DỮ LIỆU CÁ NHÂN TRONG TUYỂN DỤNG: HƯỚNG DẪN TUÂN THỦ LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025

Tìm hiểu cách thu thập, lưu trữ và bảo vệ dữ liệu cá nhân trong tuyển dụng theo Luật Bảo vệ dữ liệu cá nhân 2025. Hướng dẫn chi tiết và FAQ.

Dữ liệu cá nhân thường gặp trong tuyển dụng

Theo Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN 2025), dữ liệu cá nhân (DLCN) là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Hiện nay chưa có danh mục chính thức về các loại DLCN cơ bản và nhạy cảm.

Trong bối cảnh tuyển dụng lao động, các loại DLCN thường được thu thập bao gồm: họ tên, ngày sinh, giới tính, địa chỉ liên hệ, email, số điện thoại, trình độ học vấn, kinh nghiệm làm việc, kỹ năng nghề nghiệp, tư cách thành viên của các tổ chức đại diện người lao động, tình trạng sức khỏe, thông tin tài chính, thông tin về tội phạm và hành vi phạm tội, quan điểm chính trị, tôn giáo. Ngoài ra, một số lĩnh vực có các yêu cầu đặc thù trong tuyển dụng có thể sẽ cần thu thập thêm các DLCN khác.

Nghĩa vụ trước khi thu thập dữ liệu cá nhân trong tuyển dụng

Thứ nhất, Luật BVDLCN 2025 yêu cầu người sử dụng lao động chỉ được thu thập các thông tin phù hợp cho mục đích tuyển dụng của mình. Như vậy, người sử dụng lao động cần xác định được mục đích cụ thể của từng loại DLCN trước khi thu thập.

Thứ hai, Luật BVDLCN 2025 yêu cầu việc xử lý DLCN phải dựa trên sự đồng ý của người dự tuyển. Như vậy, người sử dụng lao động cần thực hiện việc thông báo các thông tin cần thiết về hoạt động xử lý DLCN theo Điều 9 Luật BVDLCN 2025 cho người dự tuyển, bao gồm: (i) Loại DLCN được xử lý; (ii) mục đích xử lý DLCN; (iii) Bên Kiểm soát hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân (Bên Kiểm soát – Controller); và (iv) Các quyền, nghĩa vụ của chủ thể dữ liệu. Đồng thời, người sử dụng lao động còn cần đáp ứng các yêu cầu về hình thức của sự đồng ý, và đảm bảo các nguyên tắc như sự đồng ý cho từng mục đích xử lý, không được kèm theo điều kiện bắt buộc phải đồng ý, v.v. Doanh nghiệp không phải thực hiện các yêu cầu này nếu xử lý DLCN dựa trên cơ sở pháp lý hợp pháp khác, ví dụ thỏa thuận.

Thời hạn lưu trữ dữ liệu cá nhân trong tuyển dụng

Điều 25 Luật BVDLCN 2025 quy định rõ DLCN của người dự tuyển phải được xóa, hủy trong trường hợp không tuyển dụng, trừ trường hợp có thỏa thuận khác với người đã dự tuyển. Như vậy, thời hạn lưu trữ DLCN mặc định là đến thời điểm có kết quả không tuyển dụng người dự tuyển, trừ khi người sử dụng lao động có thỏa thuận với người dự tuyển về các mục đích xử lý DLCN khác sau khi kết thúc tuyển dụng.

Các rủi ro thường gặp trong xử lý dữ liệu tuyển dụng

• Rò rỉ thông tin ứng viên: Hồ sơ bị phát tán, ảnh hưởng đến uy tín của cả người dự tuyển và doanh nghiệp.
• Thu thập dữ liệu không cần thiết: Yêu cầu DLCN và tài liệu có chứa DLCN không phục vụ trực tiếp cho mục đích tuyển dụng như thông tin về đời sống tình dục, xu hướng tình dục của cá nhân.
• Không có chính sách xóa, hủy dữ liệu: Thông tin của người dự tuyển được lưu trữ tồn đọng nhiều năm mà không quản lý và cũng không có thỏa thuận với người dự tuyển, dẫn đến vi phạm thời hạn lưu trữ theo Luật BVDLCN 2025.
• Chia sẻ dữ liệu trái phép: Cung cấp hồ sơ tuyển dụng cho các doanh nghiệp khác như công ty tuyển dụng hoặc công ty liên kết mà chưa được người dự tuyển đồng ý.
• Thiếu cơ chế thực hiện quyền của người dự tuyển: Không có cơ chế để người dự tuyển thực hiện các quyền của mình, chẳng hạn như yêu cầu chỉnh sửa hoặc xóa dữ liệu.

CÁC CÂU HỎI THƯỜNG GẶP

Có cần xin đồng ý khi nhận hồ sơ ứng tuyển qua email?

Có. Khi người dự tuyển gửi hồ sơ ứng tuyển qua email, doanh nghiệp đã nhận và bắt đầu xử lý dữ liệu cá nhân. Theo Luật BVDLCN 2025, doanh nghiệp phải thông báo cho người dự tuyển một số thông tin về hoạt động xử lý DLCN và xin sự đồng ý. Trong trường hợp này, sự đồng ý có thể được thể hiện dưới dạng email phản hồi xác nhận hoặc đính kèm mẫu biểu đồng ý do doanh nghiệp cung cấp theo email.

Doanh nghiệp có thể lưu hồ sơ ứng viên không trúng tuyển cho lần sau không?

Doanh nghiệp chỉ được lưu trữ hồ sơ ứng viên không trúng tuyển khi có thỏa thuận với ứng viên hoặc sự đồng ý của ứng viên về các mục đích xử lý khác sau khi có kết quả không tuyển dụng. Lưu ý rằng với cơ sở xử lý DLCN là sự đồng ý, ứng viên cũng có quyền rút lại sự đồng ý bất kỳ lúc nào, khi đó doanh nghiệp phải xóa hoặc ẩn danh DLCN.

Có được yêu cầu dữ liệu cá nhân nhạy cảm như thông tin về tội phạm và hành vi phạm tội ngay từ vòng sơ tuyển không?

Chỉ trong trường hợp thông tin đó thực sự cần thiết cho vị trí công việc (ví dụ: tiêu chí tuyển dụng nhân sự chịu trách nhiệm về bảo vệ dữ liệu theo Luật Dữ liệu 2024 là người không có tiền án trong lĩnh vực công nghệ thông tin, mạng viễn thông). Để đảm bảo nguyên tắc minh bạch và nguyên tắc tối thiểu dữ liệu (dù nguyên tắc này không còn được quy định trực tiếp trong Luật BVDLCN 2025), doanh nghiệp phải giải thích rõ lý do thu thập và chỉ thu thập DLCN khi thực sự cần thiết cho mục đích xử lý.

Doanh nghiệp có thể chia sẻ dữ liệu tuyển dụng cho công ty con trong tập đoàn không?

Có thể, nhưng chỉ khi người dự tuyển được thông báo trước và đồng ý rõ ràng, hoặc có cơ sở xử lý hợp pháp khác. Mỗi công ty trong tập đoàn vẫn được coi là một pháp nhân độc lập và phải chịu trách nhiệm riêng về việc xử lý dữ liệu. Do đó, hồ sơ người dự tuyển của công ty A không thể tự động chuyển sang công ty B trừ khi có cơ sở xử lý hợp pháp.

Người dự tuyển có quyền yêu cầu xóa dữ liệu sau khi tuyển dụng kết thúc không?

Có. Đây là một trong những quyền cơ bản của chủ thể dữ liệu được Luật BVDLCN 2025 ghi nhận. Đồng thời, đây cũng là trách nhiệm của người sử dụng lao động theo Điều 25 của Luật này. Tuy nhiên, doanh nghiệp có thể tiếp tục lưu trữ DLCN của người dự tuyển nếu như xử lý trên cơ sở hợp pháp như thỏa thuận giữa hai bên hoặc để thực hiện nghĩa vụ lưu trữ theo quy định của pháp luật (nếu có).

Tóm lại, trong bối cảnh Luật BVDLCN 2025 có hiệu lực, doanh nghiệp cần xây dựng quy trình thu thập dữ liệu tuyển dụng minh bạch, xử lý dữ liệu ứng viên hợp pháp và bảo vệ dữ liệu cá nhân toàn diện. Đây không chỉ là nghĩa vụ pháp lý mà còn là cam kết bảo vệ quyền của người dự tuyển và nâng cao uy tín doanh nghiệp.

#tuyendung #dulieucanhan  #hrcompliance #bvdlcn2025 #dulieutuyendung

Tuyên bố miễn trừ trách nhiệm: Thông tin trong tài liệu này chỉ có tính chất tham khảo, không cấu thành ý kiến tư vấn pháp lý chính thức. PrivacyCompliance không chịu trách nhiệm đối với mọi thiệt hại phát sinh từ việc sử dụng hoặc dựa vào thông tin này.