Xóa dữ liệu cá nhân khi nghỉ việc: Doanh nghiệp có phải thực hiện?

1. Sự chuyển dịch hệ tư tưởng pháp lý: từ quyền riêng tư sang quyền bảo vệ dữ liệu cá nhân độc lập

Trong bối cảnh kinh tế số, xóa dữ liệu cá nhân khi nghỉ việc đang trở thành một trong những vấn đề pháp lý gây tranh luận nhiều nhất giữa người lao động và doanh nghiệp. Việc Luật Bảo vệ dữ liệu cá nhân năm 2025 (Luật số 91/2025/QH15) được ban hành và có hiệu lực từ ngày 01/01/2026 đã đánh dấu một bước ngoặt quan trọng trong tư duy lập pháp tại Việt Nam: quyền bảo vệ dữ liệu cá nhân được công nhận là một quyền độc lập, không còn chỉ là một nhánh của quyền riêng tư hay bí mật đời sống cá nhân.

Trước đây, câu hỏi “doanh nghiệp có phải xóa dữ liệu cá nhân của người lao động khi họ nghỉ việc hay không” thường chỉ được nhìn nhận rải rác trong Bộ luật Dân sự hoặc các luật chuyên ngành. Tuy nhiên, với Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP, nghĩa vụ xóa dữ liệu cá nhân khi chấm dứt hợp đồng lao động đã được quy định trực tiếp, cụ thể và có chế tài nghiêm khắc.

Đối với doanh nghiệp, vấn đề không chỉ nằm ở việc “có xóa hay không”, mà là xóa đến đâu, xóa loại dữ liệu nào, và khi nào được quyền từ chối yêu cầu xóa dữ liệu cá nhân của người lao động đã nghỉ việc.

2. Khung pháp lý về xóa dữ liệu cá nhân khi người lao động nghỉ việc

Luật Bảo vệ dữ liệu cá nhân 2025 thiết lập một cơ chế bảo vệ mạnh mẽ cho chủ thể dữ liệu, cụ thể là người lao động. Theo Điều 14 của Luật, việc xóa, hủy dữ liệu cá nhân được thực hiện trong nhiều trường hợp, bao gồm khi chủ thể dữ liệu có yêu cầu, khi mục đích xử lý đã hoàn thành, hoặc khi hết thời hạn lưu trữ theo quy định. Đặc biệt, đối với lĩnh vực lao động, Khoản 2 Điều 25 của Luật quy định rõ trách nhiệm của doanh nghiệp trong việc xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng lao động.

Quyền xóa dữ liệu này không chỉ là một tuyên bố mang tính hình thức. Nghị định 356/2025/NĐ-CP đã ấn định các thời hạn phản hồi rất cụ thể: doanh nghiệp phải thực hiện việc xóa dữ liệu trong vòng 72 giờ sau khi nhận được yêu cầu hợp lệ đối với toàn bộ dữ liệu cá nhân đã thu thập được, trừ trường hợp pháp luật có quy định khác. Trong trường hợp liên quan đến bên xử lý dữ liệu hoặc bên thứ ba, thời hạn này có thể kéo dài lên đến 20 hoặc 30 ngày. Điều này đặt doanh nghiệp vào một tình thế cấp bách về mặt vận hành, buộc họ phải có hệ thống quản trị dữ liệu có khả năng bóc tách và tiêu hủy thông tin một cách chính xác và an toàn.

Quy định này khiến vấn đề xóa dữ liệu cá nhân khi nghỉ việc không còn là lựa chọn, mà trở thành nghĩa vụ pháp lý có thời hạn bắt buộc.

3. Nghĩa vụ lưu trữ hồ sơ – rào cản pháp lý đối với việc xóa dữ liệu cá nhân khi nghỉ việc

Mặc dù người lao động có quyền yêu cầu xóa dữ liệu cá nhân sau khi nghỉ việc, nhưng quyền này không mang tính tuyệt đối. Pháp luật Việt Nam vẫn buộc doanh nghiệp phải lưu trữ nhiều loại dữ liệu theo luật chuyên ngành.

Mặc dù Luật Bảo vệ dữ liệu cá nhân trao quyền xóa dữ liệu cho người lao động, nhưng quyền này bị giới hạn bởi một nguyên tắc quan trọng: không được gây khó khăn, cản trở việc thực hiện nghĩa vụ pháp lý của bên kiểm soát dữ liệu. Thực tế pháp lý tại Việt Nam cho thấy doanh nghiệp đang chịu sự điều chỉnh của nhiều luật chuyên ngành buộc họ phải lưu trữ thông tin của người lao động trong thời gian rất dài sau khi họ đã rời khỏi công ty.

3.1. Nghĩa vụ theo pháp luật về Kế toán và Thuế

Hồ sơ nhân sự không đơn thuần là thông tin cá nhân mà còn là chứng từ hạch toán chi phí hợp lý của doanh nghiệp. Theo Luật Kế toán 2015 và các văn bản hướng dẫn, các tài liệu liên quan đến lương, thưởng và các khoản trích theo lương phải được lưu trữ tối thiểu 10 năm. Việc xóa các dữ liệu này trước thời hạn theo yêu cầu của người lao động sẽ khiến doanh nghiệp không có bằng chứng giải trình với cơ quan thuế, dẫn đến rủi ro bị loại trừ chi phí, truy thu thuế và xử phạt hành chính.

3.2. Nghĩa vụ theo pháp luật về Lao động và Bảo hiểm xã hội

Bộ luật Lao động 2019 và Luật Bảo hiểm xã hội 2014 yêu cầu doanh nghiệp phải duy trì hồ sơ để đảm bảo quyền lợi an sinh xã hội lâu dài cho người lao động. Sổ quản lý lao động phải được lưu trữ trong suốt quá trình hoạt động của doanh nghiệp. Các hồ sơ liên quan đến việc đóng BHXH, BHYT phải được giữ lại cho đến khi người lao động hoàn tất các thủ tục hưởng chế độ, điều này có thể kéo dài hàng chục năm sau khi họ nghỉ việc.

Ngoài ra, thời hiệu yêu cầu giải quyết tranh chấp lao động cá nhân thường là 01 năm kể từ ngày phát hiện hành vi xâm phạm quyền lợi. Do đó, để tự bảo vệ mình trong các vụ kiện tụng có thể xảy ra, doanh nghiệp cần lưu giữ các hồ sơ như quyết định kỷ luật, biên bản sa thải ít nhất 01-02 năm sau khi chấm dứt hợp đồng.

3.3. Nghĩa vụ theo pháp luật về Lưu trữ

Luật Lưu trữ 2024 (có hiệu lực từ 01/07/2025) đặt ra những tiêu chuẩn khắt khe về việc lưu trữ tài liệu có giá trị thực tiễn và lịch sử. Theo đó, hồ sơ nhân sự gốc của người lao động (như sơ yếu lý lịch, văn bằng, chứng chỉ) có thể phải lưu trữ lên đến 70 năm, trong khi hồ sơ về việc cho thôi việc hoặc kỷ luật cần được bảo quản trong 20 năm. Đây là những nghĩa vụ pháp lý mang tính chất quốc gia, phục vụ mục đích quản trị xã hội và lưu trữ lịch sử mà quyền xóa dữ liệu cá nhân không thể vượt qua.

4. Cơ chế giải quyết xung đột: Phân tích Điều 19 Luật Bảo vệ dữ liệu cá nhân 2025

Để giải quyết mâu thuẫn giữa quyền của cá nhân và nghĩa vụ của tổ chức, Luật Bảo vệ dữ liệu cá nhân 2025 đã thiết lập Điều 19 - các trường hợp không thực hiện yêu cầu xóa dữ liệu của chủ thể. Đây chính là “chìa khóa” pháp lý để doanh nghiệp trả lời câu hỏi: “Doanh nghiệp có buộc phải xóa dữ liệu cá nhân khi nghỉ việc không?”.

Pháp luật quy định doanh nghiệp được phép (và buộc phải) từ chối yêu cầu xóa dữ liệu trong các trường hợp sau:

1. Thực hiện nghĩa vụ pháp lý: Khi việc xử lý và lưu trữ dữ liệu là bắt buộc theo quy định của các luật khác (như Luật Kế toán, Luật Thuế, Luật Lưu trữ đã phân tích ở trên).
2. Phục vụ yêu cầu của cơ quan nhà nước: Khi dữ liệu cần được giữ lại để phục vụ thanh tra, điều tra hoặc theo quyết định của cơ quan nhà nước có thẩm quyền.
3. Lợi ích công cộng và an ninh quốc gia: Xử lý dữ liệu nhằm bảo vệ quốc phòng, an ninh hoặc các giá trị lợi ích công cộng khác đã được luật định.
4. Thiết lập, thực hiện hoặc bảo vệ các quyền và lợi ích hợp pháp: Doanh nghiệp cần dữ liệu để đối phó với các khiếu nại, tranh chấp lao động hoặc bảo vệ tài sản của tổ chức.

Như vậy, doanh nghiệp không buộc phải xóa toàn bộ dữ liệu. Việc xóa dữ liệu chỉ bắt buộc đối với những thông tin không còn mục đích xử lý, không thuộc diện phải lưu trữ theo luật định và không cần thiết cho việc bảo vệ quyền lợi hợp pháp của doanh nghiệp.

5. Quy trình quản trị dữ liệu nhân sự cũ: Lời khuyên cho doanh nghiệp từ năm 2026

Dưới góc độ một chuyên gia có nhiều năm kinh nghiệm trong lĩnh vực bảo vệ dữ liệu cá nhân, tôi nhận thấy rủi ro lớn nhất không nằm ở việc doanh nghiệp giữ lại dữ liệu, mà nằm ở việc doanh nghiệp giữ lại dữ liệu một cách “bừa bãi” và không có biện pháp bảo vệ phù hợp. Để tuân thủ đồng thời cả Luật Bảo vệ dữ liệu cá nhân và các luật chuyên ngành, doanh nghiệp cần thực hiện một chiến lược quản trị dữ liệu thông minh.

5.1. Phân loại và bóc tách dữ liệu (Data Segmentation)

Thay vì lưu trữ một tệp hồ sơ nhân sự hỗn hợp, doanh nghiệp nên phân loại dữ liệu của nhân viên cũ thành các tầng khác nhau.

5.2. Áp dụng kỹ thuật Khử nhận dạng (Anonymization)

Nghị định 356/2025/NĐ-CP khuyến khích việc khử nhận dạng dữ liệu cá nhân. Theo quy định, dữ liệu sau khi được khử nhận dạng (không thể xác định được một con người cụ thể nếu không có thông tin bổ sung được lưu trữ riêng) sẽ không còn được coi là dữ liệu cá nhân.

Đối với các dữ liệu về hiệu suất làm việc, lịch sử thăng tiến hoặc các báo cáo quản trị nhân sự, doanh nghiệp có thể thực hiện khử nhận dạng để giữ lại các giá trị thống kê phục vụ mục đích phân tích kinh doanh lâu dài mà không vi phạm quyền xóa của người lao động. Đây là giải pháp tối ưu để doanh nghiệp vẫn có “nguyên liệu” cho trí tuệ nhân tạo (AI) và các hệ thống dự báo nhân sự mà không phải đối mặt với các rủi ro pháp lý về bảo vệ dữ liệu.

5.3. Thiết lập quy trình phản hồi yêu cầu xóa dữ liệu

Khi người lao động yêu cầu xóa dữ liệu, doanh nghiệp không nên từ chối bằng lời nói. Quy trình nên được thực hiện như sau:

1. Tiếp nhận yêu cầu: Xác thực danh tính của người yêu cầu để đảm bảo không xóa nhầm dữ liệu của người khác.
2. Đối soát pháp lý: Kiểm tra xem dữ liệu nào thuộc diện buộc phải lưu theo Luật Kế toán, Thuế, BHXH.
3. Thực hiện xóa một phần: Xóa các dữ liệu không cần thiết (như địa chỉ tạm trú, số điện thoại cá nhân không dùng trong chứng từ thuế, hồ sơ sức khỏe đã hết hạn).
4. Thông báo từ chối một phần: Gửi văn bản cho người lao động giải thích rõ lý do vì sao một số thông tin nhất định (như tên trên bảng lương) không thể xóa do nghĩa vụ pháp lý theo Luật Kế toán và Luật Quản lý Thuế.
5. Hạn chế xử lý: Đối với dữ liệu chưa xóa nhưng chưa đến hạn tiêu hủy, doanh nghiệp nên thực hiện “Hạn chế xử lý” bằng cách khóa dữ liệu, chỉ mở ra khi có yêu cầu của cơ quan nhà nước.

6. Trách nhiệm và Chế tài: Những con số biết nói

Sự nghiêm khắc của pháp luật mới thể hiện qua mức xử phạt. Theo Thượng tá Nguyễn Đình Đỗ Thi (A05 - Bộ Công an), việc ban hành Luật năm 2025 là một bước ngoặt về tư duy quản trị, đánh thẳng vào lợi nhuận bất hợp pháp từ dữ liệu. Mức phạt tiền tối đa đối với các hành vi vi phạm về bảo vệ dữ liệu cá nhân có thể lên tới 3 tỷ đồng, hoặc đặc biệt là 5% doanh thu của năm trước liền kề đối với các hành vi vi phạm quy định chuyển dữ liệu xuyên biên giới.

Ngoài ra, hành vi mua bán dữ liệu cá nhân — vốn thường xảy ra với danh sách nhân viên cũ — có thể bị phạt tới 10 lần khoản thu bất hợp pháp. Đối với các doanh nghiệp lớn, những con số này không chỉ là thiệt hại về tài chính mà còn là sự sụp đổ về uy tín thương hiệu trong mắt công chúng và nhà đầu tư.

7. Vai trò của Nhân sự Bảo vệ Dữ liệu (DPO) trong quản trị nhân sự

Nghị định 356/2025/NĐ-CP đã chuẩn hóa vai trò của nhân sự hoặc bộ phận bảo vệ dữ liệu cá nhân (DPO). Trong bối cảnh quản lý lao động, DPO không chỉ là người am hiểu về CNTT mà còn phải am hiểu sâu sắc về pháp luật lao động và kế toán. DPO có trách nhiệm:

• Xây dựng Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA) cho quy trình quản lý nhân viên cũ.
• Đảm bảo việc cập nhật hồ sơ đánh giá định kỳ 06 tháng hoặc 01 năm một lần theo yêu cầu của cơ quan chức năng.
• Giám sát các biện pháp bảo mật kỹ thuật như xác thực đa yếu tố (MFA) đối với dữ liệu nhân sự lớn.

8. Các kịch bản thực tế và hướng giải quyết cho doanh nghiệp

Để làm rõ hơn, hãy xem xét hai kịch bản phổ biến mà các doanh nghiệp thường gặp phải từ sau ngày 01/01/2026.

Kịch bản 1: Người lao động yêu cầu xóa toàn bộ thông tin ngay khi nhận quyết định nghỉ việc. Trong trường hợp này, doanh nghiệp cần bình tĩnh phản hồi. Các thông tin mang tính chất định danh trên các hệ thống giao tiếp nội bộ (như tài khoản email công ty, tài khoản Slack/Teams) có thể và nên được xóa hoặc vô hiệu hóa ngay. Tuy nhiên, hồ sơ lương và hợp đồng lao động phải được thông báo là sẽ lưu trữ trong 10 năm theo Luật Kế toán. Nếu người lao động không đồng ý, doanh nghiệp dẫn chiếu Điều 19 Luật Bảo vệ dữ liệu cá nhân về việc thực hiện nghĩa vụ pháp lý để từ chối yêu cầu này một cách hợp pháp.

Kịch bản 2: Cơ quan thuế thanh tra dữ liệu của 7 năm trước, nhưng doanh nghiệp đã xóa sạch theo yêu cầu của nhân viên cũ. Đây là thảm họa về tuân thủ. Trong tình huống này, doanh nghiệp sẽ bị xử phạt theo Luật Kế toán vì làm mất tài liệu kế toán (mức phạt từ 5-10 triệu đồng cho mỗi hành vi). Nghiêm trọng hơn, toàn bộ chi phí tiền lương của nhân viên đó trong năm tài chính sẽ bị cơ quan thuế loại khỏi chi phí hợp lý khi tính thuế TNDN do không có chứng từ gốc đối soát. Điều này cho thấy quyền xóa dữ liệu cá nhân không bao giờ được đặt cao hơn nghĩa vụ lưu trữ chứng từ tài chính.

Kết luận và khuyến nghị chiến lược

Dưới góc nhìn của một chuyên gia pháp lý lâu năm, tôi khẳng định rằng Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP không tạo ra một rào cản tuyệt đối cho hoạt động quản trị doanh nghiệp, mà thực chất là tạo ra một bộ quy tắc ứng xử văn minh trong kỷ nguyên dữ liệu.

Doanh nghiệp không buộc phải xóa toàn bộ dữ liệu của người lao động ngay khi họ nghỉ việc. Pháp luật đã dự phòng những “khoảng hở” thông minh tại Điều 19 để bảo vệ sự ổn định của hệ thống quản lý nhà nước và quyền lợi hợp pháp của tổ chức. Tuy nhiên, doanh nghiệp cũng không được phép “giữ mãi mãi” mọi thứ.

Lời khuyên chiến lược cho các doanh nghiệp Việt Nam trong giai đoạn chuyển đổi này là:

1. Rà soát tổng thể: Tiến hành kiểm toán dữ liệu nhân sự hiện có, phân loại rõ ràng dữ liệu nào là bắt buộc lưu trữ theo luật chuyên ngành và dữ liệu nào là dư thừa.
2. Xây dựng “Lịch trình lưu trữ” (Retention Schedule): Quy định rõ thời gian lưu trữ tối đa cho từng loại hồ sơ nhân sự. Ví dụ: Dữ liệu chấm công vân tay (6 tháng), Bảng lương (10 năm), Hồ sơ kỷ luật (20 năm), Hồ sơ gốc (70 năm).
3. Minh bạch với người lao động: Ngay từ khi tuyển dụng và trong quá trình làm việc, hãy thông báo rõ ràng cho họ về chính sách lưu trữ dữ liệu sau khi nghỉ việc. Điều này giúp giảm thiểu các tranh chấp và yêu cầu xóa dữ liệu không hợp lý sau này.
4. Công nghệ hóa việc bảo vệ: Sử dụng các biện pháp mã hóa, khử nhận dạng và phân quyền truy cập nghiêm ngặt để đảm bảo rằng dù dữ liệu vẫn tồn tại trong kho lưu trữ của công ty, nó vẫn tuyệt đối an toàn và không bị lợi dụng cho các mục đích trái pháp luật.

Việc tuân thủ đúng đắn các quy định này không chỉ giúp doanh nghiệp tránh được những khoản phạt khổng lồ mà còn củng cố niềm tin số, biến doanh nghiệp trở thành một môi trường làm việc an toàn và chuyên nghiệp trong mắt cộng đồng lao động quốc tế. Đây chính là giá trị cốt lõi của việc thượng tôn pháp luật trong thời đại kinh tế số.

Xem thêm: Trách nhiệm bảo vệ dữ liệu cá nhân trên không gian mạng

Bảo vệ dữ liệu cá nhân: những quy định công ty cần biết