Xây dựng chính sách bảo vệ dữ liệu cá nhân cho người lao động

Xây dựng chính sách bảo vệ dữ liệu cá nhân cho người lao động là một trong những yêu cầu cấp thiết hiện nay đối với các doanh nghiệp. Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân đã quy định rõ ràng về vấn đề này, đặc biệt là các quyền của người lao động với tư cách là chủ thể dữ liệu cá nhân. Theo đó, người lao động có quyền được biết, được đồng ý, được truy cập và chỉnh sửa, được rút lại sự đồng ý, được xóa, được hạn chế xử lý, được cung cấp, được phản đối, được khiếu nại và yêu cầu bồi thường thiệt hại đối với dữ liệu cá nhân của mình.

Nghị định 13/2023/NĐ-CP không quy định trực tiếp về việc người sử dụng lao động phải xây dựng chính sách bảo vệ dữ liệu cá nhân cho người lao động. Tuy nhiên, các quy định trong nghị định này gián tiếp yêu cầu và thể hiện rõ sự cần thiết của việc xây dựng chính sách này.

Theo Điều 6. Chủ thể dữ liệu định nghĩa về chủ thể dữ liệu là cá nhân mà dữ liệu cá nhân phản ánh. Trong trường hợp này, DPVN đang bàn đến mối quan hệ giữa doanh nghiệp và người lao động. Doanh nghiệp đóng vai trò là bên kiểm soát và xử lý dữ liệu cá nhân, người lao động chính đóng vai trò là chủ thể dữ liệu cá nhân. Do đó, các quyền và nghĩa vụ của chủ thể dữ liệu cá nhân được quy định trong Nghị định 13 cũng áp dụng cho người lao động.

Tìm hiểu chi tiết về cách xác định vai trò của doanh nghiệp trong hoạt động xử lý dữ liệu cá nhân

Chính sách bảo vệ dữ liệu cá nhân người lao động là tập hợp các quy định, quy trình, biện pháp mà người sử dụng lao động (doanh nghiệp) xây dựng và áp dụng để bảo vệ dữ liệu cá nhân của người lao động trong quá trình hoạt động sản xuất, kinh doanh của mình.

Chính sách bảo vệ dữ liệu cá nhân người lao động là một công cụ quan trọng để doanh nghiệp thực hiện các nghĩa vụ của mình đối với người lao động theo quy định tại Điều 38 của Nghị định 13/2023/NĐ-CP về trách nhiệm của bên kiểm soát dữ liệu cá nhân. Đồng thời, chính sách này cũng là cơ sở để người lao động hiểu rõ quyền của mình về dữ liệu cá nhân và có thể thực hiện các quyền đó một cách hiệu quả.

Chính sách bảo vệ dữ liệu cá nhân người lao động nhằm đảm bảo quyền lợi của người lao động về dữ liệu cá nhân, cụ thể là các quyền được quy định tại Điều 9 Nghị định 13/2023/NĐ-CP, bao gồm:

• Quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình.
• Quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình.
• Quyền truy cập và chỉnh sửa dữ liệu cá nhân của mình.
• Quyền rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân của mình.
• Quyền xóa dữ liệu cá nhân của mình.
• Quyền hạn chế xử lý dữ liệu cá nhân của mình.
• Quyền được cung cấp dữ liệu cá nhân của mình.
• Quyền phản đối việc xử lý dữ liệu cá nhân của mình.
• Quyền khiếu nại về việc xử lý dữ liệu cá nhân của mình.
• Quyền yêu cầu bồi thường thiệt hại do việc xử lý dữ liệu cá nhân của mình gây ra.

Nghị định 13/2023/NĐ-CP không quy định bắt buộc doanh nghiệp phải xây dựng chính sách bảo vệ dữ liệu cá nhân cho người lao động.

Tuy nhiên, Điều 38 của Nghị định quy định trách nhiệm của bên kiểm soát dữ liệu cá nhân, trong đó có người sử dụng lao động, phải thực hiện các biện pháp bảo vệ dữ liệu cá nhân của người lao động. Để thực hiện trách nhiệm này, việc xây dựng chính sách bảo vệ dữ liệu cá nhân là cần thiết để đảm bảo việc tuân thủ các quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Theo Điều 38. Trách nhiệm của bên kiểm soát dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân (trong trường hợp này là người sử dụng lao động) có trách nhiệm:

• Thực hiện các biện pháp tổ chức và kỹ thuật cùng các biện pháp an toàn, bảo mật phù hợp để chứng minh các hoạt động xử lý dữ liệu đã được thực hiện theo quy định của pháp luật về bảo vệ dữ liệu cá nhân, rà soát và cập nhật các biện pháp này khi cần thiết.
• Ghi lại và lưu trữ nhật ký hệ thống quá trình xử lý dữ liệu cá nhân.
• Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
• Lựa chọn bên xử lý dữ liệu cá nhân phù hợp với nhiệm vụ rõ ràng và chỉ làm việc với bên xử lý dữ liệu cá nhân có các biện pháp bảo vệ phù hợp.
• Bảo đảm các quyền của chủ thể dữ liệu cá nhân.

Như vậy, mặc dù không có quy định bắt buộc, nhưng việc xây dựng chính sách bảo vệ dữ liệu cá nhân cho người lao động là một trong những biện pháp quan trọng để người sử dụng lao động thực hiện trách nhiệm của mình theo quy định tại Điều 38 của Nghị định 13/2023/NĐ-CP. Chính sách này sẽ giúp người sử dụng lao động chứng minh được việc xử lý dữ liệu cá nhân của người lao động là tuân thủ pháp luật, đồng thời đảm bảo quyền lợi của người lao động.

Ngoài ra, tại Điều 39 của Nghị định 13/2023/NĐ-CP quy định về trách nhiệm của bên xử lý dữ liệu cá nhân, không đề cập đến việc doanh nghiệp bắt buộc phải xây dựng chính sách bảo vệ dữ liệu cá nhân cho người lao động.

Tuy nhiên, Điều 39 có thể gián tiếp yêu cầu bên xử lý dữ liệu cá nhân phải tuân thủ các quy định về bảo vệ dữ liệu cá nhân theo Nghị định 13 và các văn bản pháp luật khác có liên quan. Điều này có thể bao gồm việc xây dựng và thực hiện các chính sách, quy trình nội bộ để bảo vệ dữ liệu cá nhân mà họ xử lý, bao gồm cả dữ liệu cá nhân của người lao động. Cụ thể, Điều 39 quy định:

• Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân: Điều này yêu cầu bên xử lý dữ liệu cá nhân phải có sự thỏa thuận rõ ràng với bên kiểm soát dữ liệu cá nhân (trong trường hợp này là người sử dụng lao động) về việc xử lý dữ liệu cá nhân của người lao động. Hợp đồng hoặc thỏa thuận này cần quy định rõ các nội dung như mục đích, phạm vi, phương thức xử lý dữ liệu, các biện pháp bảo vệ dữ liệu, v.v.
• Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân: Bên xử lý dữ liệu cá nhân không được tự ý xử lý dữ liệu cá nhân của người lao động ngoài phạm vi đã được thỏa thuận với người sử dụng lao động.
• Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan: Điều này yêu cầu bên xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật, bao gồm cả các biện pháp kỹ thuật (ví dụ: mã hóa, tường lửa) và biện pháp quản lý (ví dụ: phân quyền truy cập, đào tạo nhân viên).

Như vậy, mặc dù không có quy định bắt buộc, nhưng các quy định tại Điều 39 của Nghị định 13/2023/NĐ-CP gián tiếp yêu cầu bên xử lý dữ liệu cá nhân phải có các biện pháp bảo vệ dữ liệu cá nhân của người lao động. Việc xây dựng chính sách bảo vệ dữ liệu cá nhân là một trong những biện pháp quan trọng để bên xử lý dữ liệu cá nhân thực hiện trách nhiệm của mình theo quy định của pháp luật.

Lưu ý: Bên xử lý dữ liệu cá nhân có thể là một đơn vị độc lập hoặc một bộ phận bên trong doanh nghiệp. Trong trường hợp bên xử lý dữ liệu cá nhân là một bộ phận bên trong doanh nghiệp, doanh nghiệp vẫn cần phải có chính sách bảo vệ dữ liệu cá nhân riêng cho người lao động để đảm bảo tính toàn diện và hiệu quả của việc bảo vệ dữ liệu.

Chính sách bảo vệ dữ liệu cá nhân người lao động cần bao gồm các nội dung sau:

Thông tin về bên kiểm soát dữ liệu cá nhân

Thông tin bao gồm tên, địa chỉ, thông tin liên lạc của người sử dụng lao động.

Ví dụ:

• Tên người sử dụng lao động: Trung tâm tư vấn pháp luật về bảo vệ dữ liệu cá nhân DPVN
• Mã số doanh nghiệp: 0102345678
• Địa chỉ: Tầng 6, Toà Star Tower, Phố Trường Công Giai, Phường Yên Hoà, Thành phố Hà Nội.
• Người đại diện: Nguyễn Lâm Sơn – chức vụ: Giám đốc trung tâm
• Số điện thoại: 0982976486
• Email: lamson@baovedlcn.vn

Mục đích và phạm vi xử lý dữ liệu cá nhân

• Theo Điều 11 Nghị định 13/2023/NĐ-CP: Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau: Loại dữ liệu cá nhân được xử lý; Mục đích xử lý dữ liệu cá nhân; Tổ chức, cá nhân được xử lý dữ liệu cá nhân; Các quyền, nghĩa vụ của chủ thể dữ liệu.
• Theo Điều 13 Nghị định 13/2023/NĐ-CP: Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân phải bao gồm mục đích xử lý.

Doanh nghiệp cần xác định rõ ràng và cụ thể mục đích thu thập và sử dụng dữ liệu cá nhân của người lao động. Mục đích này phải hợp pháp, chính đáng và được thông báo cho người lao động một cách minh bạch.

Ví dụ:

Mục đích xử lý dữ liệu: Để quản lý hồ sơ nhân sự, trả lương, thưởng, phụ cấp, các chế độ phúc lợi khác theo quy định của pháp luật và của công ty đối với người lao động, liên lạc với người lao động khi cần thiết.

Loại dữ liệu cá nhân được sử dụng liên quan đến mục đích xử lý:

• Dữ liệu cá nhân cơ bản: Họ và tên, ngày tháng năm sinh, quê quán, nơi cư trú, số chứng minh nhân dân/căn cước công dân, số điện thoại, địa chỉ email, tình trạng hôn nhân, người thân, ảnh chân dung, thông tin về tài khoản ngân hàng, quá trình học tập, quá trình làm việc, v.v
• Dữ liệu cá nhân nhạy cảm: Tình trạng sức khỏe, kết quả khám sức khỏe, v.v. (chỉ thu thập khi cần thiết và phải có sự đồng ý của người lao động).

Cách thức thu thập dữ liệu cá nhân

Điều 11 Nghị định 13/2023/NĐ-CP: Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu (người lao động) tự nguyện và biết rõ các nội dung về cách thức xử lý dữ liệu cá nhân.

Điều 13 Nghị định 13/2023/NĐ-CP: Nội dung thông báo cho người lao động về xử lý dữ liệu cá nhân phải bao gồm cách thức xử lý.

Doanh nghiệp cần phải thông báo cho người lao động biết về cách thức mà doanh nghiệp xử lý dữ liệu cá nhân của họ.

Ví dụ:

Thông báo trực tiếp: Qua phỏng vấn, điền vào mẫu đơn xin việc, hợp đồng lao động, cung cấp bản photo/bản scan các giấy tờ tùy thân, v.v.

Thông báo gián tiếp: Qua các nguồn tham chiếu do ứng viên cung cấp (ví dụ: người tham chiếu), thông tin công khai trên internet (ví dụ: trang web cá nhân, LinkedIn, v.v.)

Nội dung liên quan: Bổ sung nội dung hợp đồng lao động với người lao động để bảo vệ dữ liệu cá nhân

Thời gian lưu trữ dữ liệu cá nhân

Tại Điều 3 Nghị định 13/2023/NĐ-CP quy định dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.

Tức là doanh nghiệp chỉ được lưu trữ dữ liệu cá nhân của người lao động trong khoảng thời gian cần thiết để thực hiện mục đích đã xác định.

Ví dụ:

Trong quá trình làm việc: Lưu trữ trong suốt thời gian người lao động làm việc tại công ty để chi trả lương, đóng bóng bảo hiểm xã hội…

Sau khi kết thúc hợp đồng lao động: Lưu trữ được trong 5 năm đến 70 năm (tuỳ từng loại tài liệu) để giải quyết các tranh chấp lao động phát sinh (Ví dụ: sơ yếu lý lịch, các bản hợp đồng lao động, hồ sơ giải quyết nghỉ việc của người lao động,…).

Biện pháp bảo vệ dữ liệu cá nhân

Dựa vào các cơ sở pháp lý tại Nghị định 13/2023/NĐ-CP, cụ thể:

• Điều 26 Nghị định 13/2023/NĐ-CP: Các biện pháp bảo vệ dữ liệu cá nhân bao gồm biện pháp quản lý, biện pháp kỹ thuật và biện pháp an toàn thông tin.
• Điều 27 Nghị định 13/2023/NĐ-CP: Bảo vệ dữ liệu cá nhân cơ bản.
• Điều 28 Nghị định 13/2023/NĐ-CP: Bảo vệ dữ liệu cá nhân nhạy cảm.

Doanh nghiệp cần thiết lập các biện pháp bảo vệ dữ liệu cá nhân toàn diện, bao gồm cả biện pháp kỹ thuật (ví dụ: mã hóa dữ liệu, tường lửa), biện pháp tổ chức (ví dụ: phân quyền truy cập, đào tạo nhân viên) và các biện pháp an toàn thông tin khác.

Ví dụ:

• Mã hóa dữ liệu cá nhân khi lưu trữ và truyền tải.
• Sử dụng tường lửa, phần mềm diệt virus để bảo vệ hệ thống thông tin.
• Sao lưu dữ liệu định kỳ.
• Phân quyền truy cập dữ liệu, chỉ cho phép những người có thẩm quyền được truy cập vào dữ liệu cá nhân của người lao động.
• Tổ chức các buổi đào tạo về bảo vệ dữ liệu cá nhân cho nhân viên.
• Xây dựng quy trình xử lý sự cố vi phạm dữ liệu cá nhân.

Quyền của người lao động

Theo Điều 9 Nghị định 13/2023/NĐ-CP: Quy định về quyền của chủ thể dữ liệu cá nhân. Người lao động có các quyền liên quan đến dữ liệu cá nhân của họ, bao gồm quyền được biết, quyền truy cập, quyền chỉnh sửa, quyền xóa, quyền hạn chế xử lý, quyền phản đối, quyền khiếu nại và quyền yêu cầu bồi thường thiệt hại. Doanh nghiệp cần tôn trọng và tạo điều kiện để người lao động thực hiện các quyền này.

Trách nhiệm của người sử dụng lao động

Theo Điều 38 Nghị định 13/2023/NĐ-CP quy định về Trách nhiệm của bên kiểm soát dữ liệu cá nhân.

Người sử dụng lao động, với tư cách là bên kiểm soát dữ liệu cá nhân, có trách nhiệm thực hiện các biện pháp để bảo vệ dữ liệu cá nhân của người lao động, bao gồm cả việc xây dựng và thực thi chính sách bảo vệ dữ liệu cá nhân.

Ví dụ:

• Tuân thủ các quy định của pháp luật về bảo vệ dữ liệu cá nhân.
• Xây dựng và thực hiện chính sách bảo vệ dữ liệu cá nhân.
• Thông báo cho người lao động về chính sách bảo vệ dữ liệu cá nhân.
• Đảm bảo an toàn cho dữ liệu cá nhân của người lao động.
• Giải quyết các khiếu nại của người lao động về việc xử lý dữ liệu cá nhân.

Để xây dựng chính sách bảo vệ dữ liệu cá nhân cho người lao động trong doanh nghiệp, cần thực hiện các bước sau:

Bước 1. Xác định rõ các bên liên quan

Bên kiểm soát dữ liệu cá nhân: Là doanh nghiệp, người sử dụng lao động, người quyết định mục đích và phương tiện xử lý dữ liệu cá nhân của người lao động.

Bên xử lý dữ liệu cá nhân: Là tổ chức, cá nhân được bên kiểm soát dữ liệu cá nhân thuê để xử lý dữ liệu cá nhân của người lao động theo thỏa thuận hoặc hợp đồng. Ví dụ: Công ty cung cấp phần mềm quản lý nhân sự cho doanh nghiệp.

Chủ thể dữ liệu cá nhân: Là người lao động, người mà dữ liệu cá nhân thuộc về họ được thu thập và xử lý.

Bước 2: Xác định mục đích và phạm vi thu thập dữ liệu

Mục đích thu thập: Doanh nghiệp cần xác định rõ ràng mục đích thu thập dữ liệu cá nhân của người lao động, ví dụ như để quản lý hồ sơ nhân sự, tính lương, đóng bảo hiểm, chăm sóc sức khỏe, v.v.

Phạm vi thu thập: Doanh nghiệp chỉ được thu thập các loại dữ liệu cá nhân cần thiết cho mục đích đã xác định. Phạm vi thu thập có thể bao gồm họ tên, ngày sinh, địa chỉ, số điện thoại, trình độ học vấn, kinh nghiệm làm việc, tình trạng sức khỏe, v.v.

Cần lưu ý phân biệt giữa dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Bước 3. Xác định phương thức thu thập

Trực tiếp: Thông qua phỏng vấn, điền vào mẫu đơn xin việc, cung cấp bản photo/bản scan các giấy tờ tùy thân, v.v.

Gián tiếp: Thông qua các nguồn tham chiếu do ứng viên cung cấp (ví dụ: người tham chiếu), thông tin công khai trên internet (ví dụ: trang web cá nhân, LinkedIn, v.v.).

Bước 4. Xác định thời gian lưu trữ từng loại dữ liệu cá nhân

Trong quá trình làm việc: Lưu trữ trong suốt thời gian người lao động làm việc tại công ty.

Sau khi kết thúc hợp đồng lao động: Lưu trữ trong một khoảng thời gian nhất định theo quy định của pháp luật (Ví dụ: 05 năm).

Bước 5. Xây dựng và ban hành chính sách bảo vệ dữ liệu cá nhân

Căn cứ theo Điều 27 và Điều 28 của Nghị định 13/2023/NĐ-CP, chính sách cần bao gồm các nội dung sau đây:

• Thông tin về bên kiểm soát dữ liệu cá nhân: Tên, địa chỉ, thông tin liên hệ của người sử dụng lao động.
• Mục đích và phạm vi thu thập dữ liệu cá nhân.
• Phương thức thu thập dữ liệu cá nhân.
• Thời gian lưu trữ dữ liệu cá nhân.
• Biện pháp bảo vệ dữ liệu cá nhân: Biện pháp quản lý, kỹ thuật, an toàn thông tin.
• Quyền của người lao động.
• Trách nhiệm của người sử dụng lao động.

Bước 6. Thông báo cho người lao động

Điều 13 Nghị định 13/2023/NĐ-CP: Người sử dụng lao động cần thông báo cho người lao động về nội dung của chính sách bảo vệ dữ liệu cá nhân. Việc thông báo này cần được thực hiện một cách rõ ràng, dễ hiểu và dễ tiếp cận.

Bước 7. Thực hiện chính sách

• Điều 38 Nghị định 13/2023/NĐ-CP: Người sử dụng lao động có trách nhiệm thực hiện các biện pháp để bảo vệ dữ liệu cá nhân của người lao động theo đúng chính sách đã ban hành.
• Điều 39 Nghị định 13/2023/NĐ-CP: Bên xử lý dữ liệu cá nhân của người lao động có trách nhiệm thực hiện các biện pháp bảo vệ dữ liệu cá nhân theo đúng hợp đồng đã ký kết với bên kiểm soát dữ liệu cá nhân.

Bằng cách thực hiện đầy đủ các bước trên, doanh nghiệp có thể xây dựng được một chính sách bảo vệ dữ liệu cá nhân người lao động toàn diện và hiệu quả, góp phần bảo vệ quyền lợi của người lao động và nâng cao uy tín của doanh nghiệp.

Việc xây dựng và thực hiện chính sách bảo vệ dữ liệu cá nhân người lao động không chỉ là yêu cầu pháp lý mà còn là một chiến lược quan trọng để doanh nghiệp thể hiện sự tôn trọng và bảo vệ quyền lợi của người lao động, từ đó xây dựng mối quan hệ lao động hài hòa, bền vững và nâng cao uy tín của doanh nghiệp. Để đạt được hiệu quả cao nhất trong việc bảo vệ dữ liệu cá nhân người lao động, doanh nghiệp cần thực hiện đồng bộ các giải pháp sau:

• Xây dựng chính sách bảo vệ dữ liệu cá nhân chi tiết, đầy đủ và phù hợp với quy định của pháp luật: Chính sách này cần được phổ biến rộng rãi đến toàn thể nhân viên và người lao động trong doanh nghiệp.
• Thực hiện nghiêm túc chính sách bảo vệ dữ liệu cá nhân: Đảm bảo rằng mọi hoạt động thu thập, xử lý, lưu trữ và chia sẻ dữ liệu cá nhân của người lao động đều tuân thủ các quy định của chính sách và pháp luật.
• Đầu tư vào các biện pháp bảo vệ dữ liệu cá nhân: Sử dụng các công nghệ và giải pháp bảo mật tiên tiến để bảo vệ dữ liệu cá nhân của người lao động khỏi các nguy cơ bị đánh cắp, rò rỉ hoặc sử dụng sai mục đích.
• Đào tạo nâng cao nhận thức về bảo vệ dữ liệu cá nhân cho cán bộ, nhân viên và người lao động: Tổ chức các buổi đào tạo, tập huấn thường xuyên để giúp mọi người hiểu rõ về tầm quan trọng của việc bảo vệ dữ liệu cá nhân và các biện pháp bảo vệ cần thiết.
• Thiết lập cơ chế tiếp nhận và xử lý các khiếu nại, phản ánh của người lao động về việc xử lý dữ liệu cá nhân: Đảm bảo rằng người lao động có thể dễ dàng liên hệ với doanh nghiệp để báo cáo các vấn đề liên quan đến dữ liệu cá nhân của họ và được giải quyết một cách kịp thời, công bằng.

Việc xây dựng và thực hiện chính sách bảo vệ dữ liệu cá nhân người lao động là một quá trình liên tục và cần được cập nhật thường xuyên để đáp ứng với những thay đổi của pháp luật và công nghệ. Doanh nghiệp cần chủ động thực hiện các biện pháp cần thiết để bảo vệ dữ liệu cá nhân của người lao động, không chỉ để tuân thủ pháp luật mà còn để xây dựng một môi trường làm việc tin cậy và an toàn.