Trách nhiệm của doanh nghiệp khi xử lý dữ liệu người lao động

Trong quá trình hoạt động, doanh nghiệp không chỉ có trách nhiệm tuân thủ các quy định pháp luật về lao động, mà còn phải thực hiện nghiêm túc nghĩa vụ bảo vệ dữ liệu cá nhân của người lao động. Việc xử lý thông tin cá nhân cần tuân thủ đúng các nguyên tắc, biện pháp kỹ thuật và yêu cầu pháp lý theo quy định tại Nghị định 13/2023/NĐ-CP.

Trong phạm vi bài viết dưới đây, VDPC sẽ làm rõ Trách nhiệm của doanh nghiệp khi xử lý dữ liệu người lao động. Kính mời các bạn cùng theo dõi!

1. Doanh nghiệp phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân của người lao động

Căn cứ: Điều 26, 27, 28 Nghị định 13/2023/NĐ-CP

✔️ Doanh nghiệp phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân ngay từ đầu và trong suốt quá trình xử lý, gồm:

• Biện pháp quản lý, kỹ thuật;
• Các biện pháp khác theo quy định pháp luật.

✔️ Doanh nghiệp cần xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân, nêu rõ những việc cần thực hiện theo quy định pháp luật.

✔️ Áp dụng các tiêu chuẩn bảo vệ dữ liệu phù hợp.

✔️ Kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị:

• Trước khi tiến hành xử lý;
• Sau khi xử lý phải xóa không thể khôi phục được hoặc hủy các thiết bị chứa dữ liệu cá nhân.

🔐 Đối với dữ liệu cá nhân nhạy cảm:

Phải chỉ định:

• Bộ phận có chức năng bảo vệ dữ liệu cá nhân;
• Nhân sự phụ trách bảo vệ dữ liệu cá nhân và cung cấp thông tin liên hệ liên quan.

📣 Thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý.

2. Trách nhiệm thực hiện đánh giá tác động xử lý dữ liệu cá nhân của doanh nghiệp

Căn cứ: Điều 24 Nghị định 13/2023/NĐ-CP

🗂️ Thời điểm lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân:

• Khi doanh nghiệp bắt đầu xử lý dữ liệu cá nhân của người lao động.

📄 Nội dung hồ sơ đánh giá gồm:

• Thông tin và chi tiết liên lạc của doanh nghiệp;
• Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của doanh nghiệp;
• Mục đích xử lý dữ liệu cá nhân;
• Các loại dữ liệu cá nhân được xử lý;
• Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;
• Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;
• Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xóa, hủy dữ liệu cá nhân (nếu có);
• Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
• Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân.
• Hậu quả, thiệt hại không mong muốn có khả năng xảy ra.
• Các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.

🖋️ Hình thức của hồ sơ đánh giá tác động:

• Bằng văn bản có giá trị pháp lý của doanh nghiệp.

Quy định về hồ sơ đánh giá tác động:

• Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
• Nếu hồ sơ chưa đầy đủ, phải bổ sung và gửi lại theo mẫu quy định.
• Khi có thay đổi, doanh nghiệp phải cập nhật hồ sơ và gửi lại theo Mẫu số 05.

3. Trách nhiệm của doanh nghiệp trong việc lưu trữ, xóa, hủy dữ liệu cá nhân người lao động

Căn cứ: Điều 16 Nghị định 13/2023/NĐ-CP

🗑️ Các trường hợp người lao động có quyền yêu cầu xóa dữ liệu:

• Không còn cần thiết với mục đích ban đầu và người lao động chấp nhận rủi ro khi xóa;
• Rút lại sự đồng ý;
• Phản đối việc xử lý dữ liệu và Doanh nghiệp không có lý do chính đáng để tiếp tục xử lý;
• Dữ liệu xử lý sai mục đích hoặc vi phạm pháp luật;
• Dữ liệu cá nhân phải xóa theo quy định của pháp luật.

⏱️ Thời hạn xóa dữ liệu:

• Trong vòng 72 giờ kể từ khi nhận được yêu cầu.

💾 Trách nhiệm lưu trữ:

• Doanh nghiệp lưu trữ bằng hình thức phù hợp với hoạt động;
• Có biện pháp bảo vệ dữ liệu theo quy định.

🧨 Doanh nghiệp xóa không thể khôi phục trong các trường hợp:

• Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích xử lý dữ liệu cá nhân.
• Việc lưu trữ dữ liệu cá nhân không còn cần thiết với hoạt động của doanh nghiệp.
• Doanh nghiệp bị giải thể, phá sản, chấm dứt hoạt động;
• Trong các trường hợp chuyển giao doanh nghiệp (chia, tách, sáp nhập, hợp nhất…).

Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường hợp:

• Pháp luật quy định không cho phép xóa dữ liệu;
• Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền. Với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;
• Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;
• Dữ liệu phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;
• Trong trường hợp tình trạng khẩn cấp về: quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
• Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.

Trên đây là nội dung tư vấn về Trách nhiệm của doanh nghiệp khi xử lý dữ liệu người lao động. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm:

• Những lưu ý khi xử lý dữ liệu cá nhân của người lao động

• Trách nhiệm xử lý dữ liệu cá nhân của bệnh viện trong thời đại số

• Trách nhiệm của Công ty vận tải hàng hóa trong việc bảo vệ dữ liệu cá nhân

• Công ty xe du lịch trong việc bảo vệ Dữ liệu cá nhân

• Trách nhiệm của Hợp Tác xã vận tải trong việc bảo vệ dữ liệu cá nhân