Trong quản trị hiện đại, dữ liệu nhân sự không đơn thuần là những tệp hồ sơ lưu trữ vô tri. Đó là "nhịp thở" của doanh nghiệp, chứa đựng từ thông tin định danh, lịch sử thu nhập đến các đánh giá năng lực,...cần sự bảo mật rất cao. 
Kể từ khi Luật Bảo vệ dữ liệu cá nhân 2025 (Luật số 91/2025/QH15) chính thức có hiệu lực vào ngày 01/01/2026 cùng sự ra đời của Nghị định 356/2025/NĐ-CP, khối tài sản này đang đứng trước ngưỡng cửa pháp lý cực kỳ khắt khe.
Đối với những người làm nhân sự, thách thức hiện tại không chỉ dừng lại ở việc lưu trữ thông tin sao cho khoa học, mà là nhận diện xem mình có đang nắm giữ một "khối rủi ro" khổng lồ hay không. Thực tế này buộc các lãnh đạo và bộ phận Nhân sự (HR) phải thực hiện một cú chuyển mình quyết liệt: từ tư duy "thu thập dữ liệu tự do" sang "quản trị dữ liệu có trách nhiệm".

1. TẠI SAO DOANH NGHIỆP CẦN HÀNH ĐỘNG NGAY?

Luật số 91/2025/QH15 không dừng lại ở những lời nhắc nhở hay cảnh cáo mang tính hình thức. Điều 8 của Luật đã xác lập một khung chế tài nghiêm khắc, biến việc bảo vệ dữ liệu trở thành một cuộc chiến sống còn về tài chính và uy tín của mọi tổ chức.
Mức độ rủi ro được phân tầng rõ rệt, tác động trực tiếp đến ngân sách và dòng tiền của doanh nghiệp:
- HÀNH VI MUA BÁN DỮ LIỆU: Nếu có phát sinh hành vi mua bán dữ liệu cá nhân trái phép, mức phạt sẽ là 10 lần khoản thu lợi bất chính. Đây là đòn bẩy tài chính đánh thẳng vào ý định trục lợi từ dữ liệu của tổ chức và cá nhân.
- CHUYỂN DỮ LIỆU XUYÊN BIÊN GIỚI TRÁI PHÉP: Đây là "điểm nóng" đối với các doanh nghiệp FDI hoặc các công ty sử dụng hệ thống quản trị quốc tế. Mức phạt cho sự vi phạm có thể lên tới 5% doanh thu của năm trước liền kề. Con số này đủ sức "xóa sổ" một phần lớn lợi nhuận của doanh nghiệp.
- VỚI CÁC HÀNH VI VI PHẠM KHÁC: Với mức phạt tiền tối đa lên đến 03 tỷ đồng cho các vi phạm chung trong lĩnh vực bảo vệ dữ liệu, sai sót trong quản lý dữ liệu cũng có thể tương đương với chi phí vận hành của cả một phòng ban trong nhiều tháng.

Bên cạnh thiệt hại về con số, doanh nghiệp còn phải đối mặt với rủi ro bồi thường thiệt hại và trách nhiệm hình sự tùy theo mức độ hậu quả. Một sơ suất như để lộ bảng lương hay hồ sơ bệnh án của nhân viên không chỉ dừng lại ở tờ hóa đơn tiền phạt, mà còn là sự suy giảm niềm tin của đội ngũ và lưu vết trên thương hiệu tuyển dụng của doanh nghiệp. 

2. MỘT SỐ “LỖ HỔNG” MÀ HR DỄ BỎ QUA VỀ BẢO MẬT DỮ LIỆU CÁ NHÂN

Phần lớn các rủi ro pháp lý không đến từ ý muốn vi phạm, mà đến từ những thói quen vận hành "mặc định" đã tồn tại nhiều thập kỷ. Khi đối chiếu với Chương II của Luật mới, những thói quen này bộc lộ những lỗ hổng chết người:

2.1. "Sự im lặng" trong tuyển dụng và Talent Pool

HR thường mặc định rằng ứng viên nộp CV là đã đồng ý để công ty lưu trữ và sử dụng cho các vị trí tương lai. Tuy nhiên, Điều 9 quy định rất khắt khe:
- Sự im lặng không là sự đồng ý: Khoản 4 Điều 9 nhấn mạnh "Sự im lặng hoặc không phản hồi không được coi là sự đồng ý". Việc HR tự ý giữ CV của ứng viên bị loại mà không có một thông báo và xác nhận rõ ràng là hành vi thu thập dữ liệu trái phép.
- Phải đồng ý cho từng mục đích: Bạn không thể dùng sự đồng ý ứng tuyển vị trí A để mặc định lưu trữ dữ liệu cho vị trí B trong 2 năm tới. Sự đồng ý phải dựa trên mục đích cụ thể và biết rõ loại dữ liệu nào sẽ bị xử lý.

2.2. Sự lúng túng trong quyền "Rút lại đồng ý" và "Xóa dữ liệu"

Theo Điều 10 và Điều 14, chủ thể dữ liệu (nhân viên) có quyền yêu cầu rút lại sự đồng ý hoặc yêu cầu xóa dữ liệu bất kỳ lúc nào. Đây là cơn ác mộng vận hành nếu HR không có quy trình phân loại dữ liệu:
- Xung đột giữa "Phải xóa" và "Phải giữ": Khi nhân viên nghỉ việc yêu cầu xóa thông tin cá nhân, HR dễ rơi vào bẫy pháp lý. Bạn buộc phải xóa các dữ liệu mang tính riêng tư, nhưng Điều 14 cũng quy định không thực hiện xóa nếu trái với quy định pháp luật khác. HR phải biết rõ loại dữ liệu nào thuộc nghĩa vụ lưu trữ để từ chối xóa một cách hợp pháp.
- Ngăn chặn khôi phục trái phép: Luật yêu cầu việc xóa phải dùng các biện pháp an toàn, ngăn chặn khôi phục trái phép. Nếu HR chỉ đơn giản là "Xóa file" trên máy tính mà không có quy trình kỹ thuật chuẩn, doanh nghiệp vẫn chưa hoàn thành nghĩa vụ.

2.3. Chuyển giao dữ liệu cho bên thứ ba

Hầu hết các doanh nghiệp hiện nay đều chia sẻ dữ liệu nhân viên cho bên thứ ba (Outsource Payroll, Bảo hiểm, Công cụ quản trị Cloud,..). Theo Điều 15 và Điều 17:
- Trách nhiệm liên đới: Bên kiểm soát dữ liệu (Doanh nghiệp) chỉ được cung cấp dữ liệu cho bên thứ ba khi có sự đồng ý của chủ thể. HR cần rà soát lại: Hợp đồng lao động hiện tại có điều khoản cho phép chia sẻ dữ liệu này chưa?
- Giám sát việc công khai và chuyển giao: Điều 16 yêu cầu cơ quan, tổ chức phải kiểm soát và giám sát chặt chẽ việc công khai, chuyển giao dữ liệu. Nếu đối tác làm Payroll của bạn để lộ dữ liệu lương, doanh nghiệp của bạn vẫn phải chịu trách nhiệm chính vì đã không thực hiện đầy đủ nghĩa vụ giám sát theo luật định.

2.4. Sai lầm trong việc chỉnh sửa dữ liệu

Điều 13 xác lập quyền của nhân viên được tự mình chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu để đảm bảo tính chính xác. Nếu quy trình tiếp nhận chậm chạp hoặc không có lý do chính đáng để từ chối, doanh nghiệp đang trực tiếp ngăn cản quyền của chủ thể dữ liệu, dẫn đến rủi ro bị khiếu nại và xử phạt hành chính theo quy định.
Như vậy, "Sự đồng ý" trong Luật mới không phải là một tờ giấy ký xong là xong, mà là một thực thể sống: có thể bị rút lại, có thể bị giới hạn và phải được minh bạch hóa trong suốt vòng đời của nhân viên tại tổ chức.

3. 3 LƯU Ý ĐỂ TRÁNH VI PHẠM 

Để không rơi vào "bẫy" vi phạm khi Luật chính thức có hiệu lực, doanh nghiệp nên có sự vận hành chuẩn chỉnh. Hitsuji HR Academy đề xuất 3 lưu ý để Anh/Chị HR tham khảo triển khai:

LƯU Ý 1: Kiểm kê dữ liệu - Hiểu rõ những gì mình đang có

Đây là bước đặt nền móng. Doanh nghiệp cần vẽ lại "bản đồ dòng chảy dữ liệu" xuyên suốt vòng đời nhân viên: từ lúc ứng viên nộp hồ sơ, quá trình làm việc, cho đến khi rời tổ chức.
Mục tiêu: Xác định chính xác loại dữ liệu nào đang xử lý (cơ bản hay nhạy cảm), ai có quyền truy cập, và dữ liệu đó đang nằm ở đâu (server nội bộ, cloud hay hồ sơ giấy). Chỉ khi biết mình đang giữ gì, lãnh đạo mới có thể đưa ra phương án bảo vệ phù hợp.

LƯU Ý 2: Thiết lập hành lang pháp lý & Cơ chế Đồng ý (Consent)

Mọi hoạt động xử lý dữ liệu phải dựa trên một cơ sở pháp lý vững chắc.
- Hành động: Cập nhật ngay các điều khoản bảo vệ dữ liệu vào biểu mẫu tuyển dụng, hợp đồng lao động và nội quy công ty. Nhân viên phải được biết rõ mục đích xử lý và thể hiện sự đồng ý bằng phương thức rõ ràng (văn bản hoặc định dạng điện tử kiểm chứng được).
- Lưu ý đặc biệt: Các doanh nghiệp có yếu tố nước ngoài (FDI) cần ưu tiên lập Báo cáo đánh giá tác động chuyển dữ liệu xuyên biên giới Mẫu số 09 (theo Nghị định 356). Đây chính là "hồ sơ sinh mệnh" giúp doanh nghiệp chứng minh tính chủ động và tuân thủ trước các đợt thanh tra.

LƯU Ý 3: Chuẩn hóa quy trình thực thi quyền của chủ thể dữ liệu

Luật mới trao cho nhân viên quyền chủ động rất lớn đối với thông tin của họ. Doanh nghiệp cần xây dựng quy trình tiếp nhận và xử lý yêu cầu chuyên nghiệp để đáp ứng kịp thời các quyền: truy cập, chỉnh sửa, rút lại sự đồng ý hoặc xóa dữ liệu trong thời hạn luật định.
Mục tiêu: Tránh sự chậm trễ hoặc lúng túng trong vận hành nội bộ. Việc đáp ứng nhanh chóng các quyền này không chỉ giúp tránh rủi ro khiếu nại hành chính mà còn thể hiện sự chuyên nghiệp và tôn trọng quyền riêng tư của người lao động.

4. BIẾN SỰ TUÂN THỦ THÀNH LỢI THẾ CẠNH TRANH

Chúng ta cần nhìn nhận việc tuân thủ Luật Bảo vệ dữ liệu cá nhân không chỉ là nghĩa vụ, mà là một lợi thế cạnh tranh.
Trong thị trường nhân tài khắt khe, người lao động có xu hướng lựa chọn và gắn bó với những tổ chức tôn trọng quyền riêng tư và minh bạch trong việc xử lý thông tin cá nhân. Sự chuyên nghiệp trong quản trị dữ liệu chính là một phần của văn hóa doanh nghiệp và là bảo chứng cho uy tín của người làm nghề nhân sự.
Tuy nhiên, HR trong công ty  không thể làm đúng luật nếu chỉ hiểu luật, mà cần hiểu sâu sắc cách vận hành luật trong doanh nghiệp. Những rào cản về thuật ngữ pháp lý và sự phức tạp trong quy trình, nghị định đôi khi có thể khiến các anh/chị cảm thấy bối rối. Khóa học Pháp luật lao động tại Hitsuji HR Academy được ra đời để giải quyết bài toán này. Chúng tôi không chỉ cung cấp kiến thức pháp lý thuần túy, mà tập trung vào việc hướng dẫn HR cách áp dụng các quy định vào vận hành thực tế, giúp doanh nghiệp an tâm phát triển bền vững trước mọi biến động pháp lý.

--------------------------
𝐇𝐈𝐓𝐒𝐔𝐉𝐈 𝐇𝐑 𝐀𝐂𝐀𝐃𝐄𝐌𝐘
---𝐸𝑛ℎ𝑎𝑛𝑐𝑒 𝑆𝑘𝑖𝑙𝑙𝑠, 𝐸𝑛ℎ𝑎𝑛𝑐𝑒 𝐶𝑎𝑟𝑒𝑒𝑟𝑠---
Contact us at:
☎ 0705 619 568
📩 daotao@hitsuji-vn.com
🌎 Website: https://hitsujihr.com.vn/