Trách nhiệm của doanh nghiệp khi xử lý dữ liệu cá nhân của người lao động

(LSVN) - Bảo vệ dữ liệu cá nhân là hoạt động phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật. Trong quan hệ lao động, dữ liệu cá nhân người lao động được xử lý chủ yếu bởi doanh nghiệp. Theo quy định, xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: Thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan. Như vậy, trách nhiệm của doanh nghiệp trong việc xử lý dữ liệu cá nhân người lao động có thể được xem xét trong bốn giai đoạn chính của xử lý dữ liệu cá nhân, bao gồm: (i) trước khi thu thập; (ii) thu thập; (iii) lưu trữ; và (iv) xóa, hủy dữ liệu cá nhân.

Ảnh minh hoạ.

Trong bài viết này, xét dưới góc độ quan hệ lao động và thông qua phân tích các quy định của pháp luật Việt Nam, quy định của Tổ chức Lao động Quốc tế (ILO) và kinh nghiệm của một số quốc gia, tác giả trả lời các câu hỏi sau: (i) dữ liệu cá nhân người lao động bao gồm những dữ liệu nào?; (ii) trước khi tiến hành thu thập dữ liệu của người lao động, doanh nghiệp phải thực hiện những nghĩa vụ nào?; (iii) doanh nghiệp phải có trách nhiệm gì khi lưu trữ, xóa, hủy dữ liệu cá nhân người lao động?; (iv) trường hợp doanh nghiệp có hành vi vi phạm thì sẽ gánh chịu hậu quả pháp lý như thế nào?

Hiện nay, pháp luật Việt Nam chưa có quy định riêng về dữ liệu cá nhân người lao động. Vì vậy, để hiểu “dữ liệu cá nhân người lao động” là gì thì có thể tiếp cận thông qua khái niệm “dữ liệu cá nhân” và khái niệm “người lao động”.  Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm[1].

Người lao động là người làm việc cho doanh nghiệp theo thỏa thuận, được trả lương và chịu sự quản lý, điều hành, giám sát của doanh nghiệp. Với năng lực chủ thể của mình, hai chủ thể này xác lập quan hệ lao động; trong đó phát sinh việc thuê mướn, sử dụng lao động, trả lương giữa người lao động, doanh nghiệp, các tổ chức đại diện của các bên, cơ quan nhà nước có thẩm quyền.

Theo ILO, dữ liệu cá nhân [của người lao động] được hiểu là bất kỳ thông tin nào liên quan đến một người lao động cụ thể hoặc có thể giúp xác định một người lao động[2]. Dữ liệu cá nhân của nhân viên đề cập đến bất kỳ thông tin nào mà một tổ chức thu thập và lưu giữ về nhân viên của mình. Một tập hợp con cụ thể của dữ liệu cá nhân là thông tin nhận dạng cá nhân (PII) của nhân viên, được định nghĩa là bất kỳ thông tin nào có thể được sử dụng để nhận dạng một cá nhân. Điều này có thể bao gồm nhiều loại thông tin, chẳng hạn như tên của một người (tên, tên đệm và họ hoặc bất kỳ tên nào khác mà một cá nhân được biết đến), thông tin liên hệ (địa chỉ nhà riêng, địa chỉ email, số điện thoại, v.v.), và số nhận dạng trực tuyến (địa chỉ IP, dữ liệu cookie, v.v.)[3].

Điều này cho thấy, bảo vệ dữ liệu cá nhân người lao động có những đặc trưng sau:

Thứ nhất, được giới hạn trong phạm vi quan hệ lao động. Đặc điểm này sẽ dẫn đến hệ quả lựa chọn luật áp dụng khi giải quyết tranh chấp. Cụ thể: với những vấn đề pháp lý trong quan hệ lao động thì cơ quan giải quyết tranh chấp sẽ áp dụng pháp luật lao động (Bộ luật Lao động và các văn bản hướng dẫn thi hành); ngược lại, các vấn đề pháp lý ngoài quan hệ lao động sẽ được giải quyết bởi hệ thống quy định pháp luật khác như Bộ luật Dân sự, Luật Hành chính,…

Thứ hai, bảo vệ dữ liệu cá nhân người lao động không chỉ liên quan đến cá nhân một người lao động cụ thể mà còn liên quan đến tập thể người lao động hoặc tổ chức đại diện tập thể người lao động tại cơ sở. Tổ chức đại diện người lao động tại cơ sở có vai trò nhất định trong việc bảo vệ dữ liệu cá nhân người lao động thông qua các hoạt động tại doanh nghiệp như đối thoại tại nơi làm việc hay thương lượng tập thể. Đây cũng chính là cách thức bảo vệ dữ liệu cá nhân trong quan hệ lao động và không giống với cách thức bảo vệ dữ liệu cá nhân trong quan hệ dân sự. Tính tập thể của quan hệ lao động cũng ảnh hưởng đến việc bảo vệ dữ liệu cá nhân người lao động. Bởi vì trong một phòng, xưởng làm việc, thường có nhiều người lao động; trong thời gian làm việc những người này cùng bị thiết bị ghi âm, ghi hình của doanh nghiệp thu thập, xử lý dữ liệu cá nhân.

Thứ ba, dữ liệu cá nhân người lao động thường bao gồm những dữ liệu gắn liền với mục đích xác lập, thực hiện và chấm dứt quan hệ lao động cá nhân và gắn liền với nơi làm việc và thời gian làm việc theo thỏa thuận của các bên hoặc theo quy định của doanh nghiệp. Đây được xem là tính hợp lý về không gian và thời gian của dữ liệu cá nhân người lao động.

Trách nhiệm của doanh nghiệp trước khi thu thập dữ liệu của người lao động

Thông báo cho người lao động

Một trong các nguyên tắc cơ bản là “chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác” (khoản 2 Điều 3 Nghị định 13/2023/NĐ-CP). Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. Điều này cho thấy, doanh nghiệp phải có nghĩa vụ thông báo trước cho người lao động biết về việc thu thập, ghi dữ liệu trước khi tiến hành thực hiện.

Về số lần thông báo: Việc thông báo được thực hiện 01 (một) lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân. Xử lý dữ liệu cá nhân không chỉ là một hoặc hai hành vi mà bao gồm rất nhiều hành vi khác nhau và không có giới hạn do doanh nghiệp thực hiện. Cụ thể là thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan. Vậy, nếu chỉ có một lần thông báo thì có bảo đảm quyền lợi của người lao động hay không?

Về nội dung thông báo: Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân: a) Mục đích xử lý; b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý theo quy định; c) Cách thức xử lý; d) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý theo quy định; đ) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra; e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu. Nếu doanh nghiệp chỉ nêu khái quát, “mục đích xử lý dữ liệu là nhằm phục vụ cho việc xác lập, thực hiện và chấm dứt quan hệ lao động” thì thông báo này vẫn đáp ứng được yêu cầu của Nhà nước. Riêng đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm (Khoản 8 Điều 11 Nghị định 13/2023/NĐ-CP).

Về hình thức thông báo: Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. Vậy, nếu chỉ thông báo bằng lời nói thì việc thông báo này sẽ bị xem là vi phạm pháp luật? Trong khi thực tiễn, việc thông báo bằng lời nói diễn ra phổ biến trong quan hệ lao động, đặc biệt là trong giai đoạn phỏng vấn người lao động. Quy định này dường như gây khó khăn cho doanh nghiệp.

Nhà nước đặt ra hai trường hợp ngoại lệ của việc thông báo đối với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân: (i) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều này trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Nghị định này; (ii) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật. Tuy vậy, “hoạt động của cơ quan nhà nước” có nội hàm rất rộng, ví dụ như hoạt động của cơ quan thuế (liên quan đến thuế thu nhập của người lao động), cơ quan bảo hiểm xã hội (liên quan đến việc đóng – hưởng chế độ bảo hiểm xã hội) hay hòa giải viên lao động, tòa án nhân dân (khi giải quyết tranh chấp lao động),… Nếu trong số các “hoạt động của cơ quan nhà nước” có một số hoạt động mang tính chất thương mại thì sẽ không công bằng đối với người lao động.

Bảo đảm có sự đồng ý của người lao động

Theo quy định, chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP. Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.

Về hiệu lực, xét về điều kiện có hiệu lực, Nghị định 13/2023/NĐ-CP quy định: Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi thỏa mãn 02 điều kiện: Một là, chủ thể dữ liệu tự nguyện; Hai là, chủ thể dữ liệu biết rõ các nội dung sau: a) Loại dữ liệu cá nhân được xử lý; b) Mục đích xử lý dữ liệu cá nhân; c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân; d) Các quyền, nghĩa vụ của chủ thể dữ liệu.

Xét về phạm vi, hiệu lực của sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác. Điều này có mặc nhiên cho phép doanh nghiệp được “chia sẻ, truyền đưa, cung cấp, chuyển giao”?

Về hình thức, sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.

Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.

Về phạm vi và hiệu lực của sự đồng ý, chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.

Lưu ý: Người lao động có quyền rút lại sự đồng ý nêu trên. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý (Điều 12 Nghị định 13/2023/NĐ-CP).

Trách nhiệm thương lượng, đối thoại với tổ chức đại diện người lao động tại cơ sở

Xuất phát từ đặc trưng dữ liệu cá nhân người lao động không chỉ liên quan đến cá nhân một người lao động cụ thể mà còn liên quan đến tập thể người lao động hoặc tổ chức đại diện tập thể người lao động tại cơ sở cho nên việc xử lý dữ liệu cá nhân người lao động, trong một số trường hợp, phải bảo đảm thương lượng tập thể hoặc đối thoại tại nơi làm việc với tập thể người lao động hoặc tổ chức đại diện người lao động tại cơ sở. Đây là điểm khác biệt cơ bản giữa xử lý dữ liệu cá nhân trong quan hệ dân sự với quan hệ lao động. 

Tổ chức đại diện người lao động tại cơ sở là tổ chức được thành lập trên cơ sở tự nguyện của người lao động tại một đơn vị sử dụng lao động nhằm mục đích bảo vệ quyền và lợi ích hợp pháp, chính đáng của người lao động trong quan hệ lao động thông qua thương lượng tập thể hoặc các hình thức khác theo quy định của pháp luật về lao động. Tổ chức đại diện người lao động tại cơ sở bao gồm công đoàn cơ sở và tổ chức của người lao động tại doanh nghiệp (khoản 3 Điều 3 BLLĐ năm 2019).

Đối thoại tại nơi làm việc là việc chia sẻ thông tin, tham khảo, thảo luận, trao đổi ý kiến giữa doanh nghiệp với người lao động hoặc tổ chức đại diện người lao động về những vấn đề liên quan đến quyền, lợi ích và mối quan tâm của các bên tại nơi làm việc nhằm tăng cường sự hiểu biết, hợp tác, cùng nỗ lực hướng tới giải pháp các bên cùng có lợi. Doanh nghiệp phải tổ chức đối thoại tại nơi làm việc trong trường hợp sau đây: a) Định kỳ ít nhất 01 năm một lần; b) Khi có yêu cầu của một hoặc các bên; c) Khi có vụ việc theo quy định (Điều 63 BLLĐ năm 2019). Ngoài ra, theo quy định về thực hiện quy chế dân chủ ở cơ sở tại nơi làm việc, Doanh nghiệp phải công khai với người lao động: “Nội quy lao động, thang lương, bảng lương, định mức lao động, nội quy, quy chế và các văn bản quy định khác của doanh nghiệp liên quan đến quyền lợi, nghĩa vụ và trách nhiệm của người lao động”. Các quy định trên không loại trừ việc doanh nghiệp phải công khai quy định liên quan đến xử lý dữ liệu cá nhân của người lao động và/hoặc dữ liệu của tập thể người lao động.

Thương lượng tập thể là việc đàm phán, thỏa thuận giữa một bên là một hoặc nhiều tổ chức đại diện người lao động với một bên là một hoặc nhiều doanh nghiệp hoặc tổ chức đại diện doanh nghiệp nhằm xác lập điều kiện lao động, quy định về mối quan hệ giữa các bên và xây dựng quan hệ lao động tiến bộ, hài hòa và ổn định. Nội dung thương lượng tập thể cũng được nhà làm luật quy định tại Điều 65 BLLĐ năm 2019. Cụ thể như: Tiền lương, trợ cấp, nâng lương, thưởng, bữa ăn và các chế độ khác; Bảo đảm bình đẳng giới, bảo vệ thai sản, nghỉ hằng năm; phòng, chống bạo lực và quấy rối tình dục tại nơi làm việc; Nội dung khác mà một hoặc các bên quan tâm,…

Tương tự như đối thoại tại nơi làm việc, pháp luật cũng không hạn chế quyền của người lao động, tập thể người lao động liên quan đến xử lý dữ liệu người lao động thông qua biện pháp thương lượng tập thể. Hơn thế nữa, thương lượng tập thể còn được xem là nguyên tắc, thủ tục cơ bản của các bên khi giải quyết tranh chấp lao động tập thể.

Như vậy, trường hợp tập thể người lao động sử dụng cơ chế đối thoại tại nơi làm việc hoặc thương lượng tập thể để bảo vệ các quyền đối với dữ liệu cá nhân thì bắt buộc doanh nghiệp phải tuân thủ các quy định có liên quan về hai cơ chế này. Tuy vậy, có không ít chuyên gia hoài nghi, thương lượng tập thể hoặc đối thoại tại nơi làm việc có thay thế được cho sự đồng ý của cá nhân người lao động về việc cho phép doanh nghiệp truy cập dữ liệu?

Trách nhiệm của doanh nghiệp khi thu thập dữ liệu cá nhân người lao động

Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân. Vì vậy, nghĩa vụ quan trọng của doanh nghiệp trong giai đoạn này chính là bảo đảm tuân thủ quy định về giới hạn thu thập dữ liệu của người lao động.

Theo quy định tại Điều 3 Thông tư 10/2020/TT-BLĐTBXH, nội dung chủ yếu của hợp đồng lao động bao gồm: Thông tin về họ tên, ngày tháng năm sinh, giới tính, nơi cư trú, số thẻ Căn cước công dân hoặc Chứng minh nhân dân hoặc hộ chiếu của người giao kết hợp đồng lao động bên phía người lao động và một số thông tin khác, gồm: a) Họ tên, ngày tháng năm sinh, giới tính, địa chỉ nơi cư trú, số điện thoại, địa chỉ thư điện tử (nếu có), số thẻ Căn cước công dân hoặc Chứng minh nhân dân hoặc hộ chiếu do cơ quan có thẩm quyền cấp của người giao kết hợp đồng lao động bên phía người lao động theo quy định; b) Số giấy phép lao động hoặc văn bản xác nhận không thuộc diện cấp giấy phép lao động do cơ quan có thẩm quyền cấp đối với người lao động là người nước ngoài; c) Họ tên, địa chỉ nơi cư trú, số thẻ Căn cước công dân hoặc Chứng minh nhân dân hoặc hộ chiếu, số điện thoại, địa chỉ thư điện tử (nếu có) của người đại diện theo pháp luật của người chưa đủ 15 tuổi.

Đối chiếu với Nghị định 13/2023/NĐ-CP, các dữ liệu này là những dữ liệu cá nhân cơ bản (khoản 3 Điều 2). Doanh nghiệp được thu nhập những thông này của người lao động. Xét trong quan hệ quản lý nhà nước về lao động, thu thập những dữ liệu trên còn là nghĩa vụ của doanh nghiệp. Bởi vì, nếu doanh nghiệp không thể hiện, nhập đầy đủ thông tin về người lao động vào sổ quản lý lao động kể từ ngày người lao động bắt đầu làm việc thì sẽ bị phạt tiền (khoản 1 Điều 8 Nghị định 12/2022/NĐ-CP)

Đối với những thông tin khác, doanh nghiệp có được quyền yêu cầu người lao động cung cấp hay không? Ví dụ tình trạng tài sản của người lao động và của gia đình người lao động, nguyện vọng tham gia tổ chức chính trị, xã hội… Theo Bộ Quy tắc của ILO, doanh nghiệp không được thu thập các thông tin của người lao động về: đời sống tình dục; dữ liệu là thành viên của tổ chức đại diện người lao động trừ trường hợp pháp luật hoặc thỏa ước lao động tập thể cho phép; dữ liệu y tế trừ trường hợp để xác định điều kiện làm việc, để đáp ứng các yêu cầu về an toàn và sức khỏe nghề nghiệp hoặc để xác định quyền được hưởng trợ cấp xã hội.

Trách nhiệm của doanh nghiệp trong việc ghi, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao dữ liệu người lao động

Nếu tiếp cận từ góc nhìn quyền của doanh nghiệp thì lưu trữ dữ liệu cá nhân có thể mang lại nhiều lợi ích cho doanh nghiệp hoặc tổ chức, cá nhân khác được chia sẻ, truyền đưa, cung cấp, chuyển giao dữ liệu cá nhân người lao động. Vì vậy, pháp luật đặt ra giới hạn đối với việc lưu trữ dữ liệu cá nhân. Cụ thể: dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác (khoản 6, khoản 7 Điều 3 Nghị định 13/2023/NĐ-CP). Trong quan hệ lao động, mục đích xử lý dữ liệu chính là để xác lập, thực hiện và chấm dứt quan hệ lao động. Vậy, nếu các bên đã chấm dứt quan hệ lao động thì doanh nghiệp có quyền tiếp tục lưu trữ dữ liệu cá nhân người lao động hay không? Rất nhiều tranh chấp lao động phát sinh sau khi người lao động nghỉ việc và kéo dài đến nhiều năm sau. Nếu doanh nghiệp không lưu trữ dữ liệu cá nhân người lao động thì rất khó chứng minh được lỗi, hành vi vi phạm, thiệt hại mà người lao động đã gây ra trong quá trình giải quyết khiếu nại hoặc giải quyết tranh chấp lao động.

Theo kinh nghiệm của ILO, “các dữ liệu cá nhân của người lao động, nên được lưu trữ kéo dài đến khi nó còn có thể thỏa mãn mục đích cụ thể mà các dữ liệu này được thu thập trừ các trường hợp: người lao động mong muốn được đưa vào danh sách các ứng viên cho một công việc trong một thời hạn nhất định; dữ liệu cá nhân được yêu cầu phải bảo vệ theo quy định của pháp luật; dữ liệu cá nhân được yêu cầu bởi người lao động hoặc doanh nghiệp cho một thủ tục pháp lý để chứng minh bất kỳ vấn đề gì có liên quan đến quan hệ lao động đang tồn tại hoặc đã tồn tại”. Như vậy, doanh nghiệp có thể lưu trữ dữ liệu cá nhân người lao động sau khi quan hệ lao động đã chấm dứt. Vậy, “khoảng thời gian phù hợp” là bao lâu?

Theo quy định pháp luật, thời hiệu yêu cầu hòa giải viên lao động thực hiện hòa giải tranh chấp lao động cá nhân là 06 tháng kể từ ngày phát hiện ra hành vi mà bên tranh chấp cho rằng quyền và lợi ích hợp pháp của mình bị vi phạm; thời hiệu yêu cầu Hội đồng trọng tài lao động giải quyết tranh chấp lao động cá nhân là 09 tháng kể từ ngày phát hiện ra hành vi mà bên tranh chấp cho rằng quyền và lợi ích hợp pháp của mình bị vi phạm; thời hiệu yêu cầu Tòa án giải quyết tranh chấp lao động cá nhân là 01 năm kể từ ngày phát hiện ra hành vi mà bên tranh chấp cho rằng quyền và lợi ích hợp pháp của mình bị vi phạm (Điều 190 BLLĐ năm 2019). Trong các thời hiệu này, thời hiệu yêu cầu Tòa án giải quyết tranh chấp lao động cá nhân là nhiều nhất và bao trùm cả hai thời hiệu còn lại. Vì vậy, thiết nghĩ, nhà nước cần cho phép doanh nghiệp lưu trữ dữ liệu đến khi hết thời hiệu yêu cầu Tòa án giải quyết tranh chấp lao động cá nhân, nếu người lao động không có đơn yêu cầu cơ quan, tổ chức, cá nhân có thẩm quyền giải quyết tranh chấp lao động cá nhân được quy định tại Điều 187 BLLĐ năm 2019. Trường hợp, ngược lại, người lao động có đơn yêu cầu cơ quan, tổ chức, cá nhân có thẩm quyền giải quyết tranh chấp lao động cá nhân thì doanh nghiệp được quyền lưu trữ dữ liệu cá nhân đến khi các bên tranh chấp thi hành, thực hiện xong, đầy đủ nghĩa vụ trong biên bản hòa giải thành của hòa giải viên lao động hoặc quyết định giải quyết tranh chấp của Ban trọng tài lao động hoặc bản án đã có hiệu lực của Tòa án.

Trách nhiệm của doanh nghiệp trong việc xóa, hủy dữ liệu cá nhân người lao động

Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các trường hợp sau: a) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu; b) Rút lại sự đồng ý; c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý; d) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật; đ) Dữ liệu cá nhân phải xóa theo quy định của pháp luật. Như vậy, có thể nhận thấy, trong quan hệ lao động, việc xóa, hủy dữ liệu cá nhân người lao động thường đặt ra từ phía người lao động và có tính đối ngược với quyền của doanh nghiệp về lữu trữ dữ liệu cá nhân người lao động.

Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường hợp: a) Pháp luật quy định không cho phép xóa dữ liệu; b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật; c) Dữ liệu cá nhân đã được công khai theo quy định của pháp luật; d) Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật; đ) Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật; e) Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.

Hậu quả pháp lý khi doanh nghiệp vi phạm trách nhiệm bảo vệ dữ liệu cá nhân người lao động

Bồi thường thiệt hại theo pháp luật dân sự

Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.

Xét trong quan hệ lao động, giữa doanh nghiệp (người sử dụng lao động) và người lao động đã xác lập và tồn tại quan hệ lao động từ trước. Do vậy, nếu doanh nghiệp (người sử dụng lao động) có hành vi vi phạm nghĩa vụ trong hợp đồng hoặc có hành vi trái pháp luật gây ra thiệt hại thì phải chịu trách nhiệm bồi thường thiệt hại do mình gây ra, và đó có thể là trách nhiệm bồi thường thiệt hại trong hợp đồng hoặc (và) trách nhiệm bồi thường thiệt hại ngoài hợp đồng.

Về trách nhiệm bồi thường thiệt hại trong hợp đồng (bồi thường thiệt hại do vi phạm hợp đồng), trường hợp có thiệt hại do vi phạm nghĩa vụ gây ra thì bên có nghĩa vụ phải bồi thường toàn bộ thiệt hại, trừ trường hợp có thỏa thuận khác hoặc luật có quy định khác (Điều 360 BLDS năm 2015).

Về căn cứ phát sinh trách nhiệm bồi thường thiệt hại do vi phạm hợp đồng, với nội dung trên, trách nhiệm bồi thường thiệt hại do doanh nghiệp (người sử dụng lao động) phát sinh đối với người lao động khi hội đủ các yếu tố: có hành vi vi phạm nghĩa vụ trong hợp đồng về bảo vệ dữ liệu cá nhân người lao động, có thiệt hại xảy ra đối với người lao động, và có mối quan hệ nhân quả giữa hành vi vi phạm nghĩa vụ trong hợp đồng về bảo vệ dữ liệu cá nhân người lao động của doanh nghiệp và thiệt hại xảy ra đối với người lao động.

Về trách nhiệm bồi thường thiệt hại ngoài hợp đồng, người nào có hành vi xâm phạm tính mạng, sức khỏe, danh dự, nhân phẩm, uy tín, tài sản, quyền, lợi ích hợp pháp khác của người khác mà gây thiệt hại thì phải bồi thường, trừ trường hợp Bộ luật này, luật khác có liên quan quy định khác (khoản 1 Điều 584 BLDS năm 2015).

Về căn cứ phát sinh trách nhiệm bồi thường thiệt hại ngoài hợp đồng, từ khoản 1 Điều 584 BLDS năm 2015 nêu trên, Điều 2 Nghị quyết 02/2022/NQ-HĐTP ngày 06/9/2022 của Hội đồng Thẩm phán TANDTC cũng đã hướng dẫn cụ thể, trách nhiệm bồi thường thiệt hại của doanh nghiệp (người sử dụng lao động) đối với người lao động phát sinh khi hội đủ các yếu tố: có hành vi trái pháp luật của doanh nghiệp về xâm phạm dữ liệu cá nhân người lao động, có thiệt hại xảy ra của người lao động, và có mối quan hệ nhân quả giữa hành vi trái pháp luật của doanh nghiệp về xâm phạm dữ liệu cá nhân người lao động và thiệt hại xảy ra của người lao động.

Xử phạt vi phạm hành chính

Theo Nghị định 13/2023/NĐ-CP, cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định. Hiện nay, quy định về xử phạt hành chính nằm rải rác trong nhiều văn bản pháp luật. Theo Điều 84 và Điều 85 Nghị định 15/2020/NĐ-CP xử phạt vi phạm hành chính lĩnh vực bưu chính, viễn thông, một số hành vi liên quan đến xử lý dữ liệu cá nhân sẽ bị xử phạt hành chính:

Một là, vi phạm quy định về thu thập, sử dụng thông tin cá nhân: Thu thập thông tin cá nhân khi chưa có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó; Cung cấp thông tin cá nhân cho bên thứ ba khi chủ thể thông tin cá nhân đã yêu cầu ngừng cung cấp; Sử dụng không đúng mục đích thông tin cá nhân đã thỏa thuận khi thu thập hoặc khi chưa có sự đồng ý của chủ thể thông tin cá nhân; Cung cấp hoặc chia sẻ hoặc phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba khi chưa có sự đồng ý của chủ thông tin cá nhân; Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác;

Hai là, vi phạm quy định về cập nhật, sửa đổi và hủy bỏ thông tin cá nhân: hành vi không thông báo cho chủ thể thông tin cá nhân sau khi hủy bỏ thông tin cá nhân đã lưu trữ hoặc chưa thực hiện được biện pháp phù hợp để bảo vệ thông tin cá nhân do yếu tố kỹ thuật; Không cập nhật, sửa đổi, hủy bỏ thông tin cá nhân đã lưu trữ theo yêu cầu của chủ thể thông tin cá nhân hoặc không cung cấp cho chủ thể thông tin cá nhân quyền tiếp cận để tự cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của họ; Không hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ.

Trong khi đó, Nghị định 12/2022/NĐ-CP – Văn bản chính điều chỉnh về xử phạt vi phạm hành chính trong lĩnh vực lao động, bảo hiểm xã hội thì chưa có nhiều quy định liên quan đề xử lý dữ liệu cá nhân của người lao động. Tại điểm b khoản 2 Điều 39 Nghị định 12/2022/NĐ-CP, nếu không cung cấp hoặc cung cấp không đầy đủ thông tin về đóng bảo hiểm xã hội bắt buộc, bảo hiểm thất nghiệp của người lao động khi người lao động hoặc tổ chức công đoàn yêu cầu thì doanh nghiệp sẽ bị xử phạt hành chính.

Như vậy, có thể nhận thấy, pháp luật hiện hành về xử phạt vi phạm hành chính liên quan đến xử lý dữ liệu cá nhân người lao động đang được quy định trong nhiều văn bản khác nhau, không tập trung; và việc xử phạt hành chính chỉ mới điều chỉnh đối với một số hành vi trong số rất nhiều hành vi liên quan đến xử lý dữ liệu cá nhân người lao động.

Một số khuyến nghị cho doanh nghiệp trong việc xử lý dữ liệu cá nhân người lao động

Thứ nhất, doanh nghiệp cần ban hành, sửa đổi, bổ sung các quy trình và biểu mẫu được sử dụng từ quá trình tuyển dụng đến khi chấm dứt quan hệ lao động, trong đó điểm quan trọng bậc nhất là thông báo cho ứng viên, người lao động biết về việc xử lý dữ liệu cá nhân người lao động; và có sự đồng ý của ứng viên, người lao động về việc xử lý dữ liệu đó. Các biểu mẫu thường được sử dụng như Thông báo tuyển dụng, Biên bản phỏng vấn, Thư mời nhận việc, Hợp đồng thử việc, Hợp đồng đào tạo, Hợp đồng lao động, Biên bản thanh lý hợp đồng lao động,… nên được bổ sung thêm quyền xử lý dữ liệu cá nhân của doanh nghiệp.

Thứ hai, doanh nghiệp cần tăng cường biện pháp bảo vệ bên trong nhằm hạn chế, ngăn chặn hành vi xâm phạm dữ liệu cá nhân người lao động. Cụ thể:

Một là, phân loại dữ liệu cá nhân người lao động và phân định quyền xử lý dữ liệu cho từng cá nhân, bộ phận tại nơi làm việc, đặc biệt là những cá nhân quản lý doanh nghiệp.

Hai là, chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân, chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba là cá nhân thì trao đổi thông tin của cá nhân thực hiện.

Ba là, nâng cao hiệu quả hoạt động kiểm soát nội bộ, kiểm soát tuân thủ trong doanh nghiệp. Điều này đòi hỏi doanh nghiệp phải có quy trình chặt chẽ, hợp lý đi kèm với bộ quy tắc áp dụng có tính khả thi cao tại nơi làm việc.

Bốn là, bổ sung, sửa đổi các quy định trong kỷ luật lao động và trách nhiệm vật chất liên quan đến xử lý dữ liệu cá nhân theo hướng: (i) cập nhật các hành vi vi phạm kỷ luật liên quan đến xử lý dữ liệu cá nhân và hình thức xử lý kỷ luật lao động tương ứng; (ii) việc yêu cầu bồi thường thiệt hại vật chất (nếu có) được đặt ra không chỉ đối với người lao động có hành vi vi phạm mà còn áp dụng đối với bên thứ ba (ví dụ chủ thể quản lý nền tảng kỹ thuật số).

Thứ ba, doanh nghiệp cũng cần thực hiện các biện pháp bảo vệ bên ngoài nhằm ngăn chặn các hành vi vi phạm từ tổ chức, cá nhân bên ngoài doanh nghiệp. Doanh nghiệp cần làm rõ quyền, nghĩa vụ của các chủ thể: Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba.

Thứ tư, doanh nghiệp nên xem thương lượng tập thể, đối thoại tại nơi làm việc là những cơ chế hiệu quả để thông báo và đạt được sự đồng thuận với tập thể người lao động khi tiến hành xử lý dữ liệu cá nhân có tính tập thể người lao động. Điều này sẽ phù hợp với những bộ phận hoặc doanh nghiệp có qui mô lao động lớn.

 Thạc sĩ ĐOÀN CÔNG YÊN

Trường Đại học Luật TP. HCM