(KTSG) – LTS: Trong số báo phát hành ngày 4-5-2023, KTSG đã có một chuyên đề giới thiệu Nghị định 13/2023/NĐ-CP vừa được Chính phủ ban hành về bảo vệ dữ liệu cá nhân, ghi nhận một cách toàn diện các quyền lợi cơ bản của cá nhân là chủ thể dữ liệu và đặt ra yêu cầu trách nhiệm về kỹ thuật và tính pháp lý cho các bên kiểm soát và xử lý dữ liệu.
Một cách chi tiết hơn ở phạm vi từng doanh nghiệp, tuần này, tòa soạn xin giới thiệu bài viết của các tác giả từ Công ty Luật Phuoc & Partners về trách nhiệm của doanh nghiệp trong việc bảo vệ dữ liệu cá nhân của người lao động.
- Cân bằng trách nhiệm của bên kiểm soát, bên xử lý dữ liệu cá nhân
- Bảo vệ dữ liệu cá nhân: Nghị định mới, tấm khiên mới
Nếu như trước đây, vấn đề bảo vệ dữ liệu cá nhân tại Việt Nam chỉ được quy định chung chung và rải rác ở nhiều văn bản pháp luật khác nhau, thì Nghị định 13/2023/NĐ-CP (NĐ13) có hiệu lực kể từ 1-7-2023 là một bước tiến đáng kể trong hệ thống văn bản quy phạm pháp luật về vấn đề này.
Trong NĐ13, nghĩa vụ của doanh nghiệp được quy định một cách rõ ràng và chi tiết hơn trong việc thu thập, sử dụng và quản lý dữ liệu cá nhân của người lao động (NLĐ).
Trách nhiệm khó khăn của doanh nghiệp
Để phục vụ mục đích quản lý lao động, người sử dụng lao động (doanh nghiệp) nhận rất nhiều thông tin cá nhân từ NLĐ, và nếu bất cẩn trong quá trình quản lý và xử lý thông tin, việc thông tin cá nhân của NLĐ có thể bị lan truyền và dẫn đến những hậu quả khó lường.
Đặc biệt hơn nữa là trong xu hướng sử dụng các dịch vụ bên ngoài để giải quyết các công việc quản lý nội bộ ngày càng phổ biến, như chính sách lương, thưởng, việc tham gia các loại bảo hiểm bắt buộc của NLĐ…, việc chuyển giao dữ liệu cho bên thứ ba càng dẫn đến rủi ro dữ liệu cá nhân của NLĐ bị phát tán.
Với các công ty của cùng hệ thống tập đoàn quốc tế (công ty mẹ – con) thường có chung một hệ sinh thái quản lý, mọi thông tin, bao gồm cả thông tin của NLĐ, có thể dễ dàng được truy cập từ hệ thống chung.
Tuy nhiên, theo pháp luật Việt Nam, mỗi doanh nghiệp được xem là một pháp nhân riêng biệt và độc lập, nên việc các doanh nghiệp trong cùng hệ thống tập đoàn chuyển dữ liệu cá nhân của NLĐ để phục vụ quá trình quản lý nội bộ của cả tập đoàn cũng có thể bị xem là vi phạm trách nhiệm bảo vệ dữ liệu cá nhân của doanh nghiệp.
Trên thực tế, quy định này gây ra khá nhiều khó khăn cho doanh nghiệp, đặc biệt là các doanh nghiệp có vốn đầu tư nước ngoài, trong việc lưu trữ và báo cáo thông tin. Có những quy định nổi bật trong NĐ13 liên quan đến doanh nghiệp đáng chú ý.
Dữ liệu cá nhân. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Căn cứ vào nội dung điều 2 của NĐ13 thì các thông tin bắt buộc của hợp đồng lao động theo quy định của Bộ luật Lao động 2019 thuộc dữ liệu cá nhân cơ bản của NLĐ. Do đó, doanh nghiệp cần có trách nhiệm bảo vệ các thông tin đó trong quá trình quản lý lao động của mình.
Xử lý dữ liệu cá nhân. Xử lý dữ liệu cá nhân bao gồm việc thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan (điều 2.7).
Tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân đều phải được sự đồng ý của NLĐ là chủ thể dữ liệu, trừ trường hợp luật có quy định khác.
Cần lưu ý sự đồng ý này chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau đây: (i) loại dữ liệu cá nhân được xử lý; (ii) mục đích xử lý dữ liệu cá nhân; (iii) tổ chức, cá nhân xử lý dữ liệu; và (iv) các quyền, nghĩa vụ của chủ thể dữ liệu.
Cũng cần lưu ý rằng sự đồng ý phải thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được, để đảm bảo tính rõ ràng, tự nguyện, khẳng định việc cho phép của NLĐ (điều 11).
Phía doanh nghiệp cần phải đảm bảo quyền đồng ý của NLĐ. Về phía mình, NLĐ có quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ các trường hợp: (i) tình huống khẩn cấp cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác; (ii) việc công khai dữ liệu cá nhân theo quy định của luật; (iii) việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong tình trạng khẩn cấp; (iv) để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với doanh nghiệp theo quy định của luật; và (v) phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành (điều 17).
Thông báo xử lý dữ liệu cá nhân. Theo quy định tại điều 13, trước khi tiến hành, việc xử lý dữ liệu cá nhân phải được thông báo đến chủ thể dữ liệu. Nội dung thông báo phải bao gồm: mục đích xử lý; loại dữ liệu cá nhân được sử dụng (có liên quan tới mục đích xử lý); cách thức xử lý; thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý; hậu quả, thiệt hại không mong muốn có khả năng xảy ra; thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
Cũng tương tự sự đồng ý cho phép của NLĐ, thông báo về việc xử lý dữ liệu phải thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
Đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu ra nước ngoài. Theo điều 24, kể từ thời điểm bắt đầu xử lý dữ liệu, doanh nghiệp và các bên có liên quan có nghĩa vụ lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an.
Trong trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài (ví dụ khi chuyển thông tin của nhân sự Việt Nam đến công ty mẹ ở nước ngoài), doanh nghiệp phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và cũng phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an.
Ngoài ra, doanh nghiệp còn phải gửi một bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao) theo mẫu số 06 tại Phụ lục của NĐ13 trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân (điều 25).
Chế tài xử lý vi phạm đối với quy định bảo vệ dữ liệu cá nhân. Theo điều 4, mọi vi phạm của doanh nghiệp đối với quy định bảo vệ dữ liệu cá nhân của NLĐ, tùy theo mức độ, có thể bị xử phạt vi phạm hành chính hoặc nghiêm trọng hơn là xử lý hình sự theo quy định. Đặc biệt, theo điều 3.4, việc mua, bán dữ liệu cá nhân bị nghiêm cấm dưới mọi hình thức.
Khuyến nghị
Với sự ra đời của NĐ13, nghĩa vụ của doanh nghiệp trong việc thu thập, sử dụng và quản lý dữ liệu cá nhân của NLĐ được quy định rõ ràng và chi tiết hơn. Vì thế, các doanh nghiệp cần thiết rà soát, bổ sung, củng cố các tài liệu nội bộ nhằm nâng cao trách nhiệm của mình đối với vấn đề bảo vệ dữ liệu cá nhân của NLĐ, mặt khác, làm căn cứ chứng minh việc tuân thủ các quy định chặt chẽ của nghị định mới, cũng như xử lý các vấn đề phát sinh, nếu có.
Bên cạnh việc thực hiện các công việc theo hướng dẫn của NĐ13 (như việc lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài), các doanh nghiệp cũng cần thiết xem xét thực hiện một số hoạt động: i) Xây dựng hoặc cập nhật nội quy lao động về cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân để làm căn cứ xử lý kỷ luật lao động và bồi thường thiệt hại (nếu có) trong trường hợp có sai phạm. ii).
Bổ sung các điều khoản trong hợp đồng thử việc, và/hoặc hợp đồng lao động hoặc phụ lục hợp đồng lao động, liệt kê rõ phạm vi dữ liệu cá nhân được bảo vệ; mục đích, phạm vi xử lý dữ liệu cá nhân, và nghĩa vụ của doanh nghiệp trong việc bảo mật dữ liệu cá nhân, như một văn bản thể hiện sự đồng ý của NLĐ. iii). Giao kết thỏa thuận không tiết lộ hoặc các cam kết khác thể hiện rõ quyền và nghĩa vụ của các bên trong việc xử lý dữ liệu cá nhân.
