Câu hỏi 1: Hiện tại có những phát triển nổi bật nào về luật bảo vệ dữ liệu ở Việt Nam không?

Chính phủ Việt Nam đã ban hành Nghị định số 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân, có hiệu lực từ ngày 1 tháng 7 năm 2023. Điều này đánh dấu một bước tiến quan trọng của Việt Nam nhằm hướng tới việc tuân thủ các tiêu chuẩn bảo mật dữ liệu quốc tế. Tuy nhiên, vẫn còn nhiều điểm chưa rõ ràng về việc tuân thủ, cụ thể là về những nghĩa vụ cốt lõi liên quan đến sự đồng ý của chủ sở hữu dữ liệu, việc thu thập dữ liệu, và kiểm soát dữ liệu.

Chính phủ Việt Nam hiện đang soạn thảo Luật Bảo vệ Dữ liệu Cá nhân mới, dự kiến sẽ được thông qua vào tháng 5 năm nay. Dự thảo này nhằm mở rộng phạm vi áp dụng và áp đặt thêm nhiều nghĩa vụ hơn cho các doanh nghiệp, bao gồm các quy định cụ thể đối với một số lĩnh vực đặc biệt như tài chính, trí tuệ nhân tạo, quảng cáo, và tiếp thị.

Câu hỏi 2: Từ góc độ lao động, những quy định này sẽ ảnh hưởng như thế nào đến thực tiễn lao động?

Theo luật lao động, người sử dụng lao động có thể yêu cầu người lao động cung cấp thông tin chính xác về họ tên, ngày sinh, giới tính, nơi cư trú, trình độ học vấn, trình độ và kỹ năng nghề nghiệp, tình trạng sức khỏe, và bất kỳ thông tin chi tiết nào khác có liên quan trực tiếp đến việc ký kết hợp đồng lao động. Ngoài ra, trong quá trình làm việc, người sử dụng lao động cũng có thể thu thập các thông tin như mức lương, phụ cấp, và các khoản thu nhập khác có liên quan đến người lao động. Những thông tin này sẽ được xem là dữ liệu cá nhân theo quy định.

Do vậy, khi xử lý và sử dụng những dữ liệu này, đặc biệt là khi chuyển dữ liệu cho công ty mẹ ở nước ngoài hoặc cho các bên thứ ba cung cấp dịch vụ thuê ngoài (chẳng hạn như dịch vụ làm bảng lương và thuế), người sử dụng lao động cần phải có được sự đồng ý của người lao động hoặc phải thông báo cho người lao động. Ngoài ra, người lao động đồng thời là chủ sở hữu dữ liệu có quyền không đồng ý để người sử dụng lao động xử lý dữ liệu của họ, hoặc yêu cầu người sử dụng lao động xóa dữ liệu của họ.

Những quy định này ảnh hưởng đáng kể đến các hoạt động Nhân sự, vì người sử dụng lao động được yêu cầu phải thực hiện thêm các bước bổ sung để đảm bảo tuân thủ pháp luật.

Câu hỏi 3: Theo kiến nghị của quý vị, người sử dụng lao động cần thực hiện bổ sung những việc gì?

Thông báo và có được sự đồng ý của người lao động để thu thập dữ liệu cá nhân của họ

Theo pháp luật hiện hành, việc có được sự đồng ý của người lao động là điều cốt lõi, và sự đồng ý của người lao động chỉ có hiệu lực khi đáp ứng các tiêu chí sau đây:

• Được đưa ra một cách tự nguyện;
• Cụ thể cho từng mục đích xử lý dữ liệu;
• Đã được thông báo và dựa trên thông báo rõ ràng;
• Minh bạch, đòi hỏi hành động rõ ràng và dứt khoát.

Cần phải tạo một mẫu văn bản chấp thuận để đảm bảo sự rõ ràng, các mục đích cụ thể, và tuân thủ các yêu cầu về bảo vệ dữ liệu.

Cập nhật hồ sơ lao động

Thông báo tuyển dụng, thư mời làm việc, hợp đồng lao động, và các hồ sơ lao động khác phải được điều chỉnh để bao gồm quy định về việc người sử dụng lao động có quyền thu thập và xử lý dữ liệu cá nhân của các ứng viên và người lao động.

Ghi chép lại việc chuyển dữ liệu ra khỏi Việt Nam

Trước khi chuyển dữ liệu cá nhân ra nước ngoài, người sử dụng lao động cần phải thực hiện đánh giá. Các cơ quan có thẩm quyền phải được thông báo về việc chuyển dữ liệu ra nước ngoài, và các tổ chức cần phải thường xuyên cập nhật hồ sơ của mình để tạo điều kiện thuận lợi cho các cuộc kiểm tra của cơ quan có thẩm quyền theo yêu cầu.

• Nâng cao các đội ngũ nội bộ và phát triển quy trình tuân thủ cụ thể cho từng vai trò
• Chỉ định một cá nhân hoặc tổ chức có đủ năng lực để chịu trách nhiệm về việc bảo vệ dữ liệu.
• Cung cấp cho các đội ngũ phụ trách xử lý khối lượng dữ liệu cá nhân lớn (chẳng hạn như bộ phận Nhân sự, dịch vụ khách hàng, và tiếp thị kỹ thuật số) những quy trình xử lý thực tiễn hơn là chỉ đào tạo chung về nhận thức.
• Thực hiện kiểm tra các công việc liên quan đến dữ liệu để lập sơ đồ cách thức thu thập, xử lý, lưu trữ và chia sẻ dữ liệu cá nhân giữa các phòng ban và hệ thống, qua đó xác định được các lỗ hổng và đánh giá các vùng rủi ro.
• Thiết lập quy trình làm việc nội bộ để ghi chép lại các hoạt động xử lý dữ liệu, quản lý yêu cầu của chủ thể dữ liệu, và phản ứng với các sự cố an ninh.
• Thuê luật sư tư vấn để xem xét và củng cố mô hình quản trị dữ liệu của người sử dụng lao động, bao gồm chiến lược để chuyển dữ liệu quốc tế và quản lý nhà cung cấp là bên thứ ba.

Câu hỏi 4: Nếu người sử dụng lao động không tuân thủ các yêu cầu về bảo vệ dữ liệu thì sẽ chịu những hậu quả pháp lý gì?

 Pháp luật hiện hành tập trung vào những biện pháp chế tài hành chính hơn là chế tài hình sự. Tuy nhiên, hậu quả của các hành vi vi phạm vẫn có thể rất nghiêm trọng:

• Phạt tiền đối với Hành vi Không Tuân thủ Pháp luật: Dự thảo luật mới đề xuất các mức phạt vi phạm hành chính là từ 1% đến 5% doanh thu năm trước (không phải lợi nhuận) đối với các tổ chức và doanh nghiệp vi phạm quy định về bảo vệ dữ liệu cá nhân. Ngoài ra, Chính phủ cũng đang soạn thảo một dự thảo Nghị định quy định các biện pháp chế tài hành chính cụ thể đối với những hành vi vi phạm khác nhau.
• Hành động của Cơ quan Quản lý: Các cơ quan quản lý có thể ra lệnh đình chỉ hoạt động xử lý dữ liệu hoặc áp đặt thêm các cuộc kiểm tra bổ sung như là một trong những hành động thực thi pháp luật của họ.
• Trách nhiệm Hình sự trong Tương lai: Có khả năng sẽ phát sinh trách nhiệm hình sự đối với các hành vi vi phạm nghiêm trọng, đặc biệt là những hành vi liên quan đến việc mua bán dữ liệu hoặc cố ý sử dụng dữ liệu sai mục đích.

Ngoài ra, hậu quả nghiêm trọng nhất có lẽ là sự thiệt hại về danh tiếng và đánh mất lòng tin xuất phát từ việc xử lý dữ liệu sai cách.