Xóa dữ liệu sau nghỉ việc – cú hích thay đổi văn hóa quản trị nhân sự từ ngày 01/01/2026
(Luật sư Nguyễn Hữu Phước – Chủ tịch Câu lạc bộ Giám đốc pháp chế doanh nghiệp)
Kể từ ngày 01/01/2026, Luật Bảo vệ dữ liệu cá nhân 2025
(Luật số 91/2025/QH15) có hiệu lực, đặt ra một chuẩn mực mới trong quản trị
nhân sự. Theo điều 14 Luật này, dữ liệu cá nhân của người lao động (NLĐ) phải
được doanh nghiệp (DN) xóa hoặc hủy khi chấm dứt hợp đồng lao động (HĐLĐ), trừ
khi hai bên có thỏa thuận khác hoặc quy định của pháp luật yêu cầu lưu giữ.
Nghĩa vụ này không chỉ khẳng định vị thế của quyền riêng tư tại nơi làm việc,
mà còn đưa DN bước vào một kỷ nguyên tuân thủ chủ động, có quy trình và có thể
kiểm chứng. Cơ sở pháp lý trực tiếp nằm ở Điều 25 của Luật này, quy định rõ
trách nhiệm “phải xóa, hủy dữ liệu cá nhân của NLĐ khi chấm dứt HĐLĐ” đồng thời
ràng buộc DN chỉ được lưu giữ trong thời hạn theo luật hoặc theo thỏa thuận hợp
pháp.
Bên cạnh quy định chuyên biệt cho mối quan hệ lao động, Luật
này cũng thiết lập bộ quyền và cơ chế xử lý yêu cầu của chủ thể dữ liệu nói
chung, trong đó có quyền được xóa dữ liệu khi đã hoàn thành mục đích xử lý, hết
thời hạn lưu trữ, theo quyết định của cơ quan có thẩm quyền hoặc theo thỏa
thuận hợp pháp giữa DN và NLĐ. Trên phương diện thủ tục, DN với vai trò là bên
kiểm soát và xử lý dữ liệu có nghĩa vụ tiếp nhận, thực hiện yêu cầu của NLĐ là chủ
thể dữ liệu và thông báo kết quả trong thời hạn luật định, bao gồm cả yêu cầu
rút lại sự đồng ý và yêu cầu xóa, hủy dữ liệu. Nền tảng của cơ chế này thể hiện
ở các điều về xử lý yêu cầu, xóa, hủy dữ liệu và thông báo cho chủ thể dữ liệu
trong Luật này.
Một điểm thường bị bỏ sót trong thực tiễn là phạm vi “dữ
liệu cá nhân” không chỉ là họ tên, số định danh, địa chỉ hay hồ sơ lương, mà
còn bao trùm cả những “thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh,
âm thanh hoặc dạng tương tự trên môi trường điện tử” gắn với một cá nhân. Điều
này có nghĩa là hình ảnh của NLĐ trong brochure, profile, website, mạng xã hội;
video nội bộ hay quảng bá; thậm chí giọng nói trong clip đào tạo, podcast… đều
là dữ liệu cá nhân và có thể phát sinh yêu cầu xóa hoặc ngừng sử dụng khi NLĐ
rời đi, nếu không còn căn cứ pháp lý khác để tiếp tục xử lý. Căn cứ nhận diện
rộng này vốn đã hiện diện từ Nghị định 13/2023/NĐ-CP của Chính phủ và tiếp tục
được kế thừa trong tư duy lập pháp ở Luật này.
Ở chiều ngược lại, pháp luật cũng thừa nhận các ngoại lệ hợp lý để bảo vệ quyền và lợi ích hợp pháp của DN. Trong trường hợp phát sinh tranh chấp lao động, hồ sơ nhân sự, thư trao đổi, quyết định kỷ luật lao động… có thể phải được lưu giữ để làm chứng cứ; với kế toán, thuế và bảo hiểm bắt buộc, nhiều tài liệu buộc phải lưu trữ trong các thời hạn tối thiểu theo các luật chuyên ngành. Luật Kế toán quy định nhóm tài liệu phải lưu tối thiểu 5 năm, 10 năm, thậm chí còn lâu hơn tùy tính chất; còn Luật Lưu trữ thì yêu cầu nộp lưu, bảo quản đối với tài liệu có giá trị lâu dài. Ý nghĩa thực tiễn là “xóa” không đồng nghĩa xóa sạch tất cả mà theo đó, DN phải phân loại để xóa triệt để phần không còn căn cứ xử lý, nhưng vẫn giữ phần thật sự cần thiết theo luật, đúng mục đích và trong thời hạn tối thiểu.
So với chuẩn quốc tế, đặc biệt là General Data Protection Regulation (GDPR) của
Liên minh Châu Âu, có thể thấy pháp luật Việt Nam hội tụ hai trục chính đó là
nguyên tắc giới hạn lưu giữ (chỉ giữ “không lâu hơn cần thiết”) và quyền được
xóa dữ liệu khi không còn căn cứ xử lý hợp pháp, kèm các ngoại lệ phục vụ nghĩa
vụ pháp lý, lợi ích công, hoặc bảo vệ quyền lợi hợp pháp trong tranh chấp. Việc
tham chiếu chuẩn mực này giúp DN Việt Nam hình dung rõ hơn về kỳ vọng tuân thủ
đó là không chỉ “xóa theo yêu cầu”, mà là quản trị vòng đời dữ liệu NLĐ từ lúc
thu thập đến khi xóa, ẩn danh, có nhật ký, có bằng chứng.
Tính dự báo của tuân thủ sẽ không dừng lại ở quy trình mà còn đòi hỏi DN phải chủ động “khóa” rủi ro truyền thông ngay từ khi mối quan hệ lao động còn tồn tại. Với hình ảnh, video, giọng nói, profile NLĐ dùng cho mục đích truyền thông và thương mại của DN, việc lấy ý kiến đồng ý của NLĐ rõ ràng, cụ thể về phạm vi, thời hạn, kênh sử dụng và quyền rút lại là tối quan trọng; trước khi NLĐ nghỉ việc, các bên nên rà soát và thống nhất phạm vi tiếp tục sử dụng hay cam kết gỡ bỏ, thời hạn gỡ và cách thức gỡ, để tránh phát sinh tranh chấp về sau. Một thỏa thuận được chuẩn hóa, gắn kèm hợp đồng lao động hoặc phụ lục truyền thông, sẽ giúp DN có căn cứ tiếp tục sử dụng hợp pháp hoặc có lộ trình xóa minh bạch khi nghĩa vụ phát sinh. Cơ sở nhận diện ảnh và âm thanh là dữ liệu cá nhân trong Nghị định 13/2023/NĐ-CP càng củng cố tính cấp thiết của bước này.
Để biến nghĩa vụ pháp lý thành năng lực tổ chức, việc đào tạo nội bộ cho NLĐ về bảo vệ dữ liệu cá nhân là “vũ khí” không thể thiếu. Tối thiểu, DN nên phổ biến cho toàn bộ nhân sự các khái niệm nền tảng về dữ liệu cá nhân, quyền và nghĩa vụ của chủ thể dữ liệu; cách nhận biết dữ liệu nhạy cảm; nguyên tắc “chỉ thu thập đúng mục đích, chỉ giữ trong thời hạn cần thiết”; và quy trình tiếp nhận và xử lý yêu cầu của NLĐ. Với các bộ phận “nắm” nhiều dữ liệu cá nhân NLĐ như Nhân sự, Pháp chế, Kế toán–Thuế, Công nghệ thông tin, Truyền thông–Tiếp thị, DN cần đào tạo chuyên sâu về phân loại hồ sơ lưu giữ bắt buộc, thiết kế thời hạn lưu, ẩn danh hóa, kỹ thuật xóa an toàn, nhật ký xóa, và quản trị rủi ro chuỗi cung ứng dữ liệu với các nhà cung cấp dịch vụ. Cách tiếp cận này phù hợp với tinh thần nâng cao nhận thức, năng lực bảo vệ dữ liệu mà khung pháp lý hiện hành khuyến khích và giao trách nhiệm cho cơ quan, tổ chức triển khai.
Tóm lại, bức tranh tuân thủ hoàn chỉnh về bảo vệ dữ liệu cá nhân cần thêm ba mảnh ghép. Thứ nhất là kiến trúc kỹ thuật qua việc lập bản đồ dữ liệu nhân sự; phân quyền truy cập; tự động hóa lịch lưu, xóa; khoanh vùng nơi đặt dữ liệu và đường đi dữ liệu; bằng chứng xóa. Thứ hai là quản trị nhà cung cấp qua việc đưa thêm điều khoản bảo vệ dữ liệu cá nhân trong các hợp đồng dịch vụ, quyền kiểm tra, và cơ chế sự cố. Thứ ba là quản trị hồ sơ thông qua việc xây dựng chính sách nội bộ công khai cho NLĐ; thông báo xử lý dữ liệu theo vị trí việc làm; biểu mẫu yêu cầu và sổ theo dõi yêu cầu; biên bản xóa, ẩn danh; và ma trận thời hạn lưu trữ theo từng nhóm tài liệu nhân sự gắn với căn cứ các luật chuyên ngành. Khi những mảnh ghép này vận hành nhịp nhàng, DN không chỉ đúng luật ở thời điểm NLĐ rời đi, mà còn giảm thiểu dữ liệu thừa ngay từ đầu vào, tiết kiệm chi phí và hạ thấp bề mặt rủi ro.
Nhìn rộng ra, sự giao thoa giữa luật nội địa và chuẩn mực
quốc tế đang tạo ra một ngôn ngữ chung của niềm tin. Việt Nam đã lựa chọn cách
tiếp cận dứt khoát ở khu vực lao động, yêu cầu xóa dữ liệu cá nhân của NLĐ khi
mối quan hệ lao động kết thúc nhưng vẫn mở “van an toàn” cho các nghĩa vụ lưu
trữ vì pháp luật chuyên ngành hay vì chỉ bảo vệ quyền lợi hợp pháp của NLĐ. Nếu
DN thiết kế được quy trình tiếp nhận và xử lý yêu cầu xóa, chuẩn hóa thỏa thuận
sử dụng hình ảnh và giọng nói, nâng cao hiểu biết của NLĐ bằng đào tạo định kỳ
và quản trị vòng đời dữ liệu một cách thông minh, thì quy định mới không phải
là gánh nặng, mà là đòn bẩy để nâng chuẩn quản trị, củng cố thương hiệu nhà
tuyển dụng và sẵn sàng hội nhập.
Bài viết này của tôi được viết trên cơ sở dựa trên những kiến thức pháp luật mà tôi đã được học cũng như những kinh nghiệm chuyên môn trong nhiều năm qua. Nếu bạn thấy những thông tin chia sẻ của tôi ở trên là hữu ích, xin hãy ủng hộ tôi bằng một cú click chuột vào website này nhé www.phuoc-partner.com. Cám ơn bạn rất nhiều.
