Khám phá tác động của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đến hoạt động HR và chiến lược giúp doanh nghiệp tuyển dụng tuân thủ

Từ 01/01/2026, mọi hoạt động thu thập, lưu trữ và sử dụng thông tin ứng viên đều chịu sự điều chỉnh của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. Mức phạt lên đến 3 tỷ đồng với tổ chức, ứng viên có quyền khởi kiện và yêu cầu bồi thường trực tiếp.
Bài viết phân tích những nội dung HR và CEO cần nắm, dựa trực tiếp trên văn bản Luật số 91/2025/QH15.
Ngày 26/6/2025, Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XV, kỳ họp thứ 9 chính thức thông qua Luật Bảo vệ dữ liệu cá nhân, số hiệu 91/2025/QH15. Luật có hiệu lực thi hành từ ngày 01/01/2026, thay thế hoàn toàn Nghị định 13/2023/NĐ-CP.
Đây là lần đầu tiên Việt Nam có luật chuyên ngành riêng về bảo vệ dữ liệu cá nhân — không còn là nghị định, mà là luật do Quốc hội ban hành với hiệu lực pháp lý cao hơn đáng kể. So với Nghị định 13/2023, Luật 91 có ba thay đổi căn bản: phạm vi điều chỉnh rộng hơn, nghĩa vụ rõ ràng hơn, và mức xử phạt nặng hơn.
(Nguồn: Điều 38, Điều 39 — Luật số 91/2025/QH15)
Luật gồm 5 Chương, 39 Điều, được tổ chức theo cấu trúc sau:
Với bộ phận HR và lãnh đạo doanh nghiệp, ba nhóm điều khoản cần nắm trước:
Ngắn gọn: tất cả.
Điều 1 và Điều 2 Luật 91/2025/QH15 xác định phạm vi áp dụng gồm:
(Nguồn: Điều 1, Điều 2 — Luật số 91/2025/QH15)
Điều này có nghĩa: startup 5 người hay tập đoàn 5.000 người, công ty Việt Nam hay công ty nước ngoài đang tuyển dụng tại Việt Nam — đều thuộc phạm vi điều chỉnh.
Trong hoạt động tuyển dụng, doanh nghiệp đóng vai trò là Bên kiểm soát dữ liệu cá nhân — tức là bên quyết định mục đích và cách thức xử lý dữ liệu ứng viên. Đây là vai trò mang nhiều nghĩa vụ nhất theo luật.
(Nguồn: Điều 2 khoản 7 — Luật số 91/2025/QH15)
Điều 38 Luật 91 cho phép linh hoạt với hai nghĩa vụ cụ thể: lập hồ sơ đánh giá tác động xử lý dữ liệu (Điều 21–22) và bố trí nhân sự/bộ phận bảo vệ dữ liệu (Điều 33 khoản 2).
(Nguồn: Điều 38 — Luật số 91/2025/QH15)
⚠️ Lưu ý quan trọng: Ưu đãi trên không áp dụng nếu doanh nghiệp có xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu của số lượng lớn chủ thể dữ liệu — hai tình huống rất phổ biến trong tuyển dụng quy mô lớn hoặc sử dụng nền tảng HR công nghệ.
(Nguồn: Điều 38 — Luật số 91/2025/QH15)
Thông tin phản ánh các yếu tố nhân thân thường dùng trong giao dịch xã hội. Ví dụ trong tuyển dụng: họ tên, ngày sinh, số điện thoại, địa chỉ email, giới tính, dân tộc, quốc tịch.
(Nguồn: Điều 2 — Luật số 91/2025/QH15)
Thông tin liên quan đến các đặc điểm riêng tư có thể dẫn đến phân biệt đối xử. Ví dụ trong tuyển dụng: tình trạng sức khỏe, thông tin di truyền, nhận dạng sinh trắc học, quan điểm chính trị, tín ngưỡng, lịch sử hình sự, thông tin tài chính.
Loại dữ liệu này chịu mức bảo vệ cao hơn và một số nghĩa vụ bổ sung theo luật.
(Nguồn: Điều 2 — Luật số 91/2025/QH15)
Người mà dữ liệu thuộc về. Trong tuyển dụng: đây là ứng viên.
Tổ chức/cá nhân quyết định mục đích và cách thức xử lý dữ liệu. Trong tuyển dụng: đây là doanh nghiệp — vai trò mang nhiều nghĩa vụ nhất theo luật.
(Nguồn: Điều 2 khoản 7 — Luật số 91/2025/QH15)
Tổ chức/cá nhân xử lý dữ liệu theo yêu cầu của bên kiểm soát, thông qua hợp đồng. Trong tuyển dụng: đây là agency tuyển dụng, nhà cung cấp ATS, đơn vị thực hiện background check.
⚠️ Điểm dễ bỏ qua: Doanh nghiệp vẫn chịu trách nhiệm về cách các bên thứ ba này xử lý dữ liệu ứng viên — ngay cả khi doanh nghiệp không trực tiếp thực hiện hành vi vi phạm.
(Nguồn: Điều 2 khoản 8 — Luật số 91/2025/QH15)
Việc chủ thể dữ liệu cho phép xử lý dữ liệu của mình. Luật 91 quy định rõ: đồng ý phải tự nguyện, rõ ràng, cụ thể — không thể ép buộc hoặc ngầm định.
Đặc biệt: im lặng hoặc không phản hồi không được coi là đồng ý.
(Nguồn: Điều 9 — Luật số 91/2025/QH15)
Ví dụ thực tế:
Nhiều HR Manager hiểu "xử lý dữ liệu" là việc phân tích hoặc sử dụng thông tin một cách chủ động. Thực tế, Luật 91 định nghĩa xử lý dữ liệu cá nhân theo nghĩa rất rộng.
(Nguồn: Điều 2 khoản 6 — Luật số 91/2025/QH15)
Mọi hành động sau đây đều là "xử lý dữ liệu cá nhân" theo luật:
⚠️ Lưu ý đặc biệt về chuyển dữ liệu ra nước ngoài (Điều 20): Nếu doanh nghiệp sử dụng phần mềm ATS hoặc nền tảng lưu trữ đám mây đặt server bên ngoài Việt Nam, đây là hành vi chuyển dữ liệu xuyên biên giới và chịu thêm nghĩa vụ riêng theo Điều 20.
(Nguồn: Điều 20 — Luật số 91/2025/QH15)
Điểm dễ vi phạm nhất: Nhiều doanh nghiệp vô tình vi phạm ngay từ bước lưu trữ — khi CV ứng viên nằm rải rác trong email cá nhân của recruiter, file Excel không bảo mật, hoặc được forward tự do trong nội bộ mà không có kiểm soát. Tất cả những hành động này đều thuộc phạm vi điều chỉnh của luật.
Điều 25 Luật 91/2025/QH15 là điều khoản trực tiếp nhất với bộ phận HR — quy định riêng về bảo vệ dữ liệu trong tuyển dụng và quản lý lao động.
Theo Điều 25, doanh nghiệp với tư cách bên kiểm soát dữ liệu trong hoạt động tuyển dụng có các nghĩa vụ gồm:
(Nguồn: Điều 25 — Luật số 91/2025/QH15)
Câu hỏi thực tế: Hồ sơ của ứng viên không trúng tuyển từ 2 năm trước hiện đang nằm ở đâu trong hệ thống của bạn? Ai có thể truy cập? Ứng viên đó có đồng ý cho bạn giữ lại không?
Điều 4 Luật 91/2025/QH15 quy định đầy đủ các quyền của chủ thể dữ liệu — tức là ứng viên. Doanh nghiệp có nghĩa vụ tôn trọng và đảm bảo các quyền này.
(Nguồn: Điều 4 — Luật số 91/2025/QH15)
Các quyền ứng viên có thể thực hiện bao gồm:
⚠️ Rủi ro thường trực: Mỗi ứng viên đều là một chủ thể dữ liệu có đầy đủ quyền theo luật. Bộ phận tuyển dụng cần có quy trình cụ thể để tiếp nhận và xử lý các yêu cầu từ ứng viên — nếu không, mỗi yêu cầu bị bỏ qua đều có thể trở thành căn cứ khiếu nại.
(Nguồn: Điều 4 khoản 1đ — Luật số 91/2025/QH15)
Điều 8 Luật 91/2025/QH15 quy định rõ các hình thức xử lý vi phạm.
(Nguồn: Điều 8 — Luật số 91/2025/QH15)
Lưu ý: Mức phạt 3 tỷ đồng áp dụng cho tổ chức — không phân biệt doanh nghiệp lớn hay nhỏ. Với startup hoặc doanh nghiệp vừa, đây là con số có thể ảnh hưởng trực tiếp đến hoạt động kinh doanh.
Ngoài phạt tiền, doanh nghiệp vi phạm còn có thể bị:
(Nguồn: Điều 8 — Luật số 91/2025/QH15)
Rủi ro nằm ở những hành động nhỏ hàng ngày — không chỉ ở sự cố lớn. Forward CV qua email cá nhân, lưu hồ sơ trên Drive không bảo mật, chia sẻ thông tin ứng viên trong nhóm chat nội bộ mà không có quy trình — tất cả đều có thể trở thành căn cứ để ứng viên khiếu nại hoặc cơ quan chức năng kiểm tra.
Dưới đây là checklist tối thiểu dựa trên các nghĩa vụ được quy định trong Luật 91/2025/QH15. Mỗi hạng mục đều có điều khoản tương ứng cụ thể.
Doanh nghiệp nhỏ có phải tuân thủ không? Có. Luật 91 áp dụng cho mọi quy mô. Doanh nghiệp nhỏ và siêu nhỏ chỉ được miễn hoặc linh hoạt với hai nghĩa vụ cụ thể (đánh giá tác động và bố trí nhân sự bảo vệ dữ liệu) — và chỉ khi không xử lý dữ liệu nhạy cảm hoặc số lượng lớn. (Điều 38)
Ứng viên tự gửi CV có phải xin đồng ý lại không? Đây là vùng xám cần tư vấn pháp lý cụ thể. Tuy nhiên, theo nguyên tắc của Điều 9, việc ứng viên gửi CV không đương nhiên là đồng ý để lưu trữ dài hạn, chia sẻ nội bộ rộng rãi, hoặc dùng cho các mục đích khác ngoài vị trí đang tuyển.
Dùng Google Drive để lưu hồ sơ ứng viên có vi phạm không? Nếu Google Drive đặt server ngoài Việt Nam, đây có thể là hành vi chuyển dữ liệu xuyên biên giới theo Điều 20 và cần đáp ứng thêm các nghĩa vụ theo điều khoản này. Cần đánh giá cụ thể theo từng trường hợp.
Agency tuyển dụng vi phạm thì doanh nghiệp có bị liên đới không? Có. Doanh nghiệp là bên kiểm soát dữ liệu (Điều 2 khoản 7) và chịu trách nhiệm về cách các bên xử lý dữ liệu theo yêu cầu của mình. Hợp đồng xử lý dữ liệu với bên thứ ba là biện pháp bảo vệ quan trọng.
Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 không phải vấn đề của tương lai — nó đang có hiệu lực từ ngày 01/01/2026.
Với bộ phận tuyển dụng, đây là luật ảnh hưởng trực tiếp đến từng hành động hàng ngày: nhận CV, lưu hồ sơ, chia sẻ nội bộ, phỏng vấn, lưu trữ sau tuyển dụng. Tất cả đều là "xử lý dữ liệu cá nhân" theo định nghĩa của Điều 2 khoản 6.
Rủi ro không chỉ đến từ những sự cố nghiêm trọng như rò rỉ dữ liệu hàng loạt. Nó đến từ những hành động nhỏ, quen thuộc — nhưng từ năm 2026, có thể là căn cứ để ứng viên khiếu nại hoặc cơ quan chức năng xử phạt đến 3 tỷ đồng.
Bước đầu tiên không phải là hoàn thiện toàn bộ hệ thống ngay lập tức. Bước đầu tiên là biết mình đang đứng ở đâu — và bắt đầu từ checklist ở trên.
📌 Nguồn pháp lý: Toàn bộ thông tin trong bài viết được trích dẫn trực tiếp từ Luật số 91/2025/QH15 — Luật Bảo vệ dữ liệu cá nhân, thông qua ngày 26/6/2025, có hiệu lực từ 01/01/2026. Tra cứu văn bản gốc tại: thuvienphapluat.vn
Bài viết mang tính thông tin, không thay thế tư vấn pháp lý chuyên nghiệp. Doanh nghiệp nên tham khảo luật sư hoặc chuyên gia pháp lý để đánh giá nghĩa vụ cụ thể của từng trường hợp.
© mHiring — mHiring.vn
Tổng hợp nội dung hữu ích về bí quyết săn nhân tài và vận hành bộ máy nhân sự thông minh.
Mỗi doanh nghiệp có một bài toán tuyển dụng khác nhau. Buổi tư vấn của chúng tôi được thiết kế để giúp bạn tìm ra giải pháp phù hợp nhất
