Quy định về trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức trong tuyển dụng lao động

Quy định về trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức trong tuyển dụng lao động đang nhận được sự quan tâm đặc biệt, nhất là trong bối cảnh pháp luật ban hành những quy định mới về vấn đề này. Việc tuân thủ các trách nhiệm về bảo mật, minh bạch dữ liệu giúp doanh nghiệp xây dựng niềm tin vững chắc đối với các ứng viên và nâng cao vị thế trên thị trường lao động đầy biến động. Bài viết dưới đây cung cấp thông tin về trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức trong tuyển dụng lao động. Mời quý khách hàng tham khảo.

Dữ liệu cá nhân là gì?

Theo quy định tại khoản 1 Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025, dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân. Việc phân loại này giúp xác định mức độ bảo vệ phù hợp cho từng loại dữ liệu.

Dữ liệu cá nhân cơ bản:

Theo khoản 2 Điều 2 Luật bảo vệ dữ liệu cá nhân 2025, dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành. Cụ thể theo Điều 3 Nghị định 356/2025/NĐ-CP, dữ liệu cá nhân cơ bản bao gồm:

• Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
• Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
• Giới tính;
• Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
• Quốc tịch;
• Hình ảnh của cá nhân;
• Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe;
• Tình trạng hôn nhân;
• Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng);
• Thông tin về tài khoản số của cá nhân;
• Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại Điều 4 Nghị định 356/2025/NĐ-CP.

Dữ liệu cá nhân nhạy cảm:

Căn cứ theo quy định tại khoản 3 Điều 2 Luật bảo vệ dữ liệu cá nhân 2025, dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành. Theo đó, dữ liệu cá nhân nhạy cảm theo Điều 4 Nghị định 356/2025/NĐ-CP bao gồm các thông tin sau:

• Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;
• Quan điểm về chính trị, tôn giáo, tín ngưỡng;
• Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình;
• Tình trạng sức khỏe;
• Dữ liệu sinh trắc học, đặc điểm di truyền;
• Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;
• Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
• Vị trí của cá nhân được xác định qua dịch vụ định vị;
• Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân;
• Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;
• Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;
• Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.

>>>Xem thêm: Danh mục dữ liệu cá nhân nhạy cảm từ 01/01/2026

Quyền của chủ thể dữ liệu

Chủ thể dữ liệu cá nhân là người được dữ liệu cá nhân phản ánh. Căn cứ theo khoản 1 Điều 4 Luật bảo vệ dữ liệu cá nhân 2025, chủ thể dữ liệu cá nhân có các quyền sau: 

• Được biết về hoạt động xử lý dữ liệu cá nhân;
• Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân;
• Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;
• Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân;
• Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;
• Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.

Trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong tuyển dụng lao động

Theo khoản 1 Điều 25 Luật bảo vệ dữ liệu cá nhân 2025, trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong tuyển dụng lao động được quy định như sau: 

• Chỉ được yêu cầu cung cấp các thông tin phục vụ cho mục đích tuyển dụng của cơ quan, tổ chức, cá nhân tuyển dụng phù hợp với quy định của pháp luật; thông tin được cung cấp chỉ được sử dụng vào mục đích tuyển dụng và mục đích khác theo thỏa thuận phù hợp với quy định của pháp luật;
• Thông tin cung cấp phải được xử lý theo quy định của pháp luật và phải được sự đồng ý của người dự tuyển;

• Phải xóa, hủy thông tin đã cung cấp của người dự tuyển trong trường hợp không tuyển dụng, trừ trường hợp có thỏa thuận khác với người đã dự tuyển.

>>>Xem thêm: Thỏa thuận bảo mật thông tin giữa công ty và người lao động

Các biện pháp bảo vệ dữ liệu cá nhân

Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và các biện pháp thực hiện Luật Bảo vệ dữ liệu cá nhân 2025 nhằm tăng cường quản lý, bảo đảm an toàn thông tin và quyền riêng tư của mỗi cá nhân trong quá trình thu thập, lưu trữ và xử lý dữ liệu. Cụ thể:

Bảo vệ dữ liệu cá nhân trong hoạt động tài chính, ngân hàng, hoạt động thông tin tín dụng:

Trong thời hạn không quá 72 giờ sau khi phát hiện lộ, mất dữ liệu nhạy cảm của chủ thể dữ liệu cá nhân trong lĩnh vực tài chính, ngân hàng, hoạt động thông tin tín dụng, tổ chức, cá nhân trực tiếp thu thập dữ liệu cá nhân của chủ thể dữ liệu có trách nhiệm thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân và chủ thể dữ liệu cá nhân. Nội dung thông báo cần đảm bảo tối thiểu các nội dung quy định tại khoản 1 Điều 28 Nghị định 356/2025/NĐ-CP.

Cơ sở pháp lý: Điều 8 Nghị định 356/2025/NĐ-CP.

Bảo vệ dữ liệu cá nhân trong xử lý dữ liệu lớn: 

Cơ quan, tổ chức, cá nhân áp dụng các biện pháp bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu lớn, bao gồm:

• Áp dụng các biện pháp bảo đảm an ninh mạng, bảo mật dữ liệu, phòng chống thất thoát dữ liệu cá nhân trong quá trình lưu trữ, xử lý, truyền tải dữ liệu cá nhân;
• Sử dụng phương thức xác thực mạnh, yêu cầu tối thiểu xác thực đa yếu tố (mật khẩu, mã PIN kết hợp với mật khẩu dùng một lần, thiết bị ký số hoặc yếu tố sinh trắc học), phù hợp với mức độ nhạy cảm của dữ liệu cá nhân; phân quyền truy cập để đảm bảo chỉ những người có quyền mới có thể truy cập dữ liệu cá nhân;
• Thực hiện mã hóa, ẩn danh dữ liệu cá nhân (quá trình tách các dữ liệu xác định một con người cụ thể để lưu trữ và bảo mật riêng biệt, các dữ liệu cá nhân sau quá trình này được sử dụng để xử lý mà không thể xác định một con người cụ thể) trong quá trình chuyển giao, cung cấp dữ liệu cá nhân, trừ trường hợp pháp luật chuyên ngành có quy định khác hoặc khi việc xử lý yêu cầu dữ liệu ở dạng bản rõ để phục vụ phòng, chống tội phạm, phòng chống rửa tiền, bảo đảm an ninh quốc gia, xử lý khiếu nại, tranh chấp của khách hàng. Trong các trường hợp này, cơ quan, tổ chức phải áp dụng bổ sung các giải pháp bảo mật để bảo đảm dữ liệu cá nhân không bị truy cập, sử dụng trái phép;
• Thực hiện giám sát liên tục, sử dụng các công cụ giám sát để theo dõi hoạt động truy cập dữ liệu cá nhân và phát hiện các hành vi bất thường;
• Thực hiện kiểm tra, đánh giá định kỳ về an ninh mạng và bảo mật dữ liệu để phát hiện, ngăn chặn và khắc phục lỗ hổng bảo mật.

Cơ sở pháp lý: Điều 9 Nghị định 356/2025/NĐ-CP.

Bảo vệ dữ liệu cá nhân trong hệ thống trí tuệ nhân tạo, vũ trụ ảo

Các tổ chức, cá nhân áp dụng các biện pháp bảo vệ dữ liệu cá nhân trong hệ thống trí tuệ nhân tạo, vũ trụ ảo, gồm:

• Nghiên cứu, xây dựng và triển khai hệ thống đáp ứng các tiêu chuẩn an ninh mạng, tiêu chuẩn bảo vệ dữ liệu toàn diện cho các hệ thống trí tuệ nhân tạo, đặc biệt chú trọng các yếu tố: bảo mật thông tin, độ tin cậy của thuật toán, tính ổn định hệ thống và khả năng phòng chống tấn công mạng;
• Thiết lập cơ chế giám sát hoạt động của hệ thống trí tuệ nhân tạo trên hai phương diện: giám sát của cơ quan nhà nước có thẩm quyền; trách nhiệm giải trình đối với chủ thể dữ liệu cá nhân của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân.
• Xây dựng cơ chế bảo vệ dữ liệu cá nhân theo tiêu chuẩn phù hợp, phát triển hệ thống giám sát và cảnh báo sớm các nguy cơ an ninh mạng;
• Thiết lập cơ chế kiểm soát, ngăn chặn việc lợi dụng trí tuệ nhân tạo, vũ trụ ảo vào các hoạt động xâm phạm an ninh quốc gia, trật tự an toàn xã hội;
• Thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần.

Cơ sở pháp lý: Điều 10 Nghị định 356/2025/NĐ-CP.

Bảo vệ dữ liệu cá nhân trong công nghệ chuỗi khối

Cơ quan, tổ chức, cá nhân áp dụng các biện pháp bảo vệ dữ liệu cá nhân khi xử lý dữ liệu cá nhân trong công nghệ chuỗi khối, bao gồm:

• Chỉ áp dụng các thuật toán mã hóa, thuật toán băm, thuật toán ký số đảm bảo an toàn;
• Không lưu trữ trực tiếp dữ liệu cá nhân trên chuỗi khối, chỉ lưu trữ khi dữ liệu cá nhân đã được khử nhận dạng hoặc lưu trữ giá trị băm của dữ liệu cá nhân;
• Thực hiện đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân định kỳ 01 năm/lần.

Cơ sở pháp lý: Điều 11 Nghị định 356/2025/NĐ-CP.

Bảo vệ dữ liệu cá nhân trong điện toán đám mây

Các cơ quan, tổ chức, cá nhân có liên quan phải áp dụng các biện pháp kỹ thuật và tổ chức để ngăn chặn dữ liệu cá nhân bị truy cập trái phép khi triển khai dịch vụ điện toán đám mây. Dữ liệu cá nhân trên điện toán đám mây phải được mã hóa ở trạng thái nghỉ và truyền, kèm theo phân quyền truy cập nghiêm ngặt.

Cơ sở pháp lý: Điều 12 Nghị định 356/2025/NĐ-CP.

Dịch vụ tư vấn về trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức trong tuyển dụng lao động tại Tư vấn Long Phan

Tư vấn Long Phan cung cấp dịch vụ tư vấn trách nhiệm bảo vệ dữ liệu cá nhân trong tuyển dụng, hỗ trợ Quý khách hàng xây dựng quy trình quản lý hồ sơ ứng viên chuyên nghiệp, an toàn và tuân thủ tuyệt đối quy định của pháp luật hiện hành. Dịch vụ bao gồm:

• Tư vấn, hỗ trợ doanh nghiệp các nội dung liên quan đến bảo vệ dữ liệu cá nhân của cơ quan, tổ chức trong tuyển dụng lao động;
• Tư vấn về cách khắc phục hậu quả của người sử dụng lao động khi vi phạm hoạt động bảo mật dữ liệu cá nhân;
• Hỗ trợ soạn thảo và hoàn thiện các điều khoản liên quan đến bảo vệ dữ liệu cá nhân trong hợp đồng lao động;
• Đại diện theo uỷ quyền nộp hồ sơ, thực hiện thủ tục hành chính liên quan đến lao động cho doanh nghiệp.

Các câu hỏi thường gặp về trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức trong tuyển dụng lao động

Sau đây, Tư vấn Long Phan xin cung cấp một số câu hỏi phổ biến liên quan đến trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức trong tuyển dụng lao động. Xin mời Quý Khách hàng có nhu cầu tham khảo:

Phạt tối đa là bao nhiêu % doanh thu năm liền kề đối với hành vi xâm phạm dữ liệu cá nhân?

Theo khoản 4 Điều 8 của Luật bảo vệ dữ liệu cá nhân 2025 quy định thì mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó.

Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều 8 Luật bảo vệ dữ liệu cá nhân 2025 thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều 8 Luật bảo vệ dữ liệu cá nhân 2025.

Doanh nghiệp có phải xóa dữ liệu cá nhân người lao động sau khi chấm dứt hợp đồng không?

Khoản 2 Điều 25 Luật bảo vệ dữ liệu cá nhân 2025 quy định về trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân trong quản lý, sử dụng người lao động. Theo đó, doanh nghiệp sau khi chấm dứt hợp đồng phải có trách nhiệm:

• Tuân thủ quy định của Luật này, pháp luật về lao động, việc làm, pháp luật về dữ liệu và quy định khác của pháp luật có liên quan;
• Dữ liệu cá nhân của người lao động phải lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận;
• Phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.

Có bao nhiêu hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân?

Theo Điều 7 Luật Bảo vệ dữ liệu cá nhân 2025 quy định thì có 07 hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân, gồm:

• Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
• Cản trở hoạt động bảo vệ dữ liệu cá nhân.
• Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
• Xử lý dữ liệu cá nhân trái quy định của pháp luật.
• Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
• Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
• Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Bộ phận bảo vệ dữ liệu có chịu trách nhiệm bồi thường khi xảy ra vi phạm không?

Theo quy định tại Điều 37 Luật Bảo vệ dữ liệu cá nhân 2025, bên kiểm soát dữ liệu cá nhân phải chịu trách nhiệm trước chủ thể dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra, bên xử lý dữ liệu cá nhân chịu trách nhiệm trước bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân về thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra. Vai trò của bộ phận bảo vệ dữ liệu là tư vấn và giám sát để ngăn ngừa vi phạm.

Tuy nhiên, nếu cá nhân trong bộ phận này có hành vi cố ý làm trái hoặc thiếu trách nhiệm gây hậu quả nghiêm trọng, họ có thể phải chịu trách nhiệm theo quy định nội bộ của công ty và quy định của pháp luật.

Hành vi quảng cáo gian dối để tuyển dụng lao động sẽ bị xử phạt bao nhiêu tiền?

Căn cứ theo khoản 3 Điều 8 Nghị định 12/2022/NĐ-CP có quy định về vi phạm về tuyển dụng, quản lý lao động quy định nếu người sử dụng lao động có hành vi quảng cáo gian dối để tuyển dụng lao động với mục đích bóc lột, cưỡng bức lao động nhưng chưa đến mức truy cứu trách nhiệm hình sự thì sẽ bị xử phạt vi phạm hành chính với mức phạt tiền từ 50.000.000 đồng đến 75.000.000 đồng.

Lưu ý: Theo khoản 1 Điều 6 Nghị định 12/2022/NĐ-CP, mức phạt quy định trên đây là mức phạt đối với cá nhân. Mức phạt tiền đối với tổ chức bằng 02 lần mức phạt tiền đối với cá nhân.

Kết luận

Việc tuân thủ quy định về bảo vệ dữ liệu không chỉ là trách nhiệm mà còn là thước đo uy tín của doanh nghiệp trên thị trường lao động. Với sự tận tâm và chuyên môn sâu rộng, Tư Vấn Long Phan cam kết đồng hành cùng Quý khách hàng xây dựng một hệ thống tuyển dụng an toàn, minh bạch và chuyên nghiệp. hãy liên hệ với các chuyên gia của chúng tôi với qua hotline 1900636389 để được tư vấn chuyên sâu.