Từ 01/01/2026: Có buộc phải xóa dữ liệu cá nhân của người lao động sau khi chấm dứt Hợp đồng lao động không?
LexNovum Lawyers
28/08/2025
Nhằm hoàn thiện khung pháp lý liên quan đến dữ liệu cá nhân (“DLCN”) và cơ chế bảo vệ tương ứng, Luật Bảo vệ DLCN đã được ban hành và sẽ chính thức có hiệu lực từ 01/01/2026. Theo đó, Luật Bảo vệ DLCN đã đặt ra nhiều trách nhiệm đối với doanh nghiệp trong việc xử lý và bảo vệ DLCN. Điển hình như quy định về trách nhiệm bảo vệ DLCN trong quá trình sử dụng người lao động (“NLĐ”). Quy định mới này dự kiến sẽ tác động đáng kể đến cộng đồng doanh nghiệp, đòi hỏi sự nghiên cứu và chuẩn bị kỹ lưỡng để bảo đảm tuân thủ đầy đủ.
Trong bài viết này, LexNovum Lawyers (“LNV”) sẽ cập nhật đến Quý Khách hàng những quy định của Luật Bảo vệ DLCN trong hoạt động quản lý, sử dụng NLĐ cũng như các trách nhiệm mà doanh nghiệp cần lưu ý và thực hiện. Từ đó, giúp doanh nghiệp nắm được các quy định pháp luật và sớm có phương án tuân thủ phù hợp khi Luật chính thức có hiệu lực.
1. Các vấn đề cơ bản về việc bảo vệ DLCN của NLĐ
(i) Mối quan hệ giữa NLĐ và người sử dụng lao động (“NSDLĐ”)
Theo Điều 2.6, Điều 2.11 Nghị định 13/2023/NĐ-CP (“Nghị định 13”) và Điều 2.5, Điều 2.9 Luật Bảo vệ DLCN, trong hoạt động xử lý DLCN, vai trò của NLĐ và NSDLĐ lần lượt được xác định là Chủ thể dữ liệu và Bên kiểm soát và xử lý DLCN. Cụ thể:
- NLĐ là chủ thể dữ liệu, tức là cá nhân được DLCN phản ánh, DLCN của NLĐ có thể là họ tên, ngày tháng năm sinh, số căn cước công dân, mã số thuế, tài khoản ngân hàng, …
- NSDLĐ là bên kiểm soát và xử lý DLCN, tức là bên quyết định mục đích và phương tiện xử lý DLCN, ví dụ: NSDLĐ tự thu thập tài khoản ngân hàng của NLĐ nhằm mục đích trả lương cho NLĐ.
Theo đó, với vai trò là Bên kiểm soát và xử lý DLCN, NSDLĐ cần đảm bảo tuân thủ các quy định về bảo vệ DLCN đối với NLĐ.
(ii) Trách nhiệm của NSDLĐ trong việc bảo vệ DLCN của NLĐ
Nghị định 13 hiện không có quy định riêng cho việc bảo vệ DLCN trong quan hệ lao động mà chỉ quy định chung về cơ chế xử lý DLCN áp dụng rộng rãi cho nhiều trường hợp, chủ thể, quan hệ khác nhau. Cụ thể, NSDLĐ là Bên kiểm soát và xử lý DLCN có các trách nhiệm: thông báo về việc xử lý DLCN và thu thập sự đồng ý của NLĐ trước khi xử lý DLCN, nộp hồ sơ đánh giá tác động xử lý DLCN, tuân thủ đầy đủ các nguyên tắc bảo vệ DLCN,…
Đến nay, trên cơ sở nhận thức được tính chất đặc thù của quan hệ lao động, Luật Bảo vệ DLCN đã bổ sung các quy định chi tiết nhằm bảo đảm quyền lợi của NLĐ. Theo Điều 25.2 Luật Bảo vệ DLCN, doanh nghiệp có trách nhiệm bảo vệ DLCN trong quản lý, sử dụng NLĐ, cụ thể:
- Tuân thủ quy định của Luật Bảo vệ DLCN, pháp luật về lao động, việc làm, pháp luật về dữ liệu và quy định khác của pháp luật có liên quan;
- DLCN của NLĐ phải lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận;
- Phải xóa, hủy DLCN của NLĐ khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.
Như vậy, Luật Bảo vệ DLCN đã quy định rõ các trách nhiệm mà NSDLĐ phải thực hiện nhằm bảo vệ DLCN của NLĐ. Song, nhiều NSDLĐ vẫn băn khoăn rằng liệu NSDLĐ có bắt buộc phải xóa DLCN của NLĐ sau khi chấm dứt HĐLĐ hay không? Nội dung này sẽ được LNV phân tích cụ thể tại mục 2 của bài viết này.
2. NSDLĐ có bắt buộc phải xóa DLCN của NLĐ sau khi chấm dứt HĐLĐ hay không?
Như đã phân tích tại mục 1 bài viết này, theo Điều 25.2 Luật bảo vệ DLCN, NSDLĐ phải xóa, hủy DLCN của NLĐ khi chấm dứt quan hệ lao động. Song, vẫn có những ngoại lệ cho phép NSDLĐ được duy trì việc xử lý DLCN của NLĐ, cụ thể là:
(i) Khi NSDLĐ có thỏa thuận với NLĐ
Nếu trước hoặc tại thời điểm chấm dứt HĐLĐ, NSDLĐ và NLĐ có thỏa thuận rõ ràng về việc tiếp tục lưu trữ DLCN (ví dụ: để phục vụ việc lưu hồ sơ ứng tuyển lại, cấp thư xác nhận thời gian công tác/thư giới thiệu, giải quyết các chế độ bảo hiểm xã hội, đảm bảo hoạt động giải trình, giải quyết tranh chấp sau khi chấm dứt quan hệ lao động trong một thời hạn nhất định,…). Theo đó, thỏa thuận này cần đảm bảo:
- Được lập bằng văn bản hoặc bằng một hình thức khác mà NSDLĐ có thể chứng minh giữa các bên có tồn tại thỏa thuận riêng.
- Ghi rõ mục đích, thời hạn lưu trữ, phạm vi dữ liệu lưu trữ.
Ví dụ: NLĐ đồng ý để NSDLĐ lưu trữ các DLCN cần thiết trong quan hệ lao động để NSDLĐ cấp thư xác nhận thời gian công tác/tham chiếu/thư giới thiệu khi NLĐ tìm việc mới.
(ii) Pháp luật có quy định khác
Trong một số trường hợp, DLCN của NLĐ phải lưu trữ theo quy định bắt buộc của pháp luật, ngay cả khi NLĐ đã nghỉ việc. Ví dụ:
– Pháp luật về kế toán: Theo Điều 12 Nghị định 174/2016/NĐ-CP do Chính phủ ban hành ngày 30/12/2016 quy định chi tiết một số điều của Luật Kế toán (“Nghị định 174”) thì tùy theo từng trường hợp cụ thể, Công ty có thể phải lưu trữ chứng từ kế toán tối thiểu 5 năm, hoặc 10 năm (Điều 13 Nghị định 174), hoặc vĩnh viễn (Điều 14 Nghị định 174).
Theo đó, nếu DLCN của NLĐ nằm trong những tài liệu, chứng từ kế toán thì doanh nghiệp không buộc phải xóa, hủy khi chấm dứt HĐLĐ với NLĐ.
– Pháp luật thuế: Theo Điều 116 Luật Quản lý thuế 2019, doanh nghiệp có thể bị yêu cầu cung cấp các thông tin, tài liệu, báo cáo bằng văn bản, giải trình về những vấn đề liên quan đến nội dung thanh tra thuế.
Do đó, NSDLĐ cần lưu giữ các tài liệu này để phục vụ cho hoạt động thanh tra thuế.
– Pháp luật về lao động: Theo Điều 190 Bộ luật Lao động 2019, thời hiệu yêu cầu giải quyết tranh chấp lao động cá nhân là 06 tháng, 09 tháng hoặc 01 năm tùy từng trường hợp. Song, doanh nghiệp với vị trí là NSDLĐ sẽ có trách nhiệm cung cấp, chứng minh trong việc giải quyết tranh chấp với NLĐ (Điều 91 Bộ luật Tố tụng dân sự 2015).
Theo đó, hồ sơ của NLĐ cần được lưu giữ ít nhất 01 năm sau khi chấm dứt HĐLĐ để phục vụ cho các thủ tục cần thiết trong trường hợp phát sinh tranh chấp.
Như vậy, theo đánh giá của LNV, trong các trường hợp trên, doanh nghiệp được phép lưu trữ DLCN của NLĐ nhưng chỉ trong phạm vi cần thiết và trong thời hạn mà pháp luật quy định. Ngoài các trường hợp kể trên, doanh nghiệp cần xóa/hủy dữ liệu NLĐ khi chấm dứt HĐLĐ.
3. Trách nhiệm của doanh nghiệp
Ngay cả trong những trường hợp không phải xóa DLCN của NLĐ khi chấm dứt HĐLĐ, doanh nghiệp cũng cần đảm bảo tuân thủ đầy đủ các trách nhiệm về bảo vệ DLCN của NLĐ. Theo đó, LNV khuyến nghị doanh nghiệp xây dựng và thực hiện các biện pháp kiểm soát chặt chẽ, bao gồm:
- Giới hạn phạm vi lưu trữ: chỉ lưu trữ những dữ liệu thật sự cần thiết cho mục đích hợp pháp.
- Đảm bảo an toàn thông tin: áp dụng các biện pháp bảo mật như mã hóa, phân quyền truy cập và lưu trữ an toàn.
- Tuân thủ thời hạn: xóa, hủy DLCN ngay khi hết thời hạn lưu trữ theo quy định pháp luật hoặc theo thỏa thuận với NLĐ.
- Đảm bảo việc NLĐ đã được thông báo, giải thích một cách rõ ràng về việc xử lý DLCN theo quy định pháp luật.
Việc thực hiện đầy đủ các nguyên tắc bảo vệ DLCN của NLĐ sẽ giúp doanh nghiệp đáp ứng các yêu cầu của Luật Bảo vệ DLCN khi có hiệu lực, đồng thời, đảm bảo hiệu quả trong hoạt động quản trị của doanh nghiệp.
Trên đây là cập nhật pháp lý từ LexNovum Lawyers về các quy định hiện hành và sắp có hiệu lực liên quan đến việc bảo vệ DLCN trong hoạt động quản lý và sử dụng lao động. Trường hợp cần được tư vấn chi tiết và chuyên sâu hơn, Quý Khách hàng vui lòng liên hệ trực tiếp với LNV.
Người thực hiện: Cộng sự Hoàng Vy, Cộng sự Ngọc Mai
Tham vấn: Luật sư Phan Nhi
Lưu ý:
Bài viết này được thực hiện dựa trên quy định của Luật Bảo vệ DLCN (được Quốc hội thông qua ngày 26/6/2025) và Nghị định 13/2023/NĐ-CP. Quý khách vui lòng lưu ý, Luật Bảo vệ DLCN chưa chính thức có hiệu lực.
Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý khách vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.
Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.
