English
RSS
- 1. Không được thu thập dữ liệu cá nhân không phục vụ trực tiếp cho mục đích tuyển dụng
- 2. Không được thu thập dữ liệu cá nhân khi chưa có sự đồng ý hợp lệ của người lao động
- 3. Không được thu thập dữ liệu cá nhân nhạy cảm trái quy định
- 4. Không được tiếp tục lưu trữ, sử dụng dữ liệu cá nhân khi không tuyển dụng hoặc khi chấm dứt hợp đồng lao động
- 5. Không được xử lý dữ liệu thu thập bằng biện pháp công nghệ, kỹ thuật trái pháp luật
1. Không được thu thập dữ liệu cá nhân không phục vụ trực tiếp cho mục đích tuyển dụng
Theo điểm a khoản 1 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, cơ quan, tổ chức tuyển dụng:
a) Chỉ được yêu cầu cung cấp các thông tin phục vụ cho mục đích tuyển dụng của cơ quan, tổ chức, cá nhân tuyển dụng phù hợp với quy định của pháp luật; thông tin được cung cấp chỉ được sử dụng vào mục đích tuyển dụng và mục đích khác theo thỏa thuận phù hợp với quy định của pháp luật;
Như vậy, mọi dữ liệu cá nhân không liên quan trực tiếp đến vị trí tuyển dụng, yêu cầu công việc hoặc điều kiện lao động hợp pháp đều không được phép thu thập, dù ở bất kỳ hình thức nào.
Việc yêu cầu người dự tuyển cung cấp thông tin ngoài phạm vi này bị xem là xử lý dữ liệu cá nhân trái quy định của pháp luật, thuộc hành vi bị nghiêm cấm theo khoản 4 Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025.
2. Không được thu thập dữ liệu cá nhân khi chưa có sự đồng ý hợp lệ của người lao động
Theo khoản 1 Điều 11 Luật Bảo vệ dữ liệu cá nhân 2025:
1. Dữ liệu cá nhân được thu thập phải được sự đồng ý của chủ thể dữ liệu cá nhân trước khi thu thập, trừ trường hợp pháp luật có quy định khác.
Sự đồng ý này phải đáp ứng đầy đủ điều kiện theo Điều 9 Luật 91/2025/QH15, cụ thể:
Sự đồng ý của chủ thể dữ liệu cá nhân là việc cá nhân cho phép tổ chức, cá nhân xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.
Sự đồng ý chỉ có giá trị pháp lý khi được đưa ra tự nguyện và trên cơ sở biết rõ:
- Loại dữ liệu cá nhân được xử lý và mục đích xử lý;
- Chủ thể kiểm soát hoặc kiểm soát và xử lý dữ liệu cá nhân;
- Quyền và nghĩa vụ của chính chủ thể dữ liệu.
Việc đồng ý phải được thể hiện rõ ràng, cụ thể, có thể in, sao chép, lưu trữ, bao gồm cả hình thức điện tử hoặc định dạng có thể kiểm chứng.
Sự đồng ý phải tuân thủ các nguyên tắc bắt buộc sau:
- Đồng ý riêng cho từng mục đích xử lý;
- Không được gắn việc đồng ý với các mục đích khác ngoài thỏa thuận;
- Có hiệu lực cho đến khi chủ thể dữ liệu thay đổi ý kiến hoặc theo quy định pháp luật;
- Im lặng hoặc không phản hồi không được xem là đồng ý.
Do đó, doanh nghiệp không được thu thập bất kỳ dữ liệu nào của người lao động hoặc người dự tuyển nếu chưa có sự đồng ý hợp lệ, kể cả dữ liệu được thu thập gián tiếp thông qua biểu mẫu, hệ thống công nghệ hay nền tảng số.
3. Không được thu thập dữ liệu cá nhân nhạy cảm trái quy định
Luật Bảo vệ dữ liệu cá nhân phân loại dữ liệu cá nhân thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm; trong đó, danh mục cụ thể do Chính phủ ban hành.
Theo Điều 4 Nghị định 356/2025/NĐ-CP, quy định dữ liệu cá nhân nhạy cảm là những thông tin gắn trực tiếp với đời sống riêng tư, nhân thân, an ninh và tài chính của cá nhân, cần được bảo vệ ở mức độ cao.
Nhóm dữ liệu này bao gồm thông tin về nguồn gốc chủng tộc, quan điểm chính trị - tôn giáo, đời sống riêng tư và gia đình, sức khỏe, sinh trắc học và di truyền, đời sống và xu hướng tình dục, dữ liệu về tội phạm, vị trí định vị, thông tin định danh điện tử, dữ liệu tài chính - ngân hàng - tín dụng, dữ liệu theo dõi hành vi trên không gian mạng, cùng các dữ liệu khác mà pháp luật yêu cầu phải giữ bí mật hoặc bảo mật chặt chẽ.
Căn cứ Điều 3 và Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp không được thu thập dữ liệu cá nhân nhạy cảm của người lao động nếu không thuộc trường hợp pháp luật cho phép hoặc không có căn cứ xử lý hợp pháp.
Việc thu thập các dữ liệu này ngoài phạm vi cho phép bị xác định là xử lý dữ liệu cá nhân trái pháp luật.
4. Không được tiếp tục lưu trữ, sử dụng dữ liệu cá nhân khi không tuyển dụng hoặc khi chấm dứt hợp đồng lao động
Theo điểm c khoản 1 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp:
c) Phải xóa, hủy thông tin đã cung cấp của người dự tuyển trong trường hợp không tuyển dụng, trừ trường hợp có thỏa thuận khác với người đã dự tuyển;
Tương tự, điểm c khoản 2 Điều 25 quy định doanh nghiệp:
c) Phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.
Như vậy, doanh nghiệp không được tiếp tục lưu trữ hoặc sử dụng dữ liệu cá nhân của người dự tuyển không trúng tuyển hoặc người lao động đã chấm dứt hợp đồng, nếu không có căn cứ pháp lý hợp lệ.
5. Không được xử lý dữ liệu thu thập bằng biện pháp công nghệ, kỹ thuật trái pháp luật
Theo điểm b khoản 3 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025:
b) Không được xử lý, sử dụng dữ liệu cá nhân thu thập từ các biện pháp công nghệ, kỹ thuật trái quy định của pháp luật.
Quy định này đặt ra giới hạn rõ ràng đối với việc sử dụng các công cụ công nghệ trong quản lý nhân sự. Mọi dữ liệu được thu thập bằng phương thức trái pháp luật đều không được tiếp tục xử lý, kể cả khi doanh nghiệp đã nắm giữ dữ liệu đó.
Từ các quy định nêu trên, có thể khẳng định, doanh nghiệp không được thu thập dữ liệu cá nhân ngoài mục đích tuyển dụng, quản lý lao động; không được thu thập khi chưa có sự đồng ý hợp lệ; không được xử lý dữ liệu nhạy cảm trái quy định; và không được lưu trữ, sử dụng dữ liệu khi không còn căn cứ pháp lý.
Việc tuân thủ nghiêm các giới hạn này không chỉ là yêu cầu pháp lý bắt buộc từ năm 2026 mà còn là cơ sở bảo đảm quyền riêng tư, quyền dữ liệu của người lao động trong quan hệ lao động hiện nay.
Trên đây là thông tin liên quan đến việc dữ liệu nào doanh nghiệp không được thu thập khi tuyển dụng, quản lý nhân sự?
