Doanh nghiệp chỉ được phép lưu trữ dữ liệu cá nhân của người lao động trong bao lâu theo quy định?

Nội dung chính

• Doanh nghiệp chỉ được phép lưu trữ dữ liệu cá nhân của người lao động trong bao lâu theo quy định?
• Doanh nghiệp khi lưu trữ dữ liệu cá nhân của người lao động có phải thông báo xử lý dữ liệu cá nhân không?
• Các hành vi bị nghiêm cấm trong hoạt động bảo vệ dữ liệu cá nhân mà doanh nghiệp cần chú ý?

Doanh nghiệp chỉ được phép lưu trữ dữ liệu cá nhân của người lao động trong bao lâu theo quy định?

Căn cứ tại Điều 3 Nghị định 13/2023/NĐ-CP về nguyên tắc bảo vệ dữ liệu cá nhân như sau:

Nguyên tắc bảo vệ dữ liệu cá nhân

...

6. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.

7. Dữ liệu cá nhân chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.

8. Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều này và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.

Như vậy, doanh nghiệp chỉ được lưu trữ dữ liệu cá nhân của người lao động trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu, trừ trường hợp pháp luật có quy định khác.

Lưu ý: Doanh nghiệp phải chịu trách nhiệm tuân thủ các nguyên tắc xử lý dữ liệu được quy định từ khoản 1 tới khoản 7 Điều 3 Nghị định 13/2023/NĐ-CP và chứng minh sự tuân thủ của mình với các nguyên tắc xử lý dữ liệu đó.

Doanh nghiệp chỉ được phép lưu trữ dữ liệu cá nhân của người lao động trong bao lâu theo quy định? (Hình từ Internet)

Doanh nghiệp khi lưu trữ dữ liệu cá nhân của người lao động có phải thông báo xử lý dữ liệu cá nhân không?

Căn cứ tại Điều 13 Nghị định 13/2023/NĐ-CP về thông báo xử lý dữ liệu cá nhân:

Thông báo xử lý dữ liệu cá nhân

1. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.

2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân:

a) Mục đích xử lý;

b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;

c) Cách thức xử lý;

d) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;

đ) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;

e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.

3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều này trong các trường hợp sau:

a) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều này trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Nghị định này;

b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.

Thêm vào đó, theo quy định tại khoản 7 Điều 2 Nghị định 13/2023/NĐ-CP thì xử lý dữ liệu cá nhân được định nghĩa như sau:

7. Xử lý dữ liệu cá nhân là một hoặc nhiều hoạt động tác động tới dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

Như vậy, doanh nghiệp khi lưu trữ dữ liệu cá nhân của người lao động thì phải cho chủ thể dữ liệu (người lao động) về xử lý dữ liệu cá nhân, trừ các trường hợp sau:

- Chủ thể dữ liệu (người lao động) đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều 13 Nghị định 13/2023/NĐ-CP trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Nghị định 13/2023/NĐ-CP;

- Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.

Lưu ý: Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.

Các hành vi bị nghiêm cấm trong hoạt động bảo vệ dữ liệu cá nhân mà doanh nghiệp cần chú ý?

Theo quy định tại Điều 8 Nghị định 13/2023/NĐ-CP thì các hành vi bị nghiêm cấm trong hoạt động bảo vệ dữ liệu cá nhân mà doanh nghiệp cần chú ý là:

- Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.

- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.

- Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.

- Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.

- Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.