Luật sư Nguyễn Hữu Phước – Công ty luật TNHH Phước và Các Cộng sự
Trước bối cảnh Việt Nam hội nhập kinh tế ngày càng sâu rộng với các nước phát triển thông qua các hiệp định thương mại tự do được ký kết và có hiệu lực trong thời gian gần đây chẳng hạn như Hiệp định Đối tác toàn diện và tiến bộ xuyên Thái Bình Dương (CPTPP), Hiệp định thương mại tự do (FTA) với Liên minh châu Âu cùng với việc Liên minh châu Âu đã ban hành Quy định về bảo vệ dữ liệu chung (General Data Protection Regulation (GDPR)) có hiệu lực từ tháng 05/2018, yêu cầu không chỉ các doanh nghiệp của các quốc gia thành viên trong Liên minh châu Âu mà còn cả các doanh nghiệp nằm ngoài khối này cũng phải tuân thủ các quy định về cách thức thu thập thông tin cá nhân, địa điểm lưu trữ dữ liệu, loại hình dữ liệu được phép chia sẻ. Hơn nữa, trên thực tế Việt Nam chưa từng có một luật riêng nào quy định một cách cụ thể việc bảo vệ dữ liệu của cá nhân nói chung và người lao động (“NLĐ”) trong doanh nghiệp (“DN”) nói riêng. Để bắt kịp xu hướng của thế giới trong việc bảo vệ dữ liệu cá nhân, Bộ Công an đã soạn thảo và cho lưu hành Dự thảo Nghị định Quy định về bảo vệ dữ liệu cá nhân (“DLCN”) để lấy ý kiến các bộ, ngành và người dân từ ngày 9/02/2021 đến ngày 9/4/2021. Nếu được Chính phủ ban hành, Nghị định này sẽ vừa bảo đảm hoạt động của Chính phủ điện tử đang được Chính phủ phát động xây dựng trong thời gian gần đây, và lại vừa bảo đảm yếu tố pháp lý đối với việc triển khai công tác bảo vệ DLCN ở Việt Nam.
Hiện chưa có luật riêng điều chỉnh
Thực ra, việc bảo vệ DLCN không phải là đề tài pháp lý mới trên thế giới cũng như tại Việt Nam. Ở phạm vi quốc tế, Điều 17 Công ước quốc tế của Đại Hội đồng Liên Hiệp Quốc về các quyền dân sự và chính trị có hiệu lực ngày 23/3/1976 mà Việt Nam là thành viên đã quy định rằng không một thể nhân nào có thể bị can thiệp một cách tuỳ tiện hoặc bất hợp pháp vào đời sống riêng tư, gia đình, nhà ở, thư tín. Ở hầu hết các nước phát triển, vấn đề này được xem là rất quan trọng và do đó đều có luật riêng để điều chỉnh.
Ở phạm vi Việt Nam, như đã nói ở trên, vấn đề bảo vệ DLCN hiện chưa có luật riêng mà chỉ được điều chỉnh thông qua các quy định rải rác trong các văn bản quy phạm pháp luật ở từng cấp độ khác nhau từ Hiến pháp, Luật, Nghị định và không có sự nhất quán trong việc nhận dạng các hành vi vi phạm giữa các văn bản pháp luật. Theo đó, Hiến pháp 2013 quy định mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình và các thông tin có liên quan được pháp luật bảo vệ[1]. Dưới Hiến pháp thì có luật chung là Bộ luật Dân sự, quy định “đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ”[2]. Về luật chuyên ngành thì Luật An toàn thông tin mạng[3] quy định rằng thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể. Tổ chức, cá nhân nào xử lý thông tin cá nhân thì có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý và phải xây dựng, công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân của mình. Tổ chức, cá nhân xử lý thông tin cá nhân chỉ thu thập thông tin cá nhân sau khi chủ thể thông tin cá nhân đồng ý về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó; không được cung cấp, chia sẻ, phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, …, chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cung cấp thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ. Tuy nhiên, Luật An toàn thông tin mạng chỉ quy định bảo vệ thông tin cá nhân trên môi trường không gian mạng mà chưa mở rộng cho những phạm vi khác.
Về chế tài vi phạm, các hành vi vi phạm nào xâm hại đến DLCN thì có thể bị chế tài dưới các hình thức như buộc bồi thường thiệt hại, xử phạt vi phạm hành chính hoặc sẽ bị truy cứu trách nhiệm hình sự, tùy thuộc vào tính chất, mức độ nguy hiểm và hậu quả do hành vi vi phạm gây ra. Về trách nhiệm hành chính, Nghị định 98/2020/NĐ-CP của Chính phủ quy định xử phạt vi phạm hành chính trong hoạt động thương mại, sản xuất, buôn bán hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dung quy định mức phạt tiền từ 40.000.000 đồng đến 60.000.000 đồng đối với một số hành vi vi phạm của tổ chức như sau: “a) Thu thập thông tin cá nhân của người tiêu dùng mà không được sự đồng ý trước của chủ thể thông tin; b) Thiết lập cơ chế mặc định buộc người tiêu dùng phải đồng ý với việc thông tin cá nhân của mình bị chia sẻ, tiết lộ hoặc sử dụng cho mục đích quảng cáo và các mục đích thương mại khác; c) Sử dụng thông tin cá nhân của người tiêu dùng không đúng với mục đích và phạm vi đã thông báo”[4]. Về truy cứu trách nhiệm hình sự, Bộ Luật Hình sự quy định, “Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác” có thể bị phạt tù tới 3 năm[5]. Bộ Luật Hình sự cũng quy định “Tội đưa hoặc sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông” sẽ chịu mức hình phạt cao nhất là 7 năm tù giam[6]. Tuy nhiên, hai loại tội danh này lại chưa quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới DLCN đang diễn ra như hiện nay.
Trong bối cảnh chuyển đổi số và sự ra đời các loại hình công nghệ mới đang diễn ra nhanh chóng trong thời gian gần đây trên toàn thế giới nói chung và Việt Nam nói riêng đã làm thay đổi một cách toàn diện cách mà DN xử lý DLCN của NLĐ. Việc áp dụng các hình thức mới của cơ sở hạ tầng mạng, sử dụng các ứng dụng trên điện thoại thông minh (Apps) trong công việc đã cho phép một số lượng lớn DLCN của NLĐ được các DN thu thập và kết nối với nhau trong một thời gian hợp lý với những phương tiện có chi phí sử dụng vô cùng thấp. Các ứng dụng (Apps) chuyên thu thập và xử lý dữ liệu có hệ thống có thể giám sát NLĐ từ xa, tạo ra những thách thức đáng kể đối với việc bảo vệ dữ liệu và quyền riêng tư của NLĐ. Tuy nhiên, rất tiếc là trong lĩnh vực lao động, Bộ luật Lao động 2019 có hiệu lực từ ngày 01/01/2021 và các văn bản hướng dẫn thi hành chưa có quy định nào về việc bảo vệ DLCN của NLĐ và chế tài để xử lý các hành vi vi phạm. Do đó, hiện nay để bảo vệ các DLCN của NLĐ, tùy theo từng tình huống mà Bộ luật Dân sự, Luật An toàn thông tin mạng, Luật Công nghệ thông tin và một số các văn bản pháp quy cho từng lĩnh vực cụ thể thường được các cơ quan Nhà nước có thẩm quyền viện dẫn để xử lý các hành vi vi phạm khi các hành vi này bị phát hiện hay tố giác.
Dự thảo Nghị định mới
Dự thảo Nghị định sẽ có tác động rất lớn đến DN từ ngày dự kiến có hiệu lực là 01/12/2021. Theo đó, nghĩa vụ và trách nhiệm của DN được nâng cao trong việc thu thập, sử dụng và bảo vệ DLCN của NLĐ, nhất là các DLCN nhạy cảm được pháp luật bảo vệ. Dự thảo Nghị định cũng giúp tạo hành lang pháp lý để NLĐ có thể khiếu nại, khởi kiện và chế tài DN vi phạm.
Nhằm thống nhất cách tiếp cận, nhận diện và bảo vệ DLCN cũng như các chế tài vi phạm, Dự thảo Nghị định về bảo vệ DLCN đã được đưa ra lấy ý kiến gần đây. Theo đó, Dự thảo Nghị định đã làm rõ “DLCN” là gì, phân loại DLCN (DLCN cơ bản (ví dụ: nơi thường trú, tình trạng hôn nhân …) và DLCN nhạy cảm (ví dụ: tình trạng giới tính, di truyền …)). Trong đó, DLCN nhạy cảm chỉ có thể được xử lý sau khi NLĐ đã đăng ký với Ủy ban bảo vệ DLCN. Lần đầu tiên, các khái niệm như: “Chủ thể dữ liệu”, “Bên xử lý DLCN”, “Bên thứ ba”, “Xử lý DLCN” được định nghĩa một cách rõ ràng để có thể dễ dàng nhận diện.
Trong lĩnh vực lao động mà cụ thể đối với vấn đề tuyển dụng trong DN, Dự thảo Nghị định yêu cầu DN phải cung cấp một số thông tin nhất định có liên quan đến việc xử lý DLCN cho ứng viên trước khi DLCN của ứng viên được thu thập và xử lý, bao gồm: loại DLCN được xử lý; mục đích của việc xử lý; đối tượng nào được quyền xử lý, chia sẻ DLCN; điều kiện chuyển giao, chia sẻ DLCN từ DN cho bên thứ ba (nếu có). Do đó, trước khi thu thập DLCN của ứng viên, DN nên có thông báo chung trên trang web tuyển dụng của DN và đồng thời gửi email riêng cho từng ứng viên để đảm bảo quyền riêng tư của họ.
Còn đối với những công việc nội bộ có liên quan đến DLCN của NLĐ, DN nào có sử dụng dịch vụ của các bên thứ ba, chẳng hạn như của các nhà cung cấp dịch vụ tuyển dụng, tính lương, kế toán, thuế để xử lý DLCN của NLĐ thì cần đảm bảo rằng trong hợp đồng dịch vụ giữa các bên sẽ có điều khoản các bên thứ ba đó phải tuân thủ quy định về bảo vệ DLCN của NLĐ trong quá trình thực hiện các công việc theo hợp đồng dịch vụ ký với DN.
Bên cạnh đó, Dự thảo Nghị định cũng cho NLĐ khá nhiều quyền có liên quan đến DLCN của họ đó là: – đồng ý hoặc không đồng ý cho DN xử lý DLCN; – yêu cầu DN chỉnh sửa, xem, cung cấp bản sao DLCN, chấm dứt việc xử lý DLCN; – hạn chế quyền tiếp cận DLCN; – chấm dứt việc tiết lộ hoặc cho phép DN truy cập DLCN; và – xóa hoặc đóng DLCN đã được thu thập. Do đó, với tư cách là bên kiểm soát DLCN của NLĐ, DN có nghĩa vụ thông báo cho NLĐ biết về những DLCN nào của NLĐ sẽ được DN thu thập, mục đích của việc thu thập, dữ liệu được sử dụng như thế nào, khi nào thì chấm dứt việc sử dụng DLCN đó. Trong thực tế, việc thông báo này có thể được truyền tải đến NLĐ thông qua việc đưa thông báo vào Nội quy lao động hay Sổ tay nhân viên của của DN, dán thông báo trên bảng thông báo đặt tại nơi làm việc hay đăng trên mạng Intranet nội bộ của DN.
Không dừng lại ở đó, Dự thảo Nghị định cũng yêu cầu DN phải đảm bảo DLCN của NLĐ được bảo mật trong quá trình xử lý dữ liệu (nguyên tắc an ninh và nguyên tắc bảo mật trong 8 nguyên tắc bảo vệ DLCN). Theo đó, DLCN phải được DN bảo vệ bằng các biện pháp kỹ thuật thích hợp như khử nhận dạng, mã hóa, chống vi-rút hoặc lưu trữ, sao lưu, trích xuất và bảo vệ lịch sử xử lý DLCN của NLĐ. DN phải thường xuyên kiểm tra các biện pháp bảo mật để bảo đảm đã tuân thủ nghĩa vụ bảo vệ DLCN của NLĐ. DN cũng được khuyến cáo một cách gián tiếp là chỉ nên lưu giữ DLCN của NLĐ trong thời gian cần thiết để hoàn thành công việc mà DN được quyền thu thập hay theo yêu cầu của pháp luật. DN nên có chính sách lưu giữ DLCN của NLĐ để có thể giải thích một cách hợp lý lý do tại sao DN phải giữ lại DLCN của NLĐ. Bên cạnh đó, NLĐ cũng có quyền được biết về DLCN của họ mà DN đang có trong hồ sơ về họ và cũng được quyền yêu cầu DN sửa đổi DLCN này nếu DLCN đó không chính xác. Điều gì sẽ xảy ra với DLCN của NLĐ khi hợp đồng lao động chấm dứt cũng cần được quy định rõ trong các quy định nhân sự như Sổ tay nhân viên hay quy định tuyển dụng nội bộ chẳng hạn.
Xa hơn nữa, DN cần tổ chức các buổi huấn luyện định kỳ cho NLĐ về chính sách bảo vệ DLCN của NLĐ trong DN để NLĐ có thêm thông tin cần thiết và đầy đủ về chủ đề này để phối hợp, hợp tác với DN trong việc bảo vệ DLCN của họ một cách hợp lý và đảm bảo tuân thủ quy định của pháp luật.
Theo Quy định về bảo vệ DLCN, DN phải thành lập bộ phận có chức năng bảo vệ DLCN của NLĐ chẳng hạn như Phòng công nghệ thông tin cũng như chỉ định cán bộ phụ trách bảo vệ DLCN chẳng hạn như Nhân viên phòng nhân sự. Bên cạnh đó, DN cũng cần ban hành quy định về việc tiếp nhận và trả lời các yêu cầu, khiếu nại của NLĐ phát sinh có liên quan đến việc bảo vệ DLCN của NLĐ chẳng hạn như việc thiết lập các thủ tục, trình tự để phản hồi các yêu cầu, khiếu nại của NLĐ trong một khoảng thời gian hợp lý và có thể được gia hạn thêm nếu các yêu cầu khiếu nại nhiều hay phức tạp.
Sự giám sát của Nhà nước trong việc bảo vệ DLCN của NLĐ
Để bảo vệ DLCN nói chung và DLCN của NLĐ nói riêng, Uỷ ban Bảo vệ DLCN dự kiến sẽ sớm được thành lập, trực thuộc Chính phủ, có trụ sở đặt tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) với các chức năng sau: nâng cao nhận thức về bảo vệ DLCN; cung cấp dịch vụ tư vấn, hỗ trợ kỹ thuật, quản lý hoặc các dịch vụ đặc biệt khác liên quan đến bảo vệ DLCN; tham mưu cho Chính phủ về tất cả các vấn đề liên quan đến bảo vệ DLCN …. Uỷ ban Bảo vệ DLCN có quyền xem xét khiếu nại cũng như tiến hành thanh tra, kiểm tra, xử phạt việc bảo vệ DLCN trong DN nhưng không quá 02 lần/năm, trừ trường hợp có căn cứ xác định vi phạm quy định về bảo vệ DLCN. DN và NLĐ có nghĩa vụ báo cáo vi phạm DLCN kịp thời khi biết về vi phạm cũng như phối hợp với Ủy ban bảo vệ DLCN trong quá trình xử lý những vi phạm liên quan tới hoạt động bảo vệ DLCN của NLĐ.
Về chế tài vi phạm, Dự thảo Nghị định quy định rõ về “dữ liệu nhạy cảm” của NLĐ và mức phạt vi phạm hành chính rất cao đến 100 triệu đồng hoặc 5% lợi nhuận tổng doanh thu áp dụng cho DN nào có hành vi vi phạm nhiều lần, có hậu quả lớn và trong một số trường hợp có thể bị truy cứu trách nhiệm hình sự và áp dụng các hình phạt bổ sung.
Tóm lại, nhìn ở góc độ DN, sau khi Dự thảo Nghị định được Chính phủ ban hành và có hiệu lực thi hành vào cuối năm nay, điều quan trọng là DN phải kịp thời soạn thảo và ban hành một cách đầy đủ và kịp thời các chính sách và quy trình phù hợp để bảo vệ DLCN của NLĐ, có ý thức trong việc tuân thủ nghiêm chỉnh Quy định về bảo vệ DLCN và có chế tài xử lý các cán bộ của DN vi phạm cũng như tổ chức huấn luyện thường xuyên về bảo vệ DLCN của NLĐ. DN giờ đây cũng có thể bị kiểm tra, thanh tra về việc bảo vệ DLCN của NLĐ và sẽ chịu một số mức xử phạt hành chinh đáng kể hoặc phải chịu trách nhiệm hình sự tùy theo mức độ vi phạm. Nhìn ở góc độ NLĐ, với tư cách là chủ thể của DLCN, NLĐ giờ đây cũng được yêu cầu phải có trách nhiệm trong việc bảo vệ DLCN của chính mình cũng như tính chính xác của chúng.
Bài viết trên được soạn thảo dựa vào những kiến thức chuyên môn pháp luật cũng như kinh nghiệm 25 năm hành nghề luật sư của tôi. Nếu bạn thấy bài viết trên là hữu ích cho bạn, xin ủng hộ tôi bằng một cú click chuột vào webiste của Công ty luật Phuoc & Partners www.phuoc-partner.com. Cám ơn bạn rất nhiều và chúc bạn thành công trong công việc của mình. Thân ái.
[1] Điều 21 Hiến pháp 2013
[2] Khoản 1, Điều 38 Bộ luật Dân sự
[3] Điều 16 và 17 Luật An toàn thông tin mạng 2015
[4] Điều 4.4.b và Điều 65.4 Nghị định 98/2020/NĐ-CP ngày 26/08/2020
[5] Điều 159 Bộ Luật Hình sự
[6] Điều 288 Bộ Luật Hình sự
