Việc bảo vệ dữ liệu cá nhân trong tuyển dụng và quản lý lao động cần những lưu ý đặc thù, từ bảo vệ dữ liệu ứng viên đến xử lý hồ sơ nhân sự. Tại DPVN, chúng tôi cung cấp giải pháp toàn diện giúp phòng nhân sự của bạn tuân thủ pháp luật, xây dựng lòng tin và tạo ra một môi trường làm việc an toàn, minh bạch cho dữ liệu người lao động.
Nghĩa vụ của người sử dụng lao động trong việc bảo vệ dữ liệu cá nhân của ứng viên và người lao động theo quy định của pháp luật Việt Nam là gì?
Người sử dụng lao động, với vai trò là Bên Kiểm soát Dữ liệu, có nghĩa vụ bảo vệ dữ liệu cá nhân của ứng viên và người lao động trong suốt vòng đời của họ tại doanh nghiệp. Các nghĩa vụ này được quy định tại Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, Nghị định 13/2023/NĐ-CP và Bộ luật Lao động, bao gồm việc xử lý dữ liệu một cách hợp pháp, minh bạch, bảo mật và tôn trọng các quyền của họ.
Mối quan hệ lao động là một trong những bối cảnh xử lý dữ liệu cá nhân phức tạp nhất. Doanh nghiệp không chỉ xử lý các dữ liệu cơ bản mà còn cả một lượng lớn dữ liệu cá nhân nhạy cảm (thông tin sức khỏe, dữ liệu sinh trắc học…). Do đó, pháp luật đặt ra những yêu cầu tuân thủ rất cao.
Về chuyên môn sâu, doanh nghiệp không chỉ là một bên trong hợp đồng lao động mà còn là một Bên Kiểm soát Dữ liệu (Data Controller) với đầy đủ các trách nhiệm pháp lý. Điều này có nghĩa là, ngoài việc tuân thủ Luật Lao động, doanh nghiệp còn phải tuân thủ toàn bộ các quy định trong luật về bảo vệ dữ liệu, từ việc lập hồ sơ đánh giá tác động đến việc xử lý các yêu cầu của nhân viên với tư cách là chủ thể dữ liệu.
Doanh nghiệp cần áp dụng các biện pháp tuân thủ nào trong quy trình tuyển dụng?
Trong giai đoạn tuyển dụng, doanh nghiệp phải tuân thủ 3 biện pháp cốt lõi: (1) Chỉ thu thập những thông tin thực sự cần thiết cho việc đánh giá ứng viên (tối thiểu hóa dữ liệu); (2) Minh bạch về mục đích xử lý thông qua thông báo tuyển dụng; và (3) Xóa hoặc hủy an toàn hồ sơ của các ứng viên không trúng tuyển sau khi kết thúc đợt tuyển dụng, trừ khi có sự đồng ý của họ để lưu lại.
Việc bảo vệ dữ liệu ứng viên bắt đầu ngay từ khi bạn đăng tin tuyển dụng.
Biện pháp 1: Tối thiểu hóa dữ liệu thu thập
Chỉ yêu cầu ứng viên cung cấp những thông tin thực sự cần thiết để đánh giá sự phù hợp của họ với vị trí công việc. Việc yêu cầu các thông tin không liên quan có thể là hành vi vi phạm.
| Thông tin Nên thu thập | Thông tin Cần cẩn trọng/tránh |
|---|---|
| Họ tên, thông tin liên lạc, trình độ học vấn, kinh nghiệm làm việc, các kỹ năng liên quan. | Tình trạng hôn nhân, tôn giáo, thông tin người thân (trừ khi liên quan trực tiếp đến phúc lợi), hình ảnh toàn thân. |
Biện pháp 2: Minh bạch trong Thông báo Tuyển dụng
Trong tin đăng tuyển dụng hoặc tại đầu biểu mẫu ứng tuyển, cần có một thông báo ngắn gọn về việc xử lý dữ liệu, kèm theo đường link dẫn đến chính sách bảo vệ dữ liệu chi tiết.
Biện pháp 3: Xử lý dữ liệu của ứng viên không trúng tuyển
Đây là một rủi ro pháp lý lớn mà nhiều công ty bỏ qua. Mục đích thu thập hồ sơ đã kết thúc khi vị trí được lấp đầy. Do đó, doanh nghiệp phải:
- Xóa hoặc hủy an toàn hồ sơ của các ứng viên không được chọn sau một khoảng thời gian hợp lý (ví dụ: 3-6 tháng để giải quyết các khiếu nại nếu có).
- Nếu muốn giữ lại hồ sơ để xem xét cho các vị trí trong tương lai, phải có được sự đồng ý riêng và rõ ràng từ ứng viên cho mục đích này.
Doanh nghiệp cần lưu ý những gì trong quá trình quản lý lao động?
Trong quá trình quản lý, doanh nghiệp phải đảm bảo có cơ sở pháp lý phù hợp cho từng hoạt động xử lý dữ liệu nhân sự, hạn chế việc giám sát nhân viên, bảo mật tuyệt đối hồ sơ và quản lý chặt chẽ việc chia sẻ dữ liệu cho các bên thứ ba.
Xác định đúng Cơ sở Pháp lý
Không phải mọi hoạt động xử lý dữ liệu nhân sự đều có thể dựa vào hợp đồng lao động. Doanh nghiệp cần phân biệt rõ:
- Cần thiết cho Hợp đồng/Luật định (Không cần sự đồng ý riêng): Xử lý thông tin để trả lương, đóng BHXH, tính thuế TNCN.
- Không cần thiết (Bắt buộc phải có sự đồng ý riêng): Sử dụng hình ảnh nhân viên để quảng cáo, chia sẻ thông tin cho đối tác cung cấp phúc lợi tự nguyện. Tham khảo thêm: Thu thập sự đồng ý của người lao động bằng hợp đồng lao động.
Giám sát nhân viên một cách hợp pháp
Việc giám sát (camera tại nơi làm việc, giám sát email, máy tính) phải được thực hiện một cách minh bạch, có mục đích chính đáng (đảm bảo an ninh, bảo vệ tài sản) và phải được quy định rõ trong nội quy lao động hoặc chính sách của công ty. Việc giám sát bí mật hoặc xâm phạm quá mức vào đời tư của nhân viên là hành vi bị cấm.
Bảo mật Hồ sơ và Kiểm soát truy cập
Hồ sơ nhân sự chứa rất nhiều dữ liệu nhạy cảm. Doanh nghiệp phải áp dụng các biện pháp bảo mật mạnh mẽ, đặc biệt là nguyên tắc kiểm soát truy cập theo vai trò (Role-Based Access Control), đảm bảo chỉ những người có phận sự (nhân sự, kế toán, quản lý trực tiếp) mới được truy cập vào các thông tin cần thiết cho công việc của họ.
Sau khi chấm dứt hợp đồng lao động, doanh nghiệp phải làm gì với dữ liệu của người lao động?
Sau khi chấm dứt hợp đồng, doanh nghiệp không được xóa ngay lập tức mà có nghĩa vụ phải lưu trữ hồ sơ người lao động trong một khoảng thời gian nhất định theo quy định của Luật Kế toán và Luật Lưu trữ. Hết thời hạn lưu trữ bắt buộc, doanh nghiệp phải tiến hành xóa hoặc hủy dữ liệu một cách an toàn.
Việc xử lý dữ liệu sau khi nhân viên nghỉ việc là một quy trình quan trọng. Doanh nghiệp cần xây dựng một “Chính sách lưu trữ hồ sơ” (Retention Policy) rõ ràng.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Nhiều bộ phận nhân sự thường lúng túng không biết phải lưu hồ sơ của nhân viên cũ trong bao lâu. Câu trả lời nằm ở việc tổng hợp các quy định chuyên ngành. Ví dụ, các chứng từ kế toán liên quan đến tiền lương phải lưu trữ tối thiểu 10 năm. Hồ sơ nhân sự gốc nên được lưu trữ lâu dài. Việc xây dựng một lịch trình lưu trữ chi tiết cho từng loại tài liệu là cách tốt nhất để vừa tuân thủ, vừa tránh việc lưu trữ các dữ liệu không cần thiết.”
Bạn có thể tham khảo bài viết chi tiết của chúng tôi: Thời gian lưu trữ dữ liệu cá nhân của người lao động là bao lâu?
DPVN: Dịch Vụ Tư Vấn Toàn Diện Về Bảo Vệ Dữ Liệu Nhân Sự
Quản lý dữ liệu nhân sự là một trong những lĩnh vực phức tạp và có rủi ro cao nhất. Việc xây dựng một hệ thống quy trình, chính sách tuân thủ đòi hỏi sự am hiểu sâu sắc về cả luật lao động và luật bảo vệ dữ liệu.
Đội ngũ của DPVN, với sự dẫn dắt của Luật sư Nguyễn Lâm Sơn, chuyên cung cấp dịch vụ “Rà soát và Xây dựng Khung tuân thủ cho Bộ phận Nhân sự”. Hãy liên hệ với chúng tôi để được hỗ trợ:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về bảo vệ dữ liệu trong tuyển dụng và lao động
1. Quyền của ứng viên và người lao động liên quan đến dữ liệu cá nhân là gì?
Họ có đầy đủ 11 quyền của chủ thể dữ liệu, bao gồm quyền được biết, quyền truy cập, chỉnh sửa hồ sơ, quyền rút lại sự đồng ý cho các mục đích không bắt buộc, và quyền yêu cầu xóa dữ liệu khi chấm dứt hợp đồng (sau khi hết thời hạn lưu trữ bắt buộc).
2. Doanh nghiệp có được kiểm tra thông tin của ứng viên trên mạng xã hội không?
Đây là một vùng xám pháp lý. Việc truy cập các thông tin mà ứng viên đã tự công khai thường được chấp nhận. Tuy nhiên, việc sử dụng các thông tin này để đưa ra quyết định tuyển dụng (đặc biệt là các thông tin nhạy cảm như quan điểm chính trị, tôn giáo) có thể dẫn đến rủi ro bị cáo buộc phân biệt đối xử. Doanh nghiệp cần hết sức cẩn trọng.
3. Rủi ro và hậu quả pháp lý khi vi phạm quy định trong lĩnh vực này là gì?
Các rủi ro pháp lý khi xử lý dữ liệu cá nhân bao gồm bị xử phạt vi phạm hành chính, phải bồi thường thiệt hại cho người lao động, và bị tổn hại nghiêm trọng đến thương hiệu nhà tuyển dụng, gây khó khăn trong việc thu hút và giữ chân nhân tài.
4. Doanh nghiệp có cần lập hồ sơ ĐGTĐ cho hoạt động xử lý dữ liệu nhân sự không?
Chắc chắn CÓ. Hoạt động quản lý nhân sự liên quan đến việc xử lý một lượng lớn dữ liệu, bao gồm cả dữ liệu nhạy cảm. Do đó, đây là một hoạt động bắt buộc phải được đưa vào hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của doanh nghiệp.
5. Nếu chúng tôi sử dụng phần mềm nhân sự của bên thứ ba (ví dụ: Base.vn, Workday), ai là người chịu trách nhiệm?
Công ty của bạn là Bên Kiểm soát Dữ liệu, chịu trách nhiệm chính trước người lao động. Nhà cung cấp phần mềm là Bên Xử lý Dữ liệu. Bạn phải có một thỏa thuận bảo vệ dữ liệu cá nhân (DPA) chặt chẽ với họ để ràng buộc các nghĩa vụ bảo mật.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Bộ luật Lao động 2019: https://thuvienphapluat.vn/van-ban/Lao-dong-Tien-luong/Bo-luat-lao-dong-2019-323667.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- ICO (UK) – Employment practices and data protection: https://ico.org.uk/for-organisations/guide-to-data-protection/employment-practices/