1. Quy định pháp luật về việc lưu trữ dữ liệu cá nhân của người lao động
Nghị định số 13/2023/NĐ-CP về nguyên tắc bảo vệ dữ liệu cá nhân
Nghị định này quy định rõ các nguyên tắc cơ bản trong việc bảo vệ dữ liệu cá nhân nhằm đảm bảo quyền riêng tư và an toàn thông tin của người lao động.
Theo Nghị định 13/2023/NĐ-CP, doanh nghiệp chỉ được phép lưu trữ dữ liệu cá nhân của người lao động trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ khi có quy định khác của pháp luật. Điều này nhằm tránh việc lưu trữ dữ liệu cá nhân một cách không cần thiết và đảm bảo quyền lợi của người lao động về việc bảo vệ thông tin cá nhân.
Tuy nhiên, nghị định này chưa đưa ra quy định cụ thể về "khoảng thời gian phù hợp" trong việc lưu trữ dữ liệu cá nhân của người lao động, điều này dẫn đến sự linh hoạt trong việc áp dụng và có thể gây ra một số khó khăn trong quá trình thực hiện.
Bộ Luật Lao Động 2019 không có quy định cụ thể về thời gian lưu trữ dữ liệu cá nhân của người lao động. Điều này có nghĩa là việc lưu trữ dữ liệu cá nhân của người lao động chủ yếu phụ thuộc vào quy định nội bộ của từng doanh nghiệp và các văn bản hướng dẫn khác liên quan đến bảo vệ dữ liệu cá nhân.
Việc lưu trữ dữ liệu cá nhân của người lao động cần tuân thủ theo các nguyên tắc bảo vệ dữ liệu cá nhân được quy định tại Nghị định 13/2023/NĐ-CP, đặc biệt là về thời gian lưu trữ. Mặc dù hiện tại chưa có quy định cụ thể về "khoảng thời gian phù hợp" trong việc lưu trữ dữ liệu cá nhân, doanh nghiệp cần thực hiện việc lưu trữ này một cách hợp lý và phù hợp với mục đích xử lý dữ liệu, đồng thời đảm bảo quyền riêng tư và an toàn thông tin của người lao động. Trong trường hợp cần thiết, doanh nghiệp có thể tham khảo ý kiến của các chuyên gia pháp lý hoặc cơ quan chức năng để đảm bảo việc tuân thủ đúng quy định pháp luật.
2. Doanh nghiệp được phép lưu trữ dữ liệu cá nhân của người lao động trong bao lâu?
Căn cứ theo quy định tại Điều 3 Nghị định 13/2023/NĐ-CP về nguyên tắc bảo vệ dữ liệu cá nhân như sau:
- Dữ liệu cá nhân cần được áp dụng các biện pháp bảo vệ và bảo mật trong suốt quá trình xử lý. Điều này bao gồm việc đảm bảo dữ liệu cá nhân không bị vi phạm, mất mát, phá hủy hoặc thiệt hại do sự cố. Các biện pháp kỹ thuật và tổ chức phải được sử dụng để bảo vệ dữ liệu cá nhân khỏi các hành vi xâm phạm và nguy cơ an ninh mạng.
- Dữ liệu cá nhân chỉ được phép lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu ban đầu. Điều này có nghĩa là khi mục đích xử lý dữ liệu đã hoàn thành, dữ liệu cá nhân nên được xóa hoặc ẩn danh hóa để đảm bảo không bị sử dụng sai mục đích hoặc xâm phạm quyền riêng tư của cá nhân. Trường hợp pháp luật có quy định khác về thời gian lưu trữ, doanh nghiệp phải tuân thủ các quy định đó.
- Các bên kiểm soát dữ liệu và các bên xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định tại các khoản từ 1 đến 7 Điều 3 của Nghị định 13/2023/NĐ-CP. Điều này bao gồm việc chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu, đồng thời đảm bảo rằng các biện pháp bảo vệ và bảo mật được thực hiện một cách đầy đủ và hiệu quả.
Như vậy, theo quy định của Điều 3 Nghị định 13/2023/NĐ-CP, doanh nghiệp chỉ được phép lưu trữ dữ liệu cá nhân của người lao động trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp có quy định khác của pháp luật. Doanh nghiệp phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu từ khoản 1 đến khoản 7 của Điều 3 và chứng minh sự tuân thủ đó. Việc tuân thủ đúng các nguyên tắc bảo vệ dữ liệu cá nhân không chỉ đảm bảo quyền lợi và sự riêng tư của người lao động mà còn giúp doanh nghiệp tránh được các rủi ro pháp lý liên quan đến việc xử lý và lưu trữ dữ liệu cá nhân.
3. Giải thích về "khoảng thời gian phù hợp" trong xử lý dữ liệu cá nhân của người lao động
Khoảng thời gian phù hợp để lưu trữ dữ liệu cá nhân của người lao động phụ thuộc vào mục đích xử lý dữ liệu của doanh nghiệp. Mỗi loại dữ liệu sẽ có thời gian lưu trữ khác nhau, dựa trên nhu cầu sử dụng và các quy định pháp luật liên quan. Dưới đây là một số ví dụ cụ thể:
- Dữ liệu cá nhân thu thập trong quá trình tuyển dụng, như hồ sơ ứng viên, thông tin liên lạc, và kết quả phỏng vấn, nên được lưu trữ trong suốt quá trình tuyển dụng và một thời gian ngắn sau khi quy trình tuyển dụng kết thúc. Thời gian này thường đủ để doanh nghiệp xử lý các vấn đề liên quan đến tuyển dụng và kiểm tra lại nếu cần thiết.
- Đối với dữ liệu cá nhân phục vụ cho việc quản lý nhân sự, bao gồm thông tin về hợp đồng lao động, đánh giá hiệu suất, và các giấy tờ liên quan khác, thời gian lưu trữ nên kéo dài trong suốt thời gian người lao động làm việc tại doanh nghiệp và thêm một khoảng thời gian nhất định sau khi người lao động nghỉ việc. Thời gian này có thể dao động từ vài tháng đến vài năm, tùy theo quy định của pháp luật lao động và nhu cầu quản lý của doanh nghiệp.
- Dữ liệu cá nhân liên quan đến việc thanh toán lương, thưởng, như thông tin tài khoản ngân hàng, chi tiết lương, và các khoản thưởng, cần được lưu trữ trong khoảng thời gian theo quy định của pháp luật về lưu trữ hồ sơ kế toán. Thông thường, các quy định này yêu cầu lưu trữ hồ sơ tài chính trong một số năm nhất định để phục vụ cho việc kiểm tra, thanh tra và đảm bảo tính minh bạch trong quản lý tài chính.
Khoảng thời gian phù hợp để lưu trữ dữ liệu cá nhân của người lao động phải được xác định dựa trên mục đích xử lý dữ liệu cụ thể và các quy định pháp luật hiện hành. Doanh nghiệp cần đảm bảo rằng dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian cần thiết để đạt được mục đích xử lý ban đầu và không bị lưu trữ quá lâu gây lãng phí tài nguyên hoặc vi phạm quyền riêng tư của người lao động. Điều này đòi hỏi sự quản lý chặt chẽ và tuân thủ nghiêm ngặt các nguyên tắc bảo vệ dữ liệu cá nhân đã được quy định.
4. Một số trường hợp ngoại lệ
Trong một số trường hợp đặc biệt, doanh nghiệp có thể được phép lưu trữ dữ liệu cá nhân của người lao động lâu hơn khoảng thời gian phù hợp nếu có yêu cầu từ các cơ quan nhà nước có thẩm quyền. Ví dụ, trong quá trình điều tra hành chính hoặc tư pháp, cơ quan công an hoặc cơ quan thanh tra có thể yêu cầu doanh nghiệp cung cấp và lưu trữ dữ liệu cá nhân của nhân viên để phục vụ cho mục đích điều tra. Trong trường hợp này, doanh nghiệp cần tuân thủ yêu cầu của cơ quan nhà nước và đảm bảo rằng việc lưu trữ dữ liệu được thực hiện đúng quy định pháp luật, bảo đảm an toàn và bảo mật thông tin cá nhân.
Ngoài ra, doanh nghiệp cũng có thể lưu trữ dữ liệu cá nhân của người lao động lâu hơn khoảng thời gian thông thường nếu việc này là cần thiết để bảo vệ quyền lợi hợp pháp của doanh nghiệp. Các tình huống cụ thể bao gồm:
- Xử lý tranh chấp lao động: Trong trường hợp xảy ra tranh chấp lao động giữa người lao động và doanh nghiệp, dữ liệu cá nhân có thể được sử dụng làm bằng chứng để giải quyết tranh chấp. Việc lưu trữ dữ liệu này có thể kéo dài đến khi tranh chấp được giải quyết hoàn toàn.
- Quản lý rủi ro pháp lý: Doanh nghiệp có thể phải lưu trữ dữ liệu cá nhân để đáp ứng các yêu cầu pháp lý hoặc quy định ngành nghề, chẳng hạn như quy định về bảo hiểm, an toàn lao động, hoặc các quy định khác liên quan đến hoạt động kinh doanh.
- Bảo vệ tài sản và an ninh doanh nghiệp: Việc lưu trữ dữ liệu cá nhân có thể cần thiết để bảo vệ tài sản, thông tin và an ninh của doanh nghiệp, đặc biệt trong các trường hợp có nguy cơ an ninh mạng hoặc gian lận.
Khi lưu trữ dữ liệu cá nhân của người lao động trong các trường hợp ngoại lệ, doanh nghiệp cần đảm bảo rằng việc này được thực hiện tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân và bảo mật thông tin. Doanh nghiệp nên có chính sách rõ ràng về việc lưu trữ và bảo vệ dữ liệu, đồng thời thông báo cho người lao động về các trường hợp ngoại lệ và lý do cụ thể của việc lưu trữ dữ liệu lâu hơn thông thường. Điều này giúp tăng cường sự minh bạch và tạo lòng tin từ phía người lao động đối với doanh nghiệp.
Xem thêm bài viết: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân gồm những gì?
Khi có thắc mắc về quy định pháp luật, vui lòng liên hệ đến hotline 19006162 hoặc email: lienhe@luatminhkhue.vn để được tư vấn.
