Doanh nghiệp trong vai trò của người quản lý, thu thập, kiểm soát, giám sát, xử lý dữ liệu cá nhân của người lao động để phục vụ mục đích quản lý, giao kết hợp đồng.  Đồng nghĩa doanh nghiệp không chỉ đang thực hiện chức năng của Bên kiểm soát dữ liệu cá nhân mà còn là Bên xử lý dữ liệu, quyết định phương tiện xử lý dữ liệu, tạo ra sự chủ động và trách nhiệm trong quá trình quản lý thông tin cá nhân.  Điều này cũng đồng nghĩa buộc doanh nghiêp phải tuân thủ, đảm bảo tính minh bạch, công bằng và an toàn trong quản lý thông tin cá nhân của người lao động, phải nghiêm túc thực hiện các quy định của Nghị định 13/2023/NĐ-CP về xử lý dữ liệu cá nhân.  Trách nhiệm của doanh nghiệp trong xử lý dữ liệu cá nhân và những điều cần lưu ý sau đây dành cho doanh nghiệp, giúp doanh nghiệp hiểu để làm đúng!

Trách nhiệm của doanh nghiệp đối với dữ liệu cá nhân người lao động

Doanh nghiệp thu thập và lưu trữ dữ liệu cá nhân của người lao động để phục vụ cho việc giao kết hợp đồng lao động.  Việc thu thập, lưu trữ được thực hiện trên nền tảng hệ thống của doanh nghiệp. Doanh nghiệp sẽ đóng vai trò quyết định mục đích xử lý dữ liệu cá nhân của người lao động.  Do vậy, doanh nghiệp không chỉ giới hạn ở việc quyết định mục đích và phương tiện xử lý dữ liệu cá nhân mà còn bao gồm trách nhiệm trực tiếp trong việc thực hiện các hoạt động này.

Thứ nhất, tuân thủ các nguyên tắc về bảo vệ dữ liệu cá nhân: Tuân thủ theo quy định của pháp luật.  Chủ thể dữ liệu có quyền được biết về các hoạt động liên quan tới quá trình xử lý dữ liệu cá nhân của mình.  Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý, được cập nhật, bổ sung phù hợp với mục đích xử lý, được lưu trữ trong khoảng thời gian phù hợp với mục đích và chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định.

Thứ hai, không được thực hiện các hành vi bị cấm trong bảo vệ dữ liệu cá nhân như: Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân, tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác, cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền, lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.

Thứ ba, doanh nghiệp phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân. Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.  Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Thứ tư, doanh nghiệp thực hiện đồng thời các trách nhiệm của Bên Xử lý dữ liệu cá nhân, Bên kiểm soát và xử lý dữ liệu cá nhân.  Với tư cách là Bên kiểm soát và xử lý dữ liệu cá nhân của người lao động, doanh nghiệp chịu trách nhiệm thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết; Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân; Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, Bảo đảm các quyền của chủ thể dữ liệu theo quy định.

Thứ năm, chịu trách nhiệm pháp lý về xử phạt vi phạm hành chính, xử lý hình sự tùy theo mức vi phạm quy định bảo vệ dữ liệu cá nhân. Xóa, trả lại toàn bộ dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu. Chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra. Cũng như chịu trách nhiệm bồi thường nếu có tổn thất xảy ra.

Doanh nghiệp thực thi trách nhiệm bảo vệ dữ liệu cá nhân người lao động

Để thực hiện trách nhiệm bảo vệ dữ liệu cá nhân của người lao động, tuân thủ Nghị định 13/2023/NĐ-CP, doanh nghiệp cần tiến hành các công việc sau:

Hoàn thiện thu thập dữ liệu, xử lý thông tin của người lao động.  Doanh nghiệp thực hiện rà soát, bổ sung, điều chỉnh các tài liệu, các thỏa thuận, hợp đồng có yêu cầu khách hàng, thông tin của người lao động.  Trong một số trường hợp, người lao động có thể phải cung cấp thêm một số thông tin như: Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; thông tin về đặc điểm di truyền… là những dữ liệu cá nhân nhạy cảm theo khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP.  Và thực hiện bổ sung các điều khoản trong hợp đồng thử việc, hợp đồng lao động, phụ lục hợp đồng lao động các nội dung nêu trên.  Tuy nhiên việc cung cấp thông tin phải có sự đồng ý của chủ thể dữ liệu, trừ các trường hợp thuộc Điều 17 Nghị định 13/2023/NĐ-CP.  Sự đồng ý của chủ thể dữ liệu phải được thể hiện bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc một hành động khác thể hiện sự đồng ý.  Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung loại dữ liệu, quyền của chủ thể dữ liệu, mục đích, tổ chức xử lý dữ liệu.  Khi có tranh chấp thì doanh nghiệp có nghĩa vụ chứng minh sự đồng ý của người lao động, ứng viên tuyển dụng nên doanh nghiệp cần xây dựng hoặc cập nhật nội dung biểu mẫu để ứng viên, người lao động đánh dấu hoặc xác nhận bằng văn bản cho phép sử dụng dữ liệu cá nhân. 

Xây dựng, ban hành các quy chế nội bộ để bảo vệ dữ liệu cá nhân. Doanh nghiệp cần căn cứ vào tình hình thực tiễn của đơn vị, các dịch vụ, sản phẩm kinh doanh của mình để xây dựng Quy chế nội bộ, quy trình phù hợp, phối hợp giữa các phòng ban, các biện pháp kỹ thuật phù hợp để bảo vệ dữ liệu cá nhân.  Cập nhật thêm vào Nội quy lao động các quy định cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân để làm căn cứ xử lý kỷ luật lao động và bồi thường thiệt hại nếu có trong trường hợp có xảy ra sai phạm.  Theo Điều 4, trường hợp vi phạm quy định về bảo vệ dữ liệu cá nhân, tùy mức độ, cơ quan, tổ chức, cá nhân vi phạm có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.

Thành lập bộ phận chuyên trách bảo vệ dữ liệu cá nhân nhạy cảm.  Thực hiện theo Điều 28 Nghị định 13/2023/NĐ-CP, doanh nghiệp cần chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân nhạy cả, người đứng đầu bảo vệ dữ liệu cá nhân  để thực hiện các nhiệm vụ tại doanh nghiệp nhằm tuân thủ quy định về bảo vệ dữ liệu cá nhân.  Bộ phận này phụ trách trao đổi thông tin với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân và thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý.

Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.  Hồ sơ lập được gửi cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.  Doanh nghiệp nào có tiến hành ít nhất 01 hoạt động trong quá trình xử lý dữ liệu thì đều phải lập, lưu giữ và thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định tại Điều 24, Nghị định này.  Bên cạnh đó, các doanh nghiệp có vốn đầu tư nước ngoài nói chung và doanh nghiệp có vốn đầu tư nước ngoài hoạt động theo mô hình Công ty mẹ – con nói riêng cần đặc biệt lưu ý trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài.  Theo đó, ngoài việc lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, doanh nghiệp còn phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gửi 01 bản chính hồ sơ tới Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao Bộ Công an theo mẫu số 06 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.  Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.  Khi có sự thay đổi, bổ sung thì lập hồ sơ thay đổi nội dung hồ sơ đánh giá tác động chuyển dữ liệu cá nhân tra nước ngoài.

Những lưu ý khi thực hiện trách nhiệm bảo vệ dữ liệu cá nhân

Dữ liệu cá nhân là tài nguyên khởi đầu quan trọng của quá trình chuyển đổi số, các tổ chức, cá nhân có trách nhiệm tuân thủ nghiêm quy định, nguyên tắc xử lý dữ liệu cá nhân. Cần lưu ý một số vấn đề sau:

Đảm bảo tuân thủ các nguyên tắc bảo vệ dữ liệu.  Quá trình xử lý dữ liệu cá nhân cần bảo đảm các nguyên tắc bảo vệ dữ liệu như: chỉ được xử lý dữ liệu cá nhân đúng với mục đích đã được đăng ký, tuyên bố về xử lý dữ liệu cá nhân, thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý, không được mua, bán dữ liệu cá nhân dưới mọi hình thức, trừ trường hợp luật có quy định khác.

Chấp hành đúng quy định về quyền và nghĩa vụ của chủ thể dữ liệu.  Sự đồng ý của người lao động là điều tiên quyết doanh nghiệp phải tuân thủ.  Sự đồng ý của người lao động có hiệu lực cho tới khi có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản. Người lao động có quyền rút lại sự đồng ý của mình.  Doanh nghiệp phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng việc xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.  Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.  Vì vậy, doanh nghiệp nên ký riêng thỏa thuận này với người lao động ngay từ khi người lao động vào làm ở công ty với hình thức pháp luật quy định.

Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân.  Trong trường hợp phát hiện vi phạm quy định bảo vệ dữ liệu cá nhân, doanh nghiệp phải thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Bộ Công an chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn. Cần phối hợp chặt chẽ với các bộ phận liên quan và cơ quan chức năng để đảm bảo rằng thông tin liên quan đến việc xử lý dữ liệu cá nhân có sẵn khi cần thiết để hỗ trợ các điều tra và xử lý hành vi vi phạm theo quy định tại Điều 38 Nghị định 13/2023/NĐ-CP. Điều này không chỉ giúp tăng cường sự minh bạch mà còn đề cao tầm quan trọng của việc bảo vệ thông tin cá nhân trong môi trường ngày càng kỹ thuật số và liên kết.

Tìm kiếm sự đồng thuận từ chủ thể dữ liệu khi xảy ra tranh chấp.  Khi có vấn đề xung đột liên quan đến dữ liệu cá nhân, doanh nghiệp nên tìm kiếm sự đồng thuận của chủ thể dữ liệu thông qua đối thoại, thương lượng. Đây là những cơ chế hiệu quả phù hợp với những bộ phận hoặc doanh nghiệp có qui mô lao động lớn nhằm thông báo và đạt được sự đồng thuận với cá nhân và tập thể.

Một số lưu ý được đặt ra nhằm giúp doanh nghiệp thực hiện tốt trách nhiệm bảo vệ dữ liệu cá nhân của người lao động qua bài viết này. Đừng quên theo dõi và cập nhật thêm nhiều thông tin hữu ích khác trên trang web của chúng tôi.  Hãy liên hệ với chúng tôi để được hướng dẫn chi tiết hơn:  info@letranlaw.com