Phải xóa dữ liệu của người lao động khi chấm dứt hợp đồng lao động

Luật Bảo vệ dữ liệu cá nhân năm 2025 chính thức có hiệu lực từ ngày 1/1/2026. Theo khoản 2 Điều 25, các cơ quan, tổ chức, cá nhân sử dụng lao động có trách nhiệm lưu trữ dữ liệu cá nhân của người lao động trong thời hạn theo quy định hoặc theo thỏa thuận.

Các cơ quan, tổ chức, cá nhân sử dụng lao động phải xóa hoặc hủy dữ liệu cá nhân của người lao động khi hợp đồng lao động chấm dứt, trừ trường hợp pháp luật hoặc thỏa thuận có quy định khác.

Đây là bước tiến quan trọng để đảm bảo người lao động có quyền kiểm soát thông tin cá nhân kể cả sau khi đã rời khỏi doanh nghiệp, hạn chế nguy cơ bị lộ lọt hoặc sử dụng trái phép dữ liệu.

Ông Ngô Tuấn Anh, Phó ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân, Hiệp hội An ninh mạng quốc gia cho biết, theo quy định pháp luật về bảo vệ dữ liệu cá nhân, các tổ chức, doanh nghiệp phải có bộ phận hoặc cá nhân phụ trách công tác bảo vệ dữ liệu cá nhân.

Trên thực tế, bộ phận này có thể là chuyên trách độc lập, hoặc là mô hình kết hợp giữa pháp chế, tuân thủ và công nghệ thông tin.

“Kết quả khảo sát cho thấy, khoảng 67% doanh nghiệp, tức gần 2/3 số đơn vị, đã có quyết định hoặc bước đầu hình thành bộ phận phụ trách bảo vệ dữ liệu cá nhân. Tuy nhiên, vẫn còn khoảng hơn 30% doanh nghiệp chưa triển khai”, ông Ngô Tuấn Anh nói.

Hiện khối tài chính - ngân hàng, công nghệ và viễn thông là những lĩnh vực thu thập và xử lý khối lượng lớn dữ liệu cá nhân, với mức độ nhạy cảm cao.

Hiện nay, trong giai đoạn chuyển tiếp, các doanh nghiệp vẫn đang áp dụng Nghị định 13/2023/NĐ-CP. Nghị định 13 quy định rõ hai nhóm biện pháp: biện pháp quản lý và biện pháp kỹ thuật trong bảo vệ dữ liệu cá nhân.

Biện pháp quản lý, có thể hiểu đơn giản là doanh nghiệp phải xây dựng chính sách, quy trình, quy định nội bộ liên quan đến xử lý dữ liệu cá nhân và công bố cho chủ thể dữ liệu biết.

“Theo khảo sát của chúng tôi, chỉ chỉ có khoảng 64% doanh nghiệp ở vai trò bên kiểm soát hoặc kiểm soát - xử lý dữ liệu cá nhân được đánh giá là tuân thủ; trong khi đó, ở vai trò bên xử lý dữ liệu cá nhân, tỷ lệ này thấp hơn, khoảng 56%. Về biện pháp kỹ thuật, đây là nội dung mà hiện nay nhiều doanh nghiệp còn lúng túng. Thực tế, phần lớn doanh nghiệp mới chỉ dừng ở việc lập báo cáo đánh giá tác động xử lý dữ liệu cá nhân và gửi cho cơ quan quản lý. Báo cáo này giống như một bản tự khai về hoạt động bảo vệ dữ liệu cá nhân. Tuy nhiên, quy định pháp luật không chỉ dừng lại ở báo cáo, mà yêu cầu doanh nghiệp phải triển khai các biện pháp kỹ thuật cụ thể để đảm bảo thực thi quyền của chủ thể dữ liệu”, ông Ngô Tuấn Anh nói.

Phó ban An ninh dữ liệu và Bảo vệ dữ liệu cá nhân đưa một ví dụ giả sử một khách hàng sử dụng dịch vụ của công ty chứng khoán, sau đó không còn nhu cầu sử dụng và gửi yêu cầu hủy tài khoản, xóa toàn bộ dữ liệu cá nhân.

Theo quy định, trong vòng 72 giờ kể từ khi nhận được yêu cầu, công ty chứng khoán này phải thực hiện việc xóa dữ liệu, đồng thời toàn bộ quá trình xử lý phải có dấu vết.

Trong trường hợp cơ quan chức năng kiểm tra, doanh nghiệp phải chứng minh được gồm thời điểm tiếp nhận yêu cầu, quá trình xử lý từ khi tiếp nhận đến khi hoàn tất và kết quả cuối cùng là dữ liệu đã được xóa đúng quy định.

Đây chính là yêu cầu về hệ thống kỹ thuật, bảng điều khiển, cơ chế ghi log và truy vết, chứ không chỉ là quy trình trên giấy.

Theo Thượng tá Nguyễn Đình Đỗ Thi, việc ban hành Luật Bảo vệ dữ liệu cá nhân năm 2025 là bước đi cần thiết nhằm hoàn thiện khung pháp lý, khắc phục những khoảng trống trong công tác bảo vệ dữ liệu cá nhân tại Việt Nam.

Luật gồm 5 chương, 39 điều, quy định toàn diện từ khái niệm, nguyên tắc bảo vệ dữ liệu cá nhân đến quyền, nghĩa vụ của các chủ thể liên quan.

Một điểm nổi bật là mở rộng phạm vi áp dụng: luật không chỉ điều chỉnh các cơ quan, tổ chức, cá nhân trong nước mà còn áp dụng đối với tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam, kể cả khi không có pháp nhân hoặc đăng ký kinh doanh tại Việt Nam.