Data Literacy cho DPO tương lai

Tài liệu này dành cho ai?

Cho người làm business / non-technical — đặc biệt là người làm bảo vệ dữ liệu cá nhân (privacy) — chưa từng học về dữ liệu một cách bài bản. Bạn không cần biết lập trình. Mục tiêu là sau khi đọc, bạn:

• Nắm được các khái niệm dữ liệu nền tảng, nói cùng "ngôn ngữ" với dân kỹ thuật.
• Hiểu vì sao IT lại hỏi bạn những câu như "data này lưu ở đâu, ai truy cập, có mã hóa không" — và biết trả lời thế nào.
• Biết cách tự làm data mapping và lập ROPA phục vụ tuân thủ PDPL.

🗺️ Lộ trình học (~10.5 giờ)

Bạn có thể học rải trong vài ngày. Gợi ý chia buổi:

🧭 Học tuần tự hay độc lập? Cách dùng "trình chiếu"

1. Dữ liệu là gì? ↑ đầu trang

⏱ ~12 phút · Viên gạch đầu tiên — phân biệt dữ liệu, thông tin & các dạng dữ liệu

Hãy bắt đầu từ thứ cơ bản nhất. Dữ liệu (data) là những sự kiện thô, rời rạc, chưa có ý nghĩa nếu đứng một mình.

Thang DIKW: từ dữ liệu đến tri thức

Người trong ngành hay nói về thang DIKW — bốn bậc cho thấy dữ liệu "lớn lên" thành giá trị thế nào:

Ba dạng dữ liệu theo cấu trúc

Hai khái niệm cuối cũng hay gặp: Master data (dữ liệu lõi, ít đổi — như danh mục khách hàng, sản phẩm) và Transaction data (dữ liệu giao dịch, sinh liên tục — như từng lần chuyển tiền).

2. DAMA-DMBOK & DAMA Wheel ↑ đầu trang

⏱ ~15 phút · Bộ khung chuẩn quốc tế & chỗ đứng của privacy trong đó

Quản trị dữ liệu (data management) là việc tổ chức bài bản để dữ liệu luôn đúng, an toàn, dùng được và tuân thủ pháp luật. DAMA là hiệp hội quốc tế về quản trị dữ liệu; họ xuất bản cuốn DMBOK (Data Management Body of Knowledge) — được xem là "cẩm nang chuẩn" của ngành.

DMBOK chia công việc dữ liệu thành 11 lĩnh vực (knowledge areas), vẽ thành một vòng tròn gọi là DAMA Wheel, với Data Governance (Quản trị dữ liệu) ở trung tâm điều phối tất cả.

Lưu ý: DMBOK không có một lĩnh vực tên "Privacy" riêng — privacy nằm xuyên suốt, mạnh nhất ở Governance, Security và Metadata. Đó là lý do người làm privacy cần hiểu cả bức tranh, không chỉ phần bảo mật.

3. Vòng đời dữ liệu (data lifecycle) ↑ đầu trang

⏱ ~12 phút · Dữ liệu đi qua những giai đoạn nào & rủi ro privacy ở mỗi giai đoạn

Dữ liệu cá nhân không "đứng yên" — nó đi qua nhiều giai đoạn. Privacy quan tâm rủi ro ở từng giai đoạn.

4. Quản trị dữ liệu (Data Governance) ↑ đầu trang

⏱ ~15 phút · Trái tim của DAMA Wheel — và là nơi privacy "sống"

Nếu các lĩnh vực khác trong DAMA Wheel là "làm việc với dữ liệu", thì Governance là "đặt ra luật chơi" cho tất cả. Đây là lý do nó nằm ở trung tâm. Với người làm privacy, Governance chính là sân nhà: chính sách bảo vệ dữ liệu cá nhân, phân quyền, ROPA... đều là sản phẩm của Governance.

Ba trụ cột của một chương trình Governance

Những thành phần bạn sẽ nghe nhắc tới

5. Chất lượng dữ liệu (Data Quality) ↑ đầu trang

⏱ ~15 phút · "Rác vào, rác ra" — dữ liệu sai làm hỏng cả quyết định lẫn quyền của khách hàng

Dữ liệu chỉ có giá trị khi đáng tin. Ngành dữ liệu đánh giá chất lượng theo 6 chiều (dimensions):

6. Metadata & Data Catalog ↑ đầu trang

⏱ ~12 phút · "Bạn không thể bảo vệ thứ bạn không biết mình có"

Ba loại metadata thường gặp:

• Metadata nghiệp vụ (business): ý nghĩa, định nghĩa, ai sở hữu. VD: "cột so_du là số dư khả dụng, đơn vị VND".
• Metadata kỹ thuật (technical): kiểu dữ liệu, tên bảng, nơi lưu. VD: bảng KHACH_HANG, cột SDT kiểu chuỗi 10 ký tự.
• Metadata vận hành (operational): ai tạo/sửa, khi nào, tần suất cập nhật, được sao lưu chưa.

Khi tổ chức metadata vào một nơi tra cứu được, ta có Data Catalog — như "mục lục thư viện" của toàn bộ dữ liệu. Nhiều catalog hiện đại còn ghi cả data lineage (đường đi dữ liệu, mục Data mapping & ROPA) và nhãn nhạy cảm.

7. Master Data & Reference Data ↑ đầu trang

⏱ ~12 phút · Dữ liệu "lõi" dùng chung toàn ngân hàng

Master Data Management (MDM) là việc giữ cho dữ liệu chủ duy nhất, nhất quán — tránh tình trạng một khách hàng có nhiều hồ sơ rời rạc ở các hệ thống khác nhau (gọi là "golden record" — bản ghi vàng duy nhất).

8. Con người & vai trò ↑ đầu trang

⏱ ~12 phút · Hỏi đúng người — ai chịu trách nhiệm gì về dữ liệu

Khi đi hỏi thông tin để làm data mapping, bạn cần biết hỏi đúng người. Đây là các vai trò chuẩn:

9. Hạ tầng cơ bản: server, database, app, API ↑ đầu trang

⏱ ~12 phút · Những "viên gạch" IT để hiểu khi họ mô tả nơi dữ liệu chạy

Để hiểu IT nói gì, bạn cần vài "viên gạch" nền. Dùng ẩn dụ cho dễ nhớ:

10. Cơ sở dữ liệu đi sâu một chút ↑ đầu trang

⏱ ~15 phút · Nơi phần lớn dữ liệu cá nhân thực sự nằm

Phần lớn dữ liệu cá nhân có cấu trúc nằm trong cơ sở dữ liệu (database, DB). Hiểu cấu trúc cơ bản giúp bạn "đọc" được khi IT mô tả nơi lưu dữ liệu.

Bảng, hàng, cột, khóa

SQL và NoSQL

11. SQL — ngôn ngữ "nói chuyện" với dữ liệu ↑ đầu trang

⏱ ~25 phút · Kỹ năng nền tảng số 1 của bất kỳ ai làm data — kể cả DPO

"Giới thiệu về data mà không có SQL thì... giỡn à." — Một sự thật của ngành. SQL là kỹ năng được yêu cầu nhiều nhất trong các tin tuyển dụng liên quan dữ liệu suốt nhiều năm.

11.1 SQL là gì?

Hãy nhớ lại mục Cơ sở dữ liệu: dữ liệu nằm trong các bảng (hàng × cột). SQL chính là cách bạn lấy đúng phần dữ liệu mình cần ra khỏi các bảng đó — thay vì mở cả triệu dòng bằng mắt.

11.2 Vì sao làm data — và làm Privacy — lại CẦN biết SQL?

11.3 6 mảnh ghép SQL cốt lõi (đọc là hiểu)

Một câu truy vấn lấy dữ liệu (SELECT) gần như luôn ghép từ các "mảnh" sau. Ví dụ trên bảng giả KHACH_HANG:

Ví dụ 1 — Truy vấn cơ bản

SELECT  ho_ten, ngay_mo_the
FROM    KHACH_HANG
WHERE   thang_mo = 6
ORDER BY ngay_mo_the;

👉 "Lấy họ tên và ngày mở thẻ từ bảng KHACH_HANG, chỉ những ai mở thẻ tháng 6, sắp theo ngày." Dễ như đọc tiếng Anh đúng không?

Ví dụ 2 — Đếm theo nhóm (rất hợp cho audit)

SELECT  loai_du_lieu, COUNT(*) AS so_ban_ghi
FROM    KHO_DU_LIEU_CA_NHAN
WHERE   ngay_thu_thap < '2020-01-01'
GROUP BY loai_du_lieu;

👉 "Đếm xem mỗi loại dữ liệu có bao nhiêu bản ghi thu thập trước 2020." → Câu hỏi audit kinh điển: "dữ liệu nào đang lưu quá lâu?"

Ví dụ 3 — Ghép 2 bảng bằng JOIN

Dữ liệu thường nằm ở nhiều bảng. JOIN ghép chúng lại qua khóa chung (xem khóa chính/khóa ngoại ở mục Database):

SELECT  kh.ho_ten, gd.so_tien, gd.ngay_gd
FROM    KHACH_HANG  kh
JOIN    GIAO_DICH   gd  ON gd.ma_kh = kh.ma_kh
WHERE   gd.ngay_gd >= '2026-01-01';

👉 "Lấy họ tên (từ bảng Khách hàng) cùng số tiền, ngày (từ bảng Giao dịch), ghép hai bảng qua mã KH chung, chỉ giao dịch từ đầu 2026." → JOIN chính là cách bạn lần theo dữ liệu của một người trải khắp nhiều bảng — kỹ năng cốt lõi khi xử lý DSAR (xem mục Quyền của chủ thể dữ liệu).

11.4 Học SQL như thế nào? (lộ trình 4 tuần cho người mới)

SELECT ho_ten, so_dien_thoai
FROM   KHACH_HANG
WHERE  da_dong_y_marketing = 'KHONG';

12. Cloud & nơi dữ liệu "ở" ↑ đầu trang

⏱ ~15 phút · Cloud là gì, tên nhà cung cấp & vì sao "region" quan trọng với privacy

Cloud (điện toán đám mây) đơn giản là thuê server/hạ tầng của nhà cung cấp (AWS, Google, Microsoft...) qua internet, thay vì tự mua máy. Khác với thuê chỗ đặt máy truyền thống, cloud có 3 đặc trưng cốt lõi: tự phục vụ tức thì (bật/tắt tài nguyên ngay), co giãn (scale lên/xuống theo nhu cầu) và trả theo mức dùng (pay-as-you-go). Có 3 "mức thuê":

Public / Private / Hybrid cloud

• Public cloud: dùng chung hạ tầng của nhà cung cấp lớn (nhiều khách hàng cùng dùng, được cô lập logic).
• Private cloud: hạ tầng riêng cho một tổ chức (kiểm soát cao hơn, hay dùng cho dữ liệu nhạy cảm).
• Hybrid: kết hợp cả hai — rất phổ biến ở ngân hàng VN: dữ liệu nhạy cảm/core giữ on-premise hoặc private/cloud nội địa, phần ít nhạy cảm đưa lên public cloud.

Các nhà cung cấp cloud — quốc tế & Việt Nam

Bạn nên thuộc tên những "ông lớn" này, vì khi làm data mapping bạn sẽ phải ghi rõ dữ liệu đang chạy trên cloud của ai, đặt ở đâu.

Mô hình trách nhiệm chung (shared responsibility)

Trên cloud, bảo mật được chia đôi: nhà cung cấp lo an toàn của hạ tầng ("security of the cloud"), còn ngân hàng lo cấu hình & dữ liệu của mình ("security in the cloud"). Dữ liệu khách hàng luôn là trách nhiệm của ngân hàng — không phải của nhà cung cấp cloud.

13. Tích hợp dữ liệu: ETL, API, batch & real-time ↑ đầu trang

⏱ ~12 phút · Dữ liệu di chuyển giữa các hệ thống bằng cách nào

Dữ liệu hiếm khi nằm yên một chỗ — nó liên tục được chuyển giữa các hệ thống. Hiểu cách di chuyển giúp bạn vẽ data flow (mục Data flow) chính xác.

14. IT Security cơ bản ↑ đầu trang

⏱ ~15 phút · CIA, mã hóa, phân quyền, ẩn danh/giả danh/masking

CIA Triad — ba trụ cột an ninh thông tin

Các kỹ thuật bảo vệ bạn sẽ nghe IT nhắc

Ba "anh em" hay bị nhầm: Anonymization / Pseudonymization / Masking

Rất quan trọng với privacy — chúng quyết định dữ liệu còn là "dữ liệu cá nhân" hay không:

15. An ninh mạng & các mối đe dọa ↑ đầu trang

⏱ ~15 phút · Hiểu kẻ tấn công nghĩ gì để bảo vệ dữ liệu cá nhân

Privacy và an ninh mạng (cybersecurity) là hai mặt của một đồng xu: rò rỉ dữ liệu cá nhân thường bắt nguồn từ một sự cố an ninh. Đây là những "tấm khiên" và "mũi tên" bạn nên biết.

Lá chắn phòng thủ phổ biến

Các mối đe dọa hay gặp

16. ITGC & ITAC — các "chốt kiểm soát" CNTT ↑ đầu trang

⏱ ~18 phút · Ngôn ngữ kiểm soát mà DPO dùng để "drive" system owner

Trong thực tế, DPO hiếm khi tự tay cấu hình hệ thống. Thay vào đó, DPO yêu cầu & thúc đẩy (drive) chủ sở hữu hệ thống (system owner) triển khai các chốt kiểm soát bảo vệ dữ liệu. Muốn drive được, bạn phải nói đúng "ngôn ngữ kiểm soát": ITGC & ITAC.

16.1 ITGC — IT General Controls (Kiểm soát chung CNTT)

16.2 ITAC — IT Application Controls (Kiểm soát ứng dụng)

17. ISO/IEC 27001 & các chuẩn liên quan ↑ đầu trang

⏱ ~18 phút · "Bộ khung" để chuẩn hóa các chốt kiểm soát ở trên

ITGC/ITAC trả lời "kiểm soát gì". ISO/IEC 27001 trả lời "làm sao quản trị các kiểm soát đó một cách có hệ thống & chứng minh được". Đây là chuẩn quốc tế mà DPO hay viện dẫn để yêu cầu hệ thống & nhà cung cấp.

17.1 "Họ" tiêu chuẩn ISO 27000 & chuẩn liên quan

18. "Giải mã" những câu IT hay hỏi bạn ↑ đầu trang

⏱ ~12 phút · Bảng tra: IT hỏi gì ↔ ý thực sự ↔ bạn chuẩn bị thế nào

Đây là bảng tra cứu thực chiến — khi IT hỏi một câu, họ thực sự muốn biết gì, vì sao nó liên quan privacy, và bạn nên chuẩn bị trả lời thế nào.

19. Nguyên tắc bảo vệ dữ liệu cá nhân ↑ đầu trang

⏱ ~18 phút · "Kim chỉ nam" cho mọi quyết định privacy

Mọi hoạt động xử lý dữ liệu cá nhân đều phải tuân theo một bộ nguyên tắc. Bộ dưới đây tổng hợp tinh thần chung của pháp luật Việt Nam (Nghị định 13/2023/NĐ-CP) và chuẩn quốc tế (GDPR) — rất giống nhau:

Hai khái niệm "kim chỉ nam" đi kèm

20. Căn cứ pháp lý để xử lý dữ liệu ↑ đầu trang

⏱ ~15 phút · "Tôi được phép xử lý dữ liệu này dựa trên cái gì?"

Trước khi xử lý bất kỳ dữ liệu cá nhân nào, phải có căn cứ pháp lý (legal basis). Sự đồng ý được nhắc đến nhiều, nhưng KHÔNG phải là căn cứ "trung tâm" hay cao hơn các căn cứ khác — đây là hiểu lầm tai hại nhất. Pháp luật Việt Nam liệt kê nhiều căn cứ ngang hàng; bạn phải chọn căn cứ phù hợp với từng mục đích:

• Sự đồng ý (consent): chủ thể tự nguyện đồng ý, rõ ràng, có thể rút lại bất cứ lúc nào.
• Thực hiện hợp đồng: cần thiết để thực hiện hợp đồng với chính chủ thể (vd xử lý để cấp khoản vay họ yêu cầu).
• Nghĩa vụ pháp lý: luật yêu cầu (vd định danh KYC, báo cáo phòng chống rửa tiền — AML, lưu trữ theo quy định ngành ngân hàng).
• Bảo vệ tính mạng/sức khỏe trong trường hợp khẩn cấp.
• Yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định.
• Vì lợi ích công cộng, an ninh quốc phòng theo điều kiện luật định.

21. Data flow — luồng dữ liệu ↑ đầu trang

⏱ ~15 phút · Đọc & vẽ sơ đồ đường đi của dữ liệu (DFD)

Data flow (luồng dữ liệu) là đường đi của dữ liệu: từ lúc được tạo/thu thập, qua các hệ thống xử lý, đến nơi lưu trữ và những nơi nó được chia sẻ. Cách thể hiện phổ biến là Data Flow Diagram (DFD).

Bốn ký hiệu cơ bản của DFD

22. Data inventory — kiểm kê dữ liệu ↑ đầu trang

⏱ ~10 phút · "Chúng ta thực sự đang có dữ liệu gì?" — kèm template tải về

Data inventory (kiểm kê dữ liệu) là danh sách những loại dữ liệu mà tổ chức đang nắm giữ, kèm thông tin cơ bản về chúng. Nó trả lời câu hỏi nền tảng nhất của privacy: "Chúng ta thực sự đang có dữ liệu gì?"

Inventory khác mapping thế nào? Inventory là "chúng ta có gì" (mức danh mục). Data mapping đi sâu hơn: từng trường dữ liệu chảy từ đâu đến đâu, vì mục đích gì, căn cứ pháp lý nào. Bạn thường làm inventory trước để có bức tranh tổng, rồi mới mapping chi tiết cho từng hoạt động xử lý quan trọng.

23. Phân loại dữ liệu (data classification) ↑ đầu trang

⏱ ~12 phút · Gắn nhãn để biết áp mức bảo vệ nào · PII vs dữ liệu nhạy cảm

Không phải dữ liệu nào cũng cần bảo vệ như nhau. Cần phân biệt HAI TRỤC độc lập — đây là chỗ rất nhiều người nhầm:

Trục 1 — Thang mức bảo mật (ví dụ ở ngân hàng)

Trục 2 — Phân loại pháp lý: dữ liệu cá nhân cơ bản vs nhạy cảm

24. Data mapping & ROPA — trọng tâm ★ ↑ đầu trang

⏱ ~25 phút · Bài quan trọng nhất — quy trình 7 bước, lineage & template ROPA tải về

Data mapping là việc lập bản đồ chi tiết cho dữ liệu cá nhân: từng loại dữ liệu được thu thập từ đâu, chảy qua hệ thống nào, lưu ở đâu, dùng cho mục đích gì, căn cứ pháp lý nào, chia sẻ cho ai và lưu bao lâu. Đây là nền móng để xây ROPA và tuân thủ PDPL.

Phân biệt rõ 3 khái niệm hay lẫn lộn

Quy trình data mapping 7 bước

1. Xác định hoạt động xử lý / quy trình nghiệp vụ. Bắt đầu từ một quy trình cụ thể, vd "Mở thẻ tín dụng qua eKYC". Đừng cố làm cả ngân hàng cùng lúc.
2. Liệt kê các trường dữ liệu (data elements). Họ tên, CCCD, ảnh CCCD, SĐT, thu nhập… Đánh dấu trường nào là nhạy cảm.
3. Xác định nguồn → đích & hệ thống (data lineage). Dữ liệu vào từ đâu (app), qua hệ thống nào (eKYC, core banking), lưu ở đâu (DB, kho ảnh).
4. Phân loại & gắn nhãn. Áp nhãn phân loại (mục Phân loại dữ liệu) cho từng trường.
5. Ghi mục đích, căn cứ pháp lý & thời hạn lưu. Vì sao thu thập? Dựa trên đồng ý / hợp đồng / nghĩa vụ pháp lý? Giữ bao lâu?
6. Xác định bên nhận & chuyển dữ liệu xuyên biên giới. Chia sẻ cho phòng ban/đối tác nào? Có rời khỏi Việt Nam không (cross-border)?
7. Rà soát & duy trì. Mapping không phải làm một lần. Cập nhật khi quy trình/hệ thống thay đổi.

Data lineage — truy vết nguồn → đích

Data lineage là "gia phả" của dữ liệu: lần theo một trường dữ liệu từ nơi sinh ra, qua mọi nơi nó đi qua, đến nơi cuối cùng. Phục vụ kiểm toán (audit) — khi cơ quan quản lý hỏi "dữ liệu này từ đâu ra, đã đi những đâu?", lineage trả lời được.

Xây ROPA (Record of Processing Activities)

ROPA — Hồ sơ/Sổ ghi các hoạt động xử lý dữ liệu cá nhân — là tài liệu tuân thủ cốt lõi mà cán bộ privacy phải duy trì. Data mapping cung cấp nguyên liệu, ROPA là "thành phẩm" trình bày theo từng hoạt động xử lý. Các cột thường có:

Cross-border transfer mapping — chuyển dữ liệu xuyên biên giới

Khi dữ liệu cá nhân của khách hàng Việt Nam rời khỏi lãnh thổ Việt Nam — ví dụ được lưu/xử lý trên cloud region ở nước ngoài, hoặc gửi cho đối tác nước ngoài — đó là chuyển dữ liệu xuyên biên giới, kéo theo nghĩa vụ tuân thủ riêng (lập hồ sơ đánh giá tác động chuyển dữ liệu, đảm bảo điều kiện theo pháp luật VN).

Checklist rà soát một data mapping "đạt"

• Đã gắn với một hoạt động xử lý cụ thể, có Data Owner.
• Đã liệt kê đủ trường dữ liệu & đánh dấu trường nhạy cảm.
• Đã truy được nguồn → đích (lineage) qua các hệ thống.
• Mỗi hoạt động có mục đích & căn cứ pháp lý rõ ràng.
• Có thời hạn lưu cho từng loại dữ liệu (kể cả backup).
• Đã liệt kê bên nhận & kiểm tra cross-border.
• Đã ghi biện pháp bảo vệ (mã hóa, phân quyền, log).
• Có cơ chế cập nhật khi quy trình/hệ thống đổi.

25. DPIA — Đánh giá tác động bảo vệ dữ liệu ↑ đầu trang

⏱ ~15 phút · "Nghĩ trước khi làm" cho các hoạt động rủi ro cao

Pháp luật Việt Nam yêu cầu lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (và hồ sơ riêng cho chuyển dữ liệu ra nước ngoài). DPIA đặc biệt cần khi:

• Xử lý quy mô lớn dữ liệu cá nhân, hoặc dữ liệu nhạy cảm.
• Dùng công nghệ mới (AI, chấm điểm tự động, sinh trắc học).
• Giám sát có hệ thống, hoặc ra quyết định tự động ảnh hưởng lớn tới khách hàng.
• Chuyển dữ liệu xuyên biên giới.

Khung 5 bước làm DPIA

1. Mô tả hoạt động xử lý. Dữ liệu gì, mục đích, luồng (dùng data mapping mục Data mapping & ROPA).
2. Đánh giá sự cần thiết & tương xứng. Có cách ít xâm phạm hơn không? Có đúng nguyên tắc tối thiểu hóa?
3. Nhận diện rủi ro với quyền & lợi ích của chủ thể (lộ lọt, dùng sai mục đích, phân biệt đối xử...).
4. Đề xuất biện pháp giảm thiểu (mã hóa, hạn chế truy cập, ẩn danh, rút ngắn thời gian lưu).
5. Kết luận & phê duyệt; lưu hồ sơ, rà soát định kỳ.

26. Quyền của chủ thể dữ liệu (DSAR) ↑ đầu trang

⏱ ~15 phút · Khách hàng có quyền gì với dữ liệu của họ

Chủ thể dữ liệu (data subject) — tức khách hàng/nhân viên — có một loạt quyền mà ngân hàng phải đáp ứng.

27. Quản lý bên thứ ba / nhà cung cấp ↑ đầu trang

⏱ ~12 phút · Dữ liệu của bạn nằm trong tay người khác

Ngân hàng hiếm khi tự làm mọi thứ — họ thuê đối tác xử lý dữ liệu: nhà cung cấp eKYC, tổng đài thuê ngoài, cloud, công ty chấm điểm tín dụng. Hai vai trò cần phân biệt:

28. Sự cố lộ lọt dữ liệu (data breach) ↑ đầu trang

⏱ ~15 phút · Khi chuyện xấu xảy ra — phản ứng thế nào

Quy trình ứng phó 6 bước

1. Phát hiện & ghi nhận. Ai báo, lúc nào, dấu hiệu gì.
2. Ngăn chặn (containment). Khóa tài khoản, ngắt hệ thống bị xâm nhập.
3. Đánh giá mức độ. Dữ liệu gì, bao nhiêu người, có nhạy cảm không, hậu quả?
4. Thông báo. Báo nội bộ, cơ quan có thẩm quyền & chủ thể dữ liệu theo thời hạn luật định.
5. Khắc phục. Vá lỗ hổng, hỗ trợ khách hàng bị ảnh hưởng.
6. Rút kinh nghiệm. Cập nhật biện pháp, lưu hồ sơ sự cố.

29. Khung pháp lý Việt Nam ↑ đầu trang

⏱ ~18 phút · Bản đồ các luật bạn cần biết (mức tổng quan)

Privacy ở ngân hàng Việt Nam chịu sự điều chỉnh của nhiều văn bản. Bảng dưới là bản đồ tổng quan — không phải tư vấn pháp lý; số hiệu & điều khoản cần tra cứu bản gốc hiện hành.

30. Phân tích & trực quan hóa dữ liệu (BI) ↑ đầu trang

⏱ ~12 phút · Biến dữ liệu thành quyết định

BI (Business Intelligence) là việc dùng dữ liệu để hỗ trợ ra quyết định, thường qua báo cáo & dashboard. Vài khái niệm để bạn nói chuyện với đội phân tích:

31. AI, dữ liệu lớn & privacy ↑ đầu trang

⏱ ~15 phút · Công nghệ mới, rủi ro mới

Ngân hàng ngày càng dùng AI/Machine Learning và Big Data: chấm điểm tín dụng, phát hiện gian lận, chatbot, gợi ý sản phẩm. Vài khái niệm & rủi ro privacy:

32. Case study tổng hợp ↑ đầu trang

⏱ ~18 phút · Ráp tất cả lại thành một câu chuyện

Hãy đi qua một tình huống thực tế (dữ liệu giả) để thấy mọi mảnh ghép khớp với nhau thế nào.

Bối cảnh: Ngân hàng ra mắt tính năng "Mở thẻ tín dụng online qua eKYC" trên app. Khách chụp CCCD, selfie, khai thu nhập. Hệ thống định danh, một đối tác nước ngoài chấm điểm tín dụng bằng AI, rồi ngân hàng quyết định cấp thẻ. — Tình huống minh họa, dữ liệu giả

Bạn — cán bộ privacy — làm gì?

33. Vai trò Data Protection Officer (deep-dive) ↑ đầu trang

⏱ ~30 phút · Chân dung đầy đủ của nghề DPO

33.1 DPO làm gì? — 7 nhóm nhiệm vụ cốt lõi

33.2 Hai nguyên tắc "bất khả xâm phạm" của vị trí DPO

33.3 DPO ở ngân hàng — bối cảnh đặc thù Việt Nam

• Khối lượng dữ liệu cá nhân khổng lồ, nhiều dữ liệu nhạy cảm (tài chính, sinh trắc học eKYC).
• Chịu nhiều tầng quy định: bảo vệ DLCN + quy định SBV/NHNN + an ninh mạng.
• Phụ thuộc nhiều bên thứ ba (cloud, eKYC, chấm điểm) → công việc quản lý nhà cung cấp rất nặng.
• DPO ngân hàng thường phối hợp chặt với Tuân thủ (Compliance), An ninh thông tin (CISO) và Pháp chế.

33.4 Kỹ năng của một DPO giỏi

34. Ma trận RACI chi tiết cho bảo vệ dữ liệu ↑ đầu trang

⏱ ~25 phút · "Ai làm gì" — công cụ chống đùn đẩy & bỏ sót

Dưới đây là ma trận RACI mẫu tham khảo cho các hoạt động bảo vệ dữ liệu cá nhân ở một ngân hàng. Lưu ý: mỗi tổ chức điều chỉnh khác nhau — đây là khung để bạn tùy biến, không phải chuẩn cứng.

35. DPO cần hiểu data tới mức nào? ↑ đầu trang

⏱ ~20 phút · Tự đánh giá năng lực & lộ trình phát triển

Câu hỏi cốt lõi mà khóa học này trả lời: một DPO cần giỏi kỹ thuật đến đâu? Câu trả lời: đủ để hỏi đúng câu, hiểu câu trả lời, và kiểm chứng được — không cần tự xây hệ thống. Dưới đây là bản đồ năng lực theo mức.

35.1 Tự đánh giá nhanh — bạn đã sẵn sàng tới đâu?

• Tôi phân biệt được dữ liệu cá nhân cơ bản & nhạy cảm.
• Tôi đọc hiểu một câu lệnh SQL SELECT … WHERE.
• Tôi biết hỏi IT "dữ liệu lưu ở cloud nào, region nào".
• Tôi tự vẽ được data flow cho một quy trình đơn giản.
• Tôi điền được một dòng ROPA hoàn chỉnh.
• Tôi biết khi nào cần làm DPIA.
• Tôi nắm quy trình ứng phó khi có sự cố lộ lọt.
• Tôi hiểu RACI & biết ai chịu trách nhiệm gì.

35.2 Lộ trình phát triển sự nghiệp DPO

Glossary — tra nhanh thuật ngữ Việt–Anh ↑ đầu trang

Tài liệu tham khảo ↑ đầu trang

• Luật Bảo vệ Dữ liệu Cá nhân (PDPL) — hiệu lực 01/01/2026: văn bản cấp luật, cao nhất và là khung pháp lý nền tảng hiện hành về bảo vệ dữ liệu cá nhân tại Việt Nam. (Tra cứu số hiệu & điều khoản bản gốc để trích dẫn chính xác.)
• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (PDPD) — văn bản dưới luật, nền móng đầu tiên (2023), cụ thể hóa & áp dụng song song theo hướng dẫn hiện hành.
• DAMA-DMBOK2 — Data Management Body of Knowledge, 2nd Edition, DAMA International. Khung 11 knowledge areas dùng làm xương sống tài liệu này.
• Luật An ninh mạng và nghị định hướng dẫn — yêu cầu về an ninh không gian mạng & lưu trữ dữ liệu.
• Luật An toàn thông tin mạng — bảo vệ thông tin cá nhân trên mạng, phân loại hệ thống thông tin theo cấp độ.
• Luật Giao dịch điện tử — liên quan eKYC, chữ ký số, dữ liệu điện tử.
• Khung pháp lý về Trí tuệ nhân tạo (AI) của Việt Nam (2025) — nghĩa vụ khi dùng AI xử lý dữ liệu cá nhân.
• Các văn bản của Ngân hàng Nhà nước (SBV/NHNN) về an toàn thông tin & bảo mật trong hoạt động ngân hàng (vd Thông tư về an toàn hệ thống thông tin ngân hàng).
• GDPR (EU General Data Protection Regulation) — tham chiếu quốc tế cho ROPA (Điều 30), DPIA, quyền chủ thể; dùng đối chiếu, không thay luật VN.

Lưu ý: số hiệu, điều khoản & hiệu lực của các văn bản pháp luật thay đổi theo thời gian — luôn tra cứu bản gốc hiện hành trước khi áp dụng.

→ Xem Miễn trừ trách nhiệm & lưu ý sử dụng ở mục riêng.

Đáp án gợi ý bài tập ↑ đầu trang

Đây là gợi ý, không phải đáp án duy nhất đúng. Mục tiêu là kiểm tra cách suy nghĩ của bạn.

Miễn trừ trách nhiệm ↑ đầu trang

Đọc kỹ trước khi áp dụng vào công việc thật