Quy định về bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động theo dự thảo luật bảo vệ dữ liệu cá nhân

I. Giới thiệu

Vào ngày 17 tháng 7 năm 2024, Chính Phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị Định 13”). Sau một thời gian triển khai thực tế, Nghị Định 13 đã có những tác động tích cực trong việc thực hiện các chính sách liên quan đến bảo vệ dữ liệu cá nhân. Tuy nhiên, đây chỉ là văn bản nghị định, chưa phải là văn bản luật, do đó cần có một văn bản pháp lý có tính nguyên tắc, góp phần hoàn thiện hệ thống các quy định pháp lý liên quan đến bảo vệ dữ liệu cá nhân. Do đó, Bộ Công An đang trong quá trình xây dựng dự thảo Luật Bảo Vệ Dữ Liệu Cá Nhân (“Dự Thảo Luật”) để khắc phục những hạn chế của Nghị Định 13, đồng thời hoàn thiện và sắp xếp hành lang pháp lý trong lĩnh vực bảo vệ dữ liệu cá nhân. Bài viết này sẽ tập trung phân tích một số quy định về bảo vệ dữ liệu cá nhân trong hoạt động giám sát, tuyển dụng lao động theo Dự thảo Luật Bảo Vệ Dữ Liệu Cá Nhân.

II. Một số quy định tiêu biểu về bảo vệ dữ liệu cá nhân trong quá trình giám sát lao động và tuyển dụng lao động theo Dự Thảo Luật 

Cụ thể, Điều 26 của Dự thảo Luật đề xuất quy định về bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động, trong đó có đưa ra một số nội dung đáng lưu ý sau:

1. Các thông tin được quyền yêu cầu người lao động cung cấp 

Người tuyển dụng lao động chỉ được yêu cầu cung cấp các thông tin trong danh sách nội dung đã công khai tuyển dụng hoặc hồ sơ người lao động. Theo Khoản 2 Điều 16 Bộ luật Lao Động năm 2019, người lao động có nghĩa vụ cung cấp thông tin trung thực cho doanh nghiệp về họ tên, ngày tháng năm sinh, giới tính, nơi cư trú, trình độ học vấn, trình độ chuyên môn, xác nhận tình trạng sức khỏe và các vấn đề khác liên quan trực tiếp đến việc giao kết hợp đồng lao động mà doanh nghiệp yêu cầu. Việc để ngỏ các vấn đề khác liên quan trực tiếp đến việc giao kết hợp đồng lao động dẫn đến nhiều doanh nghiệp yêu cầu người lao động cung cấp thông tin và dữ liệu cá nhân có phần không liên quan đến công việc của người lao động. Đây được coi là điểm mới cực kỳ quan trọng nhằm hạn chế tình trạng người lao động cung cấp thông tin không cần thiết, bảo vệ quyền riêng tư của họ.

2. Quy định về xử lý dữ liệu cá nhân và sự đồng ý của người lao động

Thông tin cung cấp trong hồ sơ người lao động được xử lý theo quy định của pháp luật và phải có sự đồng ý của chủ thể dữ liệu. Như đã đề cập ở trên, Bộ luật Lao động năm 2019 quy định người lao động có nghĩa vụ cung cấp một số thông tin nhất định cho doanh nghiệp. Tuy nhiên, dường như như người lao động rất khó kiểm soát cách doanh nghiệp xử lý dữ liệu cá nhân của người lao động. Với những quy định tại Dự Thảo Luật, doanh nghiệp có trách nhiệm xử lý dữ liệu cá nhân theo quy định và phải có sự đồng ý của người lao động đối với mọi hoạt động xử lý dữ liệu cá nhân bao gồm thu thập, lưu trữ, phân tích, chuyển cho bên thứ ba và chuyển dữ liệu ra nước ngoài. Quy định này nâng cao trách nhiệm của doanh nghiệp trong việc xử lý dữ liệu cá nhân, đồng thời đảm bảo việc xử lý thông tin được minh bạch, cũng như giải quyết các vấn đề cho doanh nghiệp khi thực hiện Nghị Định 13. Ngoài ra, Dự Thảo Luật cũng góp phần làm rõ việc áp dụng quy định về bảo vệ dữ liệu cá nhân trong lĩnh vực lao động, vấn đề mà trước đó chưa được đề cập cụ thể và còn gây nhiều vướng mắc trong Nghị Định 13.

3. Yêu cầu về xử lý dữ liệu trong trường hợp cập nhật vào hệ thống cơ sở dữ liệu nhân viên toàn cầu

Khi dữ liệu cá nhân của người lao động được cập nhật vào hệ thống cơ sở dữ liệu nhân viên toàn cầu: (i) Pháp nhân thu thập, xử lý dữ liệu cá nhân phải chứng minh việc thu thập, xử lý dữ liệu là hợp pháp; và (ii) Chủ thể dữ liệu phải chịu trách nhiệm về tính hợp pháp của thông tin do mình cung cấp. Quy định này nhằm yêu cầu doanh nghiệp và người lao động phối hợp trong việc kiểm soát và xử lý dữ liệu cá nhân. Ngoài ra, buộc doanh nghiệp phải có trách nhiệm thực hiện các biện pháp tổ chức, kỹ thuật phù hợp cũng như các biện pháp an toàn, bảo mật để chứng minh hoạt động xử lý dữ liệu đã được thực hiện theo đúng quy định của pháp luật. Đồng thời, buộc người lao động phải chịu trách nhiệm về thông tin mình cung cấp, góp phần bảo đảm tính chính xác, minh bạch cũng như nâng cao hiệu quả quản lý lao động của nhà nước. 

4. Xử lý dữ liệu cá nhân liên quan đến người sử dụng lao động là doanh nghiệp nước ngoài

Các công ty nước ngoài tuyển dụng và xử lý dữ liệu cá nhân của người lao động Việt Nam đang sinh sống và làm việc tại Việt Nam phải thực hiện các việc cụ thể sau: (i) Tuân thủ các quy định của pháp luật về bảo vệ dữ liệu cá nhân theo quy định của pháp luật Việt Nam; (ii) Có văn bản, thỏa thuận, hợp đồng với công ty đầu tư tại Việt Nam về việc xử lý dữ liệu cá nhân của người lao động; và (iii) Cung cấp cho công ty đầu tư tại Việt Nam bản sao dữ liệu về người lao động Việt Nam đang sinh sống và làm việc tại Việt Nam để tuân thủ các quy định của pháp luật khi cần thiết. Có thể thấy, quy định này của Dự thảo Luật là phù hợp và cấp thiết trong bối cảnh tự do hóa thương mại và hội nhập kinh tế toàn cầu hiện nay khi có rất nhiều người lao động Việt Nam đang làm việc từ xa cho các công ty nước ngoài. Quy định này yêu cầu các doanh nghiệp nước ngoài phải tuân thủ các quy định về bảo vệ dữ liệu cá nhân theo pháp luật Việt Nam để bảo vệ quyền lợi của người lao động Việt Nam.

III. Trách nhiệm của doanh nghiệp trong việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân trong quản lý, tuyển dụng lao động

Để tăng cường bảo vệ dữ liệu cá nhân, doanh nghiệp có nghĩa vụ thực hiện các biện pháp như: (i) phân công quyền xử lý dữ liệu cho từng cá nhân, phòng ban tại nơi làm việc, đặc biệt là những người quản lý doanh nghiệp, (ii) thực hiện các biện pháp tổ chức, kỹ thuật và biện pháp an toàn, bảo mật phù hợp, phân công nhiệm vụ cho các phòng ban có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về phòng ban, cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan Bảo vệ dữ liệu cá nhân, (iii) nâng cao hiệu quả kiểm soát nội bộ và kiểm soát tuân thủ trong doanh nghiệp.

Thứ hai, doanh nghiệp cũng cần triển khai các biện pháp bảo vệ bên ngoài để ngăn chặn hành vi vi phạm của các tổ chức, cá nhân bên ngoài doanh nghiệp. Doanh nghiệp cần phối hợp với doanh nghiệp nước ngoài (nếu có) để xử lý dữ liệu cá nhân của người lao động Việt Nam theo quy định, phổ biến các quy định về bảo vệ dữ liệu cá nhân theo pháp luật Việt Nam, làm rõ quyền và nghĩa vụ của các chủ thể trong quy trình xử lý dữ liệu cho các công ty nước ngoài tuyển dụng và xử lý dữ liệu cá nhân của người lao động Việt Nam đang sinh sống và làm việc tại Việt Nam.

Thứ ba, yêu cầu bổ nhiệm ít nhất một chuyên gia công nghệ và một chuyên gia pháp lý có thể được thuê ngoài từ các nhà cung cấp để tạo sự linh hoạt. Tuy nhiên, doanh nghiệp phải cung cấp bằng chứng chứng minh những nhân viên này đã đáp ứng các tiêu chí tuyển dụng để thực hiện đúng các chức năng đó. Tuy nhiên, có những ngoại lệ đối với yêu cầu này là các doanh nghiệp siêu nhỏ, nhỏ và vừa và các công ty khởi nghiệp được miễn yêu cầu về bộ phận bảo vệ dữ liệu trong hai năm đầu hoạt động. Tất cả các yêu cầu khác phải được tuân thủ trong cùng khung thời gian như các doanh nghiệp lớn hơn. Tuy nhiên, điều quan trọng cần lưu ý là Dự thảo Luật quy định rằng các doanh nghiệp siêu nhỏ, nhỏ và vừa và các công ty khởi nghiệp trực tiếp tham gia vào dịch vụ xử lý dữ liệu cá nhân không được miễn trừ.

Nếu một doanh nghiệp phát hiện dữ liệu cá nhân của người lao động bị rò rỉ, họ sẽ có thời hạn 72 giờ để thông báo cho các cơ quan chức năng về sự cố. Đây là biện pháp bảo vệ được đưa ra theo Nghị Định 13 và thời gian phản hồi nhanh này nhằm đảm bảo hành động kịp thời được thực hiện đối với các vi phạm an ninh dữ liệu tiềm ẩn. Các doanh nghiệp có thể bị phạt từ 10 triệu đồng đến 70 triệu đồng nếu không thông báo trong thời hạn quy định. Để khuyến khích tuân thủ hơn nữa, Dự thảo Luật giới thiệu một hệ thống đánh giá độ tin cậy dựa trên mức độ tuân thủ của họ. Các doanh nghiệp có thể nhận được các đánh giá như “độ tin cậy cao” hoặc “độ tin cậy” dựa trên các hoạt động bảo vệ dữ liệu của họ.

IV. Lưu ý khi thực hiện trách nhiệm bảo vệ dữ liệu cá nhân trong việc giám sát và tuyển dụng nhân viên

Một vấn đề quan trọng trong việc thực hiện trách nhiệm bảo vệ dữ liệu cá nhân liên quan đến việc giám sát và tuyển dụng nhân viên là sự mất cân bằng quyền lực tiềm ẩn giữa nhân viên và doanh nghiệp khi xin phép xử lý dữ liệu của họ. Sự mất cân bằng quyền lực này đề cập đến các tình huống như khả năng nhân viên bị sa thải hoặc người sử dụng lao động gây khó khăn nếu họ từ chối. Hơn nữa, Dự Thảo Luật quy định rằng việc chủ thể dữ liệu im lặng hoặc không phản hồi không được coi là sự đồng ý. Do đó, nếu không có thông tin và hướng dẫn phù hợp trong Dự Thảo Luật, sự mơ hồ có thể phát sinh tại nơi làm việc liên quan đến sự đồng ý của nhân viên. Do đó, điều quan trọng cần lưu ý là đối với mục đích xử lý dữ liệu cá nhân theo Dự Thảo Luật, việc nhân viên im lặng khi người sử dụng lao động đã yêu cầu sự đồng ý của nhân viên không được coi là sự đồng ý.

Do đó, những vấn đề này ngụ ý rằng cần phải đảm bảo hiểu đầy đủ các khái niệm về cưỡng chế, sự đồng ý ngầm định và rõ ràng của người sử dụng lao động và người lao động. Sự đồng ý của người lao động phải được đưa ra bằng một hành động khẳng định tạo ra dấu hiệu đồng ý rõ ràng, cụ thể, chẳng hạn như: bằng văn bản, khẳng định bằng lời nói, bằng cách tích vào ô đồng ý, qua tin nhắn văn bản, bằng cách chọn cài đặt đồng ý kỹ thuật hoặc bằng một hành động khác chứng minh điều này. Theo cách đơn giản nhất, doanh nghiệp nên thể hiện sự đồng ý của người lao động bằng cách trực tiếp lấy ý kiến ​​của người lao động trong hợp đồng lao động. Điều này sẽ cho phép các doanh nghiệp, trong trường hợp tốt nhất, chủ động giảm thiểu sự mất cân bằng quyền lực tồn tại khi lấy được sự đồng ý để xử lý dữ liệu cá nhân từ người lao động – đặc biệt nếu dữ liệu đó có tính chất nhạy cảm.

V. Kết luận

Khi Việt Nam hướng tới các khuôn khổ bảo vệ dữ liệu cá nhân mạnh mẽ hơn, các doanh nghiệp phải nhận ra sự cân bằng quan trọng giữa việc tận dụng công nghệ để đạt được hiệu quả hoạt động và bảo vệ quyền của người lao động. Các yêu cầu của Dự Thảo Luật về sự đồng ý, xử lý dữ liệu hợp pháp và thiết lập các vai trò bảo vệ dữ liệu là các bước được thiết kế để đưa quyền riêng tư vào đối với văn hóa doanh nghiệp. Tuy nhiên, vẫn còn những thách thức thực tế, đặc biệt là trong việc giải quyết sự mất cân bằng quyền lực vốn có có thể làm suy yếu quyền tự chủ của nhân viên trong việc cung cấp sự đồng ý.

Để giải quyết những vấn đề phức tạp này, các tổ chức phải ưu tiên tính minh bạch và đào tạo nhân viên về bảo vệ dữ liệu cá nhân để thúc đẩy môi trường tin cậy và tuân thủ. Chủ động thích ứng với những thay đổi về quy định này không chỉ bảo vệ nhân viên mà còn định vị doanh nghiệp một cách thuận lợi trong bối cảnh kỹ thuật số đang phát triển. Bằng cách hoàn thành những trách nhiệm này, các công ty tại Việt Nam có thể nâng cao danh tiếng, giảm thiểu rủi ro và đóng góp vào hệ sinh thái bảo vệ dữ liệu mạnh mẽ, lành mạnh về mặt đạo đức, phù hợp với các tiêu chuẩn quốc tế và hấp dẫn đối với các doanh nghiệp nước ngoài.

ADK VIETNAM LAWYERS