Khi xác lập mối quan hệ lao động, ngoài các nội dung quen thuộc cơ bản mà doanh nghiệp và người lao động thường quan tâm như vị trí, mô tả công việc, lương và các chế độ phúc lợi, kỷ luật lao động, vấn đề bảo mật thông tin đã trở thành một nội dung trọng yếu, ngày càng được quy định kỹ lưỡng trong các thỏa thuận giữa người sử dụng lao động và người lao động. Với khung pháp lý như hiện nay, bảo mật thông tin không còn là nghĩa vụ đơn phương từ phía người lao động mà còn là nghĩa vụ từ phía người sử dụng lao động, đòi hỏi người sử dụng lao động tuân thủ các trách nhiệm liên quan đến bảo vệ thông tin cá nhân của người lao động. Bài viết dưới đây sẽ phân tích nghĩa vụ bảo mật thông tin nhìn từ hai chiều trong mối quan hệ lao động để doanh nghiệp có thêm thông tin khi xây dựng các quy trình và chính sách về bảo mật thông tin.

1. Nghĩa vụ bảo mật thông tin của người lao động

Trong quá trình làm việc tại doanh nghiệp, người lao động có thể được tiếp cận, cung cấp các thông tin có giá trị, chưa được tiết lộ trên thị trường để thực hiện công việc được giao. Các thông tin này thường mang ý nghĩa quan trọng, ảnh hưởng đến hoạt động kinh doanh và có khả năng tạo ra lợi thế cạnh tranh của doanh nghiệp, do đó bảo mật thông tin đã trở thành nhu cầu tất yếu và yêu cầu của các doanh nghiệp đối với người lao động. Tầm quan trọng của nghĩa vụ bảo mật thông tin cũng đã được nhấn mạnh trong Bộ Luật Lao Động. Theo Bộ Luật Lao Động và văn bản hướng dẫn thi hành, người sử dụng lao động và người lao động có thể ký thỏa thuận bằng văn bản hoặc quy định trong hợp đồng lao động các quy định chi tiết về bảo mật thông tin.

1.1. Nhận diện thông tin mật

Trước khi ràng buộc trách nhiệm của người lao động liên quan, thông tin mật nên được nhận diện như thế nào để đảm bảo người lao động hiểu và tuân thủ. Tham khảo quy định của Bộ Luật Lao Động thì thông tin mật được thể hiện dưới 02 thuật ngữ “bí mật kinh doanh”, “bí mật công nghệ” tuy nhiên Bộ Luật Lao Động không cung cấp định nghĩa cụ thể hơn. Dưới góc độ sở hữu trí tuệ, Luật Sở hữu trí tuệ quy định “bí mật kinh doanh là thông tin thu được từ hoạt động đầu tư tài chính, trí tuệ, chưa được bộc lộ và có khả năng sử dụng trong kinh doanh”[1]. Đối với các công ty đại chúng, các thông tin nội bộ cũng là các thông tin mà người lao động không được phép tiết lộ. Thông tin nội bộ được định nghĩa là “các thông tin liên quan đến công ty đại chúng chưa được công bố mà nếu công bố có thể ảnh hưởng đến giá chứng khoán của các tổ chức này”[2].

Trên thực tiễn trong các thỏa thuận bảo mật thông tin, doanh nghiệp có xu hướng quy định bí mật kinh doanh, bí mật công nghệ theo hướng bao quát nhất, tức là bao gồm mọi thông tin, dữ liệu, tài liệu chưa được người sử dụng lao động tiết lộ, công khai tới công chúng, và được bảo mật bằng các biện pháp cần thiết như thông tin khách hàng, nhà cung cấp, thông tin nhân sự, dữ liệu kinh doanh, kế toán, tiếp thị, quảng cáo, kết quả nghiên cứu, bí quyết kỹ thuật, sáng kiến, cải tiến, kế hoạch phát triển và đầu tư….. Thông tin mật này sẽ bao gồm cả thông tin do người lao động phát triển, dù một cách độc lập hoặc kết hợp với nhân viên khác của công ty, trong thời gian làm việc tại công ty, dựa trên việc sử dụng các nguồn lực của công ty, do việc sở hữu các thông tin này thuộc về doanh nghiệp nơi người lao động làm việc. Cụ thể, theo quy định của Luật Sở Hữu Trí Tuệ, tổ chức giao nhiệm vụ sáng tạo tác phẩm cho tác giả là người thuộc tổ chức mình là chủ sở hữu các quyền tài sản của tác phẩm và có quyền công bố tác phẩm, trừ trường hợp các bên có thỏa thuận khác[3]. Như vậy, mặc dù người lao động là người trực tiếp sáng tạo ra tác phẩm tuy nhiên người sử dụng lao động sẽ là chủ sở hữu quyền tài sản đối với tác phẩm đó còn người lao động sẽ giữ các quyền nhân thân đối với tác phẩm bao gồm quyền đặt tên cho tác phẩm, đứng tên trên tác phẩm, bảo đảm sự toàn vẹn của tác phẩm, không cho người khác sửa chữa, cắt xén tác phẩm dưới bất kỳ hình thức nào[4]. Tổ chức, cá nhân khác khi sử dụng một, một số hoặc toàn bộ các quyền tài sản bao gồm quyền sao chép, phân phối đến công chúng đối với bản gốc hoặc bản sao tác phẩm dưới hình thức hữu hình đều phải được sự cho phép của chủ sở hữu quyền tài sản[5]. Do đó, công ty có thể quy định việc cấm tiết lộ, sao chép, công khai, phân phối các báo cáo, kết quả công việc, sáng kiến, ý tưởng, tài liệu, thiết kế, quy trình, bí quyết kỹ thuật hoặc các sản phẩm trí tuệ khác do người lao động sáng tạo ra trong thời gian làm việc tại công ty cho bất kỳ bên thứ ba nào trừ khi được công ty đồng ý trước bằng văn bản.

1.2. Trách nhiệm của người lao động về bảo mật thông tin

Pháp luật hiện tại không quy định cụ thể về trách nhiệm của người lao động trong bảo mật thông tin mà cho phép các bên tự thỏa thuận. Thông thường, trong thỏa thuận bảo mật thông tin, người lao động phải cam kết các vấn đề liên quan đến sử dụng thông tin mật, bao gồm:

a. Mục đích sử dụng: Chỉ được sử dụng thông tin mật cho mục đích phục vụ công việc được giao và vì lợi ích công ty, không sử dụng thông tin mật để phục vụ lợi ích cá nhân hoặc của bất kỳ bên thứ ba nào;

b. Chia sẻ dữ liệu: Không tiết lộ, cung cấp, công bố, phát tán thông tin mật dưới bất kỳ hình thức nào, cho bất cứ ai ngoại trừ việc tiết lộ bắt buộc theo yêu cầu của cơ quan nhà nước hoặc được công ty chấp thuận bằng văn bản,

c. Lưu trữ dữ liệu: Không sao chép, lưu trữ, cất giữ các hồ sơ tài liệu chứa thông tin mật ngoài trụ sở công ty hoặc trên các thiết bị hoặc tài khoản cá nhân; và

d. Xóa hủy dữ liệu: Khi chấm dứt hợp đồng lao động hoặc theo yêu cầu của người sử dụng lao động, người lao động phải hoàn trả hoặc xóa, hủy các tài liệu, phương tiện chứa thông tin mật.

Ngoài ra, tùy thuộc vào nhu cầu và mức độ “mật” của các thông tin, người sử dụng lao động có thể quy định thêm các trách nhiệm khác của người lao động như không trao đổi, chia sẻ, tiết lộ, thông tin mật với những nhân sự khác trong công ty trừ trường hợp cần thiết để thực hiện công việc hoặc phải thông báo ngay và kịp thời phối hợp với công ty để xử lý  khi phát hiện có truy cập, tiết lộ trái phép, rò rỉ, sử dụng trái phép thông tin mật.

Thời hạn bảo mật thông tin có thể duy trì trong suốt thời hạn của hợp đồng lao động và kéo dài một khoảng thời gian sau khi chấm dứt hợp đồng lao động. Điều này cũng cần được quy định rõ trong thỏa thuận bảo mật thông tin giữa người lao động và người sử dụng lao động để đảm bảo việc thi hành và ràng buộc giữa các bên.

1.3. Cơ chế xử lý vi phạm

Trường hợp vi phạm nghĩa vụ bảo vệ bí mật kinh doanh, bí mật công nghệ, người lao động có thể bị sa thải – đây mức xử lý kỷ luật nghiêm khắc nhất theo quy định của Bộ Luật Lao Động. Tuy nhiên, để xử lý kỷ luật sa thải, doanh nghiệp cũng cần tuân thủ trình tự xử lý nghiêm ngặt mà Bộ Luật Lao Động đã quy định.

Ngoài chịu trách nhiệm về kỷ luật lao động, người lao động còn phải chịu trách nhiệm bồi thường cho người sử dụng lao động theo thỏa thuận của các bên. Về trình tự xử lý bồi thường, doanh nghiệp cần thực hiện theo hướng dẫn như sau[6]:

a. Nếu phát hiện người lao động có hành vi vi phạm trong thời hạn thực hiện hợp đồng lao động thì xử lý theo trình tự, thủ tục xử lý bồi thường thiệt hại được quy định tại Bộ Luật Lao Động, theo đó việc xử lý bồi thường thiệt hại cần tuân thủ quy trình gồm các bước chính như sau người lao động lập bản tường trình bằng văn bản về vụ việc, các bên tiến hành họp xử lý bồi thường thiệt hại với sự tham gia của tổ chức đại diện người lao động mà người lao động là thành viên và người sử dụng lao động ban hành quyết định xử lý bồi thường thiệt hại. Việc xử lý bồi thường thiệt hại phải được thực hiện trong vòng 06 tháng kể từ ngày người lao động có hành vi vi phạm[7].

b. Nếu phát hiện người lao động có hành vi vi phạm sau khi chấm dứt hợp đồng lao động thì xử lý theo quy định của pháp luật dân sự và pháp luật khác có liên quan. Theo đó, việc bồi thường sẽ thực hiện trên nguyên tắc bồi thường toàn bộ thiệt hại thực tế xảy ra do hành vi vi phạm của người lao động, trừ khi các bên có thỏa thuận khác. Trách nhiệm chứng minh thiệt hại thực tế sẽ thuộc về người sử dụng lao động trong trường hợp người sử dụng lao động yêu cầu người lao động bồi thường thiệt hại do hành vi vi phạm của người lao động liên quan đến thỏa thuận bảo mật đã ký kết.

1.4. Văn bản, thỏa thuận cần xác lập để bảo mật thông tin của người lao động

Với mục tiêu bảo đảm an toàn bí mật thông tin, người sử dụng lao động và người lao động có thể ký kết các thỏa thuận sau:

a. Thỏa thuận bảo mật: thỏa thuận bảo mật cần bao gồm các nội dung chủ yếu như (i) danh mục bí mật kinh doanh, bí mật công nghệ, (ii) phạm vi sử dụng, (iii) thời hạn bảo vệ, (iv) phương thức bảo vệ, (iv) quyền, trách nhiệm của mỗi bên và (v) việc bồi thường trong trường hợp vi phạm[8].

b. Thỏa thuận không cạnh tranh: Mặc dù thỏa thuận bảo mật quy định rõ trách nhiệm không tiết lộ thông tin mật của người lao động, việc thực hiện cần sự hợp tác tuân thủ của người lao động. Ngoài ra, trên thực tế việc phát hiện hành vi vi phạm của người lao động với bằng chứng rõ ràng là điều không dễ dàng. Do đó, thỏa thuận không cạnh tranh trở thành công cụ để ràng buộc ở mức độ nghiêm ngặt hơn, mang tính ngăn chặn sớm, và có thể dễ nhận diện vi phạm. Theo đó, người lao động không được làm việc cho đối thủ cạnh tranh, bởi khi làm việc người lao động có thể cung cấp cho đối thủ các bí mật kinh doanh, bí mật công nghệ của công ty, gây ảnh hưởng trực tiếp đến hoạt động kinh doanh của công ty.

c. Nội quy lao động: bảo vệ tài sản và bí mật kinh doanh, bí mật công nghệ là một trong những nội dung bắt buộc cần có của nội quy lao động. Nội quy cần cụ thể hóa danh mục bí mật công nghệ, bí mật kinh doanh, trách nhiệm, biện pháp được áp dụng để bảo vệ tài sản, bí mật; hành vi xâm phạm bí mật kinh doanh, bí mật công nghệ[9]. Ngoài ra, các quy định rõ ràng trong nội quy là căn cứ để tiến hành xử lý kỷ luật người lao động trong trường hợp vi phạm. Theo quy định, nội quy cần được đăng ký với cơ quan nhà nước có thẩm quyền.

2. Nghĩa vụ bảo mật thông tin của người sử dụng lao động

Để thực hiện việc giao kết hợp đồng lao động và quản lý lao động, người sử dụng lao động có thể yêu cầu người lao động cung cấp các thông tin cá nhân như họ tên, ngày tháng năm sinh, giới tính, nơi cư trú, trình độ học vấn, kỹ năng nghề nghiệp, tình trạng sức khỏe, các vấn đề khác liên quan trực tiếp đến việc giao kết hợp đồng lao động và người lao động có trách nhiệm cung cấp trung thực đầy đủ các thông tin này[10]. Đây là hoạt động bình thường trong bất kỳ một doanh nghiệp nào. Tuy nhiên, hiện nay, theo Luật Bảo Vệ Dữ Liệu Cá Nhân, việc thu thập, chuyển giao, lưu trữ và xử lý các dữ liệu cá nhân nói chung và của người lao động nói riêng phải tuân thủ theo các quy định của pháp luật. Điều này đặt ra các trách nhiệm tương ứng của người sử dụng lao động trong việc sử dụng dữ liệu cá nhân của người lao động, bao gồm trách nhiệm bảo mật thông tin cá nhân của người lao động mà theo quy định của Bộ Luật Dân Sự các bên trong hợp đồng không được tiết lộ thông tin về bí mật cá nhân, bí mật gia đình, đời sống riêng tư mà mình biết được trong quá trình xác lập, thực hiện hợp đồng, trừ trường hợp có thỏa thuận khác[11].  

2.1. Nhận diện dữ liệu cá nhân của người lao động

Việc nhận diện các thông tin nào là dữ liệu cá nhân của người lao động sẽ giúp người sử dụng lao động chủ động xác định phạm vi thu thập thông tin một cách phù hợp với mục đích sử dụng và có các biện pháp bảo vệ thích hợp trên cơ sở đáp ứng yêu cầu của pháp luật. Theo Luật Bảo Vệ Dữ Liệu Cá Nhân, dữ liệu cá nhân là các dữ liệu xác định hoặc giúp xác định một con người cụ thể, bao gồm (i) dữ liệu cá nhân cơ bản và (ii) dữ liệu cá nhân nhạy cảm[12]. Dữ liệu cá nhân cơ bản bao gồm các thông tin phản ánh nhân thân, lai lịch, quan hệ xã hội bao gồm như họ tên, ngày tháng năm sinh, giới tính, nơi sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, quốc tịch, số điện thoại, số định danh cá nhân, tình trạng hôn nhân, số tài khoản, thông tin về mối quan hệ gia đình[13]. Dữ liệu cá nhân nhạy cảm sẽ bao gồm các thông tin gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân liên quan bao gồm như tình trạng sức khỏe, quan điểm về chính trị, tôn giáo, tín ngưỡng, dữ liệu tiết lộ về tội phạm, vi phạm pháp luật, xu hướng tính dục, vị trí của cá nhân, hình ảnh thẻ căn cước công dân, thông tin đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân…[14].

2.2. Trách nhiệm của người sử dụng lao động trong bảo vệ dữ liệu cá nhân của người lao động

Theo Luật Bảo Vệ Dữ Liệu Cá Nhân và văn bản hướng dẫn thi hành, trách nhiệm bảo vệ dữ liệu cá nhân của bên kiểm soát dữ liệu không chỉ dừng ở nghĩa vụ không tiết lộ, không chia sẻ, không chuyển giao trái phép thông tin cá nhân mà ở mức độ toàn diện và bao quát hơn, trách nhiệm của doanh nghiệp đã phát sinh ngay tại thời điểm thu thập dữ liệu cá nhân lao động để đảm bảo các thông tin thu thập được là hợp pháp và kéo dài đến thời điểm dữ liệu cá nhân đó được xóa hủy để chấm dứt sự tồn tại của các thông tin này trên hệ thống của người sử dụng lao động. Do đó, việc bảo mật thông tin cá nhân người lao động không phải là một trách nhiệm mang tính đơn lẻ mà là một phần trong chuỗi trách nhiệm tổng thể về bảo vệ dữ liệu cá nhân của người lao động như nêu dưới đây.

a. Thu thập dữ liệu cá nhân

Sự đồng ý của chủ thể dữ liệu cá nhân là yêu cầu bắt buộc khi thu thập và xử lý dữ liệu cá nhân. Theo đó, người sử dụng lao động cần thu thập sự đồng ý của người lao động bằng phương thức rõ ràng, có khả năng kiểm chứng được, trên cơ sở người lao động được cung cấp đầy đủ các thông tin về (i) loại dữ liệu cá nhân được xử lý, (ii) mục đích xử lý dữ liệu cá nhân, (iii) bên kiểm soát dữ liệu cá nhân, (iii) các quyền và nghĩa vụ của người lao động, với tư cách chủ thể dữ liệu cá nhân[15]. Đây cũng chính là nội dung nên được soạn thảo trong các thỏa thuận về bảo vệ và xử lý dữ liệu cá nhân của người lao động. Lưu ý, trong trường hợp xảy ra tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu cá nhân thuộc về người sử dụng lao động, tức là bên kiểm soát và xử lý dữ liệu cá nhân[16].

Ngoài ra, với tư cách chủ thể dữ liệu cá nhân, người lao động có các quyền sau:

(i) Rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân hoặc yêu cầu hạn chế xử lý dữ liệu cá nhân của mình khi có nghi ngờ phạm vi, mục đích xử lý dữ liệu cá nhân hoặc tính chính xác của dữ liệu cá nhân. Yêu cầu rút lại sự đồng ý hoặc yêu cầu hạn chế xử lý dữ liệu cá nhân được thực hiện theo quy định của pháp luật và theo thỏa thuận giữa các bên.

(ii) Được tự chỉnh sửa dữ liệu cá nhân đối với một số loại dữ liệu cá nhân theo thỏa thuận với người sử dụng lao động hoặc yêu cầu người sử dụng lao động chỉnh sửa các dữ liệu cá nhân này.

b. Chuyển giao dữ liệu cá nhân

Trên thực tế hoạt động, việc chuyển giao, chia sẻ dữ liệu cá nhân có thể diễn ra giữa các công ty trong cùng một tập đoàn, giữa các bộ phận trong cùng một công ty hoặc trong trường hợp chuyển giao cho bên thứ ba để xử lý dữ liệu cá nhân. Pháp luật về bảo vệ dữ liệu cá nhân có yêu cầu về từng trường hợp chuyển giao, trong đó:

(i) Trường hợp chuyển giao dữ liệu cá nhân cho bên thứ ba xử lý, bên cạnh các trường hợp khác, doanh nghiệp phải xác lập thỏa thuận với bên thứ ba đó về việc chuyển giao dữ liệu bao gồm các nội dung về mục đích chuyển giao, loại dữ liệu cá nhân chuyển giao, thời hạn xử lý dữ liệu cá nhân, xóa, hủy dữ liệu cá nhân, trách nhiệm bảo vệ dữ liệu cá nhân trong quá trình chuyển giao, trách nhiệm thực hiện các quyền của chủ thể dữ liệu cá nhân…

(ii) Trường hợp chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập, doanh nghiệp cần xây dựng quy trình kiểm soát việc chia sẻ, sử dụng dữ liệu cá nhân đúng quy định, có biện pháp phòng chống nhân sự nội bộ tại cơ quan, tổ chức chia sẻ trái phép dữ liệu cá nhân với bên thứ ba. Để thực hiện, doanh nghiệp có thể xây dựng quy chế bảo vệ dữ liệu cá nhân nội bộ, qua đó phân quyền tiếp cận các loại dữ liệu cá nhân cụ thể đối với từng cá nhân, phòng ban và trách nhiệm của các cá nhân, phòng ban trong việc bảo mật dữ liệu cá nhân.

Đối với các công ty đa quốc gia, nếu có hoạt động chuyển dữ liệu cá nhân diễn ra ngoài lãnh thổ Việt Nam để quản lý nhân sự xuyên biên giới theo quy tắc, quy chế lao động và thỏa ước lao động tập thể thì theo quy định của pháp luật, các công ty này không cần phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới[17]. Đối với các hoạt động chuyển giao xuyên biên giới khác thì người sử dụng lao động cần lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và gửi hồ sơ cho cơ quan nhà nước có thẩm quyền để xem xét. Hồ sơ cần đảm bảo đầy đủ các nội dung theo quy định của pháp luật[18].

c. Xóa, hủy dữ liệu cá nhân

Người sử dụng lao động phải xóa hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng lao động, trừ khi có thỏa thuận khác. Đây là quy định trong pháp luật hiện hành và cũng là một điểm cần lưu tâm khi xây dựng thỏa thuận về bảo vệ dữ liệu cá nhân với người lao động. Đặc biệt, nếu công ty có nhu cầu lưu trữ dữ liệu cá nhân của người lao động một thời gian nhất định kể cả sau khi chấm dứt hợp đồng lao động để phục vụ cho các mục đích giải quyết các quyền lợi về lao động, thực hiện các nghĩa vụ với nhà nước hoặc để giải quyết các tranh chấp giữa các bên, thì công ty cần quy định rõ thời hạn lưu trữ dữ liệu phù hợp sau khi kết thúc hợp đồng lao động phù hợp với mục đích sử dụng của công ty.

Ngoài ra, người lao động, với tư cách chủ thể dữ liệu, có thể yêu cầu xóa, hủy dữ liệu cá nhân của mình với điều kiện người lao động tự chấp thuận các rủi ro, thiệt hại từ việc xóa, hủy dữ liệu cá nhân này và tuân thủ các nguyên tắc theo quy định của luật. Người sử dụng lao động phải thực hiện việc xóa, hủy dữ liệu cá nhân hoặc yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba xóa, hủy dữ liệu cá nhân của người lao động. Việc xóa, hủy dữ liệu cá nhân có thể không được thực hiện trong một số trường hợp rất hạn chế mà luật quy định bao gồm để để giải quyết tình trạng khẩn cấp, nguy cơ đe dọa an ninh quốc gia, để phục vụ hoạt động quản lý nhà nước…Doanh nghiệp không được cố ý khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy.

2.3. Cơ chế xử lý vi phạm

Người sử dụng lao động có thể phải đối mặt với hình phạt tiền và các hình thức xử phạt bổ sung nếu vi phạm việc bảo vệ dữ liệu cá nhân nói chung và dữ liệu cá nhân của người lao động nói riêng theo các quy định của pháp luật. Hiện nay, chính phủ đang xây dựng dự thảo quy định chi tiết về việc xử lý vi phạm trong lĩnh vực bảo vệ dữ liệu cá nhân (“Dự Thảo Nghị Định”). Theo bản Dự Thảo Nghị Định, hành vi thu thập, xử lý dữ liệu cá nhân không đúng phạm vi, mục đích cụ thể rõ ràng, hoặc, dữ liệu cá nhân không đảm bảo độ chính xác và không được chỉnh sửa, cập nhập, bổ sung khi cần thiết hoặc dữ liệu cá nhân được lưu trữ quá khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân thì người sử dụng lao động có thể bị phạt lên tới 140 triệu đồng; đồng thời buộc phải xóa, hủy dữ liệu cá nhân tới mức không thể khôi phục lại được, buộc hoàn trả hoặc nộp lại khoản lợi bất hợp pháp do thực hiện hành vi vi phạm cũng như công khai xin lỗi chủ thể dữ liệu cá nhân. Đối với hành vi không xây dựng quy trình, thủ tục, biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu cá nhân và trách nhiệm của các bộ phận liên quan, chủ sử dụng lao động, với tư cách bên kiểm soát và xử lý dữ liệu cá nhân có thể bị phạt tới 100 triệu đồng. Việc xử lý dữ liệu cá nhân nếu không được sự đồng ý của chủ thể dữ liệu cá nhân hoặc sự đồng ý không được thể hiện bằng phương thức rõ ràng, cụ thể thì có thể bị phạt tới 140 triệu đồng và bị buộc phải xóa, hủy dữ liệu cá nhân tới mức không thể khôi phục được và phải xin lỗi công khai trên các phương tiện đại chúng đối với hành vi này. Nhìn chung, mức chế tài là rất nghiêm khắc do đó người sử dụng lao động cần lưu tâm để đảm bảo tuân thủ.

2.4. Văn bản, thỏa thuận cần xác lập để bảo vệ dữ liệu cá nhân của người lao động

Để cụ thể hóa trách nhiệm của các bên liên quan cũng như văn bản hóa các quy trình, cách thức thực hiện đảm bảo nhất quán trong suốt quá trình xử lý dữ liệu cá nhân, người sử dụng lao động nên xây dựng các văn bản, thỏa thuận sau:

a. Thỏa thuận xử lý dữ liệu cá nhân: thỏa thuận này có thể thể hiện dưới dạng thỏa thuận độc lập hoặc một điều khoản trong hợp đồng lao động, trong đó thể hiện các nội dung về (i) loại dữ liệu cá nhân được xử lý, (ii) mục đích xử lý dữ liệu cá nhân, (iii) bên kiểm soát dữ liệu cá nhân, (iv) các quyền và nghĩa vụ của người lao động, với tư cách chủ thể dữ liệu cá nhân bao gồm như quyền yêu cầu chỉnh sửa, cung cấp thông tin, quyền yêu cầu xóa hủy dữ liệu cá nhân, (v) các quyền và nghĩa vụ của người sử dụng lao động bao gồm quyền chuyển giao dữ liệu cá nhân cho các công ty trong cùng tập đoàn hay cho bên thứ ba để xử lý dữ liệu cá nhân, quyền lưu trữ dữ liệu cá nhân và thời hạn lưu trữ. Văn bản này cũng có thể sử dụng để chứng minh sự đồng ý của người lao động về việc xử lý dữ liệu cá nhân của người sử dụng lao động.

b. Chính sách, quy trình, quy định nội bộ và biểu mẫu về xử lý dữ liệu cá nhân: việc xử lý dữ liệu cá nhân của người lao động có thể do nhiều cá nhân, phòng ban trong công ty đảm nhiệm. Do đó, việc xây dựng một quy trình nội bộ là cần thiết để đảm bảo việc thực hiện chung, thống nhất trên cơ sở phân quyền tiếp cận các loại dữ liệu cá nhân của người lao động, cụ thể hóa trách nhiệm của từng phòng ban trong việc bảo vệ dữ liệu cá nhân, quy trình giải quyết các yêu cầu của người lao động liên quan đến dữ liệu cá nhân của họ.

c. Thỏa thuận với các bên thứ ba: trong trường hợp chuyển giao dữ liệu cá nhân của người lao động cho bên thứ ba để xử lý, người sử dụng lao động cần có thỏa thuận về chuyển giao dữ liệu cá nhân, với các nội dung chủ yếu như quy định tại Mục 2.2 (b).

[1] Điều 4.23 Luật Sở Hữu Trí Tuệ.

[2] Điều 4.44 Luật Chứng Khoán.

[3] Điều 39 Luật Sở Hữu Trí Tuệ.

[4] Điều 19 Luật Sở Hữu Trí Tuệ.

[5] Điều 19, Điều 20, Điều 39 Luật Sở Hữu Trí Tuệ.

[6] Điều 4.3 Thông tư số 10/2020/TT-BLĐTBXH của Bộ Lao động Thương binh và Xã hội ngày 12/11/2020 quy định chi tiết và hướng dẫn thi hành một số điều của Bộ Luật Lao Động về nội dung của hợp đồng lao động, hội đồng thương lượng tập thể và nghề, công việc có ảnh hưởng xấu tới chức năng sinh sản, nuôi con (“Thông tư 10”).

[7] Điều 71 và Điều 72 Nghị định số 145/2020/NĐ-CP của Chính phủ ngày 14/12/2020 quy định chi tiết và hướng dẫn thi hành một số điều của Bộ Luật Lao Động về điều kiện lao động và quan hệ lao động (“Nghị định 145”).

[8] Điều 21.2 Bộ Luật Lao Động và Điều 4 Thông tư 10.

[9] Điều 69 Nghị định 145.

[10] Điều 16 Bộ Luật Lao Động.

[11] Điều 38 Bộ Luật Dân Sự.

[12] Điều 2.1 Luật Bảo Vệ Dữ Liệu Cá Nhân.

[13] Điều 3 Nghị định 356/2025/NĐ-CP của Chính phủ ngày 31/12/2025 quy định chi tiết một số điều và biện pháp thi hành Luật Bảo Vệ Dữ Liệu Cá Nhân (“Nghị định 356”).

[14] Điều 4 Nghị định 356.

[15] Điều 9 Luật Bảo Vệ Dữ Liệu Cá Nhân.

[16] Điều 6.2 Nghị định 356.

[17] Điều 17.3 (d) Nghị định 356.

[18] Điều 18 Nghị định 356.

Quyền miễn trừ trách nhiệm: Bài viết này được chuẩn bị bởi Công ty Luật TNHH PTN (“PTN Legal”) chỉ nhằm mục đích cung cấp thông tin tham khảo cho người đọc. PTN Legal không cam kết hay đảm bảo về tính chính xác hay đầy đủ của các thông tin này. Nội dung của bài viết có thể được thay đổi, điều chỉnh, hoặc cập nhật mà không cần báo trước. PTN Legal không chịu trách nhiệm về bất kỳ lỗi hoặc thiếu sót nào trong bài viết này hoặc thiệt hại phát sinh từ việc sử dụng bài viết này trong bất kỳ trường hợp nào.

Bài viết được thực hiện bởi Luật sư Phạm Thị Hải Yến