Tìm kiếm tin tức
Thống kê truy cập
Truy cập tổng 8.203.936
Truy cập hiện tại 3
NGHỊ ĐỊNH 13/2023/NĐ-CP VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN VÀ NHỮNG NỘI DUNG CẦN LƯU Ý
Ngày cập nhật 22/06/2023

Ngày 17/4/2023, Chính phủ ban hành Nghị định 13/2023/NĐ-CP quy định về bảo vệ dữ liệu cá nhân (Nghị định 13). Sau khoảng thời gian chờ đợi, ngày 01/7/2023, Nghị định 13/2023/NĐ-CP sẽ có hiệu lực. Cùng với Luật An ninh mạng và các văn bản hướng dẫn thi hành, Nghị định 13 được ban hành nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của tổ chức. Nghị định 13 tác động lớn đến hoạt động của doanh nghiệp, đặc biệt là nghĩa vụ và trách nhiệm của doanh nghiệp trong việc thu thập, sử dụng và bảo vệ dữ liệu cá nhân của Người lao động, nhất là các dữ liệu cá nhân nhạy cảm được pháp luật bảo vệ. Dưới đây là một vài lưu ý đối với Doanh nghiệp để tuân thủ Nghị định 13.

Ai là người cần phải tuân thủ?

Nghị định 13 áp dụng cho:

  • Tổ chức/cá nhân Việt Nam;
  • Tổ chức/cá nhân Việt Nam hoạt động ở nước ngoài;
  • Tổ chức/cá nhân nước ngoài tại Việt Nam;
  • Tổ chức/cá nhân trực tiếp tham gia hoặc có liên quan đến hoạt động dữ liệu cá nhân tại Việt Nam;

Mặc dù đã có các quy định tương tự trong Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (GDPR), nhưng Nghị định 13 có một số điểm khác như: hình thức sự đồng ý của chủ thể dữ liệu, yêu cầu chuyển dữ liệu cá nhân ra nước ngoài, căn cứ hợp pháp để xử lý dữ liệu cá nhân.

Doanh nghiệp đã ban hành các chính sách và triển khai các hoạt động quản lý dữ liệu cá nhân theo GDPR sẽ không đương nhiên được xem là tuân thủ Nghị định 13, do đó, các doanh nghiệp cần bắt đầu rà soát các chính sách nội bộ và thực tiễn quản lý quyền riêng tư của mình để xác định sự khác nhau giữ các chính sách đối với quy định của Nghị định 13 để có thể lên kế hoạch hoạt động tương ứng.

Dữ liệu cá nhân cơ bản là gì?

Dữ liệu cá nhân cơ bản bao gồm: họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có); ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích; giới tính; nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân; số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; tình trạng hôn nhân; thông tin về mối quan hệ gia đình (cha mẹ, con cái); thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; và các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không phải là dữ liệu cá nhân nhạy cảm theo quy định của pháp luật.

Quyền của Người lao động liên quan đến Dữ liệu cá nhân

Hoạt động thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan của Người lao động trong quá trình tuyển dụng, quản lý nhân sự được xem là Xử lý dữ liệu cá nhân và Doanh nghiệp cần phải có sự đồng ý của Người lao động để thực hiện các hoạt động này.

Sự đồng ý của chủ thể dữ liệu cá nhân phải được thể hiện rõ ràng bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọc các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác biểu hiện sự đồng ý này. Sự đồng ý phải được hiện hiện ở một dạng có thể in được, sao chép được bằng văn bản bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. Ngoài ra, sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.

Sự đồng ý của Người lao động chỉ có hiệu lực khi là chủ thể dữ liệu cá nhận tự nguyện và biết rõ các nội dung sau: mục đích xử lý dữ liệu cá nhân, tổ chức, cá nhân được xử lý dữ liệu cá nhân; và các quyền, nghĩa vụ của chủ thể dữ liệu.

Doanh nghiệp nên làm gì?

Dữ liệu cá nhân phải được Doanh nghiệp bảo mật thông qua việc trích xuất và lưu trữ lịch sử xử lý Dữ liệu cá nhân của Người lao động. Doanh nghiệp phải thường xuyên rà soát các biện pháp bảo mật để bảo đảm đã thực hiện nghĩa vụ bảo vệ Dữ liệu cá nhân của Người lao động. Doanh nghiệp chỉ nên lưu trữ Dữ liệu cá nhân của Người lao động mà Doanh nghiệp được quyền thu thập hay theo yêu cầu của pháp luật trong một thời gian cần thiết đủ để thực hiện các công việc.

Bên cạnh đó, Người lao động cũng có quyền được biết về Dữ liệu cá nhân của họ mà Doanh nghiệp đang có trong hồ sơ về họ và cũng được quyền yêu cầu Doanh nghiệp sửa đổi Dữ liệu cá nhân này nếu Dữ liệu cá nhân không chính xác. Điều gì sẽ xảy ra với Dữ liệu cá nhân của Người lao động khi hợp đồng lao động chấm dứt cũng cần được quy định rõ trong các quy định nhân sự hay quy định tuyển dụng nội bộ.

Ngoài ra, Doanh nghiệp nên tổ chức các buổi tập huấn cho Người lao động về chính sách bảo vệ Dữ liệu cá nhân của Người lao động trong Doanh nghiệp để họ có hiểu một cách đầy đủ về vấn đề này để phối hợp, hợp tác với Doanh nghiệp trong việc bảo vệ Dữ liệu cá nhân của họ một cách hợp lý và đảm bảo tuân thủ đúng quy định.

Doanh nghiệp phải thành lập bộ phận có chức năng bảo vệ Dữ liệu cá nhân của Người lao động cũng như bổ nhiệm cán bộ phụ trách bảo vệ Dữ liệu cá nhân. Đối với trường hợp doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, công ty khởi nghiệp không trực tiếp tham gia cung cấp dịch vụ xử lý dữ liệu cá nhân sẽ được ân hạn thời gian thực hiện trách nhiệm chỉ định cá nhân hoặc bộ phận phụ trách bảo vệ Dữ liệu cá nhân.

Doanh nghiệp có sử dụng dịch vụ của bên thứ ba (tuyển dụng, kế toán, tính lương,…) để xử lý dữ liệu cá nhân của Người lao động cần phải đảm bảo rằng trong hợp đồng dịch vụ giữa các bên phải có điều khoản quy định bên thứ ba phải tuân thủ quy định về bảo vệ Dữ liệu cá nhân của Người lao động trong quá trình thực hiện các công việc theo hợp đồng dịch vụ đã ký.

Bộ phận tư vấn pháp luật - Văn phòng luật sư Huế (HUELAW)

Bài viết khác
Xem tin theo ngày