Nghị định 13/2023/NĐ-CP có hiệu lực từ ngày 01/7/2023 đặt ra một loạt các công việc doanh nghiệp phải làm để bảo vệ dữ liệu cá nhân của người lao động. Trong số đó phải kể đến những việc sau.

1. Bổ sung quy định về thu thập, xử lý thông tin người lao động

Theo khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP, những nội dung chủ yếu trong hợp đồng lao động như họ tên, ngày tháng năm sinh, giới tính, nơi cư trú, số thẻ Căn cước công dân, Chứng minh nhân dân hoặc hộ chiếu của người lao độg theo Điều 21 Bộ luật Lao động 2019 đều thuộc dữ liệu cá nhân cơ bản của người lao động.

Thậm chí, trong một số trường hợp, người lao động có thể phải cung cấp thêm một số thông tin như: Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; thông tin về đặc điểm di truyền… và đây chính là những dữ liệu cá nhân nhạy cảm theo khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP.

Doanh nghiệp có nghĩa vụ phải thông báo cho ứng viên khi đăng ký tuyển dụng, người lao động của mình về việc xử lý dữ liệu cá nhân (thu thập, lưu giữ…) 01 lần trước khi tiến hành đối với hoạt động theo quy định tại Điều 13 Nghị định này.

Theo đó, thông báo xử lý dữ liệu cá nhân phải bao gồm các nội dung:

- Mục đích xử lý;

- Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý;

- Cách thức xử lý;

- Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý;

- Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;

- Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.

Do vậy, doanh nghiệp cần phải bổ sung các điều khoản trong hợp đồng thử việc, hợp đồng lao động, phụ lục hợp đồng lao động các nội dung trên (phạm vi dữ liệu cá nhân được bảo vệ; mục đích, phạm vi xử lý dữ liệu cá nhân; nghĩa vụ của doanh nghiệp trong việc bảo mật dữ liệu cá nhân…).

Việc doanh nghiệp phải làm để bảo vệ dữ liệu cá nhân theo Nghị định 13 (Ảnh minh họa)

2. Bổ sung/cập nhật nội dung biểu mẫu cho phép xử lý dữ liệu cá nhân

Căn cứ Điều 11 Nghị định 13/2023, doanh nghiệp phải được người lao động, ứng viên ứng tuyển đồng ý đối với tất cả các hoạt động (trừ các trường hợp tại Điều 17) trong quy trình xử lý xử liệu cá nhân như:

Thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

Sự đồng ý của người lao động, ứng viên phải được thể hiện bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc một hành động khác thể hiện sự đồng ý.

Nếu có tranh chấp thì doanh nghiệp có nghĩa vụ chứng minh sự đồng ý của người lao động, ứng viên tuyển dụng nên doanh nghiệp cần xây dựng hoặc cập nhật nội dung biểu mẫu để ứng viên, người lao động đánh dấu hoặc xác nhận bằng văn bản cho phép sử dụng dữ liệu cá nhân.

Lưu ý: Sự im lặng/không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.

3. Cập nhật quy định về cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân

Theo khoản 4 Điều 3 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân không được mua, bán dưới mọi hình thức (trừ trường hợp luật có quy định khác).

Trường hợp vi phạm quy định về bảo vệ dữ liệu cá nhân, tùy mức độ, cơ quan, tổ chức, cá nhân vi phạm có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.

Do đó, doanh nghiệp cần phải xây dựng/cập nhật thêm vào Nội quy lao động các quy định cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân để làm căn cứ xử lý kỷ luật lao động và bồi thường thiệt hại (nếu có) trong trường hợp có sai phạm.

4. Chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân nhạy cảm

Một trong những biện pháp để bảo vệ dữ liệu cá nhân nhạy cảm được quy định tại Điều 28 Nghị định 23/2023 là:

2. Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.

Theo đó, doanh nghiệp phải chỉ định cá nhân và bộ phận có chức năng bảo vệ dữ liệu cá nhân nhạy cảm.

Lưu ý:

Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định này trong 02 năm đầu kể từ khi thành lập doanh nghiệp (khoản 2 Điều 43 Nghị định 13).

Doanh nghiệp phải chỉ định bộ phận bảo vệ dữ liệu cá nhân nhạy cảm (Ảnh minh họa)

5. Lập hồ sơ đánh giá tác động xử lý dư liệu cá nhân

Căn cứ Điều 24 Nghị định 13/2023, kể từ thời điểm bắt đầu xử lý dữ liệu, doanh nghiệp và các bên liên quan có nghĩa vụ lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.

Đồng thời, doanh nghiệp còn phải gửi 01 bản chính hồ sơ tới Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao - Bộ Công an theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

Bên cạnh đó, các doanh nghiệp có vốn đầu tư nước ngoài nói chung và doanh nghiệp có vốn đầu tư nước ngoài hoạt động theo mô hình Công ty mẹ - con nói riêng cần chú ý trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài.

Theo đó, ngoài việc lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, doanh nghiệp còn phải gửi 01 bản chính hồ sơ tới Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao - Bộ Công an theo mẫu số 06 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

Trên đây là các việc doanh nghiệp cần làm để bảo vệ dữ liệu cá nhân của người lao động theo Nghị định 13 năm 2023 của Chính phủ.