Vào ngày 26 tháng 6 năm 2025; Quốc hội Việt Nam đã chính thức thông qua Luật Bảo vệ dữ liệu cá nhân (BVDLCN), sẽ có hiệu lực từ 01/01/2026. Đây là văn bản pháp lý đầu tiên ở mức Luật; thay thế khuôn khổ trước đây là Nghị định 13/2023/NĐ-CP; với phạm vi điều chỉnh rộng hơn, quyền chủ thể dữ liệu rõ ràng hơn và chế tài xử phạt mạnh mẽ hơn.
Luật bảo vệ dữ liệu cá nhân đặt ra một tiêu chuẩn tuân thủ mới cho mọi tổ chức, bao gồm cả bộ phận Quản trị nhân sự (HR) trong doanh nghiệp; bởi HR là nơi xử lý khối lượng lớn dữ liệu cá nhân và nhạy cảm của người lao động trong toàn bộ vòng đời nhân sự.
1. Phạm vi và cơ sở pháp lý của BVDLCN 2025
Luật Bảo vệ dữ liệu cá nhân 2025 được Quốc hội ban hành để tạo ra một hệ thống pháp lý toàn diện nhất đối với việc xử lý dữ liệu cá nhân; đồng thời kế thừa và mở rộng các quy định trước đó trong Nghị định 13/2023/NĐ-CP. BVDLCN có hiệu lực từ 1/1/2026 và áp dụng đối với mọi đối tượng tổ chức, cá nhân (bao gồm cả tổ chức nước ngoài) xử lý dữ liệu cá nhân của người cư trú tại Việt Nam.
2. Quy định về xử lý, thu thập và mục đích sử dụng dữ liệu
Một nguyên tắc cốt lõi của Luật Bảo vệ dữ liệu cá nhân là mỗi hoạt động thu thập và xử lý dữ liệu phải có mục đích cụ thể, hợp pháp và rõ ràng. Dữ liệu chỉ được xử lý trong phạm vi cần thiết để đạt được mục đích đã thông báo với chủ thể dữ liệu.
Đối với HR, điều này có nghĩa:
- Mỗi loại dữ liệu nhân sự (hồ sơ tuyển dụng, thông tin lương thưởng, dữ liệu hồ sơ sức khỏe…) phải được liệt kê rõ mục đích khi thu thập.
- Việc dùng dữ liệu cho mục đích khác ngoài mục đích ban đầu (ví dụ: dùng dữ liệu tuyển dụng để nghiên cứu marketing nội bộ) phải được phát đi thông báo mới và thu lại sự đồng ý của chủ thể dữ liệu.
Luật cũng yêu cầu các tổ chức tuân thủ nguyên tắc giới hạn dữ liệu; tức là không thu thập dữ liệu vượt quá mức cần thiết cho mục đích xử lý.
3. Quyền của người lao động (chủ thể dữ liệu) theo BVDLCN
BVDLCN quy định rõ một loạt quyền của chủ thể dữ liệu mà HR cần tôn trọng và có quy trình cụ thể để thực thi:
- Quyền biết: Nhân viên có quyền được biết dữ liệu nào đang được thu thập và xử lý.
- Quyền truy cập: Nhân viên có quyền yêu cầu xem và nhận bản sao dữ liệu của mình.
- Quyền chỉnh sửa: Khi dữ liệu sai, nhân viên có quyền yêu cầu cập nhật.
- Quyền xóa và hạn chế xử lý: Khi dữ liệu không còn mục đích sử dụng hợp pháp.
- Quyền rút lại đồng ý: Nhân viên có thể rút lại sự đồng ý đã cấp cho việc xử lý dữ liệu.
- Quyền phản đối: Nhân viên có quyền phản đối việc xử lý dữ liệu trong một số trường hợp nhất định.
Những quyền này yêu cầu HR phải có quy trình tiếp nhận; xử lý và phản hồi trong thời hạn pháp luật quy định; không chỉ trong nội bộ mà còn có thể được kiểm tra bởi cơ quan nhà nước nếu xảy ra khiếu nại.
4. Tiêu chí đồng ý xử lý dữ liệu: rõ ràng, cụ thể và có thể chứng minh
Một điểm nhấn quan trọng của BVDLCN so với Nghị định trước là tiêu chí của sự đồng ý hợp lệ được làm rõ và nghiêm ngặt hơn:
- Đồng ý phải cho từng mục đích cụ thể, rõ ràng;
- Phải được lưu giữ và có thể chứng minh (không chấp nhận im lặng hay nút “tiếp tục” mặc định);
- Phải thu được trước khi bắt đầu xử lý dữ liệu.
Với khối lượng dữ liệu HR xử lý; đặc biệt dữ liệu nhạy cảm như sinh trắc học, ảnh ID, hồ sơ y tế; việc thiết kế biểu mẫu đồng ý và hệ thống lưu trữ chứng cứ đồng ý trở thành yêu cầu pháp lý bắt buộc.
5. Chế tài và trách nhiệm tuân thủ trong hoạt động nhân sự
BVDLCN bổ sung một khuôn khổ chế tài xử phạt mới và nghiêm khắc hơn so với quy định trước đây. Các biện pháp này bao gồm:
- Phạt hành chính lớn: Có thể lên tới 5% doanh thu năm trước đối với vi phạm chuyển dữ liệu ra nước ngoài.
- Phạt đối với giao dịch dữ liệu bất hợp pháp: Có thể lên tới 10 lần doanh thu bất hợp pháp thu được từ việc mua bán dữ liệu.
- Mức phạt khác cho hành vi vi phạm quy định chung (lên tới VND 3 tỷ đồng).
Dữ liệu nhân sự là một trong những loại dữ liệu nhạy cảm nếu HR không kiểm soát chặt chẽ; vì vậy sự tuân thủ không chỉ là tuân thủ nội bộ; mà còn liên quan trực tiếp đến trách nhiệm pháp lý của doanh nghiệp đối với cơ quan quản lý.
Kết luận:
Luật Bảo vệ dữ liệu cá nhân đánh dấu bước hoàn thiện nền tảng pháp lý trong lĩnh vực bảo vệ quyền riêng tư và xử lý dữ liệu tại Việt Nam. Với hiệu lực từ 01/01/2026, các bộ phận HR cần chuẩn bị sẵn sàng để đáp ứng các yêu cầu pháp lý mới, đặc biệt:
- Xây dựng hệ thống đồng ý rõ ràng theo từng mục đích xử lý;
- Thiết lập quy trình thực thi quyền chủ thể dữ liệu (truy cập, chỉnh sửa, xóa);
- Bảo mật dữ liệu trong suốt vòng đời xử lý với các biện pháp kỹ thuật và quản lý phù hợp;
- Phối hợp với pháp chế và IT để đảm bảo mọi hoạt động xử lý dữ liệu nhân sự tuân thủ luật mới.
Sự thay đổi này không chỉ là tuân thủ pháp luật, mà còn là cam kết bảo vệ quyền lợi người lao động và nâng cao tính minh bạch trong quản trị nhân sự; điều thiết yếu trong nền kinh tế số hiện nay.
