(KTSG) - Việc ban hành Quy định Bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu (EU) vào năm 2016 đã tạo ra một làn sóng thay đổi trong quy định về bảo vệ dữ liệu trên toàn cầu, buộc các doanh nghiệp phải tuân thủ nghiêm ngặt các tiêu chuẩn về bảo vệ dữ liệu cá nhân và truyền tải dữ liệu an toàn. Xu hướng này không chỉ tác động đến các doanh nghiệp tại EU mà còn lan rộng ra toàn thế giới, ảnh hưởng đến cách thức của các quốc gia khác như Việt Nam...
Sự ra đời của Nghị định 13/2023/NĐ-CP và dự thảo Luật Bảo vệ dữ liệu cá nhân (dự thảo luật) cho thấy Việt Nam đang nỗ lực tuân thủ các tiêu chuẩn quốc tế, nhằm bảo vệ quyền lợi người dân và thúc đẩy sự minh bạch trong hoạt động doanh nghiệp.
Trong bài viết này, các tác giả sẽ tập trung vào việc phân tích các yêu cầu về quyền đồng thuận, trách nhiệm của doanh nghiệp trong việc xử lý dữ liệu cá nhân, và các thách thức mà họ phải đối mặt khi người lao động thực hiện quyền rút lại sự đồng ý. Đồng thời, tác giả cũng sẽ đưa ra các giải pháp thiết thực nhằm nâng cao hiệu quả quản lý dữ liệu cá nhân, đảm bảo tuân thủ quy định pháp luật, và tạo dựng một môi trường làm việc an toàn và minh bạch cho người lao động.
Từ GDPR, Nghị định 13 đến dự thảo Luật Bảo vệ dữ liệu cá nhân
GDPR (General Data Protection Regulation) của EU, ban hành vào năm 2016 và có hiệu lực từ năm 2018, đã thiết lập một chuẩn mực cao về bảo vệ dữ liệu cá nhân. GDPR yêu cầu sự đồng thuận rõ ràng từ chủ thể dữ liệu trước khi tiến hành bất kỳ hoạt động xử lý nào, và người dân có quyền rút lại sự đồng ý này một cách dễ dàng. Điều này nhằm đảm bảo quyền kiểm soát của cá nhân đối với thông tin của chính họ.
Nghị định 13/2023/NĐ-CP của Việt Nam ra đời nhằm hiện thực hóa các cam kết của Việt Nam trong việc bảo vệ dữ liệu cá nhân. Nghị định này kế thừa nhiều nguyên tắc từ GDPR, như việc yêu cầu sự đồng thuận từ chủ thể dữ liệu, tuy nhiên vẫn còn một số điểm hạn chế trong việc chứng minh tính hợp pháp của dữ liệu được thu thập và xử lý. Điều này có thể dẫn đến các rủi ro cho doanh nghiệp khi phải đối mặt với tranh chấp pháp lý.
Gần đây, dự thảo Luật Bảo vệ dữ liệu cá nhân đã được lấy ý kiến. Dự thảo luật này yêu cầu doanh nghiệp cung cấp tài liệu chứng minh sự đồng thuận của chủ thể dữ liệu, kể cả trong các trường hợp chuyển dữ liệu ra nước ngoài. Điều này nhằm khắc phục những vấn đề quản trị rủi ro trong Nghị định 13, giúp đảm bảo tính minh bạch và hợp pháp trong các hoạt động xử lý dữ liệu.
Có thể thấy, các doanh nghiệp sở hữu dữ liệu cá nhân của người lao động cũng thuộc phạm vi điều chỉnh của Nghị định 13 và dự thảo luật. Theo xu hướng toàn cầu, doanh nghiệp cần đảm bảo rằng dữ liệu cá nhân của người lao động được bảo vệ nghiêm ngặt, từ khâu thu thập đến lưu trữ và xử lý, góp phần tạo dựng một môi trường kinh doanh minh bạch và đáng tin cậy. Việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân sẽ giảm thiểu rủi ro pháp lý và nâng cao uy tín của doanh nghiệp trong bối cảnh hội nhập quốc tế.
Thách thức khi người lao động thực hiện quyền rút lại sự đồng ý
Khi người lao động quyết định thực hiện quyền rút lại sự đồng ý đối với việc thu thập và xử lý dữ liệu cá nhân, doanh nghiệp sẽ phải đối mặt với một loạt thách thức đáng kể, ảnh hưởng đến hoạt động quản lý nhân sự và trách nhiệm pháp lý của mình. Những thách thức này không chỉ dừng lại ở khía cạnh pháp lý mà còn liên quan đến các yếu tố khác như hiệu suất làm việc, chi phí và hình ảnh của doanh nghiệp.
Thông qua việc thực hiện những điều này, doanh nghiệp có thể không chỉ đáp ứng được yêu cầu pháp lý mà còn tạo ra giá trị thực cho nhân viên, đồng thời góp phần vào sự phát triển bền vững của toàn bộ tổ chức trong một thế giới ngày càng phụ thuộc vào dữ liệu.
Điều 26 dự thảo luật quy định rằng doanh nghiệp chỉ được yêu cầu cung cấp những thông tin đã công khai trong hồ sơ tuyển dụng. Điều này tạo ra một thách thức lớn cho doanh nghiệp, đặc biệt khi nhân viên rút lại sự đồng ý với các thông tin không thuộc danh sách đã công khai.
Việc rút lại sự đồng ý có thể dẫn đến tình trạng mất mát các dữ liệu quan trọng mà doanh nghiệp cần để thực hiện các chức năng quản lý nhân sự cơ bản. Những dữ liệu này có thể bao gồm thông tin về lương, bảo hiểm, phúc lợi và các yếu tố khác liên quan đến đời sống nhân viên. Chẳng hạn, nếu một nhân viên rút lại sự đồng ý về việc xử lý thông tin lương thưởng, điều này có thể ảnh hưởng đến khả năng doanh nghiệp thực hiện các nghĩa vụ về thanh toán đúng hạn, gây ra căng thẳng và bất mãn cho nhân viên.
Khi một nhân viên rút lại sự đồng ý, nó có thể gây ra sự thiếu nhất quán trong dữ liệu mà doanh nghiệp đang quản lý. Điều này có thể làm cho việc ra quyết định trở nên khó khăn hơn, từ đó ảnh hưởng đến quy trình làm việc và các hoạt động quản lý.
Việc quản lý các yêu cầu rút lại sự đồng ý và khôi phục dữ liệu có thể tiêu tốn tài nguyên đáng kể cho doanh nghiệp. Doanh nghiệp có thể phải đầu tư vào các công nghệ và quy trình mới để đảm bảo rằng họ có thể quản lý hiệu quả dữ liệu cá nhân của nhân viên, từ đó gây ra chi phí phát sinh không đáng có.
Ngoài ra, việc không thể xử lý hiệu quả các yêu cầu rút lại sự đồng ý có thể ảnh hưởng đến hình ảnh doanh nghiệp trong mắt công chúng. Nếu nhân viên cảm thấy rằng quyền lợi của họ không được tôn trọng, điều này có thể dẫn đến sự bất mãn, làm giảm động lực làm việc và thậm chí có thể dẫn đến việc nhân viên rời bỏ doanh nghiệp. Những thông tin tiêu cực về việc xử lý dữ liệu cá nhân có thể lan truyền nhanh chóng, gây tổn hại đến uy tín của doanh nghiệp.
Giải pháp cho doanh nghiệp
Để đảm bảo tuân thủ quy định trong dự thảo Luật Bảo vệ dữ liệu cá nhân và nâng cao kiến thức về bảo vệ dữ liệu cá nhân, doanh nghiệp cần thực hiện các biện pháp cụ thể như sau:
Trước hết, doanh nghiệp cần xây dựng quy trình đồng thuận rõ ràng. Việc này không chỉ giúp tạo ra tài liệu chứng minh hợp lệ mà còn đảm bảo rằng người lao động hiểu rõ về quyền lợi và nghĩa vụ của họ liên quan đến dữ liệu cá nhân.
Thứ hai, thực hiện đánh giá tác động bảo mật dữ liệu. Đánh giá này giúp doanh nghiệp nhận diện các rủi ro liên quan đến việc xử lý dữ liệu và đề xuất các biện pháp cần thiết để giảm thiểu. Điều này cũng tạo điều kiện cho việc điều chỉnh quy trình xử lý dữ liệu khi có sự thay đổi từ người lao động.
Thứ ba, tổ chức đào tạo và thông báo cho nhân viên. Doanh nghiệp cần tổ chức các buổi đào tạo để giải thích về quyền rút lại sự đồng ý và các quy trình liên quan. Sự minh bạch trong giao tiếp sẽ giúp xây dựng niềm tin giữa doanh nghiệp và người lao động.
Thứ tư, xây dựng hệ thống quản lý dữ liệu hiệu quả. Một hệ thống quản lý dữ liệu hiện đại sẽ giúp doanh nghiệp theo dõi và kiểm soát việc thu thập, xử lý và lưu trữ dữ liệu cá nhân một cách dễ dàng. Doanh nghiệp cần đầu tư vào các công nghệ hiện đại để đảm bảo rằng việc xử lý dữ liệu diễn ra an toàn và hợp pháp.
Cuối cùng, doanh nghiệp cần đảm bảo đầy đủ điều kiện về nhân sự cho việc bảo vệ dữ liệu cá nhân. Theo điều 36 dự thảo luật, tổ chức bảo vệ dữ liệu cá nhân cần có ít nhất một chuyên gia có chứng nhận đủ điều kiện về năng lực công nghệ và/hoặc pháp lý trong lĩnh vực bảo vệ dữ liệu cá nhân. Đây là yêu cầu cao hơn so với Nghị định 13 và đòi hỏi doanh nghiệp phải có nguồn nhân lực đáp ứng các tiêu chuẩn này để có thể thực hiện hiệu quả nhiệm vụ bảo vệ dữ liệu.
Như vậy, dự thảo Luật Bảo vệ dữ liệu cá nhân đang mở ra một hướng đi mới trong việc bảo vệ quyền lợi của người lao động tại Việt Nam. Tuy nhiên, để thực hiện thành công, doanh nghiệp cần chuẩn bị tốt về mặt pháp lý và xây dựng các quy trình quản lý dữ liệu hiệu quả. Bằng cách thực hiện các giải pháp nêu trên, doanh nghiệp không chỉ tuân thủ pháp luật mà còn góp phần xây dựng một môi trường làm việc an toàn và minh bạch cho tất cả nhân viên.
Việc đáp ứng yêu cầu về nhân sự cho tổ chức bảo vệ dữ liệu cá nhân không chỉ giúp doanh nghiệp quản lý rủi ro mà còn nâng cao năng lực hiểu biết về quyền riêng tư, từ đó góp phần vào sự phát triển bền vững trong tương lai. Quyền kiểm soát dữ liệu cá nhân không chỉ là trách nhiệm pháp lý mà còn là cơ hội để doanh nghiệp tạo dựng lòng tin từ phía nhân viên.
Thông qua việc thực hiện những điều này, doanh nghiệp có thể không chỉ đáp ứng được yêu cầu pháp lý mà còn tạo ra giá trị thực cho nhân viên, đồng thời góp phần vào sự phát triển bền vững của toàn bộ tổ chức trong một thế giới ngày càng phụ thuộc vào dữ liệu.
(*) Khoa luật, CELG, Đại học UEH
