1. Trách nhiệm của doanh nghiệp trong xử lý thông tin cá nhân của người lao động
Để phục vụ mục đích quản lý lao động, người sử dụng lao động (doanh nghiệp) nhận rất nhiều thông tin cá nhân từ NLĐ, và nếu bất cẩn trong quá trình quản lý và xử lý thông tin, việc thông tin cá nhân của NLĐ có thể bị lan truyền và dẫn đến những hậu quả khó lường.
Đặc biệt hơn nữa là trong xu hướng sử dụng các dịch vụ bên ngoài để giải quyết các công việc quản lý nội bộ ngày càng phổ biến, như chính sách lương, thưởng, việc tham gia các loại bảo hiểm bắt buộc của NLĐ…, việc chuyển giao dữ liệu cho bên thứ ba càng dẫn đến rủi ro dữ liệu cá nhân của NLĐ bị phát tán.
Với các công ty của cùng hệ thống tập đoàn quốc tế (công ty mẹ - con) thường có chung một hệ sinh thái quản lý, mọi thông tin, bao gồm cả thông tin của NLĐ, có thể dễ dàng được truy cập từ hệ thống chung.
Tuy nhiên, theo pháp luật Việt Nam, mỗi doanh nghiệp được xem là một pháp nhân riêng biệt và độc lập, nên việc các doanh nghiệp trong cùng hệ thống tập đoàn chuyển dữ liệu cá nhân của NLĐ để phục vụ quá trình quản lý nội bộ của cả tập đoàn cũng có thể bị xem là vi phạm trách nhiệm bảo vệ dữ liệu cá nhân của doanh nghiệp.
Trên thực tế, quy định này gây ra khá nhiều khó khăn cho doanh nghiệp, đặc biệt là các doanh nghiệp có vốn đầu tư nước ngoài, trong việc lưu trữ và báo cáo thông tin. Có những quy định nổi bật trong liên Nghị định 13/2023/NĐ-CP liên quan đến doanh nghiệp đáng chú ý:
- Dữ liệu cá nhân: Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Căn cứ vào nội dung điều 2 của Nghị định 13/2023/NĐ-CP thì các thông tin bắt buộc của hợp đồng lao động theo quy định của Bộ luật Lao động 2019 thuộc dữ liệu cá nhân cơ bản của NLĐ. Do đó, doanh nghiệp cần có trách nhiệm bảo vệ các thông tin đó trong quá trình quản lý lao động của mình.
- Xử lý dữ liệu cá nhân: Xử lý dữ liệu cá nhân bao gồm việc thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan
Tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân đều phải được sự đồng ý của NLĐ là chủ thể dữ liệu, trừ trường hợp luật có quy định khác.
2. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân gồm những gì?
Căn cứ theo quy định tại Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Nghị định quy định về bảo vệ dữ liệu cá nhân và trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.
Theo quy định tại Điều 24 Nghị định 13/2023/NĐ-CP, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được xác định thành phần như sau:
- Đối với hồ sơ của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân Bên Kiểm soát dữ liệu cá nhân:
Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
Hồ sơ bao gồm:
- Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
- Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân;
- Mục đích xử lý dữ liệu cá nhân;
- Các loại dữ liệu cá nhân được xử lý;
- Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
- Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
- Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);
- Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
- Đánh giá mức độ hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
- Đối với hồ sơ của Bên Xử lý dữ liệu cá nhân:
Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân.
Hồ sơ bao gồm:
- Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;
- Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;
- Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;
- Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);
- Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
- Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
- Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
Theo đó, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.
3. Điểm nổi bật của Nghị định 13/2023/NĐ-CP
Với sự ra đời của NĐ13, nghĩa vụ của doanh nghiệp trong việc thu thập, sử dụng và quản lý dữ liệu cá nhân của NLĐ được quy định rõ ràng và chi tiết hơn. Vì thế, các doanh nghiệp cần thiết rà soát, bổ sung, củng cố các tài liệu nội bộ nhằm nâng cao trách nhiệm của mình đối với vấn đề bảo vệ dữ liệu cá nhân của NLĐ, mặt khác, làm căn cứ chứng minh việc tuân thủ các quy định chặt chẽ của nghị định mới, cũng như xử lý các vấn đề phát sinh, nếu có.
Bên cạnh việc thực hiện các công việc theo hướng dẫn của Nghị định 13/2023/NĐ-CP (như việc lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài), các doanh nghiệp cũng cần thiết xem xét thực hiện một số hoạt động:
- Xây dựng hoặc cập nhật nội quy lao động về cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân để làm căn cứ xử lý kỷ luật lao động và bồi thường thiệt hại (nếu có) trong trường hợp có sai phạm.
- Bổ sung các điều khoản trong hợp đồng thử việc, và/hoặc hợp đồng lao động hoặc phụ lục hợp đồng lao động, liệt kê rõ phạm vi dữ liệu cá nhân được bảo vệ; mục đích, phạm vi xử lý dữ liệu cá nhân, và nghĩa vụ của doanh nghiệp trong việc bảo mật dữ liệu cá nhân, như một văn bản thể hiện sự đồng ý của NLĐ.
- Giao kết thỏa thuận không tiết lộ hoặc các cam kết khác thể hiện rõ quyền và nghĩa vụ của các bên trong việc xử lý dữ liệu cá nhân.
Để tham khảo thêm thông tin về vấn đề này, quý khách hàng có thể tìm hiểu tại bài viết: Phát hiện vi phạm về dữ liệu cá nhân thì báo cho cơ quan nào? của Luật Minh Khuê.
Như vậy trên đây là toàn bộ thông tin về Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân gồm những gì? mà Công ty Luật Minh Khuê muốn gửi đến quý khách mang tính tham khảo. Nếu quý khách còn vướng mắc về vấn đề trên hoặc mọi vấn đề pháp lý khác, quý khách hãy vui lòng liên hệ trực tiếp với chúng tôi qua Luật sư tư vấn pháp luật trực tuyến theo số điện thoại 1900.6162 để được Luật sư tư vấn pháp luật trực tiếp qua tổng đài kịp thời hỗ trợ và giải đáp mọi thắc mắc.
Nếu quý khách cần báo giá dịch vụ pháp lý thì quý khách có thể gửi yêu cầu báo phí dịch vụ đến địa chỉ email: lienhe@luatminhkhue.vn để nhận được thông tin sớm nhất! Rất mong nhận được sự hợp tác và tin tưởng của quý khách! Luật Minh Khuê xin trân trọng cảm ơn!
