Xây dựng chính sách bảo vệ dữ liệu cá nhân dành cho người lao động

Chính sách bảo vệ dữ liệu cá nhân dành cho người lao động là văn bản pháp lý nội bộ quan trọng, giúp doanh nghiệp quản lý thông tin nhân sự đúng luật và minh bạch. Để hỗ trợ doanh nghiệp tuân thủ toàn diện, DPO.VN cung cấp hướng dẫn chi tiết từ việc soạn thảo đến ban hành quy định nội bộ, đảm bảo quyền lợi người lao động và giảm thiểu rủi ro pháp lý cho công ty.

Tại sao việc xây dựng chính sách bảo vệ dữ liệu cá nhân cho người lao động lại quan trọng?

Việc xây dựng chính sách này không chỉ là nghĩa vụ pháp lý bắt buộc theo Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, mà còn là công cụ thiết yếu để bảo vệ doanh nghiệp khỏi các rủi ro kiện tụng, xây dựng lòng tin với nhân viên và nâng cao văn hóa tôn trọng quyền riêng tư trong tổ chức.

Trong suốt vòng đời làm việc của một nhân viên, từ giai đoạn tuyển dụng, thử việc, ký hợp đồng chính thức cho đến khi nghỉ việc, doanh nghiệp thu thập và xử lý một khối lượng lớn dữ liệu cá nhân, bao gồm cả các thông tin nhạy cảm. Việc thiếu một khuôn khổ pháp lý nội bộ rõ ràng sẽ đặt doanh nghiệp vào tình thế rủi ro cao về pháp lý, an ninh thông tin và uy tín. Một chính sách được xây dựng bài bản mang lại nhiều lợi ích chiến lược:

• Đảm bảo tuân thủ pháp luật: Đây là lợi ích trực tiếp và quan trọng nhất. Chính sách giúp hệ thống hóa các yêu cầu của Nghị định 13 và Luật sắp có hiệu lực, đảm bảo mọi hoạt động xử lý dữ liệu nhân sự đều hợp pháp, giảm thiểu nguy cơ bị xử phạt hành chính lên tới 3 tỷ đồng hoặc các chế tài nặng hơn.
• Minh bạch hóa và xây dựng lòng tin: Khi người lao động hiểu rõ dữ liệu của họ được thu thập để làm gì, ai có quyền truy cập, và được bảo vệ ra sao, họ sẽ cảm thấy an tâm và tin tưởng hơn vào doanh nghiệp. Điều này góp phần tạo ra một môi trường làm việc tích cực và nâng cao sự gắn kết của nhân viên.
• Quản lý rủi ro hiệu quả: Chính sách cung cấp một quy trình chuẩn hóa để xử lý các yêu cầu của người lao động liên quan đến dữ liệu, cũng như quy trình ứng phó khi có sự cố rò rỉ thông tin. Điều này giúp doanh nghiệp phản ứng nhanh chóng, chuyên nghiệp, hạn chế tối đa thiệt hại.
• Nâng cao văn hóa doanh nghiệp: Việc ban hành và thực thi nghiêm túc chính sách bảo vệ dữ liệu cá nhân thể hiện cam kết của ban lãnh đạo đối với quyền riêng tư, tạo ra một văn hóa doanh nghiệp hiện đại, chuyên nghiệp và có trách nhiệm.

Một chính sách bảo vệ dữ liệu cá nhân cho người lao động cần bao gồm những nội dung cốt lõi nào?

Một chính sách hoàn chỉnh phải xác định rõ phạm vi, các loại dữ liệu được thu thập ở từng giai đoạn, mục đích xử lý, thời gian lưu trữ, các biện pháp bảo mật, quyền và nghĩa vụ của người lao động, cũng như trách nhiệm của các phòng ban liên quan trong việc tuân thủ.

Để đảm bảo tính toàn diện và tuân thủ, một chính sách bảo vệ dữ liệu cá nhân dành cho người lao động cần được cấu trúc chặt chẽ, bao quát tất cả các khía cạnh của việc xử lý dữ liệu trong môi trường làm việc. DPO.VN khuyến nghị chính sách của doanh nghiệp cần làm rõ các nội dung sau:

Phạm vi và đối tượng áp dụng của chính sách là gì?

Chính sách cần áp dụng cho toàn bộ người lao động trong công ty, bao gồm ứng viên, nhân viên thử việc, nhân viên chính thức, thực tập sinh, và cả nhân viên đã nghỉ việc (trong thời gian dữ liệu còn được lưu trữ), cũng như các bên thứ ba có liên quan đến xử lý dữ liệu nhân sự.

Phần này cần định nghĩa rõ ràng các thuật ngữ sử dụng trong chính sách (ví dụ: dữ liệu cá nhân, dữ liệu cá nhân nhạy cảm, xử lý dữ liệu) dựa trên định nghĩa tại Điều 2 Nghị định 13/2023/NĐ-CP và Điều 2 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Đồng thời, phải nêu rõ chính sách này có hiệu lực đối với tất cả các cá nhân có quan hệ lao động với công ty, không phân biệt vị trí, chức danh hay hình thức hợp đồng.

Doanh nghiệp được thu thập những loại dữ liệu nào của người lao động?

Chính sách cần liệt kê chi tiết các loại dữ liệu cá nhân cơ bản và nhạy cảm được thu thập tương ứng với từng giai đoạn: tuyển dụng, thực hiện hợp đồng lao động, và sau khi chấm dứt hợp đồng, tuân thủ nguyên tắc tối thiểu hóa dữ liệu.

Việc liệt kê rõ ràng các loại dữ liệu giúp đảm bảo tính minh bạch và tuân thủ nguyên tắc tối thiểu hóa dữ liệu (chỉ thu thập những gì cần thiết). DPO.VN gợi ý phân loại như sau:

• Giai đoạn tuyển dụng: Dữ liệu cá nhân cơ bản (họ tên, ngày sinh, số điện thoại, email, địa chỉ, trình độ học vấn, kinh nghiệm làm việc), hình ảnh cá nhân. Dữ liệu cá nhân nhạy cảm có thể bao gồm thông tin trong phiếu lý lịch tư pháp (nếu vị trí yêu cầu).
• Giai đoạn thực hiện hợp đồng lao động: Bổ sung các dữ liệu để quản lý nhân sự, tính lương, và thực hiện các chế độ phúc lợi như: số CCCD/CMND, mã số thuế cá nhân, số tài khoản ngân hàng, thông tin người phụ thuộc, tình trạng hôn nhân. Dữ liệu nhạy cảm có thể bao gồm: tình trạng sức khỏe (để đóng bảo hiểm, nghỉ ốm), dữ liệu sinh trắc học (vân tay, khuôn mặt để chấm công), quan điểm chính trị, tôn giáo (nếu là đảng viên hoặc tham gia các tổ chức chính trị – xã hội).
• Dữ liệu phát sinh trong quá trình làm việc: Dữ liệu về hiệu suất công việc, đánh giá, kỷ luật, dữ liệu từ hệ thống giám sát (camera, email, lịch sử truy cập web) nếu có.
• Sau khi chấm dứt hợp đồng lao động: Các dữ liệu cần thiết để hoàn tất các thủ tục pháp lý như quyết định thôi việc, xác nhận quá trình làm việc, và các nghĩa vụ về thuế, bảo hiểm xã hội.

Mục đích xử lý dữ liệu cá nhân của người lao động cần được quy định ra sao?

Mục đích xử lý phải cụ thể, rõ ràng, hợp pháp và được thông báo cho người lao động. Mỗi loại dữ liệu thu thập phải gắn với một hoặc nhiều mục đích xử lý xác định, tuân thủ nghiêm ngặt nguyên tắc giới hạn mục đích.

Chính sách phải nêu rõ công ty xử lý dữ liệu cá nhân của người lao động để làm gì. Các mục đích này phải hợp pháp và liên quan trực tiếp đến quan hệ lao động. Ví dụ:

Thời gian lưu trữ dữ liệu cá nhân của người lao động là bao lâu?

Thời gian lưu trữ phải phù hợp với mục đích xử lý và tuân thủ các quy định của pháp luật chuyên ngành (lao động, kế toán, bảo hiểm). Dữ liệu của ứng viên không trúng tuyển cần được xóa sau khi kết thúc đợt tuyển dụng, trừ khi có sự đồng ý khác.

Nguyên tắc giới hạn lưu trữ (Điều 3.7 Nghị định 13) yêu cầu dữ liệu chỉ được giữ lại trong khoảng thời gian cần thiết. Chính sách cần quy định rõ thời hạn lưu trữ cho từng loại hồ sơ nhân sự. DPO.VN lưu ý doanh nghiệp tham khảo các quy định pháp luật liên quan:

• Hồ sơ ứng viên không trúng tuyển: Nên xóa trong vòng 6 tháng sau khi kết thúc tuyển dụng, trừ khi ứng viên đồng ý cho công ty lưu lại để xem xét cho các vị trí trong tương lai.
• Hồ sơ nhân viên đang làm việc: Lưu trữ trong suốt thời gian hiệu lực của hợp đồng lao động.
• Hồ sơ nhân viên đã nghỉ việc: Một số tài liệu như hợp đồng lao động, bảng lương, chứng từ bảo hiểm phải được lưu trữ theo quy định của Luật Kế toán (có thể lên đến 10 năm hoặc vĩnh viễn đối với một số tài liệu quan trọng) để phục vụ cho việc thanh tra, kiểm tra và giải quyết các tranh chấp sau này.

Các biện pháp bảo vệ dữ liệu cá nhân của người lao động là gì?

Doanh nghiệp phải áp dụng đồng bộ các biện pháp quản lý, kỹ thuật và vật lý để bảo vệ dữ liệu nhân sự, bao gồm phân quyền truy cập, mã hóa dữ liệu nhạy cảm, đào tạo nhân viên và xây dựng quy trình ứng phó sự cố.

Điều 26 Nghị định 13/2023/NĐ-CP yêu cầu áp dụng các biện pháp bảo vệ ngay từ khi bắt đầu và trong suốt quá trình xử lý. Chính sách cần nêu rõ các biện pháp cụ thể mà công ty đang áp dụng:

• Biện pháp quản lý: Ban hành quy định nội bộ về bảo mật thông tin; chỉ định bộ phận hoặc nhân sự phụ trách bảo vệ dữ liệu (Điều 28 Nghị định 13); tổ chức đào tạo, nâng cao nhận thức cho toàn bộ nhân viên, đặc biệt là phòng Nhân sự và IT; ký kết thỏa thuận bảo mật (NDA) với nhân viên có quyền truy cập dữ liệu.
• Biện pháp kỹ thuật: Sử dụng các phần mềm quản lý nhân sự có tính năng bảo mật cao; thực hiện mã hóa dữ liệu cá nhân nhạy cảm (như thông tin tài chính, sức khỏe); cài đặt tường lửa, phần mềm diệt virus; áp dụng xác thực đa yếu tố; ghi nhật ký truy cập hệ thống.
• Biện pháp vật lý: Bảo vệ các khu vực lưu trữ hồ sơ giấy bằng cách khóa tủ, kiểm soát ra vào; bảo mật trung tâm dữ liệu (server room).

Quyền và nghĩa vụ của người lao động với tư cách chủ thể dữ liệu là gì?

Người lao động có đầy đủ các quyền theo luật định như quyền được biết, truy cập, chỉnh sửa, yêu cầu xóa dữ liệu của mình. Đồng thời, họ có nghĩa vụ cung cấp thông tin chính xác và tuân thủ các quy định bảo mật của công ty.

Chính sách phải công nhận và hướng dẫn cách thực thi các quyền của chủ thể dữ liệu cá nhân, được quy định tại Điều 9 Nghị định 13 và Điều 4 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Cần chỉ định rõ đầu mối tiếp nhận và xử lý yêu cầu của người lao động (thường là phòng Nhân sự hoặc nhân sự phụ trách bảo vệ dữ liệu).

• Quyền của người lao động: Quyền được thông báo về việc xử lý dữ liệu, quyền truy cập để xem dữ liệu của mình, quyền yêu cầu chỉnh sửa thông tin sai lệch, quyền yêu cầu xóa dữ liệu khi không còn cần thiết, quyền rút lại sự đồng ý (đối với các hoạt động xử lý dựa trên sự đồng ý), và quyền khiếu nại.
• Nghĩa vụ của người lao động: Cung cấp thông tin đầy đủ, chính xác cho công ty; tự bảo vệ tài khoản và thông tin cá nhân của mình; tuân thủ các quy định, chính sách bảo mật của công ty; không truy cập hoặc tiết lộ trái phép dữ liệu của đồng nghiệp.

Làm thế nào để xây dựng và ban hành chính sách một cách hiệu quả và đúng pháp luật?

Quy trình này bao gồm 5 bước: (1) Thành lập đội ngũ và rà soát thực trạng, (2) Soạn thảo chính sách, (3) Lấy ý kiến và hoàn thiện, (4) Tích hợp vào các văn bản pháp lý nội bộ, và (5) Phổ biến, đào tạo và lưu trữ xác nhận của người lao động.

Việc xây dựng chính sách không chỉ là công việc của phòng Pháp chế hay Nhân sự, mà cần sự phối hợp liên phòng ban và sự cam kết từ lãnh đạo. DPO.VN đề xuất một quy trình 5 bước để đảm bảo tính thực tiễn và tuân thủ.

Các Câu Hỏi Thường Gặp Về Chính Sách Bảo Vệ Dữ Liệu Cá Nhân Cho Người Lao Động

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Bộ luật Lao động 2019 (Số 45/2019/QH14).
• Information Commissioner’s Office (UK), “Employment practices and data protection”.
• European Data Protection Board, “Guidelines on processing personal data in the context of employment”.