Từ ngày 01/01/2026, Luật Bảo vệ dữ liệu cá nhân 2025 chính thức có hiệu lực, đánh dấu bước tiến quan trọng trong việc bảo vệ quyền riêng tư của người lao động.
1.Bối cảnh pháp lý mới: Doanh nghiệp buộc phải xóa dữ liệu cá nhân củangười lao động
Theo điểm c khoản 2 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp có nghĩa vụ phải xóa hoặc hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng lao động, trừ khi có thỏa thuận khác hoặc quy định pháp luật yêu cầu lưu giữ.
Cũng theo luật này, dữ liệu cá nhân bao gồm các thông tin cơ bản như họ tên, ngày tháng năm sinh, số CCCD, địa chỉ, số điện thoại, thông tin tài khoản ngân hàng cũng như sữ liệu nhạy cảm như tình trạng sức khỏe, mã số thuế, dấu vân tay, hình ảnh, thông tin người thân,…
Vì vậy doanh nghiệp cần rà soát và sát định thời hạn lưu trữ dữ liệu phù hợp với mục đích sử dụng, đồng thời đảm bảo việc xóa dữ liệu khi không còn cần thiết. Việc này không chỉ giúp tuân thủ pháp luật mà còn bảo vệ quyền lợi của người lao động và nâng cao uy tín của doanh nghiệp.
2. Trường hợp xóa dữ liệu trái phép sẽ bị xử phạt như thế nào?
Theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025, có hiệu lực từ ngày 01/01/2026, mọi tổ chức, cá nhân vi phạm quy định về thu thập, sử dụng, lưu trữ hoặc xóa dữ liệu cá nhân đều có thể bị xử lý nghiêm, tùy theo tính chất và mức độ vi phạm.
Hình thức xử lý:
Có thể bị xử phạt hành chính, truy cứu trách nhiệm hình sự, và buộc bồi thường thiệt hại nếu gây tổn thất cho người khác.
Việc xử phạt hành chính tuân theo quy định chi tiết tại khoản 3 – 7 của Điều 8 và pháp luật về xử lý vi phạm hành chính.
Mức phạt cụ thể:
Đối với hành vi mua bán dữ liệu cá nhân: Mức phạt tiền tối đa gấp 10 lần khoản thu có được từ hành vi vi phạm. Nếu không có khoản thu, hoặc khoản thu quá thấp, sẽ áp dụng mức phạt tiền theo quy định tại khoản 5 điều này.
Đối với hành vi chuyển dữ liệu cá nhân ra nước ngoài trái phép: Mức phạt tiền tối đa tương đương 5% doanh thu của năm trước liền kề của tổ chức vi phạm. Nếu không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.
Đối với các hành vi vi phạm khác (như xóa, tiết lộ, thu thập sai mục đích…): Mức phạt tiền tối đa là 03 tỷ đồng đối với tổ chức. Cá nhân vi phạm cùng hành vi sẽ bị phạt bằng một nửa mức phạt của tổ chức.
3. Trường hợp nào xóa dữ liệu cá nhân được xem là hợp pháp?
Theo Điều 19 Luật Bảo vệ dữ liệu cá nhân 2025 quy định các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu bao gồm:
“a) Để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác trong trường hợp cấp bách; bảo vệ quyền hoặc lợi ích chính đáng của mình, của người khác hoặc lợi ích của Nhà nước, của cơ quan tổ chức một cách cần thiết trước hành vi xâm phạm lợi ích nói trên. Bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba có trách nhiệm chứng minh trường hợp này;
b) Để giải quyết tình trạng khẩn cấp; nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
c) Phục vụ hoạt động của cơ quan nhà nước, hoạt động quản lý nhà nước theo quy định của pháp luật;
c) Phục vụ hoạt động của cơ quan nhà nước, hoạt động quản lý nhà nước theo quy định của pháp luật;
đ) Trường hợp khác theo quy định của pháp luật.”
4.Giải pháp cho Doanh nghiệp và người lao động trong bối cảnh pháp lý mới
Xây dựng chính sách bảo vệ dữ liệu cá nhân: Đảm bảo mọi thông tin cá nhân của người lao động được thu thập, lưu trữ và xử lý đúng mục đích và thời hạn.
Đào tạo nhân viên: Nâng cao nhận thức về tầm quan trọng của việc bảo vệ dữ liệu cá nhân và các quy định pháp luật liên quan.
Rà soát và xóa dữ liệu khi chấm dứt hợp đồng: Đảm bảo việc xóa hoặc hủy bỏ dữ liệu cá nhân của người lao động khi không còn cần thiết, trừ khi có thỏa thuận khác hoặc quy định pháp luật yêu cầu lưu giữ.
Xử lý nghiêm hành vi vi phạm: Đối với những hành vi xóa dữ liệu trái phép, cần áp dụng các biện pháp xử lý kỷ luật và pháp lý phù hợp.
Đối với người lao động:
Yêu cầu xóa dữ liệu cá nhân khi hợp đồng chấm dứt
Giữ bằng chứng: email, tin nhắn, hợp đồng, phiếu yêu cầu xóa dữ liệu
Một môi trường làm việc mà dữ liệu cá nhân được tôn trọng sẽ tạo dựng niềm tin, gắn kết lâu dài và phát triển bền vững cho cả doanh nghiệp và người lao động.
