Kể từ ngày 01/07/2023, Nghị định số 13/2023/NĐ-CP do Chính phủ ban hành ngày 17/04/2023 về việc Bảo vệ dữ liệu cá nhân chính thức có hiệu lực (“Nghị định 13”).
Nghị định 13 không chỉ quy định về hệ thống dữ liệu cá nhân tương đối toàn diện mà còn thể hiện đầy đủ vai trò, quyền và nghĩa vụ của cơ quan, tổ chức, cá nhân liên quan đến việc bảo vệ dữ liệu cá nhân. Trong bài viết này TNTP sẽ gửi tới bạn đọc những phân tích, đánh giá về ảnh hưởng của Nghị định 13 về bảo vệ dữ liệu cá nhân đối với Doanh nghiệp.
1. Một số nội dung nổi bật trong Nghị định 13 ảnh hưởng đến Doanh nghiệp.
a) Thông tin dữ liệu cá nhân của Người lao động tại Doanh nghiệp
Đối với các thông tin bắt buộc của hợp đồng lao động theo Điều 21 Bộ luật Lao động năm 2019 thì các thông tin này thuộc dữ liệu cá nhân cơ bản của Người lao động theo khoản 3 Điều 2 Nghị định 13. Tuy nhiên, trong quá trình sử dụng, quản lý Người lao động, có thể có xảy ra trường hợp Doanh nghiệp yêu cầu Người lao động cung cấp thêm một số thông tin như: quan điểm chính trị, quan điểm tôn giáo; tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án (không bao gồm thông tin về nhóm máu; thông tin liên quan đến nhân trắc học, vật lý, sinh học, đời sống tình dục, xu hướng tình dục, nguồn gốc chủng tộc, nguồn gốc dân tộc của cá nhân…) và đây chính là những dữ liệu cá nhân nhạy cảm theo khoản 4 Điều 2 Nghị định 13. Do đó, Doanh nghiệp cần phải có trách nhiệm bảo vệ các thông tin đó trong quá trình quản lý, sử dụng lao động của mình nếu không muốn bị xử lý trước pháp luật.
b) Hoạt động thu thập và xử lý dữ liệu cá nhân Người lao động tại Doanh nghiệp
Hoạt động thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan thu thập thông tin, lưu trữ, chia sẻ, chỉnh sửa dữ liệu cá nhân của ứng viên, lao động trong quá trình tuyển dụng, quản lý nhân sự được xem là xử lý dữ liệu cá nhân và cần có sự đồng ý của chủ thể dữ liệu theo khoản 7 và khoản 8 Điều 2 Nghị định 13.
Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. Sự đồng ý của chủ thể dữ liệu phải thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được theo khoản 3 và khoản 5 Điều 11 Nghị định 13.
Ngoài ra, theo Điều 17 Nghị định 13, Người lao động có quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ các trường hợp sau:
– Tình huống khẩn cấp cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác;
– Việc công khai dữ liệu cá nhân theo quy định của luật;
– Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong tình trạng khẩn cấp;
– Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với Doanh nghiệp theo quy định của luật;
– Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
2. Trách nhiệm của Doanh nghiệp theo Nghị định số 13
a) Thông báo xử lý dữ liệu cá nhân
Theo quy định tại Điều 13 Nghị định 13, trước khi tiến hành, việc xử lý dữ liệu cá nhân phải được thông báo đến chủ thể dữ liệu. Nội dung thông báo phải bao gồm những nội dung được quy định tại khoản 2 Điều này. Cũng tương tự sự đồng ý cho phép của Người lao động, thông báo về việc xử lý dữ liệu phải thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
b) Đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu ra nước ngoài
Theo quy định tại Điều 24 Nghị định 13, kể từ thời điểm bắt đầu xử lý dữ liệu, Doanh nghiệp và các bên có liên quan có nghĩa vụ lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an.
Theo quy định tại Điều 25 Nghị định 13, trong trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài (ví dụ khi chuyển thông tin của nhân sự Việt Nam đến công ty mẹ ở nước ngoài), Doanh nghiệp phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và cũng phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an. Điều này đặc biệt quan trọng đối với các Doanh nghiệp có vốn đầu tư nước ngoài nói chung và Doanh nghiệp có vốn đầu tư nước ngoài hoạt động theo mô hình sở hữu chéo, công ty mẹ – công ty con.
3. Chế tài xử lý vi phạm đối với quy định bảo vệ dữ liệu cá nhân
Theo quy định tại Điều 4 Nghị định 13, mọi vi phạm của Doanh nghiệp đối với quy định bảo vệ dữ liệu cá nhân của Người lao động, tùy theo mức độ, có thể bị xử phạt vi phạm hành chính hoặc nghiêm trọng hơn là xử lý hình sự theo quy định.
Việc mua, bán dữ liệu cá nhân bị cấm dưới mọi hình thức và có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định của pháp luật theo khoản 4 Điều 3 và Điều 4 Nghị định 13.
Trên đây là bài viết “Đánh giá ảnh hưởng của Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đối với Doanh nghiệp” mà TNTP gửi đến bạn đọc. Trường hợp có vấn đề cần trao đổi, vui lòng liên hệ với TNTP để được hỗ trợ kịp thời.
Trân trọng,