Ngày 17 tháng 4 năm 2023 Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP Bảo vệ dữ liệu cá nhân. Điểm nổi bật của Nghị định này là đã đưa ra một khái niệm toàn diện về dữ liệu cá nhân bao gồm ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh được nhận diện trong môi trường vật chất truyền thống và cả môi trường điện tử. Theo đó, cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.
Nghị định 13/2023/NĐ-CP (NĐ13) có hiệu lực kể từ 01/7/2023 là một bước tiến đáng kể trong hệ thống văn bản quy phạm pháp luật về bảo vệ dữ liệu cá nhân. Đây chính là nỗ lực của Chính phủ nhằm góp phần xây dựng hành lang pháp lý phục vụ chương trình chuyển đổi số quốc gia, hướng đến nhóm mục tiêu an toàn thông tin và phát triển xã hội số toàn diện. NĐ13 bao gồm 4 Chương 44 Điều, ghi nhận một cách toàn diện các quyền lợi cơ bản của cá nhân là chủ thể dữ liệu và đặt ra các yêu cầu kỹ thuật và pháp lý cho các doanh nghiệp xử lý, kiểm soát dữ liệu của công dân Việt Nam. Ngoài ra, Nghị định cũng quy định về chức năng và thẩm quyền của cơ quan chuyên trách bảo vệ dữ liệu cá nhân ở Việt Nam.
1. Một số nội dung nổi bật trong NĐ13 liên quan đến doanh nghiệp khi thu nhận, sử dụng, xử lý… dữ liệu cá nhân:
- Dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm: Theo Điều 2 NĐ13 thì các thông tin bắt buộc của hợp đồng lao động theo quy định của Bộ luật Lao động 2019 (Điều 21) thuộc dữ liệu cá nhân cơ bản của NLĐ. Ngoài ra, trong quá trình sử dụng, quản lý NLĐ, có thể có xảy ra trường hợp Doanh nghiệp yêu cầu NLĐ cung cấp thêm một số thông tin như: quan điểm chính trị, quan điểm tôn giáo; tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án (không bao gồm thông tin về nhóm máu; thông tin liên quan đến nhân trắc học, vật lý, sinh học, đời sống tình dục, xu hướng tình dục, nguồn gốc chủng tộc, nguồn gốc dân tộc của cá nhân…) và đây chính là những dữ liệu cá nhân nhạy cảm được quy định tại khoản 4 Điều 2 NĐ13. Do đó, doanh nghiệp cần phải có trách nhiệm bảo vệ các thông tin đó trong quá trình quản lý, sử dụng lao động của mình nếu không muốn bị xử lý trước pháp luật.
- Xử lý dữ liệu cá nhân: bao gồm việc thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan. Tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân đều phải được sự đồng ý của NLĐ là chủ thể dữ liệu, trừ trường hợp luật có quy định khác. Cần lưu ý sự đồng ý này chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau đây:
+ Loại dữ liệu cá nhân được xử lý;
+ Mục đích xử lý dữ liệu cá nhân;
+ Tổ chức, cá nhân xử lý dữ liệu;
+ Các quyền, nghĩa vụ của chủ thể dữ liệu.
Cũng cần lưu ý rằng sự đồng ý phải thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được, để đảm bảo tính rõ ràng, tự nguyện, khẳng định việc cho phép của NLĐ (Điều 11). Phía doanh nghiệp cần phải đảm bảo quyền đồng ý của NLĐ. Về phía mình, NLĐ có quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ các trường hợp (Điều 17):
+ Tình huống khẩn cấp cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác;
+ Việc công khai dữ liệu cá nhân theo quy định của luật;
+ Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong tình trạng khẩn cấp;
+ Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với doanh nghiệp theo quy định của luật;
+ Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
- Thông báo xử lý dữ liệu cá nhân: Theo quy định tại Điều 13, trước khi tiến hành, việc xử lý dữ liệu cá nhân phải được thông báo đến chủ thể dữ liệu. Nội dung thông báo phải bao gồm: mục đích xử lý; loại dữ liệu cá nhân được sử dụng (có liên quan tới mục đích xử lý); cách thức xử lý; thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý; hậu quả, thiệt hại không mong muốn có khả năng xảy ra; thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu. Cũng tương tự sự đồng ý cho phép của NLĐ, thông báo về việc xử lý dữ liệu phải thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
- Đánh giá tác động xử lý dữ liệu cá nhân và đánh giá tác động chuyển dữ liệu ra nước ngoài: Theo Điều 24, kể từ thời điểm bắt đầu xử lý dữ liệu, doanh nghiệp và các bên có liên quan có nghĩa vụ lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an. Trong trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài (ví dụ khi chuyển thông tin của nhân sự Việt Nam đến công ty mẹ ở nước ngoài), doanh nghiệp phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và cũng phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra của Bộ Công an. Điều này đặc biệt quan trọng đối với các doanh nghiệp có vốn đầu tư nước ngoài nói chung và doanh nghiệp có vốn đầu tư nước ngoài hoạt động theo mô hình Tập đoàn (Công ty mẹ-con).
Ngoài ra, doanh nghiệp còn phải gửi một bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao) theo mẫu số 06 tại Phụ lục của NĐ13 trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân (Điều 25). Chế tài xử lý vi phạm đối với quy định bảo vệ dữ liệu cá nhân. Theo điều 4, mọi vi phạm của doanh nghiệp đối với quy định bảo vệ dữ liệu cá nhân của NLĐ, tùy theo mức độ, có thể bị xử phạt vi phạm hành chính hoặc nghiêm trọng hơn là xử lý hình sự theo quy định. Nghị định cũng có quy định việc mua, bán dữ liệu cá nhân bị nghiêm cấm dưới mọi hình thức.
2. Trách nhiệm của doanh nghiệp theo Nghị định số 13/2023/NĐ-CP
Theo quy định tại các Điều 38, 39, 40 và 41 NĐ13, để tránh bị xử phạt và xử lý hình sự (nếu vi phạm) các quy định về kiểm soát xử lý dữ liệu cá nhân của người lao động, các doanh nghiệp cần thiết rà soát, bổ sung, củng cố các tài liệu nội bộ nhằm nâng cao trách nhiệm của mình đối với vấn đề bảo vệ dữ liệu cá nhân của NLĐ, mặt khác làm căn cứ chứng minh việc tuân thủ các quy định chặt chẽ của Nghị định mới, cũng như xử lý các vấn đề phát sinh (nếu có). Một số hoạt động doanh nghiệp cần thực hiện sau khi NĐ13 có hiệu lực như:
a) Xây dựng hoặc cập nhật thêm vào Nội quy lao động về quy định cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân để làm căn cứ xử lý kỷ luật lao động và bồi thường thiệt hại (nếu có) trong trường hợp có sai phạm.
b) Bổ sung các điều khoản trong hợp đồng thử việc, và/hoặc hợp đồng lao động hoặc phụ lục hợp đồng lao động, liệt kê rõ phạm vi dữ liệu cá nhân được bảo vệ; mục đích, phạm vi xử lý dữ liệu cá nhân và nghĩa vụ của doanh nghiệp trong việc bảo mật dữ liệu cá nhân, như một văn bản thể hiện sự đồng ý của NLĐ.
c) Bổ sung thêm vào Hợp đồng trách nhiệm (nếu có) quy định về không tiết lộ hoặc các cam kết khác thể hiện rõ quyền và nghĩa vụ của các bên trong việc xử lý dữ liệu cá nhân.