Công Ty Luật Phước và Các Cộng Sự

NGHỊ ĐỊNH MỚI VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN – DOANH NGHIỆP CẦN LƯU Ý VẤN ĐỀ PHÁP LÝ GÌ KHI XỬ LÝ DỮ LIỆU CỦA NGƯỜI LAO ĐỘNG?

NGHỊ ĐỊNH MỚI VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN DOANH NGHIỆP CẦN LƯU Ý VẤN ĐỀ PHÁP LÝ GÌ KHI XỬ LÝ DỮ LIỆU CỦA NGƯỜI LAO ĐỘNG?

Vào ngày 17 tháng 04 năm 2023, Chính phủ ban hành Nghị định số 13/2023/NĐ-CP quy định về việc bảo vệ dữ liệu cá nhân (“Nghị định 13”). Nghị định 13 sẽ có hiệu lực kể từ ngày 01 tháng 07 năm 2023. Sau đây là một số quy định đáng lưu ý của Nghị định 13:

  1. Dữ liệu cá nhân cơ bản bao gồm: họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân; số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; tình trạng hôn nhân; thông tin về mối quan hệ gia đình (cha mẹ, con cái); thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; và các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không phải là dữ liệu cá nhân nhạy cảm theo quy định của pháp luật[1].

Hoạt động thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan thu thập thông tin, lữu trữ, chia sẻ, chỉnh sửa dữ liệu cá nhân của ứng viên, lao động trong quá trình tuyển dụng, quản lý nhân sự được xem là xử lý dữ liệu cá nhân và cần có sự đồng ý của chủ thể dữ liệu[2].

Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. Sự đồng ý của chủ thể dữ liệu phải thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được[3]. Bên cạnh đó, sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý[4].

Doanh nghiệp có thể xem xét xây dựng thỏa thuận xử lý dữ liệu cá nhân riêng biệt hoặc thêm điều khoản xử lý dữ liệu cá nhân vào hợp đồng lao động hoặc phụ lục lao động để giao kết với người lao động. Sự đồng ý của người lao động là chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau: loại dữ liệu cá nhân được xử lý; mục đích xử lý dữ liệu cá nhân; tổ chức, cá nhân được xử lý dữ liệu cá nhân; và các quyền, nghĩa vụ của chủ thể dữ liệu.

  1. Việc mua, bán dữ liệu cá nhân bị cấm dưới mọi hình thức và có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định của pháp luật[5].Doanh nghiệp nên xây dựng hoặc cập nhật nội quy lao động hoặc thỏa thuận không tiết lộ về các quy định cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân để làm căn cứ xử lý kỷ luật lao động và bồi thường thiệt hại (nếu có) trong trường hợp có sai phạm.

  1. Trong trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài[6].Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an.

[1] Điều 2.3 Nghị định 13/2023/NĐ-CP

[2] Điều 2.7 và Điều 11.1 Nghị định 13/2023/NĐ-CP

[3] Điều 2.8, Điều 11.3 và Điều 11.5 Nghị định 13/2023/NĐ-CP

[4] Điều 11.6 Nghị định 13/2023/NĐ-CP

[5] Điều 3.4 và Điều 4 Nghị định 13/2023/NĐ-CP

[6] Điều 25 Nghị định 13/2023/NĐ-CP

 

Exit mobile version