Cập nhập: 07.04.2026
Dẫn nhập:
Trong hoạt động của doanh nghiệp, quá trình tuyển dụng, quản lý và sử dụng người lao động là một trong những lĩnh vực phát sinh và xử lý khối lượng lớn dữ liệu cá nhân, trong đó có nhiều dữ liệu nhạy cảm. Với việc Luật Bảo vệ dữ liệu cá nhân năm 2025 (Luật số 91/2025/QH15) chính thức có hiệu lực từ ngày 01/01/2026 đã thiết lập một khuôn khổ pháp lý mới, đặt ra các yêu cầu chặt chẽ đối với doanh nghiệp trong việc thu thập, xử lý và bảo mật dữ liệu cá nhân của người lao động. Theo đó, trách nhiệm của người sử dụng lao động không chỉ dừng lại ở việc tuân thủ các quy định lao động truyền thống, mà còn mở rộng sang nghĩa vụ bảo vệ quyền dữ liệu cá nhân trong suốt vòng đời quan hệ lao động. Vậy theo Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp có những nghĩa vụ pháp lý cụ thể nào trong tuyển dụng, quản lý và sử dụng người lao động?
I. Tổng quan điểm mới về bảo vệ dữ liệu cá nhân trong quan hệ lao động
Luật Bảo vệ dữ liệu cá nhân 2025 đã thiết lập Điều 25 để quy định riêng về bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý và sử dụng người lao động (“NLĐ”) tương ứng trong từng giai đoạn của quan hệ lao động, trong đó:
(i) Khoản 1 Điều 25 quy định trong quá trình tuyển dụng lao động: người sử dụng lao động chỉ được yêu cầu người dự tuyển cung cấp các thông tin cần thiết, phù hợp với mục đích tuyển dụng và việc xử lý dữ liệu cá nhân của người dự tuyển chỉ được thực hiện trên cơ sở có sự đồng ý của họ; đồng thời, dữ liệu cá nhân của người dự tuyển phải được xóa, hủy trong trường hợp không tuyển dụng, trừ khi các bên có thỏa thuận khác.
(i) Khoản 2 Điều 25 quy định trong giai đoạn quản lý và sử dụng NLĐ: NSDLĐ phải tuân thủ đồng thời Luật Bảo vệ dữ liệu cá nhân 2025, pháp luật về lao động, việc làm và các quy định pháp luật có liên quan. Dữ liệu cá nhân của NLĐ chỉ được lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận hợp pháp và về nguyên tắc phải được xóa, hủy khi chấm dứt hợp đồng lao động.
Ngoài ra, khoản 3 Điều 25 quy định việc xử lý dữ liệu cá nhân của NLĐ được thu thập qua các biện pháp công nghệ, kỹ thuật trong quản lý lao động phải phù hợp với quy định của pháp luật, bảo đảm quyền và lợi ích hợp pháp của NLĐ và trên cơ sở NLĐ được thông báo trước; đồng thời, nghiêm cấm việc xử lý và sử dụng dữ liệu cá nhân được thu thập từ các biện pháp trái quy định pháp luật.
Như vậy, Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025 đã hình thành cơ sở pháp lý trực tiếp để xác định trách nhiệm của doanh nghiệp trong việc bảo vệ dữ liệu cá nhân của NLĐ, làm tiền đề cho việc phân tích cụ thể các nghĩa vụ và rủi ro tuân thủ của doanh nghiệp trong các phần tiếp theo.
II. Trách nhiệm cụ thể của doanh nghiệp trong từng giai đoạn quan hệ lao động
2.1 Trong giai đoạn tuyển dụng
a. Phạm vi thu thập và nghĩa vụ bảo vệ dữ liệu trong tuyển dụng
Theo khoản 1 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp chỉ được yêu cầu người dự tuyển cung cấp các thông tin phục vụ trực tiếp cho mục đích tuyển dụng, phù hợp với quy định của pháp luật và không được sử dụng dữ liệu cá nhân này cho các mục đích khác nếu chưa có thỏa thuận hợp pháp với người dự tuyển.
Trên thực tế, dữ liệu cá nhân của người dự tuyển có thể tồn tại dưới nhiều hình thức khác nhau, bao gồm dữ liệu số (như CV điện tử, email ứng tuyển, dữ liệu ghi âm/ghi hình phỏng vấn) và dữ liệu vật lý (như hồ sơ giấy, biên bản phỏng vấn). Dù tồn tại dưới hình thức nào, các thông tin này đều được coi là dữ liệu cá nhân và phải được doanh nghiệp bảo vệ toàn bộ dữ liệu này trong suốt quá trình tuyển dụng. Đặc biệt theo điểm c khoản 1 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp bắt buộc phải xóa, hủy dữ liệu cá nhân của người dự tuyển không tuyển dụng, trừ khi có thỏa thuận khác với chính người dự tuyển. Như vậy, việc lưu trữ hồ sơ ứng viên một cách mặc định hoặc vô thời hạn, nếu không có sự đồng ý rõ ràng của người dự tuyển, sẽ không còn phù hợp với quy định pháp luật.
b. Thời hạn lưu trữ và nghĩa vụ xóa, hủy hồ sơ ứng tuyển
Pháp luật hiện hành không ấn định một mốc thời gian lưu trữ hồ sơ ứng tuyển áp dụng chung cho mọi trường hợp nhưng, việc lưu trữ này phải tuân thủ các nguyên tắc “giới hạn mục đích” và “giới hạn thời gian lưu trữ” theo Điều 3 Luật Bảo vệ dữ liệu cá nhân 2025. Theo đó, khi mục đích tuyển dụng cho một vị trí cụ thể đã kết thúc, doanh nghiệp phải xóa, hủy hồ sơ ứng viên, trừ khi có sự đồng ý hợp pháp của ứng viên cho một mục đích xử lý mới.
Trên thực tiễn, thời hạn lưu trữ hồ sơ ứng tuyển có thể được phân loại như sau: (i) đối với ứng viên không trúng tuyển và không có thỏa thuận tiếp tục lưu trữ, doanh nghiệp chỉ nên lưu trữ hồ sơ trong một khoảng thời gian hợp lý (thông thường không quá 04 – 06 tháng kể từ khi kết thúc quy trình tuyển dụng) nhằm phục vụ các nhu cầu hành chính, giải trình hoặc xử lý phát sinh; (ii) đối với ứng viên tiềm năng, doanh nghiệp chỉ được tiếp tục lưu trữ hồ sơ khi có sự đồng ý rõ ràng của ứng viên, với thời hạn khuyến nghị có thể từ 12 đến tối đa 16 tháng; và (iii) đối với ứng viên trúng tuyển, hồ sơ ứng tuyển trở thành một phần của hồ sơ nhân sự và được lưu trữ theo các quy định của pháp luật lao động, kế toán, thuế và lưu trữ có liên quan.
Trong mọi trường hợp, việc lưu trữ hồ sơ ứng viên một cách mặc định, vô thời hạn hoặc không gắn với mục đích xử lý cụ thể sẽ tiềm ẩn rủi ro vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
2.2 Trong quá trình quản lý và sử dụng người lao động
Khi quan hệ lao động được thiết lập, phạm vi xử lý dữ liệu cá nhân của doanh nghiệp được mở rộng đáng kể, bao gồm dữ liệu phục vụ quản lý nhân sự, tiền lương, bảo hiểm, đánh giá hiệu suất và kỷ luật lao động.
Trong giai đoạn này, doanh nghiệp cần lưu trữ dữ liệu cá nhân chỉ trong thời hạn cần thiết, theo quy định của pháp luật hoặc theo thỏa thuận hợp pháp với NLĐ. Việc mở rộng phạm vi lưu trữ hoặc kéo dài thời gian lưu trữ dữ liệu vượt quá nhu cầu quản lý hợp pháp có thể bị xem là hành vi xử lý dữ liệu không phù hợp với nguyên tắc bảo vệ dữ liệu cá nhân.
Bên cạnh đó, Luật Bảo vệ dữ liệu cá nhân 2025 cũng đặt ra các yêu cầu chặt chẽ đối với việc thu thập và xử lý dữ liệu cá nhân thông qua các biện pháp công nghệ, kỹ thuật, chẳng hạn như hệ thống chấm công điện tử, camera giám sát hoặc phần mềm theo dõi hiệu suất làm việc. Theo khoản 3 Điều 25, doanh nghiệp chỉ được áp dụng các biện pháp này khi NLĐ được thông báo đầy đủ và biết rõ về việc áp dụng, đồng thời phải bảo đảm rằng các biện pháp đó không xâm phạm quyền và lợi ích hợp pháp của NLĐ. Việc xử lý dữ liệu thu thập từ các biện pháp công nghệ trái quy định pháp luật bị nghiêm cấm.
2.3 Khi chấm dứt quan hệ lao động
Khi hợp đồng lao động chấm dứt, nguyên tắc chung được Luật Bảo vệ dữ liệu cá nhân 2025 đặt ra rằng doanh nghiệp phải xóa, hủy dữ liệu cá nhân của NLĐ. Quy định này nhằm hạn chế việc tiếp tục lưu trữ và sử dụng dữ liệu cá nhân khi mục đích xử lý dữ liệu gắn với quan hệ lao động đã chấm dứt.
Tuy nhiên, doanh nghiệp có thể tiếp tục lưu trữ dữ liệu cá nhân của NLĐ trong một số trường hợp nhất định, bao gồm: (i) có thỏa thuận rõ ràng với NLĐ về việc tiếp tục lưu trữ dữ liệu cho các mục đích cụ thể như giải quyết chế độ sau nghỉ việc, cấp xác nhận công tác hoặc giải quyết tranh chấp; hoặc (ii) pháp luật chuyên ngành có quy định bắt buộc về thời hạn lưu trữ, chẳng hạn như pháp luật về kế toán, thuế hoặc lao động. Dù thuộc trường hợp ngoại lệ, doanh nghiệp vẫn phải tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân, bao gồm giới hạn phạm vi dữ liệu được lưu trữ, bảo đảm an toàn thông tin và xóa, hủy dữ liệu ngay khi hết thời hạn lưu trữ hợp pháp nhằm hạn chế rủi ro pháp lý phát sinh.
III. Rủi ro pháp lý và khuyến nghị tuân thủ cho doanh nghiệp
3.1. Rủi ro pháp lý khi vi phạm nghĩa vụ bảo vệ dữ liệu
Không tuân thủ các nghĩa vụ bảo vệ dữ liệu cá nhân của người dự tuyển và NLĐ, đặc biệt là nghĩa vụ xóa, hủy dữ liệu cá nhân theo quy định tại Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, có thể khiến doanh nghiệp đối mặt với nhiều rủi ro pháp lý nghiêm trọng.
Theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025, tùy theo tính chất, mức độ và hậu quả của hành vi vi phạm, doanh nghiệp có thể bị xử phạt hành chính với mức phạt tối đa lên đến 03 tỷ đồng đối với tổ chức. Đáng lưu ý, trong trường hợp hành vi vi phạm liên quan đến chuyển dữ liệu cá nhân xuyên biên giới trái quy định, mức xử phạt có thể lên tới 5% doanh thu của năm tài chính liền kề trước đó. Đồng thời, trong những trường hợp nghiêm trọng, doanh nghiệp và cá nhân có liên quan có thể bị truy cứu trách nhiệm hình sự hoặc phải bồi thường thiệt hại cho chủ thể dữ liệu, trong đó, việc bồi thường không chỉ dừng lại ở thiệt hại vật chất mà còn có thể bao gồm tổn hại danh dự, uy tín và cơ hội nghề nghiệp của NLĐ.
Ngoài các chế tài pháp lý trực tiếp, vi phạm nghĩa vụ bảo vệ dữ liệu cá nhân còn tiềm ẩn rủi ro tranh chấp lao động và tổn hại uy tín doanh nghiệp. Các hành vi như công khai bảng lương, kết quả đánh giá, hồ sơ sức khỏe của NLĐ; chia sẻ thông tin nhân sự cho bên thứ ba mà không có sự đồng ý; hoặc trao đổi “danh sách đen” ứng viên trong cộng đồng nhân sự đều có thể bị xem là xử lý dữ liệu cá nhân trái phép dù xuất phát từ mục đích quản lý hay phòng ngừa rủi ro tuyển dụng hay quản lý nội bộ.
3.2. Một số khuyến nghị thực tiễn
Để hạn chế các rủi ro pháp lý phát sinh từ việc vi phạm nghĩa vụ bảo vệ dữ liệu cá nhân của người dự tuyển và NLĐ, đồng thời bảo đảm tuân thủ đầy đủ Luật Bảo vệ dữ liệu cá nhân năm 2025, doanh nghiệp cần tiếp cận vấn đề bảo vệ dữ liệu cá nhân theo hướng chủ động, có hệ thống và xuyên suốt toàn bộ vòng đời quan hệ lao động, thay vì chỉ xử lý mang tính tình huống khi phát sinh sự cố, như sau:
(I) Rà soát và điều chỉnh quy trình tuyển dụng và quản lý nhân sự: Xác định danh mục dữ liệu cá nhân được phép thu thập tương ứng với từng vị trí tuyển dụng, ngành nghề kinh doanh và mục đích xử lý. Việc thu thập, lưu trữ hoặc sử dụng dữ liệu cá nhân vượt quá nhu cầu hợp pháp, hoặc không được thông báo đầy đủ cho người dự tuyển và NLĐ, cần được loại bỏ để giảm thiểu nguy cơ vi phạm pháp luật.
(ii) Ban hành quy định nội bộ về quản lý vòng đời dữ liệu cá nhân: Quy định rõ các trường hợp và thời điểm phải xóa, hủy dữ liệu cá nhân của người dự tuyển không trúng tuyển và của NLĐ sau khi chấm dứt hợp đồng lao động. Trường hợp tiếp tục lưu trữ dữ liệu cá nhân, doanh nghiệp cần thiết lập thỏa thuận bằng văn bản với chủ thể dữ liệu, nêu rõ mục đích, phạm vi và thời hạn xử lý.
(iii) Thiết lập chính sách lưu trữ và xoá/huỷ dữ liệu: Xác định thời hạn lưu trữ đối với từng nhóm dữ liệu nhân sự và hồ sơ ứng tuyển, đồng thời áp dụng cơ chế rà soát, xóa/hủy dữ liệu định kỳ. Việc xóa/hủy dữ liệu cần thực hiện một cách an toàn, có kiểm soát và không thể khôi phục nhằm hạn chế rủi ro rò rỉ hoặc sử dụng dữ liệu trái phép.
(iv) Tăng cường tính minh bạch thông qua thỏa thuận bảo vệ dữ liệu cá nhân: Xây dựng thỏa thuận bảo vệ dữ liệu cá nhân và/hoặc thông báo bảo mật dành cho ứng viên và NLĐ, nêu rõ mục đích thu thập, phạm vi xử lý và thời hạn lưu trữ dữ liệu cá nhân ngay từ giai đoạn tuyển dụng, đồng thời thiết kế cơ chế xin sự đồng ý riêng đối với trường hợp lưu trữ hồ sơ ứng viên cho các cơ hội tuyển dụng trong tương lai.
(v) Nâng cao nhận thức tuân thủ trong nội bộ doanh nghiệp: Tổ chức đào tạo và hướng dẫn cho bộ phận nhân sự, quản lý và NLĐ về nghĩa vụ bảo vệ dữ liệu cá nhân trong quá trình tuyển dụng và quản lý lao động
Về dài hạn, bảo vệ dữ liệu cá nhân của NLĐ không chỉ là yêu cầu tuân thủ pháp luật, mà còn là thước đo văn hóa quản trị và mức độ tôn trọng quyền con người trong doanh nghiệp. Việc xây dựng và tuân thủ đầy đủ các nghĩa vụ pháp lý theo Luật Bảo vệ dữ liệu cá nhân 2025 sẽ giúp doanh nghiệp củng cố niềm tin của NLĐ, nâng cao uy tín thương hiệu nhà tuyển dụng và giảm thiểu các rủi ro pháp lý trong hoạt động quản trị nhân sự.
Trong bối cảnh Luật Bảo vệ dữ liệu cá nhân 2025 đã có hiệu lực, việc bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý và sử dụng NLĐ trở thành một yêu cầu tuân thủ cốt lõi đối với mọi doanh nghiệp. Điều 25 của Luật đã xác lập rõ các nghĩa vụ trọng tâm, đặc biệt về giới hạn thu thập, minh bạch trong xử lý, kiểm soát thời hạn lưu trữ và nghĩa vụ xóa/hủy dữ liệu đúng thời điểm. Do đó, doanh nghiệp cần sớm chuẩn hóa quy trình nhân sự, thiết lập cơ chế quản trị dữ liệu nội bộ và nâng cao nhận thức tuân thủ trong toàn hệ thống.
ADK VIETNAM LAWYERS