Bảo vệ dữ liệu cá nhân nhân viên: vùng xám lương thưởng

Dữ liệu nhân sự và lương thưởng là “vùng xám” dễ vi phạm Nghị định 13/2023/NĐ-CP. Bài viết gợi ý cách bảo vệ dữ liệu cá nhân nhân viên trong hồ sơ nhân sự cho SME. 

1. Vì sao dữ liệu nhân sự & lương thưởng là “vùng xám” nguy hiểm? 

Khi nhắc tới bảo mật, nhiều doanh nghiệp vừa và nhỏ nghĩ ngay tới dữ liệu khách hàng hoặc dữ liệu sản phẩm. Trong khi đó, dữ liệu nhân sự và lương thưởng thường bị xem là “việc nội bộ HR, không ai đụng tới”. 

Thực tế, trong mắt Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, dữ liệu của nhân viên cũng là dữ liệu cá nhân cần được bảo vệ như bất kỳ khách hàng nào. Thậm chí, nhiều trường thông tin trong hồ sơ nhânsự còn nhạy cảm hơn: 

• Số CMND/CCCD, số hộ chiếu. 
• Số tài khoản ngân hàng, thông tin lương thưởng. 
• Thông tin người thân, liên hệ khẩn cấp. 
• Thông tin sức khỏe, giấy khám sức khỏe, bảo hiểm. 

Nếu doanh nghiệp xử lý và lưu trữ lỏng lẻo, rất dễ vi phạm quy định bảo mật thông tin trong doanh nghiệp và làm lộ dữ liệu cá nhân nhân viên mà không nhận ra. 

2. Những thói quen “vùng xám” SME thường mắc phải 

Dưới đây là một vài tình huống rất phổ biến: 

2.1. Lương thưởng lưu trong Excel, share cả phòng cùng xem 

• File lương thưởng được lưu trên Google Sheets/Excel online, share cho nhiều người “cho tiện”. 
• Một số bạn vô tình để chế độ “ai có link cũng xem được”. 

Hệ quả: thông tin lương, thưởng, số tài khoản, mã số thuế cá nhân… của nhân viên có thể bị xem bởi người không có quyền, thậm chí bởi người ngoài nếu link bị lộ. 

2.2. Gửi lương, hợp đồng qua email cá nhân 

• HR gửi hợp đồng lao động bản mềm, bảng lương chi tiết qua email Gmail cá nhân. 
• Không có quy định rõ dùng email công ty cho nội dung gì, email cá nhân cho nội dung gì. 

Điều này khiến việc bảo vệ dữ liệu cá nhân nhân viên trở nên gần như bất khả thi: doanh nghiệp không kiểm soát được dữ liệu đang “nằm rải rác” trong inbox cá nhân. 

2.3. Lưu hồ sơ nhân sự ở tủ giấy & ổ cứng cũ 

• Hồ sơ giấy để trong tủ, ai mượn cũng được, không ghi chép ai đã xem. 
• File scan CMND/CCCD, sổ hộ khẩu, giấy khám sức khỏe… lưu trong ổ cứng cũ hoặc USB không mã hóa, ai cũng có thể copy. 

2.4. Chia sẻ dữ liệu cho bên ngoài mà không có điều khoản rõ ràng 

• Gửi danh sách nhân viên (tên, số điện thoại, email) cho đơn vị bảo hiểm, ngân hàng, đơn vị tổ chức team building… qua file đính kèm. 
• Hợp đồng với nhà cung cấp không có điều khoản bảo mật thông tin hoặc hợp đồng xử lý dữ liệu rõ ràng. 

Trong tất cả các tình huống trên, doanh nghiệp rất khó chứng minh rằng mình đã thực hiện đầy đủ nghĩa vụ bảo vệ dữ liệu cá nhân nhân viên nếu có khiếu nại hoặc kiểm tra. 

3. Nghị định 13/2023/NĐ-CP nhìn vào dữ liệu nhân sự như thế nào? 

Không cần trích dẫn pháp lý phức tạp, có thể hiểu đơn giản: 

• Nhân viên cũng là chủ thể dữ liệu, có quyền được biết, được bảo vệ và được yêu cầu xem/xóa/sửa dữ liệu của mình. 
• Doanh nghiệp là bên xử lý dữ liệu, có trách nhiệm: 
• Thu thập trong phạm vi cần thiết, 
• Thông báo rõ mục đích, 
• Bảo vệ dữ liệu khỏi truy cập trái phép, 
• Chỉ chia sẻ cho bên thứ ba khi có căn cứ phù hợp, 
• Lưu giữ trong thời gian hợp lý, 
• Có hồ sơ, chính sách để chứng minh mình làm đúng. 

Nói cách khác, nếu bạn muốn tuân thủ Nghị định 13, không thể chỉ bảo vệ dữ liệu khách hàng mà bỏ quên dữ liệu cá nhân nhân viên trong các quy trình HR và payroll. 

4. 5 việc SME có thể làm ngay để bảo vệ dữ liệu nhân sự & lương thưởng 

4.1. Rà soát lại “hành trình” dữ liệu nhân sự 

Hãy cùng HR và kế toán trả lời: 

• Nhân viên đưa dữ liệu cho bạn qua những kênh nào? (form, email, scan, hồ sơ giấy…) 
• Dữ liệu được nhập vào những hệ thống nào? (phần mềm chấm công, tính lương, bảo hiểm, CRM nội bộ…) 
• Ai đang có quyền xem, sửa, xuất file từ những hệ thống đó? 

Chỉ cần vẽ sơ đồ đơn giản, bạn đã có cái nhìn đủ rõ để bắt đầu bịt các lỗ hổng lớn. 

4.2. Chuẩn hóa nơi lưu hồ sơ nhân sự 

• Quy định một nơi chính thức để lưu hồ sơ nhân sự và lương thưởng: phần mềm HRM, thư mục bảo mật trên server, kho cloud có phân quyền rõ ràng. 
• Hạn chế tối đa việc lưu rải rác trên USB, ổ cứng cá nhân, Google Drive cá nhân. 
• Với bản giấy, tủ hồ sơ cần khóa, có danh sách người được phép truy cập. 

Điều này giúp bạn dễ kiểm soát hơn khi cần chứng minh mình đã thực hiện quy định bảo mật thông tin trong doanh nghiệp. 

4.3. Giới hạn quyền truy cập theo vai trò 

Không phải ai trong công ty cũng cần xem mức lương, thưởng chi tiết của từng người. 

• Chỉ HR, kế toán, và một số quản lý nhất định được xem các trường nhạy cảm (lương, tài khoản ngân hàng, mã số thuế…). 
• Nếu dùng file Excel/Sheets, hãy sử dụng: 
• Chế độ chỉ xem, 
• Giới hạn email được truy cập, 
• Ẩn cột hoặc chia tab theo nhu cầu của từng nhóm. 

Trên hệ thống HRM, nên áp dụng phân quyền theo role thay vì tài khoản “admin chung cho cả phòng”. 

4.4. Thông báo và xin đồng ý rõ ràng với nhân viên 

Trong hồ sơ nhân sự hoặc trong phụ lục hợp đồng lao động, có thể thêm một đoạn ngắn: 

• Liệt kê các nhóm thông tin cá nhân được thu thập (liên hệ, giấy tờ tùy thân, tài khoản lương, thông tin bảo hiểm…). 
• Nêu mục đích: ký hợp đồng, trả lương, đóng bảo hiểm, tuân thủ nghĩa vụ thuế, quản lý nội bộ. 
• Nêu rõ: dữ liệu có thể được chia sẻ cho các bên nào (cơ quan nhà nước, ngân hàng trả lương, đơn vị bảo hiểm…). 

Không cần viết như văn bản luật, chỉ cần rõ ràng, dễ hiểu để nhân viên biết quyền và nghĩa vụ của mình. 

4.5. Xây “bộ hồ sơ bảo vệ dữ liệu cá nhân nhân viên” tối thiểu 

Bạn không nhất thiết phải xây cả hệ thống phức tạp. Một bộ hồ sơ tối thiểu có thể gồm: 

1. Danh sách các nhóm dữ liệu nhân sự đang xử lý (thông tin cá nhân, lương, bảo hiểm, chấm công…). 
2. Mục đích sử dụng của từng nhóm. 
3. Nơi lưu trữ chính (phần mềm nào, thư mục nào). 
4. Nhóm người được truy cập. 
5. Thời gian lưu giữ và cách xóa/số hóa khi nghỉ việc. 

Có thể bắt đầu bằng một file Excel đơn giản, miễn là cập nhật và có người chịu trách nhiệm. 

 5. Văn hóa nội bộ cũng quan trọng không kém kỹ thuật 

Cuối cùng, đừng quên yếu tố con người: 

• Nhắc lại trong các buổi onboarding, training rằng dữ liệu nhân sự và lương thưởng là thông tin mật, không chia sẻ tùy tiện. 
• Không “trêu nhau” bằng cách công khai bảng lương, mức thưởng để tạo áp lực hoặc so sánh. 
• Khuyến khích nhân viên báo ngay khi thấy file, email, đường link liên quan đến lương thưởng bị chia sẻ sai chỗ. 

Khi bảo vệ dữ liệu cá nhân nhân viên trở thành một phần của văn hóa, không chỉ HR mà cả công ty sẽ chủ động hơn trong việc tuân thủ Nghị định 13/2023/NĐ-CP và bảo vệ chính mình. 

6. Kết luận 

Dữ liệu nhân sự và lương thưởng là một trong những “vùng xám” dễ bị bỏ qua, nhưng lại chứa nhiều thông tin nhạy cảm nhất trong doanh nghiệp. Nếu không được quản lý đúng cách, doanh nghiệp vừa và nhỏ rất dễvướng rủi ro pháp lý, mất uy tín và mất niềm tin từ chính nhân viên của mình. 

Bắt đầu từ những bước đơn giản: rà soát hành trình dữ liệu, chuẩn hóa nơi lưu, phân quyền rõ, thông báo minh bạch và xây hồ sơ tối thiểu, bạn đã đi được một chặng đường dài trong việc bảo vệ dữ liệu cá nhân nhânviên – đúng với tinh thần của Nghị định 13/2023/NĐ-CP và các quy định bảo mật thông tin trong doanh nghiệp hiện nay.