Bảo vệ dữ liệu cá nhân của người lao động
Để đáp ứng được các quy định Nghị định 13/2023/NĐ-CP, các doanh nghiệp cần phải nâng cao hơn nữa trách nhiệm trong thu thập, sử dụng và quản lý dữ liệu cá nhân của người lao động…
>>Nghị định 13 về bảo vệ dữ liệu cá nhân: Tác động với ngành tài chính - ngân hàng
Đây là chia sẻ của Luật sư Tạ Anh Tuấn – Văn phòng luật sư Bách gia luật và liên danh với Diễn đàn Doanh nghiệp.
- Nghị định 13/2023/NĐ-CP có hiệu lực thi hành từ 01/7 tới đây được cho đã có những quy định chi tiết, chặt chẽ hơn trong việc thu thập, sử dụng và quản lý dữ liệu cá nhân của người lao động đối với doanh nghiệp. Luật sư đánh giá sao về các quy định này?
Để phục vụ mục đích quản lý lao động, doanh nghiệp nhận rất nhiều thông tin cá nhân từ người lao động, và nếu bất cẩn trong quá trình quản lý và xử lý thông tin, việc thông tin cá nhân của người lao động có thể bị lan truyền và dẫn đến những hậu quả khó lường. Vì vậy, khi có các quy định chi tiết, chặt chẽ hơn, thì đây cũng là việc đáng làm.
Tuy nhiên, trong xu hướng sử dụng các dịch vụ bên ngoài để giải quyết các công việc quản lý nội bộ ngày càng phổ biến như: chính sách lương, thưởng, việc tham gia các loại bảo hiểm bắt buộc của người lao động,… việc chuyển giao dữ liệu cho bên thứ ba càng dẫn đến rủi ro dữ liệu cá nhân của người lao động bị phát tán.
Chưa kể, với các công ty của cùng hệ thống tập đoàn quốc tế (công ty mẹ – con) thường có chung một hệ sinh thái quản lý, mọi thông tin, bao gồm cả thông tin của người lao động, có thể dễ dàng được truy cập từ hệ thống chung.
Trong khi đó, theo pháp luật Việt Nam, mỗi doanh nghiệp được xem là một pháp nhân riêng biệt và độc lập, nên việc các doanh nghiệp trong cùng hệ thống tập đoàn chuyển dữ liệu cá nhân của người lao động để phục vụ quá trình quản lý nội bộ của cả tập đoàn cũng có thể bị xem là vi phạm trách nhiệm bảo vệ dữ liệu cá nhân của doanh nghiệp.
Xét về mặt thực tế, nếu các quy định này được đưa vào áp dụng cũng sẽ gây ra khá nhiều khó khăn cho doanh nghiệp, đặc biệt là các doanh nghiệp có vốn đầu tư nước ngoài, trong việc lưu trữ và báo cáo thông tin.
- Ông có thể chia sẻ rõ hơn về một số khó khăn mà doanh nghiệp có thể gặp phải khi chính sách có hiệu lực, thưa Luật sư?
Theo quy định, dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Căn cứ vào nội dung Điều 2 của Nghị định 13/2023/NĐ-CP thì các thông tin bắt buộc của hợp đồng lao động theo quy định của Bộ luật Lao động 2019 thuộc dữ liệu cá nhân cơ bản của người lao động. Do đó, doanh nghiệp cần có trách nhiệm bảo vệ các thông tin đó trong quá trình quản lý lao động của mình.
>>Cần thiết ban hành Nghị định Bảo vệ dữ liệu cá nhân
Vì vậy, xử lý dữ liệu cá nhân bao gồm việc thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan (Điều 2.7).
Tuy nhiên, tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân đều phải được sự đồng ý của người lao động là chủ thể dữ liệu, trừ trường hợp luật có quy định khác.
Trong khi sự đồng ý này chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung như: loại dữ liệu cá nhân được xử lý; mục đích xử lý dữ liệu cá nhân; tổ chức, cá nhân xử lý dữ liệu; và các quyền, nghĩa vụ của chủ thể dữ liệu.
Đáng nói, sự đồng ý phải thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được, để đảm bảo tính rõ ràng, tự nguyện, khẳng định việc cho phép của người lao động (Điều 11)…
Chưa kể, trong trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài (ví dụ khi chuyển thông tin của nhân sự Việt Nam đến công ty mẹ ở nước ngoài), doanh nghiệp phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và cũng phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an.
- Trước các vấn đề đã nêu, để hỗ trợ doanh nghiệp nâng cao việc tuân thủ chính sách, Luật sư có khuyến nghị gì?
Theo tôi, các doanh nghiệp cần thiết rà soát, bổ sung, củng cố các tài liệu nội bộ nhằm nâng cao trách nhiệm của mình đối với vấn đề bảo vệ dữ liệu cá nhân của người lao động, mặt khác, làm căn cứ chứng minh việc tuân thủ các quy định chặt chẽ của Nghị định mới, cũng như xử lý các vấn đề phát sinh, nếu có.
Bên cạnh đó, các doanh nghiệp cũng cần thiết xem xét thực hiện một số công việc như: Xây dựng hoặc cập nhật nội quy lao động về cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân để làm căn cứ xử lý kỷ luật lao động và bồi thường thiệt hại (nếu có) trong trường hợp có sai phạm.
Bổ sung các điều khoản trong hợp đồng thử việc, và/hoặc hợp đồng lao động hoặc phụ lục hợp đồng lao động, liệt kê rõ phạm vi dữ liệu cá nhân được bảo vệ. Mục đích, phạm vi xử lý dữ liệu cá nhân, và nghĩa vụ của doanh nghiệp trong việc bảo mật dữ liệu cá nhân, như một văn bản thể hiện sự đồng ý của người lao động; Giao kết thỏa thuận không tiết lộ hoặc các cam kết khác thể hiện rõ quyền và nghĩa vụ của các bên trong việc xử lý dữ liệu cá nhân.
- Xin cảm ơn Luật sư!
Có thể bạn quan tâm
Dữ liệu cá nhân được bảo vệ thế nào trong thời đại AI?
00:05, 16/06/2023
Nghị định 13 về bảo vệ dữ liệu cá nhân: Tác động với ngành tài chính - ngân hàng
17:00, 02/06/2023
Cần thiết ban hành Nghị định Bảo vệ dữ liệu cá nhân
04:00, 12/02/2023
Nâng cao hiệu quả thực thi pháp luật về bảo vệ dữ liệu cá nhân
03:00, 17/12/2022
Báo động mua bán dữ liệu cá nhân
00:00, 01/09/2022
TIN NÓNG CHÍNH PHỦ: Chính phủ thông qua hồ sơ xây dựng Nghị định bảo vệ dữ liệu cá nhân
19:58, 07/03/2022
Cần cơ quan giám sát độc lập về bảo vệ dữ liệu cá nhân
11:00, 16/06/2021
PHÁP LUẬT CUỐI TUẦN: Bảo vệ dữ liệu cá nhân – Sớm lấp đầy khoảng trống pháp lý
04:20, 13/06/2021
“Hổng” pháp lý trong bảo vệ dữ liệu cá nhân: Quyền “được lãng quên”
17:00, 12/06/2021