LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025

Luật Bảo vệ Dữ liệu Cá nhân số 91/2025/QH15 được Quốc hội thông qua ngày 26/6/2025, có hiệu lực kể từ ngày 01/01/2026, thay thế cho Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân ngày 17/4/2023. Theo đó, Doanh nghiệp lưu ý một số điểm quan trọng sau trong hoạt động tuyển dụng, quản lý và sử dụng lao động:

-       Trách nhiệm bảo vệ dữ liệu cá nhân của doanh nghiệp trong tuyển dụng lao động được quy định như sau:

(i)            Chỉ được yêu cầu cung cấp các thông tin phục vụ cho mục đích tuyển dụng của doanh nghiệp phù hợp với quy định của pháp luật; thông tin được cung cấp chỉ được sử dụng vào mục đích tuyển dụng và mục đích khác theo thỏa thuận phù hợp với quy định của pháp luật;

(ii)          Thông tin cung cấp phải được xử lý theo quy định của pháp luật và phải được sự đồng ý của người dự tuyển;

(iii)         Phải xóa, hủy thông tin đã cung cấp của người dự tuyển trong trường hợp không tuyển dụng, trừ trường hợp có thỏa thuận khác với người đã dự tuyển;

-       Trách nhiệm bảo vệ dữ liệu cá nhân Doanh nghiệp trong quản lý, sử dụng người lao động được quy định như sau:

(i)            Tuân thủ quy định của Luật này, pháp luật về lao động, việc làm, pháp luật về dữ liệu và quy định khác của pháp luật có liên quan;

(ii)          Dữ liệu cá nhân của người lao động phải lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận;

(iii)         Phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.

-       Trường hợp Doanh nghiệp xử lý dữ liệu cá nhân của người lao động được thu thập bằng biện pháp công nghệ, kỹ thuật trong quản lý người lao động, Doanh nghiệp lưu ý:

(i)            Chỉ được áp dụng các biện pháp công nghệ, kỹ thuật phù hợp với quy định của pháp luật và bảo đảm quyền, lợi ích của chủ thể dữ liệu cá nhân, trên cơ sở người lao động biết rõ biện pháp đó;

(ii)          Không được xử lý, sử dụng dữ liệu cá nhân thu thập từ các biện pháp công nghệ, kỹ thuật trái quy định của pháp luật.

-       Trường hợp Doanh nghiệp thu thập và xử lý dữ liệu sinh trắc học của người lao động (dấu vân tay, quét khuôn mặt…), Doanh nghiệp lưu ý:

(i)            Doanh nghiệp phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải dữ liệu sinh trắc học của mình; hạn chế quyền truy cập vào dữ liệu sinh trắc học; có hệ thống theo dõi để phòng ngừa, phát hiện hành vi xâm phạm dữ liệu sinh trắc học; tuân thủ quy định của pháp luật và tiêu chuẩn quốc tế có liên quan;

(ii)          Trường hợp xử lý dữ liệu sinh trắc học gây thiệt hại cho chủ thể dữ liệu cá nhân thì tổ chức, cá nhân thu thập và xử lý dữ liệu sinh trắc học phải thông báo cho chủ thể dữ liệu cá nhân đó theo quy định.

-       Doanh nghiệp xử lý dữ liệu cá nhân của người lao động để thực hiện hợp đồng lao động đã giao kết với người lao động thì không cần phải có sự đồng ý của người lao động; tuy nhiên, Doanh nghiệp cần phải thiết lập cơ chế giám sát khi xử lý dữ liệu cá nhân của người lao động bao gồm:

(i)            Thiết lập quy trình, quy định xử lý dữ liệu cá nhân và xác định trách nhiệm của cơ quan, tổ chức, cá nhân trong quá trình xử lý dữ liệu cá nhân;

(ii)          Triển khai các biện pháp bảo vệ dữ liệu cá nhân phù hợp; thường xuyên đánh giá rủi ro có thể xảy ra trong quá trình xử lý dữ liệu cá nhân;

(iii)         Thực hiện kiểm tra, đánh giá định kỳ việc tuân thủ quy định của pháp luật, quy trình, quy định xử lý dữ liệu cá nhân;

(iv)         Có cơ chế tiếp nhận và xử lý phản ánh, kiến nghị từ cơ quan, tổ chức, cá nhân có liên quan.

-       Doanh nghiệp lưu trữ dữ liệu cá nhân của người lao động thuộc Doanh nghiệp trên dịch vụ điện toán đám mây thì không phải thực hiện quy định về đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

Ngoài các nội dung nêu trên, Luật Bảo vệ Dữ liệu Cá nhân 2025 còn có một số nội dung đáng chú ý như sau:

-       Doanh nghiệp có thể thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân thay cho việc chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân.

-       Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện (i) đánh giá tác động xử lý dữ liệu cá nhân; (ii) cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới; (iii) chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân trong thời gian 05 năm kể từ ngày Luật này có hiệu lực thi hành.

Doanh nghiệp siêu nhỏ không phải thực hiện (i) đánh giá tác động xử lý dữ liệu cá nhân; (ii) cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới; (iii) chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.