Đối với người lao động
Nguồn hình: Tạp chí an toàn thông tin
- Khi thu thập dữ liệu
Doanh nghiệp khi thu thập dữ liệu cá nhân của người lao động thì chỉ thu thập những thông tin cần thiết, phù hợp với mục đích và không trái với quy định của pháp luật, đảm bảo giới hạn dữ liệu thu thập.
Các thông tin chủ yếu mà doanh nghiệp thu thập đối với người lao động theo quy định tại Điều 3 Thông tư 10/2020/TT-BLĐTBXH đa phần có liên quan đến hợp đồng lao động như: Họ tên, ngày tháng năm sinh, giới tính, địa chỉ thường trú, số CCCD/CMND hoặc hộ chiếu và một số thông tin khác. Các dữ liệu trên đều là những dữ liệu cá nhân cơ bản (theo khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP) và việc thu nhập những thông này của người lao động còn là nghĩa vụ của doanh nghiệp. Vì nếu doanh nghiệp không thể hiện, nhập đầy đủ thông tin về người lao động vào sổ quản lý lao động kể từ ngày người lao động bắt đầu làm việc thì sẽ bị phạt theo quy định của chính phủ.
Doanh nghiệp không có quyền yêu cầu người lao động cung cấp các thông tin như: đời sống cá nhân, tình dục; dữ liệu là thành viên của tổ chức đại diện người lao động trừ trường hợp pháp luật hoặc thỏa ước lao động tập thể cho phép; dữ liệu y tế trừ trường hợp để xác định điều kiện làm việc, để đáp ứng các yêu cầu về an toàn và sức khỏe nghề nghiệp hoặc để xác định quyền được hưởng trợ cấp xã hội.
- Khi lưu trữ, chỉnh sửa công khai, truy xuất, thu hồi, mã hóa, cung cấp, chuyển giao dữ liệu
Việc chia sẻ, truyền đưa, cung cấp, chuyển giao dữ liệu cá nhân người lao động có thể đem lại lợi ích cho nhiều cá nhận, tổ chức khác. Do đó theo Điều 3 Nghị định 13/2023/NĐ-CP có quy định về giới hạn đối với việc lưu trữ dữ liệu cá nhân là trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác (khoản 6, 7).
- Khi xóa, hủy dữ liệu cá nhân
Khi có yêu cầu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân phải xóa dữ liệu cá nhân của người lao động trong các trường hợp sau: a) Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu; b) Rút lại sự đồng ý; c) Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý; d) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật; đ) Dữ liệu cá nhân phải xóa theo quy định của pháp luật. Như vậy, có thể nhận thấy, trong quan hệ lao động, việc xóa, hủy dữ liệu cá nhân người lao động thường đặt ra từ phía người lao động và có tính đối ngược với quyền của doanh nghiệp về lữu trữ dữ liệu cá nhân người lao động.
Đối với thông tin khách hàng
- Thu thập, sử dụng, bảo vệ thông tin cá nhân
Theo quy định của Luật An toàn thông tin mạng năm 2015, Luật Công nghệ thông tin năm 2006, Nghị định số 52/2013/NĐ-CP, doanh nghiệp khi thu thập thông tin khách hàng thông website/ứng dụng di động phải tuân thủ các nghĩa vụ cụ thể sau:
- Xây dựng và công bố chính sách bảo vệ thông tin cá nhân.
- Xây dựng cơ chế cụ thể để khách hàng thể hiện sự đồng ý hoặc không đồng ý với việc sử dụng thông tin cá nhân của khách hàng.
- Bảo vệ thông tin cá nhân đã thu thập.
- Chuyển giao, chia sẻ thông tin cá nhân
Hiện nay chưa có quy định pháp luật cụ thể về trách nhiệm của bên được chuyển giao thông tin. Thay vào đó, trách nhiệm bảo mật thông tin của các bên thứ ba sẽ được quy định tại hợp đồng giữa doanh nghiệp với các đơn vị trung gian. Nếu hợp đồng giữa hai bên không quy định rõ trách nhiệm của mỗi bên thì doanh nghiệp chịu trách nhiệm trực tiếp trong trường hợp việc thu thập, lưu trữ và sử dụng thông tin cá nhân của người tiêu dùng vi phạm các quy định tại Nghị định này và những quy định pháp luật liên quan về bảo vệ thông tin cá nhân.
- Chuyển nhượng, mua bán thông tin cá nhân
Hành vi mua bán, chuyển nhượng thông tin cá nhân của khách hàng (điểm a khoản 4 Điều 4) sẽ bị phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với cá nhân và mức phạt tiền với tổ chức sẽ gấp hai lần mức phạt tiền với cá nhân (theo quy định tại điểm b khoản 5 Điều 63 Nghị định số 98/2020/NĐ-CP). Do đó, doanh nghiệp không được thực hiện hành vi này.
