Bảo vệ dữ liệu cá nhân, một vấn đề pháp lý được đặc biệt chú trọng trong bối cảnh các giao dịch điện tử phát triển. Dự thảo Luật bảo vệ dữ liệu cá nhân đã cụ thể hóa các quy định về bảo vệ dữ liệu cá nhân trong từng trường hợp cụ thể. Thế nhưng, trường hợp về bảo vệ dữ liệu cá nhân của người lao động vẫn chưa thực sự cụ thể. Bài viết này sẽ giúp người đọc nhận diện rõ hơn về bảo vệ dữ liệu cá nhân của người lao động tại công ty.
1. Các vấn đề cơ bản về bảo vệ dữ liệu cá nhân của người lao động
Dữ liệu cá nhân được hiểu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể(1). Trong đó:
- Người lao động (“NLĐ”) được xác định là một chủ thể dữ liệu, theo đó chủ thể dữ liệu cá nhân là cá nhân được dữ liệu cá nhân phản ánh, bao gồm cá nhân Việt Nam và cá nhân nước ngoài(2);
- Người sử dụng lao động (“NSDLĐ”) được xác định là Bên Kiểm soát và xử lý dữ liệu cá nhân, theo đó Bên Kiểm soát và xử lý dữ liệu cá nhân là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân(3).
Căn cứ theo khoản 7 Điều 2 Nghị định 13/2023/NĐ-CP: “Việc xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.”
NLĐ có các quyền cơ bản được quy định tại Điều 9 Nghị định 13/2023/NĐ-CP, bao gồm quyền được biết, quyền đồng ý, quyền truy cập, quyền rút lại sự đồng ý, quyền xoá dữ liệu, quyền hạn chế xử lý dữ liệu, quyền cung cấp dữ liệu, quyền phản đối xử lý dữ liệu, quyền khiếu nại, tố cáo, khởi kiện, quyền yêu cầu bồi thường thiệt hại và quyền bảo vệ.
2. Các vấn đề về thu thập và lưu trữ dữ liệu cá nhân của người lao động
2.1 Thu thập dữ liệu cá nhân của NLĐ
Trước khi ký kết HĐLĐ, NLĐ có nghĩa vụ phải cung cấp thông tin trung thực cho NSDLĐ về họ tên, ngày tháng năm sinh, giới tính, nơi cư trú, trình độ học vấn, trình độ kỹ năng nghề, xác nhận tình trạng sức khoẻ và vấn đề khác liên quan trực tiếp đến việc giao kết HĐLĐ mà NSDLĐ yêu cầu.(4) Các thông tin trên thuộc vào phạm vi dữ liệu cơ bản cá nhân được quy định tại khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP.
Việc cung cấp các dữ liệu cơ bản khi trong giai đoạn ký kết hợp đồng do chính NLĐ tự nguyện và đồng ý cung cấp thông tin theo yêu cầu của NSDLĐ. Thế nhưng, NLĐ không có quyền được biết về mục đích và loại dữ liệu được xử lý, theo quy định pháp luật lao động. Theo Nghị định 13/2023/NĐ-CP, NLĐ có quyền đồng ý khi chỉ biết rõ những nội dung được quy định tại khoản 2 Điều 11 Nghị định 13/2023/NĐ-CP. Thêm vào đó, NSDLĐ có nghĩa vụ phải thông báo đến NLĐ liên quan đến các hoạt động xử lý dữ liệu cá nhân. Chính vì thế, trước khi tiến hành ký kết HĐLĐ, NSDLĐ nên tiến hành thông báo đến NLĐ các nội dung được đề cập dưới đây(5) và được NLĐ đồng ý:
- Loại dữ liệu cá nhân được xử lý;
- Mục đích xử lý dữ liệu cá nhân;
- Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
- Các quyền, nghĩa vụ của chủ thể dữ liệu.
- Cách thức xử lý
- Hậu quả, thiệt hại không mong muốn có khả năng xảy ra
- Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu
Chính vì thế, NSDLĐ trước khi ký kết HĐLĐ cần nên có một thông báo cụ thể chứa đựng các thông tin liên quan đến vấn đề bảo mật dữ liệu cá nhân và yêu cầu NLĐ ký kết đồng ý. Hoặc một văn bản cam kết giữa hai bên, trong đó có chứa đựng các nội dung được yêu cầu như trên.
2.2 Lưu trữ dữ liệu cá nhân
Sau khi thu thập dữ liệu cá nhân của NLĐ, NSDLĐ sẽ tiến hành lưu trữ các trường thông tin trên hệ thống lưu trữ dữ liệu. Việc lưu trữ thông tin trên hệ thống dữ liệu quốc tế sẽ dẫn đến trường hợp dữ liệu cá nhân sẽ dẫn đến việc chuyển dữ liệu cá nhân ra nước ngoài(6). Khi ấy, NSDLĐ phải tiến hành lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện thủ tục cung cấp hồ sơ cho hoạt động kiểm tra, đánh giá của Bộ Công an bất kỳ lúc nào.
Thời hạn lưu trữ dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác(7). Khi NLĐ yêu cầu NSDLĐ xoá các dữ liệu cá nhân đã được lưu trữ phù hợp với quy định tại khoản 1, 2 Điều 16 Nghị định 13/2023/NĐ-CP, NSDLĐ phải có nghĩa vụ xoá các dữ liệu. Điều này dẫn đến, khi xảy ra tranh chấp, NSDLĐ sẽ không có các dữ liệu về NLĐ, đây là một điều bất lợi đối với NLĐ.
3. Về bảo mật dữ liệu cá nhân trong hoạt động giám sát của NSDLĐ
Trong quan hệ lao động, việc bảo mật dữ liệu cá nhân trong quan hệ lao động sẽ có sự khác biệt nhất định so với các quan hệ pháp luật khác(8). Vấn đề bảo mật dữ liệu cá nhân của một chủ thể sẽ có liên quan đến những chủ thể khác. Chẳng hạn như việc giám sát camera, trong trường hợp chỉ 01 NLĐ không đồng ý về việc thu thập hình ảnh thông qua camera giám sát, NSDLĐ sẽ không thể thực hiện được.(9)
Thêm vào đó, hiện nay NSDLĐ quản lý quá trình hoạt động kinh doanh và nhân sự bằng việc cung cấp hệ thống thư điện tử với tiền miền riêng, bao gồm: (i) tài khoản mail cá nhân dùng riêng cho từng NLĐ, (ii) tài khoản mail cho từng đơn vị phòng ban và (iii) tài khoản mail dùng cho toàn doanh nghiệp. Riêng với tài khoản mail cá nhân, mỗi NLĐ sẽ được cung cấp một password riêng và sử dụng độc lập dành cho mục đích công việc. Thế nhưng, không phải toàn bộ nội dung thư tín đều phục vụ cho mục đích công việc, sẽ có trường hợp NLĐ sử dụng tài khoản dành cho mục đích cá nhân. Việc NSDLĐ kiểm soát các nội dung thư tín cá nhân là không phù hợp với quy định pháp luật, cụ thể là Điều 38 Bộ luật dân sự 2015: “Thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác của cá nhân được bảo đảm an toàn và bí mật. Việc bóc mở, kiểm soát, thu giữ thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác của người khác chỉ được thực hiện trong trường hợp luật quy định”. Các văn bản pháp luật liên quan vẫn chưa có những quy định cụ thể cho phép NSDLĐ kiểm soát đối với những thư tín cá nhân của NLĐ trong phạm vi công việc.
Theo quy định của Bộ luật lao động 2019, NLĐ chịu sự quản lý, giám sát, điều hành của NSDLĐ.(10) Có thể hiểu từ quy định này rằng, NLĐ trong không gian làm việc và phạm vi công việc sẽ chịu dưới sự quản lý của NSDLĐ, kể cả về các hình ảnh cá nhân, các tin nhắn riêng tư trong những tài khoản email được NSDLĐ cung cấp,… Thế nhưng, theo quy định Nghị định 13/2023/NĐ-CP, NLĐ là một cá nhân được được bảo mật dữ liệu cá nhân và cần được thông báo, đồng ý khi có những hành vi thu thập cá nhân.
Chính vì thế, NSDLĐ có nghĩa vụ phải thông báo đến NLĐ trong việc thực hiện các hoạt động giám sát, phù hợp theo quy định về bảo mật dữ liệu cá nhân hiện nay. Bên cạnh đó, NSDLĐ có thể đề cập nội dung bảo mật dữ liệu cá nhân vào thương lượng tập thể nhằm đảm bảo hoạt động giám sát của NSDLĐ.
4. Về hậu quả pháp lý của NSDLĐ khi vi phạm hoạt động bảo mật dữ liệu cá nhân
4.1 Bồi thường thiệt hại
NLĐ có quyền yêu cầu NSDLĐ bồi thường thiệt hại khi có những hành vi vi phạm trong hoạt động xử lý dữ liệu cá nhân, phạm vi yêu cầu bồi thường thiệt hại của NLĐ trong phạm vi điều chỉnh của Bộ luật dân sự 2015, Bộ luật lao động 2019 và Nghị định 13/2023/NĐ-CP. Về căn cứ phát sinh trách nhiệm bồi thường thiệt hại, NLĐ có quyền yêu cầu bồi thường thiệt hại trong phạm vi HĐLĐ, thoả thuận bảo mật dữ liệu cá nhân và ngoài phạm vi HĐLĐ.
4.2 Xử phạt vi phạm hành chính
Căn cứ theo Điều 84 và Điều 85 Nghị định 15/2020/NĐ-CP, NSDLĐ có thể sẽ bị xử phạt vi phạm hành chính đối với những hành vi vi phạm trong hoạt động xử lý dữ liệu cá nhân:
a. Hành vi vi phạm quy định về thu thập, sử dụng thông tin cá nhân(11):
“1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:
a) Thu thập thông tin cá nhân khi chưa có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó;
b) Cung cấp thông tin cá nhân cho bên thứ ba khi chủ thể thông tin cá nhân đã yêu cầu ngừng cung cấp.
2. Phạt tiền từ 40.000.000 đồng đến 60.000.000 đồng đối với một trong những hành vi sau:
a) Sử dụng không đúng mục đích thông tin cá nhân đã thỏa thuận khi thu thập hoặc khi chưa có sự đồng ý của chủ thể thông tin cá nhân;
b) Cung cấp hoặc chia sẻ hoặc phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba khi chưa có sự đồng ý của chủ thông tin cá nhân;
c) Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác.”
b. Hành vi vi phạm quy định về cập nhật, sửa đổi và hủy bỏ thông tin cá nhân(12):
“1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với hành vi không thông báo cho chủ thể thông tin cá nhân sau khi hủy bỏ thông tin cá nhân đã lưu trữ hoặc chưa thực hiện được biện pháp phù hợp để bảo vệ thông tin cá nhân do yếu tố kỹ thuật.
2. Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:
a) Không cập nhật, sửa đổi, hủy bỏ thông tin cá nhân đã lưu trữ theo yêu cầu của chủ thể thông tin cá nhân hoặc không cung cấp cho chủ thể thông tin cá nhân quyền tiếp cận để tự cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của họ;
b) Không hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ.
c) Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi không áp dụng biện pháp quản lý hoặc biện pháp kỹ thuật theo quy định để bảo vệ thông tin cá nhân.”
(1) Khoản 1 Điều 2 Nghị định 13/2023/NĐ-CP
(2) Khoản 2 Điều 1 Nghị định 13/2023/NĐ-CP
(3) Khoản 11 Điều 3 Nghị định 13/2023/NĐ-CP
(4) Khoản 2 Điều 16 Bộ luật lao động 2019
(5) Khoản 2 Điều 11 và khoản 2 Điều 13 Nghị định 13/2023/NĐ-CP
(6) Khoản 14 Điều 3 Nghị định 13/2023/NĐ-CP: “Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam”
(7) Khoản 7 Điều 3 Nghị định 13/2023/NĐ-CP
(8) ThS. Đoàn Công Yên, “Trách nhiệm của doanh nghiệp khi xử lý dữ liệu cá nhân của người lao động”, Tạp chí điện tử luật sư Việt Nam, https://lsvn.vn/trach-nhiem-cua-doanh-nghiep-khi-xu-ly-du-lieu-ca-nhan-cua-nguoi-lao-dong-1697387757.html
(9) Nhiều tác giả, “Bảo vệ dữ liệu cá nhân của người lao động trong môi trường số”, Kỷ yếu hội thảo Bảo vệ dữ liệu cá nhân trong môi trường số, Trường Đại học Luật Tp. Hồ Chí Minh tr.74
(10) Khoản 1 Điều 3 Bộ luật lao động 2019
(11) Điều 84 Nghị định 15/2020/NĐ-CP và khoản 30 Điều 1 Nghị định 14/2022/NĐ-CP
(12) Điều 85 Nghị định 15/2020/NĐ-CP
Bài viết liên quan:
1/ Kinh doanh dịch vụ Tổ chức bảo vệ dữ liệu cá nhân theo dự thảo luật bảo vệ dữ liệu cá nhân
2/ Đánh giá tác động xử lý dữ liệu cá nhân
3/ Khái quát các quy định pháp luật Việt Nam liên quan đến vấn đề bảo vệ dữ liệu cá nhân
Khuyến cáo:
Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý cho bất kỳ trường hợp cụ thể nào. Các quy định pháp luật được dẫn chiếu trong nội dung bài viết có hiệu lực vào thời điểm đăng tải bài viết nhưng có thể đã hết hiệu lực tại thời điểm bạn đọc. Do đó, chúng tôi khuyến nghị bạn luôn tham khảo ý kiến của chuyên gia trước khi áp dụng.
Các vấn đề liên quan đến nội dung hoặc quyền sở hữu trí tuệ liên của bài viết, vui lòng gửi email đến cs@apolatlegal.vn.
Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Bảo mật và xử lý dữ . Vui lòng tham khảo về dịch vụ của chúng tôi Sở hữu trí tuệ và liên hệ với đội ngũ luật sư tại Viêt Nam của chúng tôi thông qua email info@apolatlegal.com.
