Những nghĩa vụ của người sử dụng lao động cập nhật theo Luật Bảo vệ dữ liệu cá nhân năm 2025 có hiệu lực từ 01/01/2026
2026/03/04
- Nguyen Nhu Phuong Anh
Mở đầu:
Luật Bảo vệ dữ liệu cá nhân năm 2025 (có hiệu lực từ ngày 01/01/2026) đánh dấu bước chuyển quan trọng trong khung pháp lý về bảo vệ dữ liệu tại Việt Nam, thay thế và nâng cấp các quy định trước đây vốn được thiết lập bước đầu theo Nghị định 13/2023/NĐ-CP. So với Nghị định 13, Luật 2025 đưa ra hệ thống quy định chặt chẽ, toàn diện và gắn liền với thực tiễn hơn, trong đó có các thay đổi liên quan đến người sử dụng lao động, chủ thể trực tiếp thu thập, xử lý dữ liệu cá nhân của người lao động trong suốt quá trình tuyển dụng, quản lý và chấm dứt quan hệ lao động. Báo cáo này sẽ tập trung phân tích những điểm thay đổi liên quan đến các nghĩa vụ của NSDLĐ và một số tác động đối với người sử dụng lao động trong việc tuân thủ các quy định mới theo Luật BVDLCN 2025.
1. Trách nhiệm bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý, sử dụng người lao động
Nội dung về trách nhiệm bảo vệ DLCN trong một số hoạt động, trong đó bao gồm tuyển dụng, quản lý, sử dụng người lao động lần đầu tiên được quy định tại Luật BVDLCN.
Về cơ bản, Luật BVDLCN kế thừa hầu hết các quy định của Nghị định 13 về nghĩa vụ của người sử dụng lao động đối với NLĐ khi tiến hành xử lý dữ liệu (xây dựng quy định nội bộ, lấy sự đồng ý, thực hiện các biện pháp bảo vệ cần thiết…).
Bên cạnh việc loại bỏ nghĩa vụ thông báo cho người lao động trước khi tiến hành xử lý dữ liệu, Luật mới quy định rõ hơn NSDLĐ chỉ được yêu cầu ứng viên, NLĐ cung cấp các thông tin phục vụ cho mục đích tuyển dụng, hoặc sử dụng lao động phù hợp với quy định pháp luật và sử dụng những thông tin đó vào mục đích theo thỏa thuận với ứng viên, NLĐ. Bên cạnh đó, NSDLĐ phải xóa, hủy dữ liệu cá nhân của ứng viên trong trường hợp không tuyển dụng, trừ trường hợp có thỏa thuận khác; cũng như xóa, hủy dữ liệu của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác. Thông thường, doanh nghiệp có nhu cầu lưu giữ và sử dụng thông tin của ứng viên và người lao động cho các mục đích như quản lý hồ sơ nhân sự, phục vụ thanh tra, hoặc giải quyết tranh chấp phát sinh. Do đó, với quy định mới, người sử dụng lao động nên chủ động thỏa thuận với ứng viên/người lao động ngay tại thời điểm xin sự đồng ý về thời hạn lưu trữ, thời điểm/xác lập điều kiện xóa – hủy dữ liệu, bao gồm cả trường hợp sau khi kết thúc quá trình tuyển dụng hoặc sau khi chấm dứt hợp đồng lao động.
2. Chuyển dữ liệu cá nhân xuyên biên giới
Khái niệm này trước đây đã được quy định tại Nghị định 13/2023/NĐ-CP với tên gọi “chuyển dữ liệu cá nhân ra nước ngoài”. Theo định nghĩa tại Luật BVDLCN, việc chuyển DLCN xuyên biên giới không giới hạn dữ liệu cá nhân của công dân Việt Nam, do đó dữ liệu của những người nước ngoài, ví dụ người lao động nước ngoài làm việc cho NSDLĐ tại VN cũng thuộc đối tượng dữ liệu được quản lý đối với hoạt động này, một số trường hợp được xem là chuyển DLCN xuyên biên giới:
・dữ liệu cá nhân của NLĐ được chuyển giao địa điểm lưu trữ từ Việt Nam sang hệ thống công ty mẹ tại nước ngoài)
・Công ty con chia sẻ dữ liệu của NLĐ cho công ty mẹ hoặc các công ty trong cùng tập đoàn với mục đích quản lý
・dữ liệu NLĐ sau khi được thu thập thì được lưu trữ tại hệ thống lưu trữ đám mây của Tập đoàn đặt tại Nhật)
Khi chuyển DLCN NLĐ xuyên biên giới, ngoài các nghĩa vụ phải lấy sự đồng ý của NLĐ, NSDLĐ có nghĩa vụ phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và gửi cơ quan quản lý trong thời gian 60 ngày kể từ ngày đầu tiên chuyển dữ liệu cá nhân xuyên biên giới. Tuy nhiên, nghĩa vụ này không áp dụng cho tất cả các trường hợp. Một số trường hơp không phải thực hiện quy định về đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới NSDLĐ lưu trữ dữ liệu cá nhân của người lao động của mình trên dịch vụ điện toán đám mây, hoặc Dự thảo Nghị định hướng dẫn Luật, việc công ty con chia sẻ dữ liệu nhân viên với công ty mẹ tại nước ngoài vì mục đích quản lý và dựa theo quy định tại nội quy định lao động và thỏa ước lao động tập thể của công ty con hay Việc cung cấp dữ liệu cá nhân xuyên biên giới để ký kết hợp đồng hoặc thực hiện các thủ tục liên quan đến vận chuyển xuyên biên giới, hậu cần, chuyển tiền, thanh toán, khách sạn, xin thị thực cũng được miễn trừ thực hiện nghĩa vụ này.
Đây là một điểm mới tích cực của Luật,, thể hiện xu hướng giảm bớt gánh nặng tuân thủ cho doanh nghiệp trong các hoạt động có tính chất thường xuyên và thiết yếu, đặc biệt đối với doanh nghiệp FDI hoặc doanh nghiệp vận hành trên mô hình chuỗi cung ứng – nhân sự xuyên quốc gia.
3. Chỉ định nhân sự, bộ phận đủ điều kiện năng lực phụ trách bảo vệ dữ liệu cá nhân
Trước đây theo Nghị định 13, NSDLĐ có trách nhiệm chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân, và vì quy định không ràng buộc về điều kiện tiêu chuẩn của nhóm lực lượng này, doanh nghiệp có thể chỉ định thành lập mới bộ phận phụ trách bảo vệ DLCN hoặc tuyển mới nhân sự hoặc tận dụng nhân sự, cơ cấu hiện tại để kiêm nhiệm chức năng, nhiệm vụ này.
Tuy nhiên, Luật mới đang đặt ra thêm yêu cầu nhân sự, bộ phận phụ trách bảo vệ DLCN của doanh nghiệp phải đủ điều kiện năng lực theo quy định. Theo Dự thảo Nghị định hướng dẫn Luật, nhân sự phụ trách bảo vệ dữ liệu cá nhân phải đáp ứng các điều kiện năng lực cơ bản: (i) có trình độ đại học trở lên; (ii) có tối thiểu 03 năm kinh nghiệm trong các lĩnh vực pháp chế, an ninh mạng, xử lý dữ liệu, quản trị rủi ro hoặc tuân thủ; (iii) có chứng nhận hoàn thành khóa bồi dưỡng về bảo vệ dữ liệu cá nhân; (iv) đạt chuẩn đánh giá chuyên môn do cơ quan chuyên trách về bảo vệ dữ liệu cá nhân tổ chức; và (v) am hiểu pháp luật về bảo vệ dữ liệu cá nhân cũng như hoạt động xử lý dữ liệu của doanh nghiệp. Và tương tự, bộ phận phụ trách bảo vệ phải bao gồm những cá nhân đủ điều kiện nêu trên. Cũng theo Dự thảo Nghị định, trường hợp doanh nghiệp không có đủ nhân sự đủ điều kiện, doanh nghiệp có thể ký kết hợp đồng với cá nhân, tổ chức đủ điều kiện cung cấp dịch vụ BVDLCN để sử dụng dịch vụ.
Đây là quy định đặt ra thách thức đáng kể cho doanh nghiệp, đặc biệt trong bối cảnh thị trường Việt Nam hiện nay còn thiếu hụt nhân sự có chuyên môn sâu về bảo vệ dữ liệu cá nhân. Việc đáp ứng đồng thời các tiêu chí về trình độ học vấn, kinh nghiệm thực tiễn, chứng chỉ đào tạo và đánh giá chuyên môn khiến nhiều doanh nghiệp, nhất là doanh nghiệp vừa và nhỏ, khó có thể bố trí được nhân sự nội bộ phù hợp. Điều này có thể dẫn đến chi phí tuân thủ tăng cao, buộc doanh nghiệp phải cân nhắc phương án thuê ngoài dịch vụ bảo vệ dữ liệu hoặc đầu tư đào tạo dài hạn để đáp ứng yêu cầu của pháp luật.
4. Quy định về miễn trừ nghĩa vụ cho một số trường hợp
Hiện tại, Luật đang miễn trừ 03 nghĩa vụ quan trọng sau đây đối với doanh nghiệp nhỏ, siêu nhỏ và doanh nghiệp khởi nghiệp sáng tạo trong lĩnh vực công nghệ thông tin trong thời hạn 05 năm kể từ ngày Luật Bảo vệ dữ liệu cá nhân có hiệu lực (Tiêu chí xác định doanh nghiệp nhỏ và siêu nhỏ được dẫn chiếu theo Nghị định 80/2021/NĐ-CP):
・Nghĩa vụ Đánh giá tác động xử lý dữ liệu cá nhân
・Nghĩa vụ Cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới
・Nghĩa vụ chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân
Ngoài ra, việc miễn trừ sẽ KHÔNG được áp dụng nếu doanh nghiệp, dù có quy mô nhỏ, nhưng lại thuộc một trong ba trường hợp có rủi ro cao: (1) Kinh doanh dịch vụ xử lý dữ liệu cá nhân; (2) Trực tiếp xử lý dữ liệu cá nhân nhạy cảm; hoặc (3) Xử lý dữ liệu cá nhân của số lượng lớn chủ thể.
Tuy nhiên, với quy định của Luật hiện tại, một số trường hợp dưới đây vẫn chưa có cơ sở rõ ràng để xác định rõ liệu có được hưởng miễn trừ hay không:
・Người sử dụng lao động là Văn phòng đại diện hoặc Chi nhánh của thương nhân nước ngoài tại Việt Nam: đây không phải là pháp nhân độc lập theo pháp luật Việt Nam để được xem là “doanh nghiệp nhỏ/siêu nhỏ” theo Nghị định 80
・Người sử dụng lao động có thu thập và lưu trữ dữ liệu khám sức khỏe của người lao động (là dữ liệu cá nhân nhạy cảm) theo quy định của pháp luật lao động: cần làm rõ liệu việc xử lý loại dữ liệu này có khiến doanh nghiệp được xem là “doanh nghiệp trực tiếp xử lý dữ liệu cá nhân nhạy cảm”, từ đó không thuộc diện miễn trừ, hay vẫn thuộc trường hợp nêu trên.
5. Chế tài xử phạt hành chính đối với một số hành vi vi phạm bảo vệ DLCN
Song song với việc thiết lập các nghĩa vụ mới, Luật cũng quy định bổ sung chế tài xử phạt để ràng buộc trách nhiệm tuân thủ của tổ chức, cá nhân. Một số hành vi điển hình và mức xử phạt tối đa bao gồm:
| Hành vi | Mức phạt vi phạm hành chính |
| Mua, bán dữ liệu cá nhân trái phép | Tối đa 10 lần khoản thu từ hành vi vi phạm |
| Hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới đối với tổ chức | Tối đa là 5% doanh thu năm trước của tổ chức |
| Hành vi vi phạm khác trong lĩnh vực này | Tối đa 3 tỷ đồng |
Dự kiến trong thời gian tới, sau khi Luật Bảo vệ dữ liệu cá nhân chính thức có hiệu lực, Nghị định về xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân sẽ được ban hành sớm nhằm cụ thể hóa các hành vi vi phạm và khung chế tài tương ứng.
Kết luận:
Nhìn chung, Luật Bảo vệ dữ liệu cá nhân có nhiều thay đổi quan trọng, vừa tháo gỡ một số vướng mắc tồn tại của Nghị định 13, vừa đặt ra những yêu cầu chặt chẽ và phức tạp hơn đối tổ chức, cá nhân xử lý dữ liệu, bao gồm người sử dụng lao động. Các nghĩa vụ này đòi hỏi doanh nghiệp phải tiến hành rà soát và quản lý dữ liệu cá nhân đang xử lý chặt chẽ hơn, đồng thời tăng cường các biện pháp bảo vệ phù hợp. Đối với những hoạt động xử lý dữ liệu cá nhân đang thực hiện mà đã được NLĐ đồng ý hoặc theo thỏa thuận theo quy định của Nghị định 13 trước ngày Luật này có hiệu lực thi hành thì tiếp tục thực hiện, không phải xin đồng ý lại hoặc thỏa thuận lại nếu không có sự thay đổi.
Tài liệu tham khảo:
・Luật Bảo vệ dữ liệu cá nhân năm 2025
・Nghị định 13/2023/NĐ-CP
・Dự thảo Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân năm 2025
・Nghị định 80/2021/NĐ-CP
