Công việc liên quan đến bảo vệ thông tin cá nhân mà người lao động và người sử dụng lao động phải thực hiện dựa trên Nghị định 13/2023/ND-CP
2023/10/23
Ngày 17 tháng 4 năm 2023, Chính phủ Việt Nam ban hành Nghị định 13/2023/ND-CP đầu tiên (sau đây gọi tắt là “Nghị định 13”) về bảo vệ thông tin cá nhân tại Việt Nam. Nghị định có hiệu lực từ ngày 1 tháng 7 năm 2017, thiết lập một loạt nghĩa vụ, đặc biệt đối với các công ty nước ngoài, nhằm mục đích bảo vệ thông tin cá nhân mà họ quản lý và xử lý. Báo cáo này tập trung vào nghĩa vụ của người sử dụng lao động trong việc bảo vệ thông tin cá nhân của nhân viên.
Người sử dụng lao động bắt đầu thu thập và lưu trữ thông tin cá nhân cơ bản và thông tin nhạy cảm của người lao động kể từ thời điểm họ thuê lao động và ký kết hợp đồng lao động. Theo Nghị định 13, công ty/văn phòng đại diện nước ngoài của công ty/chi nhánh công ty nước ngoài (sau đây gọi là “doanh nghiệp”) trở thành người kiểm soát thông tin cá nhân hoặc người quản lý/xử lý thông tin của người lao động. Mặt khác, trong trường hợp chi nhánh hoặc văn phòng đại diện của một công ty Việt Nam thì không được coi là người kiểm soát hoặc người quản lý/xử lý thông tin vì không có quyền xác định mục đích và phương tiện của thông tin cá nhân .[1][2]
Các công ty, với tư cách là người quản lý thông tin hoặc người quản lý/xử lý thông tin, phải thực hiện các nghĩa vụ sau:
1. Nghĩa vụ xây dựng quy định nội bộ về bảo vệ thông tin cá nhân
Theo Lệnh Nội các 13, người quản lý thông tin cá nhân có nghĩa vụ thực hiện các biện pháp thích hợp để bảo vệ thông tin cá nhân, bao gồm cả việc tạo ra các quy định nội bộ. Những quy định này không chỉ áp dụng đối với người lao động theo hợp đồng lao động mà còn áp dụng đối với người lao động đang qua đào tạo nghề, đào tạo, thực tập, thử việc, người lao động tạm thời và những người khác thuộc sự quản lý của công ty.
Các quy định nội bộ về bảo vệ thông tin cá nhân này cần phải nêu rõ nội dung cần thực hiện dựa trên Lệnh 13 của Nội các. Các công ty cần đưa những nội dung sau vào quy định nội bộ của mình, tùy thuộc vào nội dung và quy mô kinh doanh của họ.
• Các loại thông tin cá nhân của người lao động được công ty thu thập, xử lý và phương tiện thu thập, xử lý
• Mục đích xử lý thông tin cá nhân của người lao động
• Nguyên tắc xử lý thông tin cá nhân
• Chuyển thông tin cá nhân ra nước ngoài (nếu có)
• Thời gian xử lý thông tin cá nhân
• Quyền và nghĩa vụ của người sử dụng lao động
• Quyền và nghĩa vụ của doanh nghiệp
• Xử lý vi phạm
Các quy định nội bộ này phải được lưu giữ ở mức phù hợp và hiển thị cho tất cả nhân viên tại trụ sở công ty nhằm mục đích bảo vệ thông tin cá nhân và hoạt động thanh tra, đánh giá của Bộ Công an (nếu có).
2. Nghĩa vụ chuẩn bị và duy trì báo cáo đánh giá tác động liên quan đến việc xử lý thông tin cá nhân và chuyển thông tin cá nhân ra nước ngoài
a. Báo cáo đánh giá tác động xử lý thông tin cá nhân
Báo cáo đánh giá tác động đối với việc xử lý thông tin cá nhân được lập theo mẫu do Bộ Công an ban hành, nội dung chính là hoạt động xử lý thông tin của các công ty liên quan đến quyền của chủ thể thông tin, kinh tế, xã hội, thủ tục hành chính, pháp lý. hệ thống và lợi ích của các chủ thể thông tin. Bao gồm đánh giá tác động. Các công ty có nghĩa vụ chuẩn bị bản đánh giá tác động này vào ngày xử lý thông tin cá nhân.
Sau khi lập báo cáo đánh giá tác động xử lý thông tin cá nhân, doanh nghiệp lưu trữ tại Văn phòng để Bộ Công an kiểm tra và nộp trong thời hạn 60 ngày kể từ ngày xử lý thông tin cá nhân cho Cục An ninh mạng và Phòng chống tội phạm công nghệ cao. Cục Bộ Công an (sau đây gọi tắt là A05”), một bản chính phải gửi về Đối với các công ty đã xử lý thông tin cá nhân trước khi Nghị định này có hiệu lực, thời hạn nộp báo cáo đánh giá tác động là trong vòng 60 ngày kể từ ngày Nghị định 13 có hiệu lực thi hành (01/7/2023), theo hướng dẫn của Bộ Công an về Nghị định 13. quy định. Về hình thức nộp hồ sơ A05, doanh nghiệp có thể lựa chọn nộp trực tiếp, qua đường bưu điện hoặc trực tuyến. (Tính đến ngày 13 tháng 9 năm 2023, trang web nộp đơn trực tuyến vẫn chưa được hoàn thiện.)
b. Báo cáo đánh giá tác động liên quan đến việc chuyển thông tin cá nhân ra nước ngoài
Các công ty nước ngoài cũng cần thận trọng khi chuyển thông tin cá nhân của công dân Việt Nam ra nước ngoài. Việc chuyển thông tin cá nhân ra nước ngoài này đề cập đến việc một công ty chuyển thông tin cá nhân của công dân Việt Nam đến một địa điểm ngoài biên giới Việt Nam (các tổ chức ở nước ngoài, xử lý thông tin cá nhân của công dân Việt Nam (kể cả khi chuyển giao cho một công ty hoặc bộ phận hành chính) hoặc tại một địa điểm vượt ra ngoài biên giới Việt Nam.
Các công ty chuyển thông tin cá nhân ra nước ngoài phải lập báo cáo đánh giá tác động theo mẫu của Bộ Công an. Đồng thời, phải gửi 1 bản chính về A05 của Bộ Công an tương tự như báo cáo đánh giá tác động xử lý thông tin cá nhân nêu trên.
3. Thỏa thuận với người lao động về việc xử lý thông tin cá nhân và thông báo trước khi xử lý thông tin
Theo Nghị định 13, công ty phải có được sự đồng ý của người lao động đối với mọi hoạt động trong quá trình xử lý thông tin cá nhân như thu thập, ghi âm, lưu trữ, chỉnh sửa, trừ một số trường hợp đặc biệt. Sự đồng ý của người lao động phải bằng văn bản hoặc ở các định dạng khác, chẳng hạn như dữ liệu kỹ thuật số hoặc email, để có thể sử dụng làm bằng chứng. Vì vậy, tốt nhất các công ty nên soạn thảo các thỏa thuận liên quan đến việc xử lý thông tin cá nhân và nhận được sự đồng ý bằng văn bản của người lao động.
Ngoài ra, các công ty cũng có nghĩa vụ thông báo cho người lao động (chỉ một lần) về mục đích sử dụng thông tin cá nhân của họ trước khi xử lý thông tin đó.
4. Nghĩa vụ của các công ty quản lý và xử lý thông tin nhạy cảm
Thông tin nhạy cảm là thông tin liên quan đến quyền riêng tư cá nhân, chẳng hạn như bệnh sử, thông tin tội phạm và nguồn gốc dân tộc. Thông thường, các công ty quản lý và xử lý thông tin nhạy cảm của người lao động, nhưng ngoài việc áp dụng các biện pháp bảo vệ thông tin cá nhân cơ bản nêu trên, họ còn được yêu cầu chỉ định một bộ phận và người chịu trách nhiệm bảo vệ thông tin cá nhân. Tuy nhiên, nghĩa vụ này được miễn đối với các công ty nhỏ, vừa và siêu nhỏ cũng như các công ty mới nổi/khởi nghiệp đã được thành lập trong vòng hai năm.
Định nghĩa về doanh nghiệp nhỏ, vừa và siêu nhỏ như sau.
| Nội dung kinh doanh | Doanh nghiệp siêu nhỏ | Doanh nghiệp nhỏ | Doanh nghiệp vừa |
| Kinh doanh nông, lâm nghiệp và thủy sản, công nghiệp và xây dựng | Công nhân: 10 người trở xuống | Công nhân: 100 người trở xuống | Công nhân: 200 hoặc ít hơn |
| Công nghiệp và xây dựng | Tổng doanh thu hàng năm: Không quá 3 tỷ đồng | Tổng doanh thu hàng năm: không quá 50 tỷ đồng | Tổng doanh thu hàng năm: Không quá 200 tỷ đồng |
| Kinh doanh thương mại và dịch vụ | ・Công nhân: 10 người trở xuống ・Tổng doanh thu hàng năm: không quá 10 tỷ đồng |
・Công nhân: 50 người trở xuống *Không có yêu cầu về tổng doanh thu |
・Công nhân: 100 người trở xuống *Không có yêu cầu về tổng doanh thu |
5. Nghĩa vụ trong trường hợp vi phạm pháp luật và các quy định về bảo vệ thông tin cá nhân
Trường hợp công ty phát hiện hành vi vi phạm pháp luật về bảo vệ thông tin cá nhân phải thông báo cho Bộ Công an A05 trong vòng 72 giờ kể từ khi xảy ra hành vi vi phạm theo mẫu kèm theo Nghị định 13. Nếu thông báo sau 72 giờ thì phải nêu rõ lý do chậm thông báo. Đồng thời, công ty lập biên bản vi phạm và làm việc với A05 để giải quyết các vi phạm đó.
Kết luận
Trên đây là một số nghĩa vụ chính của doanh nghiệp dựa trên Nghị định 13 về quản lý và xử lý thông tin cá nhân của người lao động. Các công ty phải tuân thủ pháp luật và có hành động ngay lập tức để đảm bảo tuân thủ. Mặt khác, những quy định tại Nghị định 13 của Nội các mới được ban hành trong thời gian ngắn, nội dung đã trở thành thông tin chung. Xét về phản ứng thực tế, có nhiều thông tin vẫn chưa được tiết lộ dù đã xác nhận với cơ quan quản lý. Chúng tôi sẽ tiếp tục chia sẻ thông tin về cách giải thích phù hợp Sắc lệnh Nội các 13 và cách áp dụng nó vào thực tế ngay khi được cập nhật.
[1]“Người kiểm soát thông tin cá nhân” là pháp nhân hoặc cá nhân xác định mục đích và phương tiện xử lý thông tin cá nhân.
[2]“Người quản lý/xử lý thông tin cá nhân” là một thực thể hoặc cá nhân kinh doanh xác định mục đích và phương tiện xử lý thông tin cá nhân và trực tiếp xử lý thông tin cá nhân.
*Bài viết này được dịch bởi: Yarakuzen.
