Các

Vấn
Đề
Pháp
Lý

TRÁCH NHIỆM CỦA

DOANH NGHIỆP
TRONG BẢO VỆ

DỮ LIỆU CÁ NHÂN
CỦA NGƯỜI LAO ĐỘNG

Nghị định số
13/2023/NĐ-CP
quy định về bảo vệ
dữ liệu cá nhân
PHUOC & PARTNERS
 Mở đầu
Quy định mới về bảo vệ dữ liệu cá
nhân – Bước tiến đáng kể trong hệ
thống văn bản quy phạm pháp luật.

Bảo vệ dữ liệu cá nhân là một trong

những vấn đề được quan tâm hàng
đầu trên toàn thế giới, đặc biệt trong
thời điểm hiện nay khi mà tội phạm
công nghệ ngày càng nguy hiểm và
việc mua, bán dữ liệu cá nhân ngày
càng phổ biến.

Trong khi đó, việc bảo vệ dữ liệu cá nhân tại Việt Nam trước
đây lại chưa rõ ràng và chỉ được quy định chung chung, rải
rác ở nhiều văn bản quy phạm pháp luật khác nhau như
Bộ luật dân sự, Luật an ninh mạng.

Mới đây, vào ngày 17/4/2023, Chính

phủ đã ban hành Nghị định số
13/2023/NĐ-CP quy định về bảo vệ
dữ liệu cá nhân (“Nghị định 13”). Nghị
định 13 sẽ có hiệu lực kể từ ngày
01/7/2023.
Theo đó, Nghị định 13 định nghĩa một
cách cụ thể về dữ liệu cá nhân và các
vấn đề pháp lý có liên quan cũng như
trách nhiệm bảo vệ dữ liệu cá nhân
của cơ quan, tổ chức, doanh nghiệp
và cá nhân.
 “Không dễ để doanh nghiệp
bảo vệ dữ liệu cá nhân của
người lao động
Trong quá trình thực hiện mối quan
hệ lao động, người sử dụng lao
động sẽ nhận rất nhiều thông tin
cá nhân từ người lao động nhằm
phục vụ mục đích quản lý lao
động. Theo đó, nếu người sử dụng
lao động bất cẩn trong quá trình
quản lý và xử lý các thông tin kể
trên, việc thông tin của người lao
động bị lan truyền là có thể xảy ra
và dẫn đến những hậu quả khó
lường.
Đến ngày 09/09/2021, Chính phủ ban
hành Nghị quyết 105/NQ-CP.
Trước đây, các vấn đề quản lý
lao động nội bộ như chính sách
lương, thưởng, tham gia các loại
bảo hiểm bắt buộc cho người lao
động thường do chính doanh
nghiệp tính toán và quản lý, do
đó khả năng rò rỉ thông tin cá
nhân của người lao động là
tương đối thấp. Tuy nhiên, nhằm
tối ưu hóa nguồn lực và cắt giảm
chi phí để tập trung vào các mục
tiêu phát triển khác, việc sử
dụng các dịch vụ bên ngoài để
giải quyết các công việc nội bộ
hiện nay lại rất phổ biến và được
nhiều doanh nghiệp lựa chọn.
Theo đó, việc chuyển giao dữ liệu
cho các bên thứ ba là bắt buộc
để hoàn thành các công việc đã
giao kết, dẫn đến rủi ro dữ liệu cá
nhân của người lao động bị phát
tán.
Công ty của cùng hệ thống tập đoàn
(công ty mẹ – con) thường sẽ có
chung một hệ sinh thái quản lý
Cần lưu ý gì?
Ngoài ra, trong xu thế hội nhập
toàn cầu, Việt Nam đã và đang
đón nhận những nguồn đầu tư
lớn từ các tập đoàn quốc tế.
Theo đó, các công ty của cùng
hệ thống tập đoàn (công ty mẹ
– con) thường sẽ có chung một
hệ sinh thái quản lý và mọi
thông tin của các công ty này,
bao gồm cả thông tin của
người lao động, có thể dễ dàng
được truy cập từ hệ thống
chung.
Tuy nhiên, theo pháp luật Việt
Nam, mỗ i doanh nghiệp được xem
là một pháp nhân riêng biệt và
độc lập và do đó việc các doanh
nghiệp trong cùng hệ thố ng tập
đoàn chuyển dữ liệu cá nhân của
người lao động để phục vụ quá
trình quản lý nội bộ của cả tập
đoàn cũng có thể được xem là vi
phạm trách nhiệm bảo vệ dữ liệu
cá nhân của doanh nghiệp. Trên
thực tế , quy định này gây ra khá
nhiề u khó khăn cho doanh nghiệp,
đặc biệt là các doanh nghiệp có
vố n đầ u tư nước ngoài trong việc
lưu trữ và báo cáo thông tin.
 Khó khăn đối với doanh nghiệp trong việc bảo vệ dữ liệu cá nhân
của người lao động trước quy định mới.

Những quy định nổi bật trong Nghị

định 13 mà doanh nghiệp cần lưu ý:
Để giúp doanh nghiệp có
cái nhìn cụ thể hơn nhằm
cân nhắc tiến hành các
hoạt động điều chỉnh phù
hợp, dưới đây là những quy
định nổi bật trong Nghị
định 13 mà doanh nghiệp
cần lưu ý nhằm đảm bảo
việc bao vệ dữ liệu cá nhân
của người lao động của
mình bao gồm:
Dữ liệu cá nhân là thông
tin dưới dạng ký hiệu, chữ
viết, chữ số, hình ảnh, âm
thanh hoặc dạng tương tự
trên môi trường điện tử
gắn liền với một con người
cụ thể hoặc giúp xác định
một con người cụ thể.
Dữ liệu cá nhân bao gồm
dữ liệu cá nhân cơ bản và
dữ liệu cá nhân nhạy cảm
Dữ liệu cá nhân cơ bản bao gồm:
(i) họ, chữ đệm và tên khai sinh, tên
gọi khác (nếu có);
(ii) ngày, tháng, năm sinh; ngày,
tháng, năm chết hoặc mất tích;
(iii) giới tính;
(iv) nơi sinh, nơi đăng ký khai sinh,
nơi thường trú, nơi tạm trú, nơi ở hiện
tại, quê quán, địa chỉ liên hệ;
(v) quốc tịch;
(vi) hình ảnh của cá nhân;
(vii) số điện thoại, số chứng minh
nhân dân, số định danh cá nhân, số
hộ chiếu, số giấy phép lái xe, số biển
số xe, số mã số thuế cá nhân, số bảo
hiểm xã hội, số thẻ bảo hiểm y tế;
(viii) tình trạng hôn nhân; (ix) thông
tin về mối quan hệ gia đình (cha mẹ,
con cái);
(x) thông tin về tài khoản số của cá
nhân; dữ liệu cá nhân phản ánh hoạt
động, lịch sử hoạt động trên không
gian mạng;
(xi) các thông tin khác gắn liền với
một con người cụ thể hoặc giúp xác
định một con người cụ thể
 Xử lý dữ liệu cá nhân là một hoặc nhiều
hoạt động tác động tới dữ liệu cá nhân
Căn cứ vào các quy định trên, các thông tin bắt buộc của hợp
đồng lao động thuộc dữ liệu cá nhân cơ bản của người lao động.
Do đó, doanh nghiệp cần có trách nhiệm bảo vệ các thông tin đó
trong quá trình quản lý lao động của mình.

Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác

động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích,
xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập,
truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ,
truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá
nhân hoặc các hành động khác có liên quan.
Tất cả các hoạt động trong quy trình xử lý dữ liệu cá
nhân đều phải được đồng ý bởi chủ thể dữ liệu, trừ trường
hợp luật có quy định khác.
Sự đồng ý của người lao động là chủ thể dữ liệu chỉ có
hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội
dung sau: (i) loại dữ liệu cá nhân được xử lý; (ii) mục
đích xử lý dữ liệu cá nhân; (iii) tổ chức, cá nhân được xử
lý dữ liệu cá nhân; và (iv) các quyền, nghĩa vụ của chủ
thể dữ liệu
Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác
động tới dữ liệu cá nhân

Cần lưu ý rằng, sự đồng ý phải thể hiện ở một định dạng có thể
được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử
hoặc định dạng kiểm chứng được để đảm bảo tính rõ ràng, tự
nguyện, khẳng định việc cho phép của người lao động

Theo đó, doanh nghiệp cần đảm bảo quyền đồng ý của người
lao động là chủ thể dữ liệu cá nhân. Người lao động có quyền
đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của
mình, trừ các trường hợp:
(i) trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân
có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ
liệu hoặc người khác;
(ii) việc công khai dữ liệu cá nhân theo quy định của luật;
(iii) việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền
trong trường hợp tình trạng khẩn cấp;
(iv) để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu
với doanh nghiệp theo quy định của luật; và
(v) phục vụ hoạt động của cơ quan Nhà nước đã được quy
định theo luật chuyên ngành
 Thông báo xử lý dữ liệu cá nhân

Theo đó, nếu doanh nghiệp muốn thực hiện các hoạt động
liên quan đến xử lý dữ liệu cá nhân của người lao động,
doanh nghiệp phải thông báo cho người lao động biết ở
một định dạng có thể được in, sao chép bằng văn bản, bao
gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được

Trước khi tiến hành xử lý dữ liệu

cá nhân, việc thông báo phải
được thực hiện đối với chủ thể dữ
liệu cá nhân.
Nội dung thông báo phải bao
gồm:
(i) mục đích xử lý;
(ii) loại dữ liệu cá nhân được sử
dụng có liên quan tới mục đích
xử lý;
(iii) cách thức xử lý;
(iv) thông tin về các tổ chức, cá
nhân khác có liên quan tới mục
đích xử lý;
(v) hậu quả, thiệt hại không
mong muốn có khả năng xảy ra;
(vi) thời gian bắt đầu, thời gian
kết thúc xử lý dữ liệu
Đánh giá tác động xử lý dữ liệu cá nhân và Đánh
giá tác động chuyển dữ liệu ra nước ngoài

Kể từ thời điểm bắt đầu xử lý dữ liệu cá

nhân, doanh nghiệp và các bên có liên
quan có nghĩa vụ lập và lưu giữ Hồ sơ đánh
giá tác động xử lý dữ liệu cá nhân và phải
đảm bảo luôn có sẵn để phục vụ hoạt động
kiểm tra của Bộ Công an

Trong trường hợp chuyển dữ

liệu cá nhân của công dân
Việt Nam ra nước ngoài (ví dụ:
chuyển thông tin của nhân sự
Việt Nam đến công ty mẹ ở
nước ngoài), doanh nghiệp
phải lập Hồ sơ đánh giá tác
động chuyển dữ liệu cá nhân
ra nước ngoài và cũng phải
đảm bảo luôn có sẵn để phục
vụ hoạt động kiểm tra của Bộ
Công an.

Chế tài xử lý vi phạm đối với quy định bảo vệ dữ liệu cá

nhân
Mọi vi phạm của doanh nghiệp đối với quy định bảo vệ dữ
liệu cá nhân của người lao động tùy theo mức độ có thể bị
xử phạt vi phạm hành chính hoặc nghiêm trọng hơn là xử
lý hình sự theo quy định. Đặc biệt, việc mua, bán dữ liệu
cá nhân bị nghiêm cấm dưới mọi hình thức
Đâu là giải pháp cho doanh nghiệp để đảm bảo tuân
thủ quy định của pháp luật và không làm ảnh hưởng
đến những quy trình quản lý bắt buộc khác?

Sự ra đời của Nghị định 13 vừa là cơ sở cho doanh nghiệp căn cứ

nhằm thực thi pháp luật một cách phù hợp nhưng cũng gây ra
khó khăn cho doanh nghiệp khi phải kiểm tra lại và bổ sung các
tài liệu nội bộ nhằm nâng cao trách nhiệm của mình đối với vấn
đề bảo vệ dữ liệu cá nhân.

Theo đó, nghĩa vụ của doanh nghiệp được quy định cách
rõ ràng và chi tiết hơn trong việc thu thập, sử dụng và
quản lý dữ liệu cá nhân của người lao động.
Đối mặt với những quy định chặt chẽ của Nghị định 13,
doanh nghiệp cần rà soát và củng cố các tài liệu nội bộ
của mình để có căn cứ chứng minh việc tuân thủ cũng như
xử lý các vấn đề phát sinh, nếu có.
 Đâu là giải pháp cho doanh nghiệp để đảm bảo
tuân thủ?

Bên cạnh việc thực hiện các công việc khi có phát
sinh tương ứng theo hướng dẫn của Nghị định 13
(ví dụ: lập Hồ sơ đánh giá tác động chuyển dữ liệu
cá nhân ra nước ngoài), doanh nghiệp còn phải
xem xét thực hiện các hoạt động sau:

Bổ sung các điều khoản trong hợp

đồng thử việc, và/hoặc hợp đồng
lao động hoặc phụ lục hợp đồng
lao động liệt kê rõ phạm vi dữ liệu
cá nhân phải được bảo vệ, mục
đích, phạm vi xử lý dữ liệu cá
nhân và nghĩa vụ của doanh
nghiệp trong việc bảo mật dữ liệu
cá nhân như một văn bản thể hiện
sự đồng ý của người lao động; và
Giao kết thỏa thuận không tiết lộ
hoặc các cam kết khác thể hiện rõ
quyền và nghĩa vụ các bên trong
việc xử lý dữ liệu cá nhân.

Xây dựng hoặc cập nhật nội quy lao động về các quy
định cấm mua, bán và chia sẻ thông tin dữ liệu cá
nhân để làm căn cứ xử lý kỷ luật lao động và bồi
thường thiệt hại (nếu có) trong trường hợp có sai
phạm.
Việc xây dựng nội quy lao động hiện nay là bắt buộc
đối với các doanh nghiệp, và nếu doanh nghiệp có từ
10 người lao động trở lên, nội quy lao động phải được
ban hành bằng văn bản và phải đăng ký với cơ quan
quản lý nhà nước cấp có thẩm quyền.
Nội quy lao động là tài liệu pháp lý về lao động duy
nhất trong doanh nghiệp có sử dụng 10 người lao
động trở lên để xử lý kỷ luật lao động và bồi thường
thiệt hại;
Cùng với sự ra đời của Nghị định 13, các doanh nghiệp
cần nhanh chóng cập nhật những quy định mới về xử lý
dữ liệu cá nhân để kịp thời bổ sung các văn bản nội bộ
điều chỉnh nội dung tương ứng. Qua đó, doanh nghiệp có
thể đảm bảo việc tuân thủ pháp luật lao động cũng như
xây dựng căn cứ chặt chẽ để xử lý các vấn đề liên quan
phát sinh trên thực tế, nếu có.

Bài viết này của Luật

sư Nguyễn Hữu Phước
được viết chủ yếu
dựa vào những kiến
thức pháp luật bao
quát mà tôi đã được
học ở trường đại học
cũng như những kinh
nghiệm hành nghề
luật sư chuyên sâu
của tôi trong gần 25
năm qua.

Nếu bạn thấy rằng những thông tin chia sẻ của tôi ở trên
là hữu ích, xin hãy ủng hộ tôi bằng một cú click chuột vào
website này nhé www.phuoc-partner.com.
Có cơ hội nhận quà
Check-in
ngay tại
VNHR
Booth