LegalZone / Tư vấn thường xuyên cho doanh nghiệp

Tư vấn thường xuyên cho doanh nghiệp

Chính sách bảo mật thông tin doanh nghiệp: khóa dữ liệu trước khi nhân sự rời đi

Chính sách bảo mật thông tin doanh nghiệp cần khóa dữ liệu khách hàng, bảng giá, tài khoản, mã nguồn, file thiết kế và quy trình khi nhân sự rời đi.

Chính sách bảo mật thông tin doanh nghiệp - nhân sự nghỉ việc dữ liệu đi đâu - LegalZone

Chính sách bảo mật thông tin doanh nghiệp không phải là một file để lưu cho đủ hồ sơ. Với công ty đang có sales, marketing, kế toán, kho, IT, agency hoặc cộng tác viên, chính sách này là cách khóa dữ liệu trước khi xảy ra sự cố: nhân viên nghỉ việc mang danh sách khách hàng, bảng giá, file thiết kế, mã nguồn, tài khoản quảng cáo hoặc quy trình vận hành sang nơi khác.

Nỗi đau thường đến muộn: đến khi khách hàng bị lôi kéo, tài khoản bị đổi mật khẩu, dữ liệu bị tải xuống hoặc đối thủ biết bảng giá, doanh nghiệp mới phát hiện mình không có quy chế rõ, không có NDA, không có phân quyền, không có log truy cập và cũng không có quy trình thu hồi tài khoản khi nhân sự rời đi.

Công ty đang có dữ liệu cần khóa?

Gửi LegalZone mẫu hợp đồng lao động, NDA, quy chế nội bộ, danh sách dữ liệu cần bảo vệ và cách cấp quyền hiện tại. Chúng tôi sẽ rà nhanh điểm dễ rò rỉ và điều khoản cần bổ sung.

Gửi quy chế/NDA để rà Xem pháp chế thuê ngoài Gọi điện

Chính sách bảo mật nên bảo vệ những loại thông tin nào?

Mỗi doanh nghiệp có dữ liệu khác nhau. Không nên chỉ ghi chung “mọi thông tin của công ty đều là bí mật”. Cách viết tốt hơn là phân nhóm dữ liệu và gắn trách nhiệm cụ thể với từng nhóm.

Nhóm thông tin Rủi ro nếu rò rỉ Cách ghi nên có
Dữ liệu khách hàng Nhân viên cũ hoặc đối thủ tiếp cận khách, báo giá thấp hơn, làm mất quan hệ kinh doanh. Quy định danh sách khách hàng, lịch sử giao dịch, nhu cầu, báo giá, hợp đồng là dữ liệu hạn chế truy cập.
Bảng giá và chính sách chiết khấu Đối thủ biết biên lợi nhuận, khách ép giá, sales dùng sai chính sách. Phân quyền xem/sửa, cấm sao chép ra tài khoản cá nhân, ghi log thay đổi và người phê duyệt.
File thiết kế, mã nguồn, tài liệu kỹ thuật Bị dùng lại cho khách khác hoặc mất quyền kiểm soát tài sản trí tuệ. Ghi rõ quyền sở hữu, nơi lưu trữ, người được tải xuống, điều kiện bàn giao cho khách/đối tác.
Tài khoản hệ thống Nhân sự rời đi vẫn giữ quyền truy cập email, CRM, quảng cáo, hosting, phần mềm kế toán. Quy trình cấp quyền, đổi mật khẩu, thu hồi quyền và kiểm tra tài khoản trong ngày nghỉ việc.
Quy trình nội bộ Đối thủ sao chép cách vận hành, quy trình chốt đơn, chăm sóc khách, kiểm soát kho. Đánh dấu tài liệu nội bộ, hạn chế chia sẻ, cấm đưa lên thiết bị/tài khoản cá nhân nếu chưa được duyệt.

Checklist xây dựng chính sách bảo mật thông tin doanh nghiệp

  1. Liệt kê dữ liệu cần bảo vệ: khách hàng, bảng giá, hợp đồng, tài khoản, mã nguồn, thiết kế, tài liệu đào tạo, quy trình.
  2. Phân loại mức độ bảo mật: công khai, nội bộ, hạn chế, tuyệt mật hoặc nhóm tương tự phù hợp với công ty.
  3. Gắn người chịu trách nhiệm: ai được xem, ai được tải xuống, ai được chia sẻ, ai duyệt quyền truy cập.
  4. Ký NDA hoặc điều khoản bảo mật: áp dụng cho nhân viên, cộng tác viên, freelancer, agency, nhà thầu và đối tác.
  5. Quy định thiết bị và tài khoản: email công ty, drive, CRM, phần mềm kế toán, quảng cáo, hosting, kho dữ liệu.
  6. Quy trình khi nhân sự nghỉ việc: bàn giao, đổi mật khẩu, thu hồi quyền, kiểm tra dữ liệu đã tải, xác nhận cam kết sau nghỉ việc.
  7. Chế tài vi phạm: bồi thường, kỷ luật, chấm dứt hợp đồng, yêu cầu gỡ/xóa/trả dữ liệu và xử lý tranh chấp.
  8. Chứng cứ kỹ thuật: log truy cập, lịch sử tải file, email gửi ra ngoài, quyền chia sẻ, thiết bị được cấp.

NDA, hợp đồng lao động và quy chế nội bộ khác nhau thế nào?

NDA là thỏa thuận bảo mật, thường dùng để ràng buộc một người hoặc một bên về nghĩa vụ giữ bí mật. Hợp đồng lao động nên có điều khoản bảo mật phù hợp với vị trí làm việc. Quy chế nội bộ là tài liệu hướng dẫn cách quản lý dữ liệu hằng ngày: phân quyền, lưu trữ, chia sẻ, thu hồi quyền và xử lý vi phạm.

Doanh nghiệp không nên chỉ dùng một mẫu NDA rồi coi là đủ. Nếu quy chế nội bộ không nói dữ liệu nào là bí mật, ai được truy cập, cấm hành vi nào và xử lý ra sao, khi có vi phạm sẽ khó chứng minh người vi phạm biết rõ nghĩa vụ của mình.

Ví dụ thực tế: nhân viên nghỉ việc mang danh sách khách hàng

Một công ty dịch vụ có đội sales dùng file khách hàng chung trên drive cá nhân. Khi một nhân viên nghỉ việc, công ty phát hiện nhiều khách cũ được liên hệ bởi đơn vị mới. Công ty nghi ngờ danh sách khách hàng bị sao chép, nhưng không có quy chế bảo mật, không dùng email công ty, không có log tải file và hợp đồng lao động chỉ ghi chung “bảo mật thông tin”.

Nếu công ty có chính sách bảo mật rõ, file khách hàng được lưu trên tài khoản công ty, có phân quyền, có log truy cập, có biên bản bàn giao và có NDA/điều khoản bảo mật cụ thể, việc xử lý sẽ có cơ sở hơn. Bài xâm phạm bí mật kinh doanh có thể dùng khi đã xảy ra sự cố và cần khóa chứng cứ trong 48 giờ đầu.

Chính sách bảo mật nên có những điều khoản nào?

  • Định nghĩa thông tin bảo mật theo nhóm cụ thể, không chỉ ghi chung chung.
  • Nguyên tắc truy cập theo nhu cầu công việc, không chia sẻ ngoài phạm vi được giao.
  • Cấm gửi dữ liệu sang email cá nhân, thiết bị cá nhân hoặc nền tảng không được công ty phê duyệt nếu chưa có đồng ý.
  • Quy trình cấp quyền, thay đổi quyền và thu hồi quyền khi chuyển bộ phận/nghỉ việc.
  • Nghĩa vụ bảo mật sau khi chấm dứt hợp đồng lao động/hợp tác.
  • Quy trình báo cáo sự cố: mất thiết bị, lộ mật khẩu, gửi nhầm dữ liệu, nghi ngờ bị sao chép.
  • Chế tài và bồi thường khi vi phạm, kèm nguyên tắc xác định thiệt hại.

Bảo mật dữ liệu khách hàng cần lưu ý riêng

Dữ liệu khách hàng không chỉ là danh sách tên và số điện thoại. Nó có thể gồm lịch sử mua hàng, nhu cầu, báo giá, hợp đồng, vấn đề pháp lý, ghi chú chăm sóc, thông tin thanh toán và tài liệu khách gửi. Với dữ liệu này, doanh nghiệp cần vừa quản trị nội bộ, vừa kiểm tra nghĩa vụ thông báo, đồng ý, lưu trữ và xử lý dữ liệu theo quy định liên quan.

Nếu công ty thu thập dữ liệu khách hàng qua website, form, CRM hoặc chiến dịch quảng cáo, hãy đọc thêm bài doanh nghiệp thu thập dữ liệu khách hàng để kiểm tra phần thông báo và quản trị dữ liệu.

Khi nào cần luật sư rà chính sách bảo mật?

Nên rà khi công ty bắt đầu có đội sales/marketing, dùng CRM, thuê freelancer/agency, phát triển phần mềm, lưu dữ liệu khách hàng, mở rộng chi nhánh hoặc có nhân sự nghỉ việc ở vị trí nhạy cảm. Chính sách càng cần rõ nếu doanh nghiệp đã từng bị khách bị lôi kéo, file bị tải ra ngoài hoặc tài khoản công ty bị nhân sự cũ giữ quyền.

Trang hợp đồng cung cấp dịch vụ B2B cũng liên quan nếu công ty thuê hoặc cung cấp dịch vụ có trao đổi dữ liệu, tài khoản, file thiết kế, mã nguồn hoặc tài liệu khách hàng. Với doanh nghiệp cần duy trì việc rà hợp đồng, quy chế, lao động và dữ liệu định kỳ, có thể xem pháp chế thuê ngoài.

Căn cứ pháp lý cần biết

Chính sách bảo mật thông tin doanh nghiệp có thể liên quan đến quy định về lao động, dân sự, thương mại, sở hữu trí tuệ, bảo vệ bí mật kinh doanh, dữ liệu cá nhân và an toàn thông tin tùy loại dữ liệu. Các văn bản nền tảng trước 2026 chỉ nên trích dẫn khi cần, không thêm văn bản cũ vào thư viện luật của LegalZone và không dẫn người đọc ra ngoài website.

Để hiểu lớp bảo hộ sâu hơn đối với bí mật kinh doanh, xem bài bảo hộ bí mật kinh doanh.

Câu hỏi thường gặp

Công ty nhỏ có cần chính sách bảo mật không?

Có, nếu đã có dữ liệu khách hàng, bảng giá, tài khoản quảng cáo, file thiết kế, quy trình hoặc nhân sự được cấp quyền truy cập. Chính sách có thể gọn nhưng phải dùng được.

Chỉ ký NDA với nhân viên có đủ không?

Thường chưa đủ. NDA cần đi cùng quy chế phân quyền, lưu trữ, bàn giao, thu hồi tài khoản và chứng cứ kỹ thuật để xử lý khi có vi phạm.

Nhân viên nghỉ việc có phải xóa dữ liệu công ty không?

Nên có quy định rõ về bàn giao, xóa/trả dữ liệu, thu hồi thiết bị/tài khoản và cam kết không sử dụng thông tin sau khi nghỉ việc.

Có nên cấm tuyệt đối dùng thiết bị cá nhân không?

Tùy mô hình vận hành. Nếu cho phép dùng thiết bị cá nhân, cần quy định phạm vi, tài khoản, bảo mật, quyền xóa dữ liệu công ty và nghĩa vụ báo sự cố.

Cần rà chính sách bảo mật của công ty?

Gửi LegalZone hợp đồng lao động, NDA, quy chế hiện có và danh sách dữ liệu cần bảo vệ. Chúng tôi sẽ kiểm tra điểm thiếu trong phân quyền, bảo mật, bàn giao và xử lý vi phạm.

Nhắn LegalZone rà chính sách Xem pháp chế thuê ngoài Mở bộ tài liệu doanh nghiệp