· Tác giả: Nguyễn Thị Thùy Linh · Tham vấn bởi: Luật sư Nguyễn Văn Thành · Doanh nghiệp · 7 phút đọc
Thông báo xử lý dữ liệu cá nhân: Doanh nghiệp cần biết
Luật sư của Y&P Law Firm giải đáp quy định thông báo xử lý dữ liệu cá nhân theo quy định của pháp luật mới nhất cho doanh nghiệp phòng ngừa rủi ro pháp lý.
Trong quá trình tư vấn tuân thủ pháp luật lao động và quản trị rủi ro cho doanh nghiệp, Y&P thường xuyên nhận được các câu hỏi liên quan đến việc xử lý dữ liệu cá nhân của người lao động, đặc biệt trong bối cảnh khung pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam đang được hoàn thiện với các quy định mới tại Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP.
Các vấn đề doanh nghiệp quan tâm chủ yếu tập trung vào việc thu thập, sử dụng và lưu trữ dữ liệu nhân sự; xử lý dữ liệu sinh trắc học phục vụ chấm công, quản lý lao động; cũng như việc chia sẻ dữ liệu cho các đơn vị cung cấp dịch vụ bên ngoài như dịch vụ tính lương (payroll). Đây là những lĩnh vực đòi hỏi doanh nghiệp phải rà soát, chuẩn hóa quy trình, cơ chế thông báo, chấp thuận và kiểm soát dữ liệu nhằm bảo đảm tuân thủ pháp luật và hạn chế rủi ro phát sinh.
Dưới đây là một số câu hỏi thường gặp từ doanh nghiệp cùng phần giải đáp của Y&P về các vấn đề pháp lý liên quan đến bảo vệ dữ liệu cá nhân trong quản trị lao động.
1. Hỏi: Thưa Luật sư, theo quy định hiện nay, doanh nghiệp có bắt buộc phải thông báo cho người lao động trước khi thu thập và xử lý dữ liệu cá nhân (CCCD, vân tay, hồ sơ sức khỏe…) hay không?
Luật sư đáp:
Chào bạn. Dưới góc độ pháp lý hiện hành, câu trả lời là BẮT BUỘC phải thông báo và có sự đồng ý của Người lao động trước khi xử lý dữ liệu cá nhân của họ.
Căn cứ theo nguyên tắc bảo vệ quyền riêng tư tại Luật Bảo vệ Dữ liệu cá nhân 2025 và hướng dẫn chi tiết của Nghị định 356/2025/NĐ-CP, việc thông báo và có sự đồng ý của chủ thể dữ liệu (người lao động) là điều kiện tiên quyết và bắt buộc phải thực hiện trước khi tiến hành bất kỳ hoạt động thu thập hay xử lý nào.

Khuyến nghị rủi ro: Doanh nghiệp không nên tự ý thu thập, lưu trữ, cập nhật, xử lý dữ liệu ứng viên/người lao động trên các hệ thống, phần mềm hoặc nền tảng chưa được phê duyệt; đồng thời không được chuyển giao, chia sẻ dữ liệu cho bên thứ ba (như đơn vị bảo hiểm, ngân hàng, công ty mẹ ở nước ngoài hoặc các nhà cung cấp dịch vụ) khi chưa thực hiện đầy đủ nghĩa vụ thông báo, xác lập căn cứ xử lý dữ liệu và có sự đồng ý hợp lệ của chủ thể dữ liệu theo quy định pháp luật về bảo vệ dữ liệu cá nhân.
2. Hỏi: Vậy một thông báo hợp pháp gửi đến người lao động bắt buộc phải bao gồm những nội dung cốt lõi nào?
Luật sư đáp:
Căn cứ khoản 2 Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025, để bảo đảm tính minh bạch và giá trị pháp lý của hoạt động xử lý dữ liệu cá nhân, doanh nghiệp phải thực hiện việc thông báo cho chủ thể dữ liệu trước khi tiến hành xử lý.

Thông báo phải được lập bằng văn bản hoặc thông điệp dữ liệu có giá trị tương đương, bảo đảm rõ ràng, dễ hiểu và bao gồm tối thiểu các nội dung sau:
a) Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân;
b) Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân;
c) Các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân.
3. Hỏi: Hợp đồng lao động hiện tại của công ty chúng tôi có điều khoản: “Người lao động đồng ý cho Công ty sử dụng thông tin cá nhân phục vụ công việc”. Điều khoản này có được coi là hợp lệ theo luật mới chưa?
Luật sư đáp:
HOÀN TOÀN CHƯA HỢP LỆ. Đây là lỗ hổng pháp lý phổ biến nhất của các doanh nghiệp trong giai đoạn chuyển giao luật.
Theo quy định của Luật Bảo vệ dữ liệu cá nhân 2025, việc doanh nghiệp chỉ đưa một điều khoản xử lý dữ liệu cá nhân mang tính chất chung trong Hợp đồng lao động có thể chưa đáp ứng đầy đủ yêu cầu về tính minh bạch và xác định mục đích xử lý dữ liệu. Sự đồng ý của người lao động cần được thể hiện rõ ràng, cụ thể đối với từng mục đích xử lý dữ liệu cá nhân, bảo đảm chủ thể dữ liệu có khả năng nhận biết phạm vi, cách thức và mục đích sử dụng dữ liệu của mình. Do vậy, để bảo đảm tính minh bạch, đầy đủ căn cứ pháp lý và thuận tiện trong quá trình quản lý, doanh nghiệp nên xây dựng một văn bản độc lập về “Thông báo và chấp thuận xử lý dữ liệu cá nhân” để người lao động/ứng viên xác nhận riêng, thay vì chỉ quy định chung trong Hợp đồng lao động. Văn bản này cần ghi nhận đầy đủ các nội dung về loại dữ liệu được xử lý, mục đích xử lý, phạm vi sử dụng, bên có liên quan trong quá trình xử lý dữ liệu, thời gian lưu trữ và các quyền, nghĩa vụ của chủ thể dữ liệu theo quy định pháp luật. Việc thiết lập tài liệu riêng sẽ giúp doanh nghiệp dễ dàng chứng minh việc đã thực hiện nghĩa vụ thông báo, bảo đảm sự chủ động trong quản trị rủi ro và hạn chế các tranh chấp phát sinh liên quan đến xử lý dữ liệu cá nhân.
4. Hỏi: Luật sư có giải pháp nào giúp doanh nghiệp tối ưu hóa thủ tục, đảm bảo tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân mà không gây ách tắc quy trình nhân sự không?
Luật sư đáp:
Để dung hòa giữa việc kiểm soát rủi ro tuân thủ và đảm bảo luồng công việc của bộ phận HR, Luật sư khuyến nghị doanh nghiệp nên thực hiện quy trình chuẩn hóa các tài liệu pháp lý nội bộ như sau:
Tách bạch Thỏa thuận dữ liệu: Công ty nên thiết kế một tài liệu riêng mang tên “Thông báo và chấp thuận về việc xử lý dữ liệu cá nhân” để ứng viên, người lao động hoặc chủ thể dữ liệu khác ký xác nhận riêng ngay từ khâu tiếp nhận thông tin.

Ban hành Chính sách Bảo mật nội bộ: Xây dựng và phổ biến công khai bộ chính sách này trên hệ thống phần mềm quản lý nhân sự, có thiết lập cơ chế lưu vết (log) xác nhận người lao động đã đọc và hiểu chính sách.
Trong bối cảnh pháp luật ngày càng chặt chẽ, doanh nghiệp cần chủ động rà soát lại toàn bộ hồ sơ nhân sự hiện hữu và tiến hành ký bổ sung các phụ lục cần thiết nhằm thiết lập hành lang pháp lý an toàn nhất cho hoạt động vận hành.
Xem thêm: Trách nhiệm bảo vệ dữ liệu cá nhân trên không gian mạng
Bảo vệ dữ liệu cá nhân: lỗi phổ biến và cách khắc phục