Dự thảo Luật Bảo vệ Dữ liệu Cá nhân: Điểm mờ trong bảo vệ dữ liệu người lao động

Trong bối cảnh chuyển đổi số toàn cầu, dữ liệu cá nhân đã trở thành một nguồn tài nguyên quan trọng, đặc biệt trong lĩnh vực lao động, nơi thông tin cá nhân của người lao động và ứng viên được thu thập, xử lý và lưu trữ thường xuyên. Tại Việt Nam, Dự thảo Luật Bảo vệ dữ liệu cá nhân (Dự thảo), đặc biệt là Điều 21[1], được xây dựng nhằm thiết lập khung pháp lý bảo vệ dữ liệu cá nhân trong tuyển dụng và quản lý người lao động. Quy định này phản ánh nỗ lực của Việt Nam trong việc hội nhập với các tiêu chuẩn quốc tế, như Quy định Chung về Bảo vệ Dữ liệu (GDPR) của Liên minh Châu Âu, đồng thời đáp ứng yêu cầu bảo vệ quyền riêng tư trong bối cảnh Việt Nam.

 

 

Tuy nhiên, khi so sánh với các tiêu chuẩn quốc tế và các quy định pháp luật hiện hành của Việt Nam có liên quan, Điều 21 Dự thảo vẫn bộc lộ nhiều điểm chưa hợp lý, bao gồm sự thiếu cụ thể trong các nguyên tắc xử lý dữ liệu, thiếu cơ chế thực thi, và mâu thuẫn tiềm tàng với các văn bản pháp luật khác như Bộ luật Lao động 2019 hay Luật An ninh mạng 2018. Trong bài viết này, chúng tôi sẽ phân tích chi tiết các điểm chưa hoàn thiện này và có những so sánh với các thông lệ quốc tế và pháp luật nội địa để đưa ra khuyến nghị cụ thể với mong muốn hoàn thiện Dự thảo, đảm bảo tính khả thi khi ban hành và thực thi tron thực tế.

1. Quy định liên quan bảo vệ dữ liệu cá nhân người lao động tại Dự thảo

Điều 21 của Dự thảo quy định trách nhiệm của các cơ quan, tổ chức, cá nhân trong việc thu thập, xử lý, lưu trữ, và xóa dữ liệu cá nhân trong tuyển dụng và quản lý người lao động với các nội dung chính như:

1. Quy định trách nhiệm của cơ quan tuyển dụng, yêu cầu chỉ thu thập dữ liệu phục vụ mục đích tuyển dụng, có sự đồng ý của ứng viên, và xóa dữ liệu nếu không tuyển dụng.
2. Yêu cầu bảo vệ dữ liệu của người lao động, bao gồm lưu trữ có thời hạn và xóa dữ liệu khi chấm dứt hợp đồng, trừ trường hợp pháp luật quy định khác.
3. Quy định việc sử dụng công nghệ (như ghi âm, ghi hình) để thu thập dữ liệu, yêu cầu phù hợp pháp luật và đảm bảo người lao động biết rõ biện pháp này.
4. Giao Chính phủ quy định việc xử lý dữ liệu của người lao động Việt Nam bởi tổ chức, cá nhân nước ngoài.

Mặc dù Điều 21 đặt nền tảng cho việc bảo vệ dữ liệu cá nhân trong lĩnh vực lao động, nhưng quy định này còn thiếu chi tiết, thiếu cơ chế thực thi, và chưa đồng bộ với các quy định khác có liên quan của pháp luật Việt Nam cũng như chưa tiệm cận với các tiêu chuẩn quốc tế trong lĩnh vực này.

2. Các điểm cần điều chỉnh

2.1 Thiếu cụ thể trong nguyên tắc thu thập và sử dụng dữ liệu

Vấn đề:

• Khoản 1.a yêu cầu cơ quan tuyển dụng chỉ thu thập thông tin “phù hợp quy định của pháp luật” và sử dụng cho mục đích tuyển dụng hoặc mục đích khác theo thỏa thuận. Tuy nhiên, Dự thảo không định nghĩa rõ “phù hợp quy định của pháp luật” là gì, dẫn đến nguy cơ diễn giải không thống nhất.
• Khoản 1.b yêu cầu sự đồng ý của người dự tuyển, nhưng không quy định hình thức đồng ý (văn bản, điện tử, hay ngầm định) hoặc cách thức thông báo về mục đích và phạm vi sử dụng dữ liệu.
• Khoản 3.a cho phép sử dụng công nghệ (ghi âm, ghi hình) nhưng chỉ yêu cầu “người lao động biết rõ biện pháp đó” mà không quy định rõ về thông báo trước hoặc quyền từ chối. Hay sau khi đã đồng ý rồi có quyền rút lại quyền từ chối đó không?

So sánh với pháp luật Việt Nam:

• Nghị định 13/2023/NĐ-CP (Điều 3) quy định tám nguyên tắc bảo vệ dữ liệu cá nhân, bao gồm minh bạch, mục đích rõ ràng, và tối thiểu hóa dữ liệu. Tuy nhiên, Điều 21 không tích hợp các nguyên tắc này, đặc biệt là yêu cầu thông báo chi tiết về mục đích và phạm vi sử dụng dữ liệu.
• Bộ luật Lao động 2019 (Điều 3) nhấn mạnh quyền riêng tư của người lao động, nhưng không có quy định cụ thể về xử lý dữ liệu cá nhân trong tuyển dụng. Điều 21 có thể bổ sung khoảng trống này, nhưng sự thiếu cụ thể về hình thức đồng ý và thông báo làm giảm tính hiệu quả.

So sánh với GDPR:

• GDPR[2] (Điều 6 và Điều 7) yêu cầu sự đồng ý phải rõ ràng, cụ thể, tự nguyện, và được ghi nhận bằng văn bản hoặc hình thức tương đương. Doanh nghiệp phải cung cấp thông tin minh bạch về mục đích, phạm vi, thời gian xử lý dữ liệu, và các bên nhận dữ liệu trước khi thu thập. GDPR cũng quy định quyền rút lại sự đồng ý bất kỳ lúc nào, một nội dung mà Điều 21 không đề cập.
• GDPR (Điều 5) áp dụng nguyên tắc “tối thiểu hóa dữ liệu” (data minimization), yêu cầu chỉ thu thập dữ liệu cần thiết cho mục đích cụ thể. Điều 21 không đề cập đến nguyên tắc này, dẫn đến nguy cơ thu thập dữ liệu quá mức, đặc biệt khi sử dụng công nghệ giám sát.

Đề xuất điều chỉnh:

• Bổ sung quy định rõ ràng về hình thức đồng ý (ví dụ: bằng văn bản hoặc điện tử) và nội dung thông báo (mục đích, phạm vi, thời gian lưu trữ, và các bên nhận dữ liệu).
• Áp dụng nguyên tắc tối thiểu hóa dữ liệu, yêu cầu chỉ thu thập thông tin cần thiết cho mục đích tuyển dụng hoặc quản lý lao động.
• Quy định quyền rút lại sự đồng ý của người lao động, phù hợp với GDPR và Nghị định 13/2023/NĐ-CP.

2.2 Quy định về xóa và hủy dữ liệu

Vấn đề:

• Khoản 1.c yêu cầu xóa dữ liệu của ứng viên không được tuyển dụng, và khoản 2.c yêu cầu xóa dữ liệu khi chấm dứt hợp đồng lao động, trừ trường hợp pháp luật quy định khác. Tuy nhiên, Dự thảo không xác định thời hạn cụ thể để xóa dữ liệu hoặc cơ chế giám sát việc thực hiện.
• Không có quy định về quyền của người lao động trong việc yêu cầu xóa dữ liệu hoặc kiểm tra việc xóa đã được thực hiện.

So sánh với pháp luật Việt Nam:

• Bộ luật Lao động 2019 (Điều 48) yêu cầu lưu trữ hồ sơ người lao động trong một số trường hợp sau khi chấm dứt hợp đồng (ví dụ, để giải quyết tranh chấp lao động hoặc nghĩa vụ bảo hiểm xã hội, sao lưu và gửi hồ sơ cho người lao động khi có yêu cầu). Điều 21 không làm rõ “trường hợp pháp luật quy định khác” là gì, gây nguy cơ mâu thuẫn với Bộ luật Lao động.
• Nghị định 13/2023/NĐ-CP (Điều 9) yêu cầu xóa dữ liệu khi không còn cần thiết, nhưng không quy định cơ chế giám sát. Điều 21 tiếp tục thiếu quy định này, làm giảm tính khả thi trên thực tế.

So sánh với pháp luật quốc tế (GDPR):

• GDPR (Điều 17) quy định “quyền được lãng quên” (right to be forgotten), cho phép cá nhân yêu cầu xóa dữ liệu khi không còn cần thiết. Tổ chức phải chứng minh việc xóa dữ liệu đã được thực hiện. Điều 21 thiếu cơ chế này, làm giảm khả năng bảo vệ quyền lợi người lao động.
• GDPR yêu cầu thời hạn lưu trữ dữ liệu phải được xác định rõ ràng và không vượt quá thời gian cần thiết. Điều 21 chỉ đề cập đến “theo quy định của pháp luật hoặc thỏa thuận trong hợp đồng” mà không cung cấp hướng dẫn cụ thể.

Đề xuất điều chỉnh:

• Quy định thời hạn cụ thể để xóa dữ liệu (ví dụ: trong vòng 30 ngày sau khi không tuyển dụng hoặc chấm dứt hợp đồng).
• Bổ sung quyền yêu cầu xóa dữ liệu và cơ chế để người lao động kiểm tra việc xóa đã được thực hiện.
• Làm rõ các trường hợp ngoại lệ về lưu trữ dữ liệu (ví dụ: theo yêu cầu của Luật Bảo hiểm xã hội) để tránh mâu thuẫn với Bộ luật Lao động.

 

Toàn cảnh hội thảo về Dự thảo Luật Bảo vệ dữ liệu cá nhân. Nguồn: Báo Điện tử Chính phủ

 

2.3 Sử dụng công nghệ trong quản lý người lao động

Vấn đề:

• Khoản 3 cho phép sử dụng các biện pháp công nghệ (ghi âm, ghi hình) nhưng chỉ yêu cầu “phù hợp với quy định của pháp luật” và “người lao động biết rõ biện pháp đó”. Dự thảo không quy định rõ về thông báo trước, quyền từ chối, hoặc giới hạn phạm vi giám sát.

So sánh với pháp luật Việt Nam:

• Bộ luật Lao động 2019 (Điều 6) yêu cầu các biện pháp giám sát phải tôn trọng quyền riêng tư và phẩm giá người lao động. Tuy nhiên, Điều 21 không quy định quyền từ chối giám sát hoặc giới hạn phạm vi, gây nguy cơ lạm dụng công nghệ.
• Nghị định 13/2023/NĐ-CP (Điều 24) yêu cầu DPIA trong một số trường hợp, nhưng Điều 21 không tích hợp yêu cầu này, dẫn đến sự không thống nhất.

So sánh với pháp luật quốc tế (GDPR):

• GDPR (Điều 22) cấm các quyết định tự động dựa trên dữ liệu cá nhân (như sử dụng AI để đánh giá hiệu suất) trừ khi có sự đồng ý rõ ràng hoặc cần thiết cho hợp đồng. GDPR cũng yêu cầu đánh giá tác động bảo vệ dữ liệu (DPIA) đối với các biện pháp giám sát công nghệ có nguy cơ cao. Điều 21 không đề cập đến DPIA, một công cụ quan trọng để đánh giá rủi ro.
• GDPR yêu cầu thông báo trước chi tiết về mục đích, phạm vi, và thời gian lưu trữ dữ liệu giám sát. Điều 21 chỉ yêu cầu “người lao động biết rõ” mà không quy định hình thức hoặc nội dung thông báo.

Đề xuất điều chỉnh:

• Yêu cầu DPIA đối với các biện pháp công nghệ giám sát có nguy cơ cao, như quy định trong Nghị định 13/2023/NĐ-CP và GDPR.
• Quy định quyền từ chối giám sát của người lao động và yêu cầu thông báo trước chi tiết về mục đích, phạm vi, và thời gian giám sát.
• Giới hạn phạm vi sử dụng công nghệ để đảm bảo chỉ thu thập dữ liệu cần thiết, tránh xâm phạm quyền riêng tư.

2.4 Quản lý dữ liệu bởi tổ chức, cá nhân nước ngoài

Vấn đề:

• Khoản 4 giao Chính phủ quy định việc xử lý dữ liệu của người lao động Việt Nam bởi tổ chức, cá nhân nước ngoài, nhưng không cung cấp nguyên tắc hướng dẫn hoặc cơ chế quản lý xuyên biên giới.

So sánh với pháp luật Việt Nam:

• Luật An ninh mạng 2018 (Điều 26.3) yêu cầu các nhà cung cấp dịch vụ nước ngoài lưu trữ dữ liệu tại Việt Nam và đặt văn phòng đại diện tại Việt Nam. Điều 21 không tích hợp yêu cầu này, dẫn đến sự không thống nhất.
• Nghị định 13/2023/NĐ-CP không quy định cụ thể về dữ liệu xuyên biên giới trong lĩnh vực lao động, khiến khoản 4 thiếu cơ sở thực thi.

So sánh với pháp luật quốc tế (GDPR):

• GDPR (Chương V) quy định chi tiết về chuyển giao dữ liệu xuyên biên giới, yêu cầu các quốc gia nhận dữ liệu phải có mức độ bảo vệ tương đương hoặc sử dụng các biện pháp bảo vệ bổ sung (như hợp đồng tiêu chuẩn - SCC). Điều 21 không đề cập đến các cơ chế này, khiến việc quản lý dữ liệu xuyên biên giới thiếu rõ ràng.
• GDPR yêu cầu các tổ chức nước ngoài xử lý dữ liệu của công dân EU phải chỉ định đại diện tại EU. Điều 21 không có yêu cầu tương tự, gây khó khăn trong giám sát và xử lý vi phạm.

Đề xuất điều chỉnh:

• Bổ sung yêu cầu lưu trữ dữ liệu tại Việt Nam và chỉ định đại diện pháp lý cho các tổ chức nước ngoài, phù hợp với Luật An ninh mạng.
• Áp dụng các cơ chế bảo vệ dữ liệu xuyên biên giới, như hợp đồng tiêu chuẩn hoặc chứng nhận mức độ bảo vệ tương đương.
• Cung cấp nguyên tắc hướng dẫn cụ thể trong Điều 21 để định hướng các văn bản dưới luật.

 

Điều 21 của Dự thảo Luật Bảo vệ dữ liệu cá nhân là một bước tiến trong việc bảo vệ quyền riêng tư của người lao động tại Việt Nam, nhưng vẫn tồn tại nhiều điểm cần điều chỉnh để đảm bảo tính khả thi, thống nhất với pháp luật nội địa, và phù hợp với tiêu chuẩn quốc tế. Các vấn đề chính bao gồm sự thiếu cụ thể trong nguyên tắc thu thập và sử dụng dữ liệu, thiếu cơ chế xóa dữ liệu và giám sát công nghệ, thiếu quy định về dữ liệu xuyên biên giới, và cơ chế giám sát thực thi hiệu quả. Những điều chỉnh được chúng tôi đề xuất không chỉ giúp bảo vệ quyền lợi người lao động mà còn thúc đẩy sự hội nhập của Việt Nam vào hệ thống pháp lý toàn cầu về bảo vệ dữ liệu cá nhân, tạo nền tảng thực thi rõ ràng, dễ thực hiện cho người sử dụng lao động trên thực tế.