Bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động

Bảo vệ dữ liệu cá nhân trong giám sát và tuyển dụng lao động đòi hỏi một quy trình quản lý nhân sự chặt chẽ để tuân thủ pháp luật, và DPO.VN mang đến giải pháp toàn diện. Việc áp dụng đúng các quy định không chỉ giúp doanh nghiệp tránh rủi ro pháp lý mà còn củng cố niềm tin và bảo vệ quyền riêng tư của người lao động.

Doanh nghiệp cần tuân thủ những quy định pháp lý nào khi xử lý dữ liệu cá nhân của người lao động?

Doanh nghiệp phải tuân thủ nghiêm ngặt Nghị định 13/2023/NĐ-CP và chuẩn bị cho Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Các quy định này bao trùm toàn bộ vòng đời dữ liệu của người lao động, từ khâu tuyển dụng, ký kết hợp đồng, giám sát trong quá trình làm việc, cho đến khi chấm dứt hợp đồng lao động.

Hoạt động quản trị nhân sự, từ tuyển dụng đến giám sát và quản lý lao động, đều liên quan mật thiết đến việc xử lý dữ liệu cá nhân. Việc này đặt ra yêu cầu tuân thủ pháp luật cao độ để cân bằng giữa lợi ích của người sử dụng lao động và quyền riêng tư của người lao động. Khung pháp lý tại Việt Nam, đặc biệt là Nghị định 13/2023/NĐ-CP và sắp tới là Luật Bảo vệ dữ liệu cá nhân 2025, đã thiết lập những nguyên tắc và nghĩa vụ rõ ràng mà mọi doanh nghiệp phải tuân theo. Việc hiểu đúng và áp dụng đủ các quy định này không chỉ giúp doanh nghiệp tránh được các chế tài nghiêm khắc mà còn xây dựng một môi trường làm việc minh bạch, tôn trọng và chuyên nghiệp.

Trong giai đoạn tuyển dụng, doanh nghiệp được phép thu thập những thông tin nào của ứng viên?

Doanh nghiệp chỉ được yêu cầu ứng viên cung cấp các thông tin thực sự cần thiết và phù hợp với mục đích tuyển dụng cho vị trí công việc cụ thể. Việc thu thập phải dựa trên sự đồng ý rõ ràng của ứng viên và tuân thủ nguyên tắc tối thiểu hóa dữ liệu.

Giai đoạn tuyển dụng là bước đầu tiên trong quá trình xử lý dữ liệu cá nhân của người lao động. Điều 25 của Luật Bảo vệ dữ liệu cá nhân 2025 quy định rất rõ về trách nhiệm của doanh nghiệp trong giai đoạn này, nhằm đảm bảo quyền lợi cho ứng viên và tính hợp pháp cho quy trình tuyển chọn.

• Nguyên tắc tối thiểu hóa dữ liệu: Doanh nghiệp chỉ được thu thập những thông tin cần thiết để đánh giá năng lực và sự phù hợp của ứng viên với vị trí tuyển dụng. Ví dụ, việc yêu cầu thông tin về tình trạng hôn nhân hoặc quan điểm tôn giáo thường là không cần thiết cho hầu hết các vị trí công việc và có thể bị xem là vi phạm.
• Sự đồng ý của ứng viên: Mọi thông tin do ứng viên cung cấp phải được xử lý dựa trên sự đồng ý của chủ thể dữ liệu. Điều này có nghĩa là doanh nghiệp phải thông báo rõ ràng cho ứng viên về mục đích thu thập, phạm vi sử dụng và thời gian lưu trữ hồ sơ của họ. Sự đồng ý này phải được thể hiện một cách tự nguyện, rõ ràng và có thể chứng minh được.
• Xử lý hồ sơ ứng viên không trúng tuyển: Theo khoản 1 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp phải xóa hoặc hủy thông tin của ứng viên không được tuyển dụng sau khi quá trình tuyển dụng kết thúc. Việc lưu lại hồ sơ để xem xét cho các vị trí trong tương lai chỉ được phép khi có thỏa thuận rõ ràng và sự đồng ý của ứng viên. 💡 DPO.VN khuyến nghị: Doanh nghiệp nên đưa vào thông báo tuyển dụng một tùy chọn cho phép ứng viên đồng ý lưu trữ hồ sơ trong một khoảng thời gian nhất định (ví dụ: 6 tháng) để nhận thông tin về các cơ hội việc làm khác.

Pháp luật quy định như thế nào về việc giám sát người lao động tại nơi làm việc?

Việc giám sát người lao động bằng các biện pháp công nghệ, kỹ thuật như camera, phần mềm theo dõi chỉ được thực hiện khi có mục đích hợp pháp, đã thông báo rõ ràng cho người lao động và phải tôn trọng quyền riêng tư, danh dự, nhân phẩm của họ.

Giám sát người lao động là một trong những vấn đề nhạy cảm nhất trong quản lý nhân sự, đòi hỏi sự cân bằng tinh tế giữa quyền quản lý của doanh nghiệp và quyền riêng tư của nhân viên. Cả Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025 đều đặt ra những giới hạn chặt chẽ cho hoạt động này.

Điều kiện để lắp đặt camera giám sát là gì?

Doanh nghiệp được lắp camera tại nơi làm việc chung vì mục đích bảo vệ an ninh, tài sản nhưng phải thông báo công khai cho người lao động. Nghiêm cấm lắp đặt tại các khu vực riêng tư như phòng thay đồ, nhà vệ sinh, phòng nghỉ cá nhân.

Điều 32 Luật Bảo vệ dữ liệu cá nhân 2025 cho phép ghi âm, ghi hình tại nơi công cộng (bao gồm cả nơi làm việc chung) để bảo vệ an ninh quốc gia, trật tự an toàn xã hội và quyền, lợi ích hợp pháp của tổ chức, cá nhân mà không cần sự đồng ý. Tuy nhiên, doanh nghiệp có nghĩa vụ phải thông báo cho người lao động biết về việc họ đang bị ghi hình, ví dụ thông qua các biển báo rõ ràng. Mục đích giám sát phải hợp pháp và chính đáng.

Sử dụng phần mềm theo dõi hoạt động máy tính của nhân viên có hợp pháp không?

Việc này chỉ hợp pháp khi doanh nghiệp có chính sách rõ ràng, đã thông báo và nhận được sự đồng ý của người lao động. Việc theo dõi phải giới hạn trong phạm vi công việc và không được xâm phạm vào các thông tin, hoạt động cá nhân.

Khoản 3 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025 quy định, việc xử lý dữ liệu cá nhân thu thập bằng biện pháp công nghệ phải được người lao động biết rõ. Do đó, nếu muốn sử dụng phần mềm giám sát, doanh nghiệp phải:

• Xây dựng và ban hành chính sách giám sát cụ thể, nêu rõ phạm vi, mục đích và cách thức giám sát.
• Phổ biến chính sách này và yêu cầu người lao động ký văn bản đồng ý.
• Chỉ giám sát các hoạt động liên quan đến công việc trên thiết bị của công ty. Tuyệt đối không theo dõi email cá nhân, tin nhắn riêng tư hay các tài khoản mạng xã hội không phục vụ công việc.

Quy định về việc sử dụng dữ liệu sinh trắc học để chấm công như thế nào?

Dữ liệu sinh trắc học là dữ liệu cá nhân nhạy cảm, đòi hỏi biện pháp bảo mật cao. Doanh nghiệp phải có sự đồng ý rõ ràng của người lao động, thông báo mục đích sử dụng và áp dụng các biện pháp bảo mật vật lý và kỹ thuật nghiêm ngặt.

Dữ liệu sinh trắc học (vân tay, khuôn mặt, mống mắt) được xếp vào loại dữ liệu cá nhân nhạy cảm theo quy định tại khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP. Điều 31 Luật Bảo vệ dữ liệu cá nhân 2025 yêu cầu các biện pháp bảo vệ đặc biệt đối với loại dữ liệu này. Do đó, khi sử dụng hệ thống chấm công sinh trắc học, doanh nghiệp phải:

• Thông báo rõ ràng cho người lao động về việc thu thập và mục đích sử dụng dữ liệu sinh trắc học.
• Có được sự đồng ý bằng văn bản của người lao động.
• Áp dụng các biện pháp bảo mật cao cấp, bao gồm mã hóa dữ liệu, kiểm soát truy cập chặt chẽ và bảo vệ vật lý cho thiết bị lưu trữ.
• Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân vì đây là hoạt động xử lý dữ liệu nhạy cảm.

Doanh nghiệp cần xử lý dữ liệu của người lao động như thế nào khi họ nghỉ việc?

Khi chấm dứt hợp đồng lao động, doanh nghiệp phải xóa hoặc hủy dữ liệu cá nhân của người lao động, trừ các trường hợp pháp luật chuyên ngành (lao động, bảo hiểm, thuế) yêu cầu lưu trữ trong một thời gian nhất định.

Nguyên tắc giới hạn lưu trữ được quy định tại khoản 7 Điều 3 Nghị định 13/2023/NĐ-CP và được tái khẳng định trong Luật Bảo vệ dữ liệu cá nhân 2025. Theo đó, khi mục đích xử lý ban đầu (quản lý lao động) đã kết thúc, dữ liệu cá nhân phải được xử lý theo quy định.

• Nghĩa vụ lưu trữ theo pháp luật: Doanh nghiệp cần xác định các loại tài liệu bắt buộc phải lưu trữ theo quy định của Luật Lao động, Luật Bảo hiểm xã hội, Luật Thuế… (ví dụ: hồ sơ lương, hồ sơ bảo hiểm). Thời hạn lưu trữ phải tuân thủ theo các luật chuyên ngành này.
• Xóa, hủy các dữ liệu khác: Đối với các dữ liệu không thuộc diện bắt buộc lưu trữ (ví dụ: các bản đánh giá hiệu suất hàng ngày, dữ liệu giám sát hoạt động máy tính), doanh nghiệp phải tiến hành xóa hoặc hủy một cách an toàn sau khi người lao động nghỉ việc.
• Thông báo cho người lao động: Doanh nghiệp nên xây dựng chính sách nghỉ việc rõ ràng, trong đó nêu rõ loại dữ liệu nào sẽ được lưu trữ, thời gian lưu trữ và loại nào sẽ bị xóa.

Doanh nghiệp phải đối mặt với rủi ro và chế tài nào nếu vi phạm quy định?

Vi phạm quy định bảo vệ dữ liệu cá nhân của người lao động có thể dẫn đến xử phạt hành chính lên đến 3 tỷ đồng, truy cứu trách nhiệm hình sự, và nghĩa vụ bồi thường thiệt hại, gây tổn thất nghiêm trọng về tài chính và uy tín.

Hậu quả của việc không tuân thủ là rất đáng kể. Cả Nghị định 13/2023/NĐ-CP và đặc biệt là Luật Bảo vệ dữ liệu cá nhân 2025 đã đưa ra các chế tài xử phạt nghiêm khắc để tăng tính răn đe.

• Xử phạt hành chính: Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 quy định mức phạt tiền tối đa đối với các hành vi vi phạm có thể lên đến 3 tỷ đồng. Đặc biệt, các hành vi nghiêm trọng như mua, bán dữ liệu hoặc vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài có thể bị phạt dựa trên khoản thu bất hợp pháp hoặc tỷ lệ phần trăm trên doanh thu.
• Trách nhiệm hình sự: Trong trường hợp vi phạm gây hậu quả nghiêm trọng, người có trách nhiệm có thể bị truy cứu trách nhiệm hình sự theo quy định của Bộ luật Hình sự.
• Bồi thường thiệt hại: Người lao động có quyền khởi kiện yêu cầu bồi thường thiệt hại nếu chứng minh được rằng việc xử lý dữ liệu cá nhân không đúng quy định đã gây ra tổn thất vật chất hoặc tinh thần cho họ.
• Tổn thất uy tín: Một vụ vi phạm dữ liệu nhân viên bị công khai có thể gây khủng hoảng truyền thông, làm suy giảm nghiêm trọng uy tín của doanh nghiệp, ảnh hưởng đến khả năng thu hút và giữ chân nhân tài.

Làm thế nào để doanh nghiệp xây dựng chính sách bảo vệ dữ liệu cá nhân cho người lao động hiệu quả?

Doanh nghiệp cần xây dựng một chính sách nội bộ toàn diện, chỉ định nhân sự phụ trách, đào tạo nhân viên, tích hợp các điều khoản bảo mật vào hợp đồng lao động, và thường xuyên rà soát, cập nhật quy trình để đảm bảo tuân thủ liên tục.

Để chủ động tuân thủ và quản lý rủi ro, doanh nghiệp nên triển khai một chương trình bảo vệ dữ liệu cá nhân bài bản trong nội bộ. DPO.VN khuyến nghị các bước hành động cụ thể sau:

1. Rà soát và Phân loại Dữ liệu (Data Mapping): Xác định tất cả các loại dữ liệu cá nhân của người lao động đang được thu thập và xử lý, từ đó phân loại đâu là dữ liệu cơ bản, đâu là dữ liệu nhạy cảm.
2. Xây dựng Chính sách và Quy trình: Soạn thảo chính sách bảo vệ dữ liệu cá nhân dành cho người lao động, quy định rõ ràng về thu thập, sử dụng, lưu trữ, giám sát và xóa dữ liệu. Tích hợp các điều khoản về bảo mật và xử lý dữ liệu cá nhân vào hợp đồng lao động và các thỏa thuận khác.
3. Thực hiện Đánh giá tác động: Lập và nộp Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo Mẫu Đ24-DLCN-01, Mẫu Đ24-DLCN-02, hoặc Mẫu Đ24-DLCN-03 tùy thuộc vai trò của doanh nghiệp (Bên kiểm soát, Bên xử lý, hay Bên thứ ba) cho cơ quan chức năng.
4. Chỉ định Nhân sự Phụ trách: Cử một cá nhân hoặc một bộ phận chịu trách nhiệm về bảo vệ dữ liệu (DPO), đặc biệt nếu doanh nghiệp xử lý dữ liệu nhạy cảm hoặc có quy mô lớn.
5. Đào tạo và Nâng cao nhận thức: Tổ chức các buổi đào tạo định kỳ cho toàn bộ nhân viên, đặc biệt là bộ phận nhân sự và IT, về các quy định pháp luật và chính sách nội bộ.
6. Xây dựng Kênh Giao tiếp: Thiết lập một quy trình rõ ràng để người lao động có thể thực hiện các quyền của mình, như yêu cầu truy cập, chỉnh sửa hoặc xóa dữ liệu.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Một trong những điểm cốt lõi là sự minh bạch. Doanh nghiệp nên chủ động thông báo cho người lao động về mọi hoạt động xử lý dữ liệu của họ. Việc xây dựng một Phụ lục về Bảo vệ dữ liệu cá nhân đính kèm Hợp đồng lao động, trong đó giải thích rõ các quyền và nghĩa vụ của cả hai bên, là một giải pháp hiệu quả và chuyên nghiệp.

Các Câu Hỏi Thường Gặp Về Bảo Vệ Dữ Liệu Trong Tuyển Dụng và Giám Sát

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Bộ luật Lao động 2019.
• Cổng Dịch vụ công Quốc gia, Thủ tục về bảo vệ dữ liệu cá nhân.
• Tạp chí An toàn thông tin, Ban Cơ yếu Chính phủ.