Doanh nghiệp phải 'gánh' gần hết trách nhiệm bảo vệ dữ liệu cá nhân
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân ban hành ngày 17-4-2023 và có hiệu lực ngày 1-7-2023 (Nghị định 13). Với doanh nghiệp, ở góc độ quản lý thông tin cá nhân, họ phải 'gánh' gần hết trách nhiệm bảo vệ dữ liệu cá nhân người lao động.
Tiếp theo bài “Bảo vệ dữ liệu cá nhân của người lao động như thế nào?” đăng trên Kinh tế Sài Gòn số ra ngày 25-5-2023, Kinh tế Sài Gòn xin giới thiệu bài viết ở một góc nhìn khác của vấn đề này.
Doanh nghiệp đang xử lý khá nhiều thông tin cá nhân
Nghị định 13 quy định: “Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.”; “Bên kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân”. Theo những quy định này và thực tế vận hành thì doanh nghiệp có thể là Bên kiểm soát và xử lý dữ liệu cá nhân của người lao động.
Theo Nghị định 13, doanh nghiệp đang kiểm soát và xử lý những dữ liệu cá nhân cơ bản và những dữ liệu cá nhân nhạy cảm theo quy định tại điều 2.3 và điều 2.4. Những thông tin cá nhân cơ bản gồm: họ tên đầy đủ, ngày, tháng, năm sinh; giới tính, nơi thường trú, nơi tạm trú, quê quán, địa chỉ liên hệ; quốc tịch, hình ảnh của cá nhân; số điện thoại, số căn cước công dân, số định danh cá nhân, số hộ chiếu, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; tình trạng hôn nhân; thông tin về mối quan hệ gia đình (cha mẹ, con cái); thông tin về tài khoản số của cá nhân…
Những thông tin nhạy cảm gồm: tình trạng sức khỏe được ghi trong hồ sơ bệnh án. Một số doanh nghiệp có chính sách tuyển dụng chuyên sâu còn có thể có các dữ liệu nhạy cảm về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân thông qua các công cụ trắc nghiệm, phân tích tâm lý, khoa học, kỹ thuật như sinh trắc vân tay, thần số học, nhân số học…
Doanh nghiệp không chỉ quản lý và xử lý những thông tin trên của người lao động mà còn cả thông tin tương tự của người thân trong gia đình và trẻ em là con của những người lao động. Doanh nghiệp có chế độ phúc lợi càng tốt càng xử lý nhiều thông tin cá nhân của các đối tượng này.
Trách nhiệm của doanh nghiệp đối với thông tin cá nhân
Với tư cách là Bên kiểm soát và xử lý dữ liệu cá nhân của người lao động, doanh nghiệp chịu trách nhiệm khá lớn trong việc bảo vệ dữ liệu cá nhân của người lao động.
Thứ nhất, tuân thủ các nguyên tắc về bảo vệ dữ liệu cá nhân.
Thứ hai, không được thực hiện các hành vi bị cấm trong bảo vệ dữ liệu cá nhân. Thứ ba, áp dụng các biện pháp bảo vệ dữ liệu cá nhân.
Thứ tư, thực hiện trách nhiệm của Bên kiểm soát và xử lý dữ liệu cá nhân.
Thứ năm, chịu trách nhiệm pháp lý về xử phạt vi phạm hành chính, xử lý hình sự tùy theo mức vi phạm quy định bảo vệ dữ liệu cá nhân và trách nhiệm bồi thường nếu có tổn thất xảy ra.
Doanh nghiệp phải làm gì?
Doanh nghiệp rất lúng túng khi Nghị định 13 không có điều nào quy định rõ về những việc doanh nghiệp phải làm để bảo vệ dữ liệu cá nhân người lao động. Tuy nhiên, xuyên suốt nội dung Nghị định 13, có thể thu thập được danh sách khá dài các việc mà doanh nghiệp phải làm với tư cách là Bên kiểm soát và xử lý dữ liệu cá nhân của người lao động.
Công việc liên quan đến hồ sơ, tài liệu: xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân; hồ sơ đánh giá tác động xử lý dữ liệu cá nhân; bằng chứng chứng minh trong các trường hợp (i) sự đồng ý của chủ thể, (ii) trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của người lao động, (iii) sự tuân thủ của doanh nghiệp với các nguyên tắc xử lý dữ liệu; thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) trong trường hợp phát hiện xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân; lập biên bản xác nhận về việc xảy ra hành vi vi phạm quy định bảo vệ dữ liệu cá nhân; ghi và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân; lưu trữ đầy đủ hồ sơ theo quy định pháp luật.
Riêng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài) phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Về mặt kỹ thuật thì doanh nghiệp cần có các biện pháp kỹ thuật bảo vệ dữ liệu cá nhân. Về tài chính, doanh nghiệp phải tự sắp xếp kinh phí bảo vệ dữ liệu cá nhân. Doanh nghiệp cũng có trách nhiệm tuyên truyền, phổ biến kiến thức, kỹ năng, nâng cao nhận thức bảo vệ dữ liệu cá nhân cho người lao động.
Đối với doanh nghiệp chuyển dữ liệu cá nhân ra nước ngoài còn phải lập và quản lý hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Trường hợp quản lý và xử lý dữ liệu cá nhân nhạy cảm, doanh nghiệp phải chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân. Khi xử lý dữ liệu cá nhân nhạy cảm, doanh nghiệp phải thông báo cho người lao động trừ một số trường hợp theo quy định pháp luật.
Một số việc văn bản chưa quy định rõ nhưng rất quan trọng mà doanh nghiệp đang đặt ra câu hỏi. Văn bản quy định rõ trách nhiệm của Bên kiểm soát dữ liệu cá nhân, Bên xử lý dữ liệu cá nhân. Đối với bên Bên kiểm soát và xử lý dữ liệu cá nhân được quy định là “thực hiện đầy đủ các quy định về trách nhiệm của Bên kiểm soát dữ liệu cá nhân và Bên xử lý dữ liệu cá nhân”.
Trong khi đó, có những việc Bên xử lý dữ liệu cá nhân chỉ được làm khi có sự can thiệp của Bên kiểm soát dữ liệu cá nhân. Ví dụ, Bên xử lý dữ liệu cá nhân chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên kiểm soát dữ liệu cá nhân; xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên kiểm soát dữ liệu cá nhân.
Doanh nghiệp có được quyền ký trực tiếp thỏa thuận “hai trong một” với người lao động để thực hiện các công việc “kiểm soát” và “xử lý” dữ liệu cá nhân của doanh nghiệp với tư cách là Bên kiểm soát và xử lý dữ liệu cá nhân hay không? Thỏa thuận này có được xem là một phần trong hợp đồng lao động hay phải làm một thỏa thuận dân sự riêng?
Đối với các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian hai năm đầu kể từ khi thành lập doanh nghiệp. Tuy nhiên, những doanh nghiệp trực tiếp kinh doanh hoạt động xử lý dữ liệu cá nhân không được áp dụng quyền trì hoãn này.
Với khoảng thời gian hơn hai tháng để hiểu một văn bản với những nội dung trừu tượng, mới mẻ, chưa rõ ràng và chuẩn bị mọi việc để thực hiện Nghị định 13 quả là một điều khó khăn với doanh nghiệp. Doanh nghiệp thực sự rất cần văn bản hướng dẫn cụ thể hoặc tập huấn “cầm tay chỉ việc” từ cơ quan nhà nước để tránh những sai phạm đáng tiếc về sau.
