Doanh nghiệp cần lưu ý những vấn đề gì để bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP?
Hãy cùng Luật Trường Minh Ngọc tìm hiểu về vấn đề này như sau:
Tại Nghị định 13/2023/NĐ-CP có quy định một số nội dung về bảo vệ dữ liệu cá nhân mà doanh nghiệp cần lưu ý, bao gồm:
Quy định về thu thập, xử lý thông tin người lao động
.png)
- Theo Khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP, những nội dung chủ yếu trong hợp đồng lao động như họ tên, ngày tháng năm sinh, giới tính, nơi cư trú, số thẻ Căn cước công dân, Căn cước hoặc hộ chiếu của người lao động theo Điều 21 Bộ luật Lao động năm 2019 đều thuộc dữ liệu cá nhân cơ bản của người lao động.
- Trong một số trường hợp, người lao động có thể phải cung cấp thêm một số thông tin như: Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật; thông tin về đặc điểm di truyền… và đây chính là những dữ liệu cá nhân nhạy cảm theo Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP.
- Doanh nghiệp có nghĩa vụ phải thông báo cho ứng viên khi đăng ký tuyển dụng, người lao động của mình về việc xử lý dữ liệu cá nhân (thu thập, lưu giữ…) 01 lần trước khi tiến hành đối với hoạt động theo quy định tại Điều 13 Nghị định 13/2023/NĐ-CP.
Theo đó, thông báo xử lý dữ liệu cá nhân phải bao gồm các nội dung:
- Mục đích xử lý;
- Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý;
- Cách thức xử lý;
- Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý;
- Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
- Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
- Do vậy, doanh nghiệp cần phải bổ sung các điều khoản trong hợp đồng thử việc, hợp đồng lao động, phụ lục hợp đồng lao động các nội dung trên (phạm vi dữ liệu cá nhân được bảo vệ; mục đích, phạm vi xử lý dữ liệu cá nhân; nghĩa vụ của doanh nghiệp trong việc bảo mật dữ liệu cá nhân…).
Quy định về nội dung biểu mẫu cho phép xử lý dữ liệu cá nhân
.png)
- Căn cứ Điều 11 Nghị định 13/2023/NĐ-CP, doanh nghiệp phải được người lao động, ứng viên ứng tuyển đồng ý đối với tất cả các hoạt động (trừ các trường hợp tại Điều 17 - Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu) trong quy trình xử lý xử liệu cá nhân như sau:
“Thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan” (Khoản 7 Điều 2 Nghị định 13/2023/NĐ-CP)
- Sự đồng ý của người lao động, ứng viên phải được thể hiện bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc một hành động khác thể hiện sự đồng ý.
- Nếu có tranh chấp thì doanh nghiệp có nghĩa vụ chứng minh sự đồng ý của người lao động, ứng viên tuyển dụng nên doanh nghiệp cần xây dựng hoặc cập nhật nội dung biểu mẫu để ứng viên, người lao động đánh dấu hoặc xác nhận bằng văn bản cho phép sử dụng dữ liệu cá nhân.
Lưu ý: Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
Quy định về cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân
.png)
- Theo Khoản 4 Điều 3 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân không được mua, bán dưới mọi hình thức (trừ trường hợp luật có quy định khác).
- Trường hợp vi phạm quy định về bảo vệ dữ liệu cá nhân, tùy mức độ, cơ quan, tổ chức, cá nhân vi phạm có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định (Điều 4 Nghị định 13/2023/NĐ-CP)
Do đó, doanh nghiệp cần phải xây dựng hoặc cập nhật thêm vào Nội quy lao động các quy định cấm mua, bán và chia sẻ thông tin dữ liệu cá nhân để làm căn cứ xử lý kỷ luật lao động và bồi thường thiệt hại (nếu có) trong trường hợp có sai phạm.
Quy định về bảo vệ dữ liệu cá nhân nhạy cảm
.png)
- Một trong những biện pháp để bảo vệ dữ liệu cá nhân nhạy cảm được quy định tại Khoản 2 Điều 28 Nghị định 13/2023/NĐ-CP là:
Điều 28. Bảo vệ dữ liệu cá nhân nhạy cảm
…
2. Chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.
…
- Theo đó, doanh nghiệp phải chỉ định cá nhân và bộ phận có chức năng bảo vệ dữ liệu cá nhân nhạy cảm.
Lưu ý: Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định này trong 02 năm đầu kể từ khi thành lập doanh nghiệp (Khoản 2 Điều 43 Nghị định 13/2023/NĐ-CP).
Quy định về lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
.png)
- Căn cứ Điều 24 Nghị định 13/2023/NĐ-CP, kể từ thời điểm bắt đầu xử lý dữ liệu, doanh nghiệp và các bên liên quan có nghĩa vụ lập và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và phải đảm bảo luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
- Đồng thời, doanh nghiệp còn phải gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 04 tại Phụ lục của Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
- Bên cạnh đó, các doanh nghiệp có vốn đầu tư nước ngoài nói chung và doanh nghiệp có vốn đầu tư nước ngoài hoạt động theo mô hình công ty mẹ - công ty con nói riêng cần chú ý trường hợp chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài.
Theo đó, ngoài việc lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, doanh nghiệp còn phải gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân (Khoản 3 Điều 25 Nghị định 13/2023/NĐ-CP).
Dịch vụ Luật sư Dân sự của Luật Trường Minh Ngọc
>>> Xem thêm: Các vấn đề về dữ liệu cá nhân
>>> Xem thêm: Thông điệp dữ liệu và những điều cần lưu ý
Trên đây là những chia sẻ của Luật Trường Minh Ngọc về vấn đề “Doanh nghiệp cần lưu ý những vấn đề gì để bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP?”. Bài viết chỉ mang tính tham khảo, không phải là ý kiến tư vấn để giải quyết một vụ việc cụ thể. Nếu có bất kỳ thắc mắc nào cần được giải đáp, vui lòng liên hệ cho chúng tôi:
Liên hệ qua Hotline:
- Hotline 1: 093 694 1658 (zalo)
- Hotline 2: 0939 593 486 (zalo)
Liên hệ qua Facebook: Luật Trường Minh Ngọc - Luật sư của bạn
Liên hệ trực tiếp tại văn phòng: Tầng 3, 68 – 70 Hoàng Diệu, Phường 13, Quận 4, Tp. Hồ Chí Minh
Liên hệ qua email: infotruongminhngoc@gmail.com
*Lưu ý: Nội dung tư vấn trên đây chỉ mang tính tham khảo. Tùy từng thời điểm và đối tượng khác nhau mà nội dung tư vấn trên có thể sẽ không còn phù hợp do sự thay đổi của chính sách pháp luật. Mọi thắc mắc, góp ý xin vui lòng liên hệ về email: infotruongminhngoc@gmail.com
