(Luật sư Dương Tiếng Thu, Hà Anh Thư và Luật sư Nguyễn Hữu Phước[1])
Quy định mới về bảo vệ dữ liệu cá nhân – Bước tiến đáng kể trong hệ thống văn bản quy phạm pháp luật
Bảo vệ dữ liệu cá nhân là một trong những vấn đề được quan tâm hàng đầu trên toàn thế giới, đặc biệt trong thời điểm hiện nay khi mà tội phạm công nghệ ngày càng nguy hiểm và việc mua, bán dữ liệu cá nhân ngày càng phổ biến. Trong khi đó, việc bảo vệ dữ liệu cá nhân tại Việt Nam trước đây lại chưa rõ ràng và chỉ được quy định chung chung, rải rác ở nhiều văn bản quy phạm pháp luật khác nhau như Bộ luật dân sự, Luật an ninh mạng.
Mới đây, vào ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP quy định về bảo vệ dữ liệu cá nhân (“Nghị định 13”). Nghị định 13 sẽ có hiệu lực kể từ ngày 01/7/2023. Theo đó, Nghị định 13 định nghĩa một cách cụ thể về dữ liệu cá nhân và các vấn đề pháp lý có liên quan cũng như trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, doanh nghiệp và cá nhân.
Không dễ để doanh nghiệp bảo vệ dữ liệu cá nhân của người lao động
Trong quá trình thực hiện mối quan hệ lao động, người sử dụng lao động sẽ nhận rất nhiều thông tin cá nhân từ người lao động nhằm phục vụ mục đích quản lý lao động. Theo đó, nếu người sử dụng lao động bất cẩn trong quá trình quản lý và xử lý các thông tin kể trên, việc thông tin của người lao động bị lan truyền là có thể xảy ra và dẫn đến những hậu quả khó lường.
Trước đây, các vấn đề quản lý lao động nội bộ như chính sách lương, thưởng, tham gia các loại bảo hiểm bắt buộc cho người lao động thường do chính doanh nghiệp tính toán và quản lý, do đó khả năng rò rỉ thông tin cá nhân của người lao động là tương đối thấp. Tuy nhiên, nhằm tối ưu hóa nguồn lực và cắt giảm chi phí để tập trung vào các mục tiêu phát triển khác, việc sử dụng các dịch vụ bên ngoài để giải quyết các công việc nội bộ hiện nay lại rất phổ biến và được nhiều doanh nghiệp lựa chọn. Theo đó, việc chuyển giao dữ liệu cho các bên thứ ba là bắt buộc để hoàn thành các công việc đã giao kết, dẫn đến rủi ro dữ liệu cá nhân của người lao động bị phát tán.
Ngoài ra, trong xu thế hội nhập toàn cầu, Việt Nam đã và đang đón nhận những nguồn đầu tư lớn từ các tập đoàn quốc tế. Theo đó, các công ty của cùng hệ thống tập đoàn (công ty mẹ – con) thường sẽ có chung một hệ sinh thái quản lý và mọi thông tin của các công ty này, bao gồm cả thông tin của người lao động, có thể dễ dàng được truy cập từ hệ thống chung. Tuy nhiên, theo pháp luật Việt Nam, mỗi doanh nghiệp được xem là một pháp nhân riêng biệt và độc lập và do đó việc các doanh nghiệp trong cùng hệ thống tập đoàn chuyển dữ liệu cá nhân của người lao động để phục vụ quá trình quản lý nội bộ của cả tập đoàn cũng có thể được xem là vi phạm trách nhiệm bảo vệ dữ liệu cá nhân của doanh nghiệp. Trên thực tế, quy định này gây ra khá nhiều khó khăn cho doanh nghiệp, đặc biệt là các doanh nghiệp có vốn đầu tư nước ngoài trong việc lưu trữ và báo cáo thông tin.
Khó khăn đối với doanh nghiệp trong việc bảo vệ dữ liệu cá nhân của người lao động trước quy định mới
Để giúp doanh nghiệp có cái nhìn cụ thể hơn nhằm cân nhắc tiến hành các hoạt động điều chỉnh phù hợp, dưới đây là những quy định nổi bật trong Nghị định 13 mà doanh nghiệp cần lưu ý nhằm đảm bảo việc bao vệ dữ liệu cá nhân của người lao động của mình bao gồm:
- Dữ liệu cá nhân
Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm[2].
Dữ liệu cá nhân cơ bản bao gồm: (i) họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); (ii) ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; (iii) giới tính; (iv) nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; (v) quốc tịch; (vi) hình ảnh của cá nhân; (vii) số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; (viii) tình trạng hôn nhân; (ix) thông tin về mối quan hệ gia đình (cha mẹ, con cái); (x) thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; và (xi) các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể[3].
Căn cứ vào các quy định trên, các thông tin bắt buộc của hợp đồng lao động[4] thuộc dữ liệu cá nhân cơ bản của người lao động. Do đó, doanh nghiệp cần có trách nhiệm bảo vệ các thông tin đó trong quá trình quản lý lao động của mình.
- Xử lý dữ liệu cá nhân
Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan[5].
Tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân đều phải được đồng ý bởi chủ thể dữ liệu, trừ trường hợp luật có quy định khác[6]. Sự đồng ý của người lao động là chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau: (i) loại dữ liệu cá nhân được xử lý; (ii) mục đích xử lý dữ liệu cá nhân; (iii) tổ chức, cá nhân được xử lý dữ liệu cá nhân; và (iv) các quyền, nghĩa vụ của chủ thể dữ liệu[7]. Cần lưu ý rằng, sự đồng ý phải thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được để đảm bảo tính rõ ràng, tự nguyện, khẳng định việc cho phép của người lao động[8].
Theo đó, doanh nghiệp cần đảm bảo quyền đồng ý của người lao động là chủ thể dữ liệu cá nhân[9]. Người lao động có quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ các trường hợp: (i) trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác; (ii) việc công khai dữ liệu cá nhân theo quy định của luật; (iii) việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp; (iv) để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với doanh nghiệp theo quy định của luật; và (v) phục vụ hoạt động của cơ quan Nhà nước đã được quy định theo luật chuyên ngành[10].
- Thông báo xử lý dữ liệu cá nhân
Trước khi tiến hành xử lý dữ liệu cá nhân, việc thông báo phải được thực hiện đối với chủ thể dữ liệu cá nhân[11]. Nội dung thông báo phải bao gồm: (i) mục đích xử lý; (ii) loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý; (iii) cách thức xử lý; (iv) thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý; (v) hậu quả, thiệt hại không mong muốn có khả năng xảy ra; (vi) thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu[12].
Theo đó, nếu doanh nghiệp muốn thực hiện các hoạt động liên quan đến xử lý dữ liệu cá nhân của người lao động, doanh nghiệp phải thông báo cho người lao động biết ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được[13].
- Đánh giá tác động xử lý dữ liệu cá nhân và Đánh giá tác động chuyển dữ liệu ra nước ngoài
Kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân, doanh nghiệp và các bên có liên quan có nghĩa vụ lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an[14].
Trong trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài (ví dụ: chuyển thông tin của nhân sự Việt Nam đến công ty mẹ ở nước ngoài), doanh nghiệp phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và cũng phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an. Ngoài ra, doanh nghiệp còn phải gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định 13 trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân[15].
- Chế tài xử lý vi phạm đối với quy định bảo vệ dữ liệu cá nhân
Mọi vi phạm của doanh nghiệp đối với quy định bảo vệ dữ liệu cá nhân của người lao động tùy theo mức độ có thể bị xử phạt vi phạm hành chính hoặc nghiêm trọng hơn là xử lý hình sự theo quy định[16]. Đặc biệt, việc mua, bán dữ liệu cá nhân bị nghiêm cấm dưới mọi hình thức[17].
Đâu là giải pháp cho doanh nghiệp để đảm bảo tuân thủ quy định của pháp luật và không làm ảnh hưởng đến những quy trình quản lý bắt buộc khác?
Sự ra đời của Nghị định 13 vừa là cơ sở cho doanh nghiệp căn cứ nhằm thực thi pháp luật một cách phù hợp nhưng cũng gây ra khó khăn cho doanh nghiệp khi phải kiểm tra lại và bổ sung các tài liệu nội bộ nhằm nâng cao trách nhiệm của mình đối với vấn đề bảo vệ dữ liệu cá nhân. Theo đó, nghĩa vụ của doanh nghiệp được quy định cách rõ ràng và chi tiết hơn trong việc thu thập, sử dụng và quản lý dữ liệu cá nhân của người lao động.
Đối mặt với những quy định chặt chẽ của Nghị định 13, doanh nghiệp cần rà soát và củng cố các tài liệu nội bộ của mình để có căn cứ chứng minh việc tuân thủ cũng như xử lý các vấn đề phát sinh, nếu có. Bên cạnh việc thực hiện các công việc khi có phát sinh tương ứng theo hướng dẫn của Nghị định 13 (ví dụ: lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài), doanh nghiệp còn phải xem xét thực hiện các hoạt động sau:
- Xây dựng hoặc cập nhật nội quy lao động về các quy định cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân để làm căn cứ xử lý kỷ luật lao động và bồi thường thiệt hại (nếu có) trong trường hợp có sai phạm. Việc xây dựng nội quy lao động hiện nay là bắt buộc đối với các doanh nghiệp, và nếu doanh nghiệp có từ 10 người lao động trở lên, nội quy lao động phải được ban hành bằng văn bản và phải đăng ký với cơ quan quản lý nhà nước cấp có thẩm quyền. Nội quy lao động là tài liệu pháp lý về lao động duy nhất trong doanh nghiệp có sử dụng 10 người lao động trở lên để xử lý kỷ luật lao động và bồi thường thiệt hại;
- Bổ sung các điều khoản trong hợp đồng thử việc, và/hoặc hợp đồng lao động hoặc phụ lục hợp đồng lao động liệt kê rõ phạm vi dữ liệu cá nhân phải được bảo vệ, mục đích, phạm vi xử lý dữ liệu cá nhân và nghĩa vụ của doanh nghiệp trong việc bảo mật dữ liệu cá nhân như một văn bản thể hiện sự đồng ý của người lao động; và
- Giao kết thỏa thuận không tiết lộ hoặc các cam kết khác thể hiện rõ quyền và nghĩa vụ các bên trong việc xử lý dữ liệu cá nhân.
Cùng với sự ra đời của Nghị định 13, các doanh nghiệp cần nhanh chóng cập nhật những quy định mới về xử lý dữ liệu cá nhân để kịp thời bổ sung các văn bản nội bộ điều chỉnh nội dung tương ứng. Qua đó, doanh nghiệp có thể đảm bảo việc tuân thủ pháp luật lao động cũng như xây dựng căn cứ chặt chẽ để xử lý các vấn đề liên quan phát sinh trên thực tế, nếu có.
Bài viết này của tôi được viết chủ yếu dựa vào những kiến thức pháp luật bao quát mà tôi đã được học ở trường đại học cũng như những kinh nghiệm hành nghề luật sư chuyên sâu của tôi trong gần 25 năm qua. Nếu bạn thấy rằng những thông tin chia sẻ của tôi ở trên là hữu ích, xin hãy ủng hộ tôi bằng một cú click chuột vào website này nhé www.phuoc-partner.com.
[1] Công ty Luật Phuoc & Partners
[2] Điều 2.1 của Nghị định 13
[3] Điều 2.3 của Nghị định 13
[4] Điều 21.1 của Bộ luật Lao động 2019
[5] Điều 2.7 của Nghị định 13
[6] Điều 11.1 của Nghị định 13
[7] Điều 11.2 của Nghị định 13
[8] Điều 11.3 và 11.5 của Nghị định 13
[9] Điều 9.2 của Nghị định 13
[10] Điều 17 của Nghị định 13
[11] Điều 13.1 của Nghị định 13
[12] Điều 13.2 của Nghị định 13
[13] Điều 13.3 của Nghị định 13
[14] Điều 24 của Nghị định 13
[15] Điều 25 của Nghị định 13
[16] Điều 4 của Nghị định 13
[17] Điều 3.4 của Nghị định 13