Từ ngày 01/01/2026, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 chính thức có hiệu lực, yêu cầu các doanh nghiệp phải tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân trong quá trình tuyển dụng và quản lý lao động. Luật này nhằm bảo vệ quyền riêng tư của cá nhân, ngăn chặn việc lạm dụng thông tin cá nhân, và đảm bảo dữ liệu chỉ được sử dụng đúng mục đích. Doanh nghiệp cần cập nhật quy trình nội bộ để tránh vi phạm, có thể dẫn đến xử phạt hành chính hoặc trách nhiệm pháp lý khác. Ví dụ, các thông tin như hồ sơ cá nhân, dữ liệu y tế hoặc thông tin liên lạc của ứng viên và nhân viên phải được xử lý cẩn thận, với sự đồng ý rõ ràng và biện pháp bảo mật phù hợp.

1. Bảo vệ dữ liệu cá nhân trong tuyển dụng và quản lý lao động

Theo Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, các doanh nghiệp có trách nhiệm cụ thể trong việc bảo vệ dữ liệu cá nhân của ứng viên và người lao động. Trong tuyển dụng, doanh nghiệp chỉ được yêu cầu cung cấp các thông tin phục vụ cho mục đích tuyển dụng, phù hợp với quy định của pháp luật. Thông tin này chỉ được sử dụng vào mục đích tuyển dụng và các mục đích khác theo thỏa thuận hợp pháp. Việc xử lý thông tin phải được sự đồng ý của người dự tuyển, đảm bảo tính minh bạch và tự nguyện. Nếu không tuyển dụng, doanh nghiệp phải xóa hoặc hủy thông tin đã cung cấp, trừ khi có thỏa thuận khác với ứng viên. Phân tích thêm, quy định này giúp ngăn chặn tình trạng doanh nghiệp lưu trữ dữ liệu không cần thiết, giảm rủi ro lộ thông tin và tăng lòng tin từ ứng viên. Doanh nghiệp nên xây dựng chính sách đồng ý bằng văn bản hoặc điện tử để chứng minh sự tuân thủ.

Trong quản lý và sử dụng người lao động, doanh nghiệp phải tuân thủ Luật Bảo vệ dữ liệu cá nhân, pháp luật về lao động, việc làm, pháp luật về dữ liệu và các quy định liên quan khác. Dữ liệu cá nhân của người lao động chỉ được lưu trữ trong thời hạn theo pháp luật hoặc thỏa thuận. Khi chấm dứt hợp đồng lao động, dữ liệu phải được xóa hoặc hủy, trừ trường hợp có thỏa thuận hoặc quy định pháp luật khác. Điều này nhấn mạnh vào việc quản lý vòng đời dữ liệu, từ thu thập đến xóa bỏ, giúp doanh nghiệp tránh tích tụ dữ liệu thừa và giảm nguy cơ vi phạm an ninh mạng.

Về xử lý dữ liệu cá nhân bằng công nghệ trong quản lý lao động, doanh nghiệp chỉ được áp dụng các biện pháp công nghệ, kỹ thuật phù hợp với pháp luật, đảm bảo quyền lợi của chủ thể dữ liệu. Người lao động phải được thông báo rõ ràng về các biện pháp này. Không được xử lý hoặc sử dụng dữ liệu thu thập từ biện pháp công nghệ trái quy định pháp luật. Phân tích sâu hơn, trong thời đại số hóa, các công cụ như phần mềm theo dõi hiệu suất hoặc camera giám sát phải được sử dụng minh bạch, tránh xâm phạm quyền riêng tư. Doanh nghiệp nên thực hiện đánh giá tác động dữ liệu trước khi áp dụng công nghệ mới để đảm bảo tuân thủ.

2. Áp dụng pháp luật về bảo vệ dữ liệu cá nhân như thế nào?

Căn cứ Điều 5 Luật Bảo vệ dữ liệu cá nhân 2025, việc áp dụng pháp luật được quy định rõ ràng để đảm bảo tính nhất quán và ưu tiên bảo vệ quyền cá nhân. Hoạt động bảo vệ dữ liệu cá nhân trên lãnh thổ Việt Nam thực hiện theo quy định của Luật này và các quy định pháp luật liên quan khác. Điều này có nghĩa là mọi hoạt động xử lý dữ liệu, dù trong lĩnh vực nào, đều phải tuân thủ khung pháp lý chung, tránh tình trạng mâu thuẫn giữa các luật khác nhau.

Trường hợp luật hoặc nghị quyết của Quốc hội ban hành trước ngày Luật này có hiệu lực (01/01/2026) có quy định cụ thể về bảo vệ dữ liệu cá nhân và không trái với nguyên tắc của Luật này, thì áp dụng quy định đó. Phân tích, quy định này cho phép duy trì các điều khoản cũ nếu chúng phù hợp, giúp chuyển tiếp mượt mà mà không làm gián đoạn hoạt động của doanh nghiệp. Ví dụ, các quy định trong Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có thể vẫn áp dụng nếu không mâu thuẫn.

Với luật hoặc nghị quyết ban hành sau ngày hiệu lực, nếu có quy định khác về bảo vệ dữ liệu cá nhân, phải nêu rõ nội dung thực hiện hoặc không thực hiện theo Luật này, và ưu tiên áp dụng theo luật mới. Điều này đảm bảo tính cập nhật và linh hoạt của hệ thống pháp luật.

Ngoài ra, nếu doanh nghiệp thực hiện đánh giá tác động xử lý dữ liệu cá nhân hoặc đánh giá tác động chuyển dữ liệu xuyên biên giới theo Luật này, thì không cần thực hiện đánh giá rủi ro tương tự theo pháp luật về dữ liệu khác. Phân tích thêm, quy định này giảm gánh nặng hành chính cho doanh nghiệp, tập trung vào một quy trình duy nhất để nâng cao hiệu quả tuân thủ.

3. Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân từ 01/01/2026 gồm những gì?

Theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025, việc xử lý vi phạm được quy định nghiêm ngặt để răn đe và bảo vệ quyền lợi. Tổ chức, cá nhân vi phạm quy định của Luật này và pháp luật liên quan có thể bị xử phạt hành chính, truy cứu trách nhiệm hình sự tùy theo tính chất, mức độ và hậu quả; nếu gây thiệt hại thì phải bồi thường theo pháp luật. Phân tích, điều này nhấn mạnh trách nhiệm đa chiều, không chỉ phạt tiền mà còn có thể dẫn đến tù tội nếu vi phạm nghiêm trọng, như lộ dữ liệu hàng loạt gây hại cho cá nhân.

Việc xử phạt vi phạm hành chính thực hiện theo các khoản 3 đến 7 của Điều 8 và pháp luật về xử lý vi phạm hành chính. Cụ thể, mức phạt tối đa cho hành vi mua bán dữ liệu cá nhân là 10 lần khoản thu từ vi phạm; nếu không có khoản thu hoặc mức phạt thấp hơn, áp dụng mức tối đa 3 tỷ đồng. Đối với vi phạm chuyển dữ liệu xuyên biên giới, mức phạt tối đa là 5% doanh thu năm trước của tổ chức, hoặc 3 tỷ đồng nếu thấp hơn.

Mức phạt tối đa cho các vi phạm khác là 3 tỷ đồng. Các mức này áp dụng cho tổ chức; cá nhân vi phạm cùng hành vi thì mức phạt bằng một nửa. Chính phủ sẽ quy định phương pháp tính khoản thu từ vi phạm. Phân tích thêm, các mức phạt cao này nhằm khuyến khích doanh nghiệp đầu tư vào hệ thống bảo mật, đồng thời bảo vệ nền kinh tế số bằng cách xử lý nghiêm các hành vi lạm dụng dữ liệu. Doanh nghiệp nên kiểm toán nội bộ định kỳ để tránh rủi ro.

Trên đây là thông tin mà Mys Law cung cấp. Mọi thắc mắc liên quan đến nội dung bài viết xin vui lòng liên hệ 0969.361.319 hoặc email: [email protected] để được giải đáp.

Trân trọng!

Người biên tập: Nguyễn Thị Trà My