Chính thức: Phải xóa dữ liệu của người lao động khi nghỉ việc từ ngày 1/1/2026

Ngày 26/6/2025, Luật Bảo vệ dữ liệu cá nhân 2025 được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XV, kỳ họp thứ 9 thông qua. Trong đó có nội dung chính thức phải xóa dữ liệu của người lao động khi nghỉ việc từ ngày 1/1/2026.

Căn cứ Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025 quy định chính thức phải xóa dữ liệu của người lao động khi nghỉ việc từ ngày 1/1/2026 như sau:

Bảo vệ dữ liệu cá nhân trong tuyển dụng, quản lý, sử dụng người lao động
1. Trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong tuyển dụng lao động được quy định như sau:

c) Phải xóa, hủy thông tin đã cung cấp của người dự tuyển trong trường hợp không tuyển dụng, trừ trường hợp có thỏa thuận khác với người đã dự tuyển;

Chính thức: Phải xóa dữ liệu của người lao động khi nghỉ việc từ ngày 1/1/2026

2. Trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong quản lý, sử dụng người lao động được quy định như sau:

c) Phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.

Như vậy, chính thức từ ngày 1/1/2026, cơ quan, tổ chức, cá nhân phải xóa dữ liệu của người lao động khi người lao động nghỉ việc hoặc không tuyển dụng người lao động (trừ trường hợp có thỏa thuận khác).

Căn cứ Điều 23 Luật Bảo vệ dữ liệu cá nhân 2025 quy định thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân từ 1/1/2026 như sau:

- Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba phát hiện vi phạm quy định về bảo vệ dữ liệu cá nhân có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, danh dự, nhân phẩm, tài sản của chủ thể dữ liệu cá nhân thì phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân chậm nhất là 72 giờ kể từ khi phát hiện hành vi vi phạm. Trường hợp bên xử lý dữ liệu cá nhân phát hiện hành vi vi phạm phải thông báo kịp thời cho bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân.

- Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải lập biên bản xác nhận về việc xảy ra hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, phối hợp với cơ quan chuyên trách bảo vệ dữ liệu cá nhân xử lý hành vi vi phạm.

- Cơ quan, tổ chức, cá nhân thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong các trường hợp sau đây:

+ Phát hiện hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân;

+ Dữ liệu cá nhân bị xử lý sai mục đích, không đúng thỏa thuận giữa chủ thể dữ liệu cá nhân với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân;

+ Không bảo đảm quyền hoặc thực hiện không đúng quyền của chủ thể dữ liệu cá nhân;

+ Trường hợp khác theo quy định của pháp luật.

- Cơ quan chuyên trách bảo vệ dữ liệu cá nhân có trách nhiệm tiếp nhận thông báo, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba và cơ quan, tổ chức, cá nhân có liên quan có trách nhiệm ngăn chặn hành vi vi phạm, khắc phục hậu quả xảy ra và phối hợp cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.

- Chính phủ quy định nội dung thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân.

Căn cứ Điều 3 Luật Bảo vệ dữ liệu cá nhân 2025 quy định nguyên tắc bảo vệ dữ liệu cá nhân từ ngày 1/1/2026 như sau:

(1) Tuân thủ quy định của Hiến pháp 2013, quy định của Luật Bảo vệ dữ liệu cá nhân 2025 và quy định khác của pháp luật có liên quan.

(2) Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật.

(3) Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.

(4) Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.

(5) Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

(6) Bảo vệ dữ liệu cá nhân gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

*Lưu ý:

- Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực thi hành từ ngày 1/1/2026.

- Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện quy định tại Điều 21, Điều 22 và khoản 2 Điều 33 Luật Bảo vệ dữ liệu cá nhân 2025 trong thời gian 05 năm kể từ ngày Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực thi hành, trừ doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu cá nhân.

- Hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện quy định tại Điều 21, Điều 22 và khoản 2 Điều 33 Luật Bảo vệ dữ liệu cá nhân 2025, trừ hộ kinh doanh, doanh nghiệp siêu nhỏ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân của số lượng lớn chủ thể dữ liệu cá nhân.

Tú Uyên (t/h)