DỮ LIỆU CÁ NHÂN TRONG LAO ĐỘNG: HƯỚNG DẪN TUÂN THỦ LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025

Tìm hiểu quy định về dữ liệu cá nhân trong lao động theo Luật BVDLCN 2025. Hướng dẫn thu thập, xử lý, lưu trữ và bảo vệ dữ liệu nhân sự.

Dữ liệu cá nhân thường gặp trong quan hệ lao động

Theo Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN 2025), dữ liệu cá nhân (DLCN) là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Hiện nay chưa có danh mục chính thức về các loại DLCN cơ bản và nhạy cảm.

Trong quan hệ lao động, các loại DLCN phổ biến thường được thu thập bao gồm:

• Các thông tin được thể hiện trong hợp đồng lao động như được quy định tại Thông tư 10/2020/TT-BLĐTBXH, chẳng hạn như họ tên, ngày tháng năm sinh, giới tính, địa chỉ nơi cư trú, số điện thoại, địa chỉ thư điện tử (nếu có), số định danh cá nhân hoặc hộ chiếu, số giấy phép lao động hoặc văn bản xác nhận không thuộc diện cấp giấy phép lao động (nếu có) của người lao động; họ tên, địa chỉ nơi cư trú, số định danh cá nhân hoặc hộ chiếu, số điện thoại, địa chỉ thư điện tử (nếu có) của người đại diện theo pháp luật của người lao động chưa đủ 15 tuổi.
• Các thông tin liên quan đến và phát sinh từ quan hệ lao động như vị trí công việc, mức lương, phụ cấp, thông tin về tình trạng sức khỏe, tai nạn lao động và bệnh nghề nghiệp, thông tin về kỷ luật, đánh giá hiệu suất, tư cách thành viên của tổ chức đại diện người lao động, v.v.

Nghĩa vụ của người sử dụng lao động khi xử lý dữ liệu cá nhân trong quan hệ lao động

Người sử dụng lao động, trong quá trình quản lý, sử dụng người lao động có trách nhiệm tuân thủ các yêu cầu của Luật BVDLCN 2025, cụ thể:

• Chỉ được thu thập và xử lý DLCN trong phạm vi, mục đích đã xác định, phải lưu trữ dữ liệu trong thời hạn theo quy định pháp luật hoặc theo thỏa thuận giữa các bên. Để tuân thủ thì người sử dụng lao động cần đảm bảo mọi DLCN phải có chính sách lưu giữ rõ ràng và tuân thủ chính sách này trong nội bộ doanh nghiệp.
• Việc áp dụng biện pháp công nghệ, kỹ thuật để thu thập hoặc quản lý dữ liệu người lao động chỉ được triển khai khi phù hợp với quy định pháp luật, đảm bảo quyền và lợi ích hợp pháp của người lao động và trên cơ sở người lao động được biết rõ về bản chất, phạm vi, mục đích. DLCN thu thập bằng các công nghệ này không được khai thác cho mục đích trái pháp luật. Nếu muốn sử dụng khác phải có cơ sở pháp lý mới hoặc sự đồng ý rõ ràng của người lao động.

Thời hạn lưu trữ dữ liệu cá nhân trong quan hệ lao động

• Theo Điều 25 Luật BVDLCN 2025, DLCN của người lao động phải được xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.
• Trên thực tế, doanh nghiệp cần phân biệt rõ các giai đoạn lưu trữ:

• Trong thời gian hợp đồng còn hiệu lực, toàn bộ dữ liệu cần thiết để quản lý hợp đồng được lưu giữ trên cơ sở thỏa thuận giữa hai bên;
• Sau khi chấm dứt hợp đồng, cơ sở xử lý DLCN có thể là theo quy định của pháp luật – một số dữ liệu vẫn có thể phải được giữ để hoàn tất nghĩa vụ pháp lý như thanh toán nghĩa vụ tài chính, quyết toán thuế, hoàn thiện nghĩa vụ BHXH, v.v.; và DLCN trong một số hồ sơ theo quy định chuyên ngành hoặc luật khác (ví dụ chứng từ kế toán, hồ sơ tai nạn lao động, v.v.) có thể phải lưu giữ theo thời hạn tối thiểu cố định.
• Ngoài ra, sau khi kết thúc quan hệ lao động, người sử dụng lao động vẫn có thể thỏa thuận với người lao động để tiếp tục xử lý DLCN cho một số mục đích khác như cung cấp thông tin và tuyển dụng lại khi có vị trí công việc phù hợp, v.v.

Các rủi ro thường gặp trong xử lý dữ liệu lao động

• Rò rỉ dữ liệu người lao động: Lộ thông tin lương, hồ sơ y tế, kết quả đánh giá có thể ảnh hưởng đến người lao động, từ đó dẫn đến khiếu nại, khiếu kiện và trách nhiệm hành chính cho doanh nghiệp.
• Thu thập dữ liệu không cần thiết: Yêu cầu DLCN và tài liệu có chứa DLCN không cần thiết cho việc thực hiện quan hệ lao động như thông tin về tôn giáo, giao dịch tài chính, đời sống tình dục, xu hướng tình dục của cá nhân.
• Lưu trữ vô thời hạn: Giữ hồ sơ nhân sự sau khi hết mục đích xử lý DLCN khiến dữ liệu tồn đọng, vi phạm quy định về lưu trữ DLCN và tăng khả năng lộ, lọt dữ liệu.
• Rủi ro công nghệ, kỹ thuật sử dụng trong quản lý người lao động: Các biện pháp giám sát người lao động như sinh trắc học, CCTV, chấm công tự động, v.v. được sử dụng để thu thập DLCN có thể không đảm bảo yêu cầu tuân thủ và ảnh hưởng đến quyền, lợi ích hợp pháp của người lao động nếu không minh bạch; và có thể có sai sót dẫn đến hậu quả là nhận diện sai hoặc phân biệt đối xử trong quản lý lao động.

CÁC CÂU HỎI THƯỜNG GẶP

Có cần xin đồng ý khi thu thập dữ liệu lao động để ký hợp đồng không?

Thông thường không cần xin đồng ý riêng rẽ khi thu thập dữ liệu người lao động để phục vụ trực tiếp cho việc thực hiện hợp đồng lao động, vì đó là một trong các cơ sở pháp lý cho phép xử lý dữ liệu. Tuy nhiên, đối với các mục đích xử lý DLCN không phục vụ cho việc thực hiện hợp đồng lao động, ví dụ như khảo sát nội bộ doanh nghiệp hay quảng bá thì vẫn cần phải xin sự đồng ý của người lao động để xử lý DLCN của họ cho các mục đích này.

Doanh nghiệp có thể chia sẻ thông tin của người lao động cho công ty mẹ/công ty tập đoàn không?

Có thể nhưng việc chuyển/ chia sẻ dữ liệu giữa các pháp nhân (công ty mẹ — công ty con — công ty liên kết) chỉ hợp pháp nếu có cơ sở pháp lý (ví dụ: sự đồng ý cụ thể của người lao động; thực hiện hợp đồng; nghĩa vụ pháp luật). Cần lưu ý rằng mỗi pháp nhân được coi là tổ chức độc lập và chịu trách nhiệm tuân thủ cho mục đích xử lý DLCN của mình.

Người lao động có thể yêu cầu xóa dữ liệu sau khi nghỉ việc không?

Người lao động có quyền yêu cầu, nhưng không phải luôn luôn được xóa ngay lập tức. Luật BVDLCN 2025 yêu cầu DLCN phải được xóa, hủy khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác. Các ngoại lệ có thể kể đến như nghĩa vụ pháp lý về bảo hiểm xã hội, thuế, lao động, v.v. buộc doanh nghiệp phải tiếp tục lưu trữ DLCN hoặc có thỏa thuận hợp pháp để tiếp tục lưu trữ, hoặc không thể xóa DLCN vì lý do chính đáng, thì doanh nghiệp có thể từ chối xóa trong phạm vi cần thiết và được phép. Khi từ chối, doanh nghiệp cần thông báo rõ lý do và căn cứ pháp lý cho người lao động.

Ai chịu trách nhiệm nếu dữ liệu cá nhân của người lao động bị lộ, lọt?

Người sử dụng lao động (tức Bên Kiểm soát – Controller) là chủ thể chịu trách nhiệm chính trong hầu hết các trường hợp vì họ quyết định mục đích và phương tiện xử lý. Nếu doanh nghiệp thuê Bên Xử lý (Processor) thực hiện hoạt động xử lý, thì doanh nghiệp vẫn phải chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra và yêu cầu Bên Xử lý chịu trách nhiệm trực tiếp với mình về các thiệt hại này.

Trong bối cảnh Luật BVDLCN 2025 có hiệu lực, việc bảo vệ dữ liệu cá nhân trong quan hệ lao động trở thành trách nhiệm bắt buộc của doanh nghiệp. Xây dựng quy trình thu thập dữ liệu lao động minh bạch, xử lý dữ liệu cá nhân hợp pháp và tôn trọng quyền của người lao động sẽ giúp giảm thiểu rủi ro, đồng thời tạo dựng niềm tin bền vững với nhân sự và đối tác.

#dulieucanhan #quanhelaodong #bvdlcn2025 #dulieunhansu

Tuyên bố miễn trừ trách nhiệm: Thông tin trong tài liệu này chỉ có tính chất tham khảo, không cấu thành ý kiến tư vấn pháp lý chính thức. PrivacyCompliance không chịu trách nhiệm đối với mọi thiệt hại phát sinh từ việc sử dụng hoặc dựa vào thông tin này.