Ngày 26/6/2025, Quốc hội Việt Nam đã chính thức thông qua Luật Bảo vệ dữ liệu cá nhân (BVDLCN) – văn bản pháp lý đầu tiên ở cấp Luật điều chỉnh toàn diện hoạt động thu thập, xử lý và bảo vệ dữ liệu cá nhân tại Việt Nam. Luật sẽ chính thức có hiệu lực từ ngày 01/01/2026, thay thế và kế thừa khuôn khổ pháp lý trước đây là Nghị định 13/2023/NĐ-CP.

So với các quy định trước đây, Luật BVDLCN 2025 được xây dựng với phạm vi điều chỉnh rộng hơn, quy định cụ thể hơn về quyền của chủ thể dữ liệu và cơ chế chế tài nghiêm khắc hơn đối với các hành vi vi phạm. Điều này tạo ra một tiêu chuẩn tuân thủ mới đối với mọi tổ chức và doanh nghiệp đang xử lý dữ liệu cá nhân của người cư trú tại Việt Nam.

Trong bối cảnh đó, bộ phận Quản trị Nhân sự (HR) trở thành một trong những đơn vị chịu tác động trực tiếp và mạnh mẽ nhất. Bởi HR là nơi quản lý và xử lý khối lượng lớn dữ liệu cá nhân, bao gồm cả dữ liệu nhạy cảm của người lao động trong suốt vòng đời nhân sự – từ tuyển dụng, ký kết hợp đồng, chấm công, tính lương, đánh giá hiệu suất cho đến khi nhân sự nghỉ việc.

1. Phạm vi điều chỉnh và cơ sở pháp lý của Luật Bảo vệ dữ liệu cá nhân 2025

Luật Bảo vệ dữ liệu cá nhân 2025 được ban hành nhằm thiết lập một hệ thống pháp lý toàn diện và thống nhất cho việc bảo vệ quyền riêng tư và dữ liệu cá nhân tại Việt Nam. Luật kế thừa nhiều nguyên tắc quan trọng từ Nghị định 13/2023/NĐ-CP, đồng thời mở rộng phạm vi áp dụng và nâng cao mức độ trách nhiệm của các tổ chức xử lý dữ liệu.

Theo quy định của Luật, mọi tổ chức, cá nhân – bao gồm cả tổ chức nước ngoài – nếu có hoạt động thu thập, lưu trữ, phân tích hoặc xử lý dữ liệu cá nhân của người cư trú tại Việt Nam đều phải tuân thủ.

Điều này có nghĩa rằng, trong môi trường doanh nghiệp, các hệ thống quản lý nhân sự, phần mềm HRM, hệ thống chấm công, quản lý hồ sơ nhân viên, dữ liệu lương thưởng… đều nằm trong phạm vi điều chỉnh của luật.

2. Quy định về thu thập, xử lý và mục đích sử dụng dữ liệu

Một trong những nguyên tắc cốt lõi của Luật BVDLCN là nguyên tắc mục đích xử lý dữ liệu. Theo đó, mọi hoạt động thu thập và xử lý dữ liệu cá nhân phải đáp ứng các yêu cầu:

• Có mục đích cụ thể, hợp pháp và được thông báo rõ ràng cho chủ thể dữ liệu.

• Dữ liệu chỉ được xử lý trong phạm vi cần thiết để đạt được mục đích đã công bố.

• Không được thu thập dữ liệu vượt quá nhu cầu thực tế của hoạt động xử lý.

Đối với hoạt động quản trị nhân sự, điều này đặt ra những yêu cầu rõ ràng:

• Mỗi loại dữ liệu nhân sự cần được xác định rõ mục đích sử dụng ngay từ khi thu thập, ví dụ: hồ sơ tuyển dụng, thông tin lương thưởng, hồ sơ sức khỏe, dữ liệu chấm công, dữ liệu sinh trắc học.

• Trong trường hợp doanh nghiệp muốn sử dụng dữ liệu cho mục đích khác ngoài mục đích ban đầu, tổ chức phải thông báo lại cho chủ thể dữ liệu và thu thập sự đồng ý mới.

• HR cần thực hiện nguyên tắc tối thiểu hóa dữ liệu (data minimization) – chỉ thu thập những thông tin thực sự cần thiết cho hoạt động quản lý nhân sự.

Những yêu cầu này buộc doanh nghiệp phải xây dựng quy trình quản trị dữ liệu rõ ràng và minh bạch, thay vì thu thập và lưu trữ thông tin một cách tùy tiện như trước đây.

3. Quyền của người lao động với tư cách là chủ thể dữ liệu

Luật BVDLCN 2025 xác lập hệ thống quyền đầy đủ của chủ thể dữ liệu, trong đó người lao động được xem là chủ thể dữ liệu trong mối quan hệ với doanh nghiệp.

Các quyền cơ bản bao gồm:

– Quyền được biết: Người lao động có quyền được thông báo về loại dữ liệu nào đang được thu thập, mục đích xử lý và phạm vi sử dụng.

– Quyền truy cập dữ liệu: Người lao động có quyền yêu cầu doanh nghiệp cung cấp thông tin về dữ liệu cá nhân đang được lưu trữ, đồng thời có thể yêu cầu nhận bản sao dữ liệu.

– Quyền chỉnh sửa dữ liệu: Trong trường hợp dữ liệu cá nhân không chính xác hoặc đã thay đổi, người lao động có quyền yêu cầu cập nhật và chỉnh sửa.

– Quyền xóa dữ liệu và hạn chế xử lý: Khi dữ liệu không còn cần thiết cho mục đích xử lý hoặc việc lưu trữ không còn cơ sở pháp lý hợp lệ, người lao động có quyền yêu cầu xóa hoặc hạn chế việc xử lý dữ liệu.

– Quyền rút lại sự đồng ý: Chủ thể dữ liệu có thể rút lại sự đồng ý đối với việc xử lý dữ liệu đã cấp trước đó.

– Quyền phản đối việc xử lý dữ liệu: Trong một số trường hợp, người lao động có thể phản đối việc doanh nghiệp tiếp tục xử lý dữ liệu cá nhân của mình.

Những quyền này yêu cầu bộ phận HR phải xây dựng quy trình tiếp nhận, xử lý và phản hồi yêu cầu của chủ thể dữ liệu trong thời hạn pháp luật quy định. Đồng thời, các quy trình này cần được lưu trữ và có khả năng chứng minh khi có yêu cầu kiểm tra từ cơ quan quản lý nhà nước.

4. Tiêu chí về sự đồng ý trong xử lý dữ liệu cá nhân

Một điểm đáng chú ý trong Luật BVDLCN là việc quy định chặt chẽ hơn về tính hợp lệ của sự đồng ý khi xử lý dữ liệu cá nhân.

Theo luật, sự đồng ý chỉ được coi là hợp lệ khi đáp ứng đầy đủ các tiêu chí sau:

• Được đưa ra cho từng mục đích xử lý cụ thể và rõ ràng

• Được thể hiện bằng hành động xác nhận rõ ràng, không chấp nhận sự im lặng hoặc đồng ý mặc định

• Được thu thập trước khi hoạt động xử lý dữ liệu bắt đầu

• Có thể lưu trữ và chứng minh được khi cần thiết

Trong môi trường nhân sự, doanh nghiệp thường xử lý nhiều loại dữ liệu nhạy cảm như:

• dữ liệu sinh trắc học (vân tay, nhận diện khuôn mặt)

• hình ảnh giấy tờ tùy thân

• hồ sơ y tế

• thông tin tài chính liên quan đến lương thưởng

Vì vậy, việc thiết kế biểu mẫu đồng ý rõ ràng, minh bạch và xây dựng hệ thống lưu trữ chứng cứ đồng ý trở thành yêu cầu bắt buộc trong hoạt động quản trị nhân sự hiện đại.

5. Chế tài xử phạt và trách nhiệm tuân thủ

Luật BVDLCN 2025 thiết lập khung chế tài mạnh mẽ hơn đáng kể so với quy định trước đây, nhằm nâng cao tính răn đe và bảo đảm việc tuân thủ.

Các hình thức xử phạt có thể bao gồm:

• Phạt hành chính lên tới 5% doanh thu năm trước đối với hành vi vi phạm liên quan đến chuyển dữ liệu cá nhân ra nước ngoài.

• Phạt lên tới 10 lần doanh thu bất hợp pháp đối với hành vi mua bán hoặc giao dịch dữ liệu cá nhân trái phép.

• Các mức phạt khác có thể lên tới 3 tỷ đồng đối với các hành vi vi phạm quy định chung về xử lý dữ liệu.

Đối với doanh nghiệp, dữ liệu nhân sự thường được xem là nhóm dữ liệu có mức độ nhạy cảm cao. Nếu không được quản lý và bảo mật đúng cách, việc rò rỉ hoặc sử dụng sai mục đích có thể dẫn đến rủi ro pháp lý, tổn thất tài chính và ảnh hưởng nghiêm trọng đến uy tín của tổ chức.

Do đó, tuân thủ Luật BVDLCN không chỉ là nghĩa vụ pháp lý mà còn là yêu cầu quan trọng trong quản trị rủi ro và quản trị doanh nghiệp hiện đại.

Kết luận

Luật Bảo vệ dữ liệu cá nhân 2025 đánh dấu một bước tiến quan trọng trong việc hoàn thiện khung pháp lý về bảo vệ quyền riêng tư và quản lý dữ liệu tại Việt Nam. Khi luật chính thức có hiệu lực từ ngày 01/01/2026, các doanh nghiệp cần chủ động chuẩn bị để đảm bảo tuân thủ đầy đủ các quy định mới.

Đối với bộ phận HR, một số hành động cần được ưu tiên triển khai bao gồm:

• Xây dựng cơ chế thu thập và quản lý sự đồng ý của người lao động theo từng mục đích xử lý dữ liệu

• Thiết lập quy trình thực thi quyền của chủ thể dữ liệu (truy cập, chỉnh sửa, xóa hoặc hạn chế xử lý dữ liệu)

• Áp dụng các biện pháp bảo mật dữ liệu trong toàn bộ vòng đời xử lý thông tin nhân sự

• Phối hợp chặt chẽ với bộ phận pháp chế và công nghệ thông tin để đảm bảo hệ thống quản trị nhân sự tuân thủ các tiêu chuẩn pháp lý mới

Trong kỷ nguyên kinh tế số, dữ liệu không chỉ là tài nguyên mà còn là trách nhiệm. Việc tuân thủ Luật Bảo vệ dữ liệu cá nhân không đơn thuần là đáp ứng quy định pháp luật, mà còn thể hiện cam kết của doanh nghiệp đối với quyền riêng tư của người lao động và sự minh bạch trong quản trị – những yếu tố ngày càng trở thành tiêu chuẩn của một tổ chức hiện đại và bền vững.