DOANH NGHIỆP CÓ TRÁCH NHIỆM NHƯ THẾ NÀO TRONG VIỆC XỬ LÝ DỮ LIỆU CÁ NHÂN CỦA NGƯỜI LAO ĐỘNG?

Trước yêu cầu bảo đảm quyền con người và an toàn dữ liệu trong môi trường số hiện nay, pháp luật Việt Nam đã từng bước hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân, đặc biệt với Luật Bảo vệ dữ liệu cá nhân có hiệu lực từ ngày 01/01/2026. Theo đó, trách nhiệm bảo vệ dữ liệu cá nhân trong quan hệ lao động không còn chỉ là vấn đề quản trị nội bộ mà đã trở thành nghĩa vụ pháp lý bắt buộc, góp phần xây dựng quan hệ lao động minh bạch, bền vững và phù hợp với yêu cầu của nền kinh tế số.

I. Thế nào là dữ liệu cá nhân và xử lý dữ liệu cá nhân

1. Dữ liệu cá nhân

Dữ liệu cá nhân theo quy định nghĩa của luật được hiểu là thông tin dữ liệu gắn liền với một con người cụ thể và được xác định dưới dạng số hoặc các dạng thông tin khác nhau. Có thể hiểu rằng dữ liệu cá nhân xuất hiện ở dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc các hình dạng tương tự trên môi trường điện tử.

Theo đó dữ liệu cá nhân được phân thành 02 loại: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

• Dữ liệu cá nhân cơ bản bao gồm họ, tên, ngày sinh, giới tính, nơi thường trú, quốc tịch, hình ảnh, số điện thoại, số giấy tờ pháp lý cá nhân, số mã số thuế cá nhân, số bảo hiểm xã hội, tình trạng hôn nhân, thông tin về mối quan hệ gia đình, … các thông tin khác gắn liền hoặc giúp xác định một con người cụ thể.

(Cơ sở pháp lý: khoản 2 Điều 2 của Luật Bảo vệ dữ liệu cá nhân năm 2025 và Điều 3 Nghị định 356/2025/NĐ-CP – có hiệu lực từ ngày 01/01/2026)

• Dữ liệu cá nhân nhạy cảm là những dữ liệu gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân đó, có thể kể đến như quan điểm chính trị, quan điểm tôn giáo, tình trạng sức khỏe theo hồ sơ bệnh án, thông tin về nguồn gốc chủng tộc, dân tộc, dữ liệu về tội phạm và hành vi phạm tội, và các dữ liệu khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

(Cơ sở pháp lý: khoản 3 Điều 2 của Luật Bảo vệ dữ liệu cá nhân năm 2025 và Điều 4 Nghị định 356/2025/NĐ-CP)

2. Xử lý dữ liệu cá nhân

Đây là hoạt động tác động trực tiếp hoặc gián tiếp lên dữ liệu cá nhân thông qua các hoạt động như thu thập, ghi nhận, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan.

Tương tự trong mối quan hệ giữa doanh nghiệp và người lao động, tuỳ vào các hoạt động xử lý dữ liệu cá nhân của doanh nghiệp và cũng như từ góc nhìn của các đối tượng khác, một doanh nghiệp có thể đóng nhiều vai trò như bên Kiểm soát dữ liệu cá nhân; bên Xử lý dữ liệu cá nhân; bên kiểm soát và xử lý dữ liệu cá nhân và bên thứ ba. Tuy theo vai trò mà sẽ có những quyền và nghĩa vụ khác nhau.

II. Doanh nghiệp có trách nhiệm như thế nào trong việc xử lý dữ liệu cá nhân của người lao động

Khi doanh nghiệp tiến hành thực hiện các hoạt động như lưu trữ, phân tích hồ sơ tuyển dụng của ứng viên, lưu trữ thông tin của người lao động để thực hiện các nghĩa vụ về thuế, bảo hiểm và các thông tin khác để phục vụ trong công tác quản lý người lao động thì hoạt động đó được xem là xử lý dữ liệu cá nhân. Do đó, có thể thấy rằng doanh nghiệp không chỉ đóng vai trò quyết định mà còn chịu trách nhiệm trực tiếp đối với toàn bộ quá trình xử lý dữ liệu cá nhân theo quy định pháp luật.

1. Tuân thủ các nguyên tắc xử lý và bảo vệ dữ liệu cá nhân theo quy định pháp luật.

Người lao động ở đây chính là chủ thể dữ liệu có quyền được biết về các hoạt động liên quan đến quá trình xử lý dữ liệu cá nhân của mình. Doanh nghiệp khi tiến hành thu thập, lưu trữ, xử lý dữ liệu cá nhân của người lao động phải phù hợp, có liên quan đến mục đích, giới hạn trong phạm vi cần thiết và trên cơ sở người lao động được biết rõ và đồng ý, trừ trường hợp pháp luật có quy định khác. Ngoài ra, doanh nghiệp phải có trách nhiệm tương ứng đối với vai trò là bên Kiểm soát dữ liệu cá nhân, bên Xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân hay bên thứ ba

Cơ sở pháp lý: Điều 3, điểm a khoản 1 Điều 4, Điều 9 và Điều 37 của Luật Bảo vệ dữ liệu cá nhân năm 2025

2. Doanh nghiệp không được thực hiện các hành vi bị nghiêm cấm trong bảo vệ dữ liệu cá nhân.

Doanh nghiệp có nghĩa vụ tuyệt đối tuân thủ quy định pháp luật trong suốt quá trình xử lý dữ liệu cá nhân của người lao động. Điều này thể hiện qua các hành vi bị nghiêm cấm như sử dụng thông tin nhằm xâm phạm quyền và lợi ích hợp pháp của người lao động, áp dụng các biện pháp công nghệ hoặc kỹ thuật trái phép để thu thập hay khai thác dữ liệu, cũng như cản trở hoạt động giám sát và bảo vệ của cơ quan nhà nước có thẩm quyền. Bên cạnh đó, mọi hình thức lợi dụng việc xử lý dữ liệu để thực hiện hành vi vi phạm pháp luật khác đều không được phép. Pháp luật đặc biệt nhấn mạnh và xử lý nghiêm khắc đối với các hành vi vi phạm nghiêm trọng, bao gồm việc sử dụng dữ liệu cá nhân của người khác hoặc cho người khác sử dụng dữ liệu của mình vì mục đích phi pháp, mua bán dữ liệu trái phép, hay chiếm đoạt, cố ý làm lộ thông tin, thất thoát thông tin cá nhân. Những quy định này tạo thành một hàng rào pháp lý vững chắc, đặt trách nhiệm lên doanh nghiệp trong việc bảo vệ quyền riêng tư và an toàn dữ liệu cho người lao động.

Cơ sở pháp lý: Điều 7 Luật Bảo vệ dữ liệu cá nhân năm 2025

3. Áp dụng các biện pháp bảo vệ dữ liệu cá nhân trong suốt quá trình xử lý

Doanh nghiệp có trách nhiệm áp dụng đồng bộ các biện pháp tổ chức, kỹ thuật và quản lý phù hợp nhằm bảo đảm an toàn, bảo mật dữ liệu cá nhân của người lao động ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu. Việc xử lý dữ liệu cá nhân, đặc biệt thông qua các biện pháp công nghệ, kỹ thuật trong tuyển dụng, quản lý và sử dụng người lao động, chỉ được thực hiện khi phù hợp với quy định của pháp luật, bảo đảm quyền và lợi ích hợp pháp của chủ thể dữ liệu, trên cơ sở người lao động biết rõ về các biện pháp đó và đồng ý. Doanh nghiệp cần nên lưu ý về việc xóa bỏ hoặc hủy dữ liệu cá nhân của người lao động trong trường hợp người lao động không còn công tác tại doanh nghiệp hoặc thực hiện lưu trữ dữ liệu trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận.

Ngoài ra, doanh nghiệp không được xử lý hoặc sử dụng dữ liệu cá nhân thu thập bằng các biện pháp công nghệ, kỹ thuật trái quy định pháp luật, cũng như phối hợp với cơ quan nhà nước có thẩm quyền trong công tác bảo vệ dữ liệu cá nhân khi được yêu cầu theo quy định.

Cơ sở pháp lý: Điều 25 Luật Bảo vệ dữ liệu cá nhân năm 2025

4. Doanh nghiệp phải chịu trách nhiệm pháp lý phát sinh từ việc xử lý dữ liệu cá nhân.

Doanh nghiệp khi vi phạm các quy định về bảo vệ dữ liệu cá nhân của người lao động sẽ phải gánh chịu trách nhiệm pháp lý toàn diện. Trách nhiệm này được phân loại tùy thuộc vào tính chất và mức độ của hành vi vi phạm, bao gồm trách nhiệm hành chính, dân sự và thậm chí là trách nhiệm hình sự. Nếu hoạt động xử lý dữ liệu gây ra thiệt hại thực tế, doanh nghiệp có nghĩa vụ phải bồi thường cho người lao động theo đúng quy định của pháp luật.

Doanh nghiệp cần đặc biệt lưu ý rằng mức phạt tiền tối đa đối với hành vi vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân có thể lên đến 03 (ba) tỷ đồng. Đây là mức xử phạt rất nghiêm khắc, thể hiện quan điểm nhất quán của Nhà nước trong việc tăng cường bảo vệ dữ liệu cá nhân trong bối cảnh chuyển đổi số hiện nay. Do đó, doanh nghiệp cần hết sức thận trọng trong quá trình thu thập, lưu trữ và xử lý dữ liệu cá nhân, đồng thời nghiêm chỉnh tuân thủ đầy đủ các quy định của pháp luật về bảo vệ dữ liệu cá nhân nhằm hạn chế rủi ro pháp lý và bảo đảm hoạt động sản xuất, kinh doanh được thực hiện ổn định, bền vững.

Cơ sở pháp lý: Điều 8 Luật Bảo vệ dữ liệu cá nhân năm 2025

Trong kỷ nguyên số, xử lý dữ liệu cá nhân của người lao động không còn là hoạt động phụ yếu hay thủ tục nội bộ của doanh nghiệp mà đã trở thành một phần cốt lõi trong quản trị doanh nghiệp hiện đại. Cách doanh nghiệp thu thập, sử dụng và bảo vệ dữ liệu cá nhân không chỉ phản ánh mức độ tuân thủ pháp luật, mà còn thể hiện văn hóa quản trị, trách nhiệm xã hội và năng lực thích ứng với các chuẩn mực pháp lý mới. Việc đầu tư vào hệ thống quản lý dữ liệu an toàn, minh bạch và tôn trọng người lao động sẽ không chỉ giúp doanh nghiệp tránh các chế tài pháp lý nghiêm khắc, mà còn tạo dựng niềm tin, nâng cao sức cạnh tranh và phát triển bền vững trong bối cảnh kinh tế số và pháp luật ngày càng hoàn thiện.

CÔNG TY LUẬT TNHH DL PINNACLE