Từ 01/01/2026, Luật Bảo vệ Dữ liệu Cá nhân số 91/2025/QH15, và Nghị định số 356/2025/NĐ-CP hướng dẫn Luật Bảo vệ Dữ liệu Cá nhân chính thức có hiệu lực, đánh dấu bước “nâng cấp” khung pháp lý từ mức nghị định lên một đạo luật chuyên ngành về dữ liệu cá nhân. Trong bối cảnh doanh nghiệp sản xuất sử dụng nhiều lao động như dệt may, da giày, đây không chỉ là yêu cầu tuân thủ pháp luật mà còn liên quan trực tiếp đến ổn định quan hệ lao động, an toàn vận hành và uy tín với khách hàng/đối tác quốc tế.
1. Dữ liệu cá nhân là gì và vì sao “khử nhận dạng” không phải là tấm khiên tuyệt đối?
Luật xác định dữ liệu cá nhân là dữ liệu (số hoặc dạng khác) có thể xác định hoặc giúp xác định một con người cụ thể, gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Điểm quan trọng: dữ liệu sau khi khử nhận dạng thì không còn là dữ liệu cá nhân theo định nghĩa của Luật — nhưng điều này đòi hỏi doanh nghiệp phải có cách khử nhận dạng đúng nghĩa (không thể truy ngược).
Với DN dệt may/da giày, thông tin nhân sự có chứa dữ liệu cá nhân thường rất “dày”, và bao gồm cả dữ liệu cá nhân nhạy cảm: hồ sơ tuyển dụng, CCCD, địa chỉ, số tài khoản ngân hàng, dữ liệu chấm công, kỷ luật lao động, đánh giá KPI, camera nhà xưởng, thông tin sức khỏe trong khám tuyển/khám định kỳ… Chỉ cần rò rỉ một phần cũng có thể kéo theo hệ lụy khiếu nại, tranh chấp hoặc bị lợi dụng lừa đảo.
2. Nguyên tắc cốt lõi: “Đúng mục đích – đúng phạm vi – đúng thời hạn”
Luật nhấn mạnh nguyên tắc: chỉ thu thập/xử lý đúng phạm vi, mục đích cụ thể, rõ ràng; đảm bảo tính chính xác, và lưu trữ trong thời gian phù hợp với mục đích; đồng thời áp dụng biện pháp bảo vệ về thể chế – kỹ thuật – con người.
Với nhà máy đông lao động, đây là điểm hay “vỡ trận” nhất vì dữ liệu bị thu gom theo thói quen (thu “cho đủ bộ”), lưu trữ lâu, chia sẻ nội bộ rộng, hoặc gửi qua các nhóm chat/email không kiểm soát.
3. Quyền của người lao động đối với dữ liệu của họ: DN phải sẵn sàng đáp ứng
Luật ghi nhận nhiều quyền của chủ thể dữ liệu, nổi bật là: được biết hoạt động xử lý; đồng ý/không đồng ý và rút lại sự đồng ý; và khi người lao động yêu cầu thực hiện quyền, bên kiểm soát/bên xử lý phải kịp thời thực hiện theo thời hạn pháp luật.
Trong thực tế sản xuất, điều này tác động trực tiếp đến các “điểm chạm” như: form tuyển dụng, thu thập hồ sơ người thân, ảnh thẻ, dữ liệu chấm công sinh trắc học (vân tay/nhận diện khuôn mặt), công bố danh sách thưởng-phạt, hoặc chia sẻ hồ sơ cho bên thứ ba (bảo hiểm, ngân hàng trả lương, nhà thầu dịch vụ…).
Mặc dù phải đáp ứng những quy định về xóa dữ liệu cá nhân, doanh nghiệp vẫn phải thực hiện những quy định của pháp luật về quản lý lao động, thuế, kế toán, kiểm toán v.v.. Để thực hiện quyền của chủ thể dữ liệu cá nhân mà không tác động tới quyền, trách nhiệm của doanh nghiệp đòi hỏi mỗi doanh nghiệp phải rà soát các thông tin, dữ liệu cá nhân thu thập từ người lao động xem nội dung nào là cần thiết, nội dung nào không cần thiết, (để hạn chế thu thập không cần thiết), nội dung nào là dữ liệu nhạy cảm cần quy định về cơ chế bảo vệ cần thiết, nội dung nào có thể xóa theo yêu cầu của chủ thể, nội dung nào mà luật pháp yêu cầu doanh nghiệp phải lưu trữ để thực hiện trách nhiệm quản lý của mình v.v..
Ảnh minh họa
4. Các hành vi rủi ro cao: mua bán dữ liệu, làm lộ/mất dữ liệu
Luật liệt kê nhóm hành vi bị nghiêm cấm, trong đó có: mua, bán dữ liệu cá nhân (trừ trường hợp luật có quy định khác) và chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.
Với DN nhiều lao động, rủi ro thường đến từ: nhân sự/IT tải file danh sách nhân viên; nhà thầu chấm công – suất ăn – xe đưa rước truy cập rộng; dùng USB cá nhân; hoặc cung cấp danh sách lao động cho “đối tác” không có cơ sở pháp lý rõ ràng.
5. RBV gợi ý các hành động Doanh nghiệp ưu tiên triển khai :
- Lập “bản đồ dữ liệu nhân sự”: đang thu gì – ở đâu – ai dùng – chia sẻ cho ai – lưu bao lâu,
- Chuẩn hóa các quy định, hướng dẫn nội bộ của doanh nghiệp về bảo vệ dữ liệu cá nhân đảm bảo minh bạch mục đích, phạm vi, hạn chế file excel danh sách nhân viên, cấm chia sẻ qua kênh không kiểm soát;
- Đào tạo nội bộ: những người thu thập, quản lý, sử dụng dữ liệu cá nhân (tuyển dụng, nhân sự, quản lý sản xuất, v.v…)
- Quản lý việc chia sẻ với nhà thầu/đối tác: (chấm công, suất ăn, bảo vệ, vận tải, tính lương, khám sức khỏe): có quy định về bảo vệ dữ liệu cá nhân trong hợp đồng với đối tác, duy trì nhật ký truy cập.
- Kịch bản sự cố rò rỉ: quy trình tiếp nhận–khoanh vùng–khắc phục–truy vết và truyền thông nội bộ.