giữ, xử lý, quản lý và cá nhân, bộ phận nào sẽ được tiếp cận dữ liệu, quá trình xử lý – chuyển giao dữ liệu sẽ cần đi theo quy trình nào, điều kiện là gì, mỗi loại dữ liệu sẽ tập trung ở những hệ thống nào… tất cả những vấn đề này sẽ được sơ đồ hóa thể hiện rõ mối quan hệ giữa các trường dữ liệu khác nhau.
Sau khi đã xây dựng được bản đồ dữ liệu cá nhân, doanh nghiệp sẽ xác định được cách thức quản lý của mỗi loại dữ liệu từ đó xác lập chính sách quyền riêng tư, chính sách bảo mật thông tin hay có cơ sở để xác định doanh nghiệp sẽ cần phải thực hiện các thủ tục nào như đánh giá tác động dữ liệu xuyên biên giới. Bên cạnh đó bản đồ dữ liệu cá nhân cũng giúp người quản lý doanh nghiệp nắm được các dữ liệu nào đang được thu thập, có dữ liệu nhạy cảm hay không, rủi ro tiềm ẩn là gì và biện pháp ứng phó sự cố cho từng trường hợp cụ thể. Trường hợp cần xử lý dữ liệu cá nhân theo yêu cầu của chủ thể hay cơ quan có thẩm quyền thì doanh nghiệp cũng sẽ dựa vào bản đồ dữ liệu để có thể truy cập, xóa hoặc chỉnh sửa dữ liệu từ cá nhân một cách nhanh chóng và chính xác.
Để xây dựng bản đồ dữ liệu cá nhân, doanh nghiệp có thể thực hiện theo từng bước như sau:
- Xác định các nguồn mà đang thu thập dữ liệu cá nhân trong doanh nghiệp: nguồn đó có thể là trên các ứng dụng của công ty, các hệ thống phần mềm công ty sử dụng, trên các nền tảng online của công ty, từ các bộ phận của công ty, từ những bên thứ ba …
- Phân loại dữ liệu cá nhân: sau khi xác định được nguồn dữ liệu, doanh nghiệp trích xuất các dữ liệu từ các nguồn và phân loại dữ liệu cá nhân là thuộc đối tượng nào (khách hàng, đối tác, nhà cung cấp …), những loại dữ liệu nào thuộc vào nhóm nhạy cảm, chi tiết từng loại dữ liệu cá nhân như email, điện thoại, tài khoản ngân hàng, định danh điện tử ….
- Xác định dòng chảy dữ liệu: được hiểu là doanh nghiệp nắm được điểm đầu và điểm cuối và các mốc dịch chuyển của dữ liệu, từ đó xác định được các thủ tục mà doanh nghiệp cần thực hiện, vai trò của bên thứ ba đối với dữ liệu cá nhân…
- Xác định mục đích thu thập, sử dụng dữ liệu cá nhân: theo đó doanh nghiệp sẽ cần ghi rõ từng mục đích sử dụng dữ liệu điều này sẽ giúp doanh nghiệp kiểm soát được việc sử dụng dữ liệu một cách hợp pháp từ chính nhân sự của doanh nghiệp hoặc bên thứ ba, và cũng là cơ sở để thực hiện các yêu cầu bồi thường thiệt hại, hay xử lý kỷ luật lao động trong trường hợp dữ liệu cá nhân vì bất kỳ kỳ lý do nào đó mà bị sử dụng trái mục đích ban đầu.
- Đặt ra các cách thức lưu trữ dữ liệu: đặt chính sách rõ ràng về thời gian lưu giữ, xóa dữ liệu khi không còn cần thiết để tuân thủ nguyên tắc lưu trữ dữ liệu theo quy định, đồng thời cũng là cơ sở để xác định thời hạn lưu trữ một số dữ liệu theo pháp luật chuyên ngành như thuế, bảo hiểm, lao động …
Để bắt đầu, doanh nghiệp nên coi việc lập bản đồ dữ liệu cá nhân là dự án nền tảng của toàn hệ thống quản trị dữ liệu. Khi Data Map được thiết lập bài bản, doanh nghiệp không chỉ đáp ứng yêu cầu tuân thủ, mà còn tạo dựng một khung quản trị dữ liệu bền vững – nơi mọi quyết định đều dựa trên hiểu biết, minh bạch và trách nhiệm.
Thời gian viết bài: 15/10/2025
Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn
Vì sao chọn dịch vụ CDLAF
- Chúng tôi cung cấp đến bạn giải pháp pháp lý hiệu quả và toàn diện, giúp bạn tiết kiệm ngân sách, duy trì sự tuân thủ trong doanh nghiệp;
- Chúng tôi tiếp tục duy trì việc theo dõi vấn đề pháp lý của bạn ngay cả khi dịch vụ đã hoàn thành và cập nhật đến bạn khi có bất kỳ sự thay đổi nào từ hệ thống pháp luật Việt Nam;
- Hệ thống biểu mẫu về doanh nghiệp, đầu tư được xây dựng và cập nhật liên tục sẽ cung cấp khi khách hàng yêu cầu, rút ngắn thời gian thực hiện thủ tục;
- Doanh nghiệp cập nhật kịp thời các chính sách và phương thức làm việc tại các cơ quan nhà nước có thẩm quyền;
- Đội ngũ Luật sư của CDLAF nhiều năm kinh nghiệm hoạt động tại lĩnh vực Lao động, Doanh nghiệp, Đầu tư cùng với các cố vấn nhân sự, tài chính;
- Quy trình bảo mật thông tin nghiêm ngặt trong suốt quá trình thực hiện dịch vụ và ngay cả khi dịch vụ được hoàn thành sau đó;
Bạn có thể tham thảo thêm:
- Dữ liệu nhạy cảm: Những gì doanh nghiệp bạn đang xử lý mà chưa biết
- Doanh nghiệp cần lưu ý gì khi chào bán cổ phần riêng lẻ
- gười nước ngoài ly hôn tại Việt Nam và phân chia tài sản
- Điều kiện và vấn đề cần lưu ý khi người nước ngoài ly hôn tại Việt Nam
- Hướng dẫn doanh nghiệp sử dụng tài khoản vay và trả nợ khoản vay nước ngoài
- Khi nào thì doanh nghiệp xác lập hợp đồng vay nước ngoài ngắn hạn, hợp đồng dài hạn
- Làm sao để khoản vay nước ngoài đúng luật?
