1. Vì sao phải quan tâm đến dữ liệu cá nhân?

Trong thời đại số, dữ liệu cá nhân (Personal Data) đã trở thành một trong những tài sản quan trọng nhất của mỗi tổ chức. Từ thông tin khách hàng, đối tác đến dữ liệu nhân sự nội bộ, tất cả đều cần được quản lý chặt chẽ để:

• Bảo vệ quyền riêng tư của cá nhân.
• Tuân thủ pháp luật (ví dụ: Luật An ninh mạng, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân ở Việt Nam, GDPR tại châu Âu).
• Tăng niềm tin với khách hàng, đối tác và nhân viên.

ISO/IEC 27701 chính là tiêu chuẩn quốc tế hướng dẫn cách thiết lập Hệ thống Quản lý Thông tin về quyền riêng tư (PIMS), mở rộng từ ISO/IEC 27001 (An ninh thông tin).

2. ISO/IEC 27701 là gì?

• Là phần mở rộng của ISO/IEC 27001 và 27002, tập trung vào quản lý dữ liệu cá nhân.
• Đưa ra các yêu cầu và hướng dẫn cho cả tổ chức đóng vai trò:
  • Bên kiểm soát dữ liệu (Data Controller) – đơn vị quyết định cách thức, mục đích xử lý dữ liệu.
  • Bên xử lý dữ liệu (Data Processor) – đơn vị thực hiện việc xử lý theo yêu cầu của bên kiểm soát.

3. Doanh nghiệp cần chuẩn bị những gì?

a. Nhận thức và đào tạo

• Tất cả cán bộ nhân viên cần hiểu dữ liệu cá nhân là gì (CMND/CCCD, địa chỉ, email, số điện thoại, dữ liệu sinh trắc học, tài khoản ngân hàng…).
• Nhận diện được rủi ro rò rỉ dữ liệu và trách nhiệm bảo mật trong công việc hằng ngày.
• Được đào tạo về quy trình bảo vệ dữ liệu cá nhân: chỉ thu thập đúng mục đích, chỉ chia sẻ khi được phép, chỉ lưu trữ trong thời hạn cần thiết.

b. Xác định phạm vi và trách nhiệm

• Doanh nghiệp cần lập danh mục dữ liệu cá nhân đang thu thập và xử lý.
• Phân định rõ ai chịu trách nhiệm (Ban CNTT, Nhân sự, Kinh doanh…) trong từng khâu: thu thập – xử lý – lưu trữ – hủy bỏ dữ liệu.

c. Chính sách và quy trình

• Xây dựng hoặc cập nhật chính sách bảo vệ dữ liệu cá nhân: minh bạch, dễ hiểu, công khai với nhân viên và khách hàng.
• Ban hành quy trình xử lý sự cố dữ liệu (ví dụ: mất laptop, email gửi nhầm, hacker tấn công).
• Có cơ chế để cá nhân yêu cầu truy cập, chỉnh sửa hoặc xóa dữ liệu của mình.

d. Kiểm soát kỹ thuật và an ninh

• Áp dụng các biện pháp bảo mật: mã hóa, phân quyền truy cập, sao lưu, giám sát hệ thống.
• Kiểm tra định kỳ và đánh giá rủi ro bảo mật.
• Hạn chế tối đa việc lưu trữ dữ liệu cá nhân trên các thiết bị cá nhân không an toàn.

e. Chuẩn bị cho chứng nhận ISO/IEC 27701

• Doanh nghiệp đã có ISO/IEC 27001 sẽ dễ dàng mở rộng sang 27701.
• Cần tiến hành đánh giá khoảng cách (gap assessment) để biết những điểm chưa đáp ứng.
• Thực hiện cải tiến liên tục, hướng đến việc đạt chứng nhận và duy trì theo chu kỳ kiểm tra định kỳ.

4. Vai trò của mỗi cán bộ nhân viên

• Hiểu và tuân thủ chính sách bảo mật dữ liệu cá nhân.
• Chỉ xử lý dữ liệu trong phạm vi công việc được giao.
• Báo cáo ngay khi phát hiện sự cố hoặc rủi ro rò rỉ dữ liệu.
• Tôn trọng quyền riêng tư của khách hàng, đối tác và đồng nghiệp.

Trong hệ thống quản lý dữ liệu cá nhân theo tiêu chuẩn ISO/IEC 27701, mỗi cán bộ nhân viên không chỉ là người sử dụng dữ liệu mà còn là một mắt xích quan trọng trong chuỗi bảo mật của doanh nghiệp. Vai trò cụ thể gồm:

Hiểu và tuân thủ chính sách bảo mật dữ liệu cá nhân

• Nắm rõ các quy định, quy trình của công ty về bảo mật thông tin.
• Biết phân biệt đâu là dữ liệu cá nhân, đâu là dữ liệu nhạy cảm cần bảo vệ đặc biệt.
• Không chia sẻ hoặc sử dụng dữ liệu ngoài phạm vi chính sách đã ban hành.

Chỉ xử lý dữ liệu trong phạm vi công việc được giao

• Chỉ thu thập, lưu trữ, sử dụng dữ liệu khi có sự cho phép và đúng với mục đích công việc.
• Không sao chép, lưu giữ dữ liệu cá nhân trên các thiết bị cá nhân hoặc nền tảng không an toàn.
• Tôn trọng nguyên tắc “tối thiểu hóa dữ liệu” – chỉ xử lý những thông tin thực sự cần thiết.

Báo cáo ngay khi phát hiện sự cố hoặc rủi ro rò rỉ dữ liệu

• Chủ động phát hiện các tình huống bất thường: email lạ, file dữ liệu bị mất, tài khoản bị truy cập trái phép…
• Báo cáo ngay cho bộ phận phụ trách (CNTT, An ninh thông tin hoặc Quản trị dữ liệu) để có biện pháp xử lý kịp thời.
• Không tự ý khắc phục sự cố nếu chưa có hướng dẫn, tránh làm tình huống nghiêm trọng hơn.

Tôn trọng quyền riêng tư của khách hàng, đối tác và đồng nghiệp

• Không tiết lộ thông tin cá nhân của người khác cho bên thứ ba nếu chưa được phép.
• Cẩn trọng trong việc trao đổi email, chia sẻ file, hoặc trò chuyện công việc có liên quan đến dữ liệu cá nhân.
• Luôn đặt mình vào vị trí của người sở hữu dữ liệu: “Nếu thông tin cá nhân của mình bị lộ, mình sẽ thế nào?”.

✅ Thông điệp chính:
Mỗi cán bộ nhân viên đều là “người bảo vệ dữ liệu”. Thực hiện tốt 4 nguyên tắc trên sẽ giúp doanh nghiệp duy trì được niềm tin, tuân thủ pháp luật và xây dựng một môi trường làm việc chuyên nghiệp, an toàn.

5. Kết luận

Quản lý dữ liệu cá nhân theo ISO/IEC 27701 không chỉ là yêu cầu tuân thủ pháp luật mà còn là cam kết của doanh nghiệp đối với sự tin cậy và an toàn thông tin. Mỗi cán bộ nhân viên chính là một mắt xích quan trọng trong chuỗi bảo mật đó.

Hãy cùng nhau chuẩn bị, xây dựng văn hóa bảo mật & tôn trọng dữ liệu cá nhân, để doanh nghiệp ngày càng phát triển bền vững trong kỷ nguyên số.