Ngày 26/06/2025, Quốc hội đã thông qua Luật Bảo vệ dữ liệu cá nhân năm 2025 có hiệu lực từ ngày 01/01/2026 quy định về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân cũng như quyền, trách nhiệm của các cơ quan, tổ chức, cá nhân có liên quan. Việc hiểu đúng và thực hiện đầy đủ các quy định về bảo vệ dữ liệu cá nhân sẽ giúp doanh nghiệp hạn chế rủi ro pháp lý và xây dựng môi trường lao động an toàn, minh bạch. Hãy cùng Luật Hợp Nhất tìm hiểu quy định pháp luật hiện hành về trách nhiệm bảo vệ dữ liệu cá nhân của người sử dụng lao động thông qua bài viết dưới đây.
1. Quy định pháp luật về trách nhiệm bảo vệ dữ liệu cá nhân của người sử dụng lao động
Hiện nay tại Luật Bảo vệ dữ liệu cá nhân năm 2025 đã có quy định cụ thể về trách nhiệm bảo vệ dữ liệu cá nhân của trong tuyển dụng, quản lý và sử dụng lao động. Cụ thể, trách nhiệm của người sử dụng lao động về bảo vệ dữ liệu cá nhân trong tuyển dụng lao động được quy định tại khoản 1 Điều 25 Luật Bảo vệ dữ liệu cá nhân năm 2025 như sau:
“1. Trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong tuyển dụng lao động được quy định như sau:
a) Chỉ được yêu cầu cung cấp các thông tin phục vụ cho mục đích tuyển dụng của cơ quan, tổ chức, cá nhân tuyển dụng phù hợp với quy định của pháp luật; thông tin được cung cấp chỉ được sử dụng vào mục đích tuyển dụng và mục đích khác theo thỏa thuận phù hợp với quy định của pháp luật;
b) Thông tin cung cấp phải được xử lý theo quy định của pháp luật và phải được sự đồng ý của người dự tuyển;
c) Phải xóa, hủy thông tin đã cung cấp của người dự tuyển trong trường hợp không tuyển dụng, trừ trường hợp có thỏa thuận khác với người đã dự tuyển;”
Các quy định này được đặt ra nhằm biểu hiện rõ nguyên tắc thu thập đúng mục đích, sử dụng đúng mục đích, bảo đảm quyền kiểm soát dữ liệu cá nhân của ứng viên, tránh tình trạng xử lý dữ liệu một cách tùy tiện và thiếu minh bạch.
Trong việc quản lý, sử dụng người lao động, người sử dụng lao động có trách nhiệm bảo vệ dữ liệu cá nhân được quy định tại khoản 2 Điều 25 Luật bảo vệ dữ liệu cá nhân 2025 như sau:
“2. Trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong quản lý, sử dụng người lao động được quy định như sau:
a) Tuân thủ quy định của Luật này, pháp luật về lao động, việc làm, pháp luật về dữ liệu và quy định khác của pháp luật có liên quan;
b) Dữ liệu cá nhân của người lao động phải lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận;
c) Phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.”
Quy định này được áp dụng trong giai đoạn đã phát sinh quan hệ lao động, nên so với giai đoạn tuyển dụng thì phạm vi dữ liệu cá nhân được thu thập và xử lý ở giai đoạn này rộng hơn bởi liên quan trực tiếp đến tiền lương, bảo hiểm, kỷ luật lao động…
Việc xử lý dữ liệu cá nhân của người lao động được thu thập bằng biện pháp công nghệ, kỹ thuật trong quản lý hoặc người lao động được quy định tại khoản 3 Điều 25 Luật bảo vệ dữ liệu cá nhân 2025 như sau:
“a) Chỉ được áp dụng các biện pháp công nghệ, kỹ thuật phù hợp với quy định của pháp luật và bảo đảm quyền, lợi ích của chủ thể dữ liệu cá nhân, trên cơ sở người lao động biết rõ biện pháp đó;
b) Không được xử lý, sử dụng dữ liệu cá nhân thu thập từ các biện pháp công nghệ, kỹ thuật trái quy định của pháp luật.”
Nhìn chung, các quy định về trách nhiệm bảo vệ dữ liệu cá nhân của người sử dụng lao động từ năm 2026 đã siết chặt nghĩa vụ pháp lý và đề cao quyền riêng tư của người lao động, tạo hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân, góp phần xây dựng môi trường lao động minh bạch, chuyên nghiệp và bền vững.
2. Quy định về xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân
Theo quy định tại khoản 1 Điều 8 Luật Bảo vệ dữ liệu cá nhân năm 2025, tổ chức, cá nhân có hành vi vi phạm quy định của Luật và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
Bên cạnh đó, Luật Bảo vệ dữ liệu cá nhân năm 2025 cũng đã đưa ra quy định về mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với một số hành vi vi phạm quy định bảo vệ dữ liệu cá nhân tại các khoản từ khoản 3 đến khoản 6 Điều 8 Luật Bảo vệ dữ liệu cá nhân năm 2025:
“3. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
4. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
5. Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.
6. Mức phạt tiền tối đa quy định tại các khoản 3, 4 và 5 Điều này được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.”
Quý bạn đọc có thắc mắc hoặc có nhu cầu cần được tư vấn về vấn đề nêu trên vui lòng liên hệ địa chỉ email: info@hnlaw.com.vn, SĐT: 0972362884 của Công ty Luật TNHH Hợp Nhất để được hướng dẫn thêm!
————————-
Người thực hiện: Lã Hiểu Khánh
Tham vấn bởi: NVPL. Nguyễn Việt Hà
(Bản quyền tác giả và sở hữu chuyên đề thuộc về Công ty Luật TNHH Hợp Nhất)
