Từ 01/01/2026, theo quy định mới tại Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp phải xóa dữ liệu cá nhân của người lao động sau khi chấm dứt hợp đồng, trừ trường hợp được pháp luật cho phép hoặc có sự đồng ý của người lao động. Quy định này, góp phần hạn chế hệ lụy do lộ thông tin cá nhân gây ra, đánh dấu bước tiến lớn trong việc bảo vệ quyền riêng tư đối với người lao động Việt Nam trong môi trường số.

1. Tăng cường quyền kiểm soát dữ liệu cá nhân nhờ căn cứ pháp lý vững chắc

Luật Bảo vệ dữ liệu cá nhân 2025, được Quốc hội chính thức thông qua vào ngày 26/06/2025, theo đó quy định rõ về dữ liệu cá nhân, bảo vệ dữ liệu cá nhân và quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan. Tại Khoản 2, Điều 25 Luật này quy định:

“Phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác”

Dữ liệu cá nhân của người lao động bao gồm thông tin dưới dạng ký hiệu, chữ viết, chữ số, thông tin dưới dạng hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

2. Những dữ liệu cá nhân nào doanh nghiệp phải xóa?

Trên thực tế, trong quá trình làm việc, người lao động thường phải cung cấp một lượng lớn thông tin cá nhân cho doanh nghiệp. Khi chấm dứt hợp đồng lao động, doanh nghiệp có trách nhiệm xóa toàn bộ các loại dữ liệu cá nhân đã thu thập bao gồm cả dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm quy định tại Điều 2, Nghị định 13/2023/NĐ-CP, cụ thể:

a. Dữ liệu cá nhân cơ bản: 

• Họ tên; ngày, tháng, năm sinh/ năm chết/ mất tích; giới tính; nơi sinh, nơi thường trú, nơi tạm trú, quê quán, địa chỉ liên hệ; quốc tịch; hình ảnh của cá nhân; số điện thoại; 
• Số căn cước công dân; số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế; 
• Tình trạng hôn nhân; thông tin về mối quan hệ gia đình (cha mẹ, con cái); thông tin về tài khoản số của cá nhân; 
• Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể (dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng; thông tin tài khoản ngân hàng, hồ sơ sức khỏe, hồ sơ kỷ luật,…).

b. Dữ liệu cá nhân nhạy cảm: 

Dữ liệu gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:

• Quan điểm ​​chính trị, quan điểm tôn giáo; nguồn gốc chủng tộc, nguồn gốc dân tộc;
• Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
• Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
• Đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân, các thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
• Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
• Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác;
• Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
• Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

3. Mức phạt đối với doanh nghiệp vi phạm quy định về bảo vệ dữ liệu cá nhân

Đứng trước quy định mới về bảo vệ dữ liệu cá nhân, buộc doanh nghiệp phải xây dựng quy trình quản lý dữ liệu cá nhân nghiêm ngặt và bài bản, từ thu thập, lưu trữ đến xử lý và hủy bỏ dữ liệu. Trong trường hợp doanh nghiệp vi phạm, tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể đối mặt với mức phạt hành chính lên đến hàng trăm triệu hoặc hàng tỷ đồng, cụ thể:

• Phạt tiền tối đa vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.
• Phạt tiền tối đa vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó.
• Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.

Trường hợp vi phạm quy định về xóa dữ liệu cá nhân gây thiệt hại, tổ chức hoặc cá nhân vi phạm phải bồi thường theo quy định của pháp luật. Đặc biệt, nếu hành vi vi phạm gây hậu quả nghiêm trọng, cá nhân vi phạm có thể bị truy cứu trách nhiệm hình sự.

Bên cạnh đó, để bảo đảm việc tuân thủ nghiêm túc nghĩa vụ xóa dữ liệu, người lao động có quyền yêu cầu doanh nghiệp xóa dữ liệu cá nhân của mình và yêu cầu cung cấp bằng chứng đã thực hiện việc xóa dữ liệu. Điều này góp phần nâng cao tính minh bạch, công bằng và quyền kiểm soát thông tin cá nhân theo quy định của pháp luật.

Việc bắt buộc xóa dữ liệu cá nhân của người lao động sau khi chấm dứt hợp đồng từ ngày 01/01/2026 không chỉ là yêu cầu pháp lý, mà còn phản ánh xu hướng tất yếu trong việc bảo vệ quyền riêng tư trong kỷ nguyên số. Doanh nghiệp cần chủ động trong việc rà soát hệ thống lưu trữ dữ liệu liên quan đến nhân sự và xây dựng quy trình hủy dữ liệu rõ ràng để tránh rủi ro pháp lý xây dựng môi trường làm việc minh bạch, tôn trọng, bảo vệ quyền lợi người lao động. 

Thu Hương