Tầm Nhìn Lãnh Đạo
5/26/2026

Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15? Những điều bộ phận tuyển dụng phải biết ngay

Khám phá tác động của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đến hoạt động HR và chiến lược giúp doanh nghiệp tuyển dụng tuân thủ

Lê Mai Hạnh là người chuyên trách truyền tải sức mạnh của công nghệ AI và hệ sinh thái MBW Hiring. Với khả năng biến những khái niệm phức tạp thành nội dung dễ hiểu, Hạnh sẽ hướng dẫn bạn cách tận dụng tối đa các giải pháp số để nâng tầm hiệu quả tuyển dụng.

Từ 01/01/2026, mọi hoạt động thu thập, lưu trữ và sử dụng thông tin ứng viên đều chịu sự điều chỉnh của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. Mức phạt lên đến 3 tỷ đồng với tổ chức, ứng viên có quyền khởi kiện và yêu cầu bồi thường trực tiếp.

Bài viết phân tích những nội dung HR và CEO cần nắm, dựa trực tiếp trên văn bản Luật số 91/2025/QH15.

1. Luật 91/2025/QH15 là gì?

Ngày 26/6/2025, Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XV, kỳ họp thứ 9 chính thức thông qua Luật Bảo vệ dữ liệu cá nhân, số hiệu 91/2025/QH15. Luật có hiệu lực thi hành từ ngày 01/01/2026, thay thế hoàn toàn Nghị định 13/2023/NĐ-CP.

Đây là lần đầu tiên Việt Nam có luật chuyên ngành riêng về bảo vệ dữ liệu cá nhân — không còn là nghị định, mà là luật do Quốc hội ban hành với hiệu lực pháp lý cao hơn đáng kể. So với Nghị định 13/2023, Luật 91 có ba thay đổi căn bản: phạm vi điều chỉnh rộng hơn, nghĩa vụ rõ ràng hơn, và mức xử phạt nặng hơn.

(Nguồn: Điều 38, Điều 39 — Luật số 91/2025/QH15)

Luật gồm 5 Chương, 39 Điều, được tổ chức theo cấu trúc sau:

Chương Nội dung
Chương I — Quy định chung Định nghĩa, nguyên tắc, hành vi cấm, xử phạt
Chương II — Bảo vệ dữ liệu cá nhân Xử lý dữ liệu, sự đồng ý, nghĩa vụ cụ thể
Chương III — Lực lượng & điều kiện đảm bảo Nhân sự/bộ phận bảo vệ dữ liệu
Chương IV — Trách nhiệm tổ chức, cá nhân Trách nhiệm bên kiểm soát & bên xử lý
Chương V — Điều khoản thi hành Hiệu lực, ưu đãi quy mô nhỏ, chuyển tiếp

Với bộ phận HR và lãnh đạo doanh nghiệp, ba nhóm điều khoản cần nắm trước:

Nội dung Điều khoản Tại sao HR phải quan tâm
Quyền của ứng viên với dữ liệu của mình Điều 4 Ứng viên có quyền yêu cầu xem, sửa, xóa hồ sơ — doanh nghiệp có nghĩa vụ đáp ứng
Sự đồng ý khi thu thập dữ liệu Điều 9 Nền tảng pháp lý cho mọi hành động thu thập thông tin ứng viên
Bảo vệ dữ liệu trong tuyển dụng & lao động Điều 25 Nghĩa vụ cụ thể của doanh nghiệp khi quản lý hồ sơ ứng viên

2. Doanh nghiệp nào phải tuân thủ?

Ngắn gọn: tất cả.

Điều 1 và Điều 2 Luật 91/2025/QH15 xác định phạm vi áp dụng gồm:

  • Cơ quan, tổ chức, cá nhân Việt Nam thực hiện hoạt động xử lý dữ liệu cá nhân
  • Cơ quan, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam

(Nguồn: Điều 1, Điều 2 — Luật số 91/2025/QH15)

Điều này có nghĩa: startup 5 người hay tập đoàn 5.000 người, công ty Việt Nam hay công ty nước ngoài đang tuyển dụng tại Việt Nam — đều thuộc phạm vi điều chỉnh.

Trong hoạt động tuyển dụng, doanh nghiệp đóng vai trò là Bên kiểm soát dữ liệu cá nhân — tức là bên quyết định mục đích và cách thức xử lý dữ liệu ứng viên. Đây là vai trò mang nhiều nghĩa vụ nhất theo luật.

(Nguồn: Điều 2 khoản 7 — Luật số 91/2025/QH15)

Ưu đãi theo quy mô — nhưng không phải miễn trừ

Điều 38 Luật 91 cho phép linh hoạt với hai nghĩa vụ cụ thể: lập hồ sơ đánh giá tác động xử lý dữ liệu (Điều 21–22) và bố trí nhân sự/bộ phận bảo vệ dữ liệu (Điều 33 khoản 2).

(Nguồn: Điều 38 — Luật số 91/2025/QH15)

Quy mô doanh nghiệp Nghĩa vụ cơ bản Đánh giá tác động & nhân sự bảo vệ dữ liệu
Tập đoàn, doanh nghiệp lớn Áp dụng đầy đủ từ 01/01/2026 Bắt buộc
Doanh nghiệp nhỏ, startup Áp dụng đầy đủ Được lựa chọn miễn trong 5 năm đầu*
Hộ kinh doanh, doanh nghiệp siêu nhỏ Áp dụng đầy đủ Được miễn*

⚠️ Lưu ý quan trọng: Ưu đãi trên không áp dụng nếu doanh nghiệp có xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu của số lượng lớn chủ thể dữ liệu — hai tình huống rất phổ biến trong tuyển dụng quy mô lớn hoặc sử dụng nền tảng HR công nghệ.

(Nguồn: Điều 38 — Luật số 91/2025/QH15)

3. Những khái niệm cốt lõi HR bắt buộc phải nắm

Dữ liệu cá nhân cơ bản

Thông tin phản ánh các yếu tố nhân thân thường dùng trong giao dịch xã hội. Ví dụ trong tuyển dụng: họ tên, ngày sinh, số điện thoại, địa chỉ email, giới tính, dân tộc, quốc tịch.

(Nguồn: Điều 2 — Luật số 91/2025/QH15)

Dữ liệu cá nhân nhạy cảm

Thông tin liên quan đến các đặc điểm riêng tư có thể dẫn đến phân biệt đối xử. Ví dụ trong tuyển dụng: tình trạng sức khỏe, thông tin di truyền, nhận dạng sinh trắc học, quan điểm chính trị, tín ngưỡng, lịch sử hình sự, thông tin tài chính.

Loại dữ liệu này chịu mức bảo vệ cao hơn và một số nghĩa vụ bổ sung theo luật.

(Nguồn: Điều 2 — Luật số 91/2025/QH15)

Chủ thể dữ liệu

Người mà dữ liệu thuộc về. Trong tuyển dụng: đây là ứng viên.

Bên kiểm soát dữ liệu

Tổ chức/cá nhân quyết định mục đích và cách thức xử lý dữ liệu. Trong tuyển dụng: đây là doanh nghiệp — vai trò mang nhiều nghĩa vụ nhất theo luật.

(Nguồn: Điều 2 khoản 7 — Luật số 91/2025/QH15)

Bên xử lý dữ liệu

Tổ chức/cá nhân xử lý dữ liệu theo yêu cầu của bên kiểm soát, thông qua hợp đồng. Trong tuyển dụng: đây là agency tuyển dụng, nhà cung cấp ATS, đơn vị thực hiện background check.

⚠️ Điểm dễ bỏ qua: Doanh nghiệp vẫn chịu trách nhiệm về cách các bên thứ ba này xử lý dữ liệu ứng viên — ngay cả khi doanh nghiệp không trực tiếp thực hiện hành vi vi phạm.

(Nguồn: Điều 2 khoản 8 — Luật số 91/2025/QH15)

Sự đồng ý (Consent)

Việc chủ thể dữ liệu cho phép xử lý dữ liệu của mình. Luật 91 quy định rõ: đồng ý phải tự nguyện, rõ ràng, cụ thể — không thể ép buộc hoặc ngầm định.

Đặc biệt: im lặng hoặc không phản hồi không được coi là đồng ý.

(Nguồn: Điều 9 — Luật số 91/2025/QH15)

Ví dụ thực tế:

  • Ứng viên điền form ứng tuyển trên website → cần có checkbox đồng ý riêng biệt cho việc lưu trữ và sử dụng dữ liệu, không được gộp vào điều khoản sử dụng chung
  • Ứng viên tự gửi CV qua email → không đương nhiên là đồng ý để doanh nghiệp lưu trữ dài hạn, chia sẻ nội bộ, hoặc dùng cho các vị trí khác trong tương lai
  • Ứng viên không trả lời email follow-up → không được hiểu là đồng ý với bất kỳ điều gì

4. "Xử lý dữ liệu" trong tuyển dụng bao gồm những gì?

Nhiều HR Manager hiểu "xử lý dữ liệu" là việc phân tích hoặc sử dụng thông tin một cách chủ động. Thực tế, Luật 91 định nghĩa xử lý dữ liệu cá nhân theo nghĩa rất rộng.

(Nguồn: Điều 2 khoản 6 — Luật số 91/2025/QH15)

Mọi hành động sau đây đều là "xử lý dữ liệu cá nhân" theo luật:

Hành động Ví dụ thực tế trong tuyển dụng
Thu thập Nhận CV qua email, form web, job board, hoặc trực tiếp
Ghi chép Điền thông tin vào hệ thống, tạo hồ sơ ứng viên
Lưu trữ Giữ lại CV trong hệ thống, máy tính, Drive, email, bất kỳ thiết bị nào
Khai thác, sử dụng Xem lại hồ sơ, dùng thông tin để liên hệ, sắp xếp phỏng vấn
Chỉnh sửa Cập nhật thông tin trong hồ sơ ứng viên
Tiết lộ Chia sẻ hồ sơ với bộ phận khác, ban lãnh đạo, agency tuyển dụng
Xóa, hủy Xử lý hồ sơ khi không còn dùng đến
Chuyển ra nước ngoài Dùng ATS, lưu trữ trên Google Drive, Dropbox, Greenhouse, Workday — đặt server ngoài Việt Nam

⚠️ Lưu ý đặc biệt về chuyển dữ liệu ra nước ngoài (Điều 20): Nếu doanh nghiệp sử dụng phần mềm ATS hoặc nền tảng lưu trữ đám mây đặt server bên ngoài Việt Nam, đây là hành vi chuyển dữ liệu xuyên biên giới và chịu thêm nghĩa vụ riêng theo Điều 20.

(Nguồn: Điều 20 — Luật số 91/2025/QH15)

Điểm dễ vi phạm nhất: Nhiều doanh nghiệp vô tình vi phạm ngay từ bước lưu trữ — khi CV ứng viên nằm rải rác trong email cá nhân của recruiter, file Excel không bảo mật, hoặc được forward tự do trong nội bộ mà không có kiểm soát. Tất cả những hành động này đều thuộc phạm vi điều chỉnh của luật.

5. Điều 25 — Nghĩa vụ cụ thể trong tuyển dụng và quản lý lao động

Điều 25 Luật 91/2025/QH15 là điều khoản trực tiếp nhất với bộ phận HR — quy định riêng về bảo vệ dữ liệu trong tuyển dụng và quản lý lao động.

Theo Điều 25, doanh nghiệp với tư cách bên kiểm soát dữ liệu trong hoạt động tuyển dụng có các nghĩa vụ gồm:

  • Chỉ thu thập dữ liệu cần thiết cho mục đích tuyển dụng — không thu thập dữ liệu vượt quá phạm vi cần thiết
  • Thông báo rõ ràng cho ứng viên về mục đích, phạm vi và cách thức xử lý dữ liệu của họ
  • Có cơ sở pháp lý hợp lệ (thường là sự đồng ý theo Điều 9) trước khi xử lý
  • Bảo đảm an toàn dữ liệu trong suốt quá trình lưu trữ và sử dụng
  • Xóa hoặc hủy dữ liệu ứng viên khi không còn mục đích xử lý hợp lệ

(Nguồn: Điều 25 — Luật số 91/2025/QH15)

Câu hỏi thực tế: Hồ sơ của ứng viên không trúng tuyển từ 2 năm trước hiện đang nằm ở đâu trong hệ thống của bạn? Ai có thể truy cập? Ứng viên đó có đồng ý cho bạn giữ lại không?

6. Quyền của ứng viên — những gì HR phải chuẩn bị để đáp ứng

Điều 4 Luật 91/2025/QH15 quy định đầy đủ các quyền của chủ thể dữ liệu — tức là ứng viên. Doanh nghiệp có nghĩa vụ tôn trọng và đảm bảo các quyền này.

(Nguồn: Điều 4 — Luật số 91/2025/QH15)

Các quyền ứng viên có thể thực hiện bao gồm:

Quyền của ứng viên Ý nghĩa thực tế với HR
Quyền được biết Ứng viên có quyền biết doanh nghiệp đang thu thập và xử lý dữ liệu gì của họ
Quyền đồng ý Việc xử lý dữ liệu phải có sự đồng ý trước — trừ các trường hợp luật quy định khác
Quyền truy cập Ứng viên có quyền yêu cầu xem toàn bộ dữ liệu mà doanh nghiệp đang lưu giữ về mình
Quyền chỉnh sửa Ứng viên có quyền yêu cầu cập nhật dữ liệu không chính xác
Quyền xóa Ứng viên có quyền yêu cầu xóa dữ liệu — doanh nghiệp có nghĩa vụ thực hiện trong các trường hợp luật quy định
Quyền hạn chế xử lý Ứng viên có quyền yêu cầu tạm dừng việc sử dụng dữ liệu của họ
Quyền phản đối Ứng viên có quyền phản đối việc xử lý dữ liệu trong một số trường hợp
Quyền khiếu nại, khởi kiện Ứng viên có quyền khởi kiện và yêu cầu bồi thường thiệt hại trực tiếp

⚠️ Rủi ro thường trực: Mỗi ứng viên đều là một chủ thể dữ liệu có đầy đủ quyền theo luật. Bộ phận tuyển dụng cần có quy trình cụ thể để tiếp nhận và xử lý các yêu cầu từ ứng viên — nếu không, mỗi yêu cầu bị bỏ qua đều có thể trở thành căn cứ khiếu nại.

(Nguồn: Điều 4 khoản 1đ — Luật số 91/2025/QH15)

7. Mức xử phạt — con số cụ thể doanh nghiệp cần biết

Điều 8 Luật 91/2025/QH15 quy định rõ các hình thức xử lý vi phạm.

(Nguồn: Điều 8 — Luật số 91/2025/QH15)

Xử phạt hành chính

Hành vi vi phạm Mức phạt — Tổ chức Mức phạt — Cá nhân
Vi phạm thông thường Tối đa 3 tỷ đồng Tối đa 1,5 tỷ đồng
Mua bán dữ liệu cá nhân Tối đa 10 lần khoản thu được Tối đa 10 lần khoản thu được
Vi phạm chuyển dữ liệu xuyên biên giới Tối đa 5% doanh thu năm trước

Lưu ý: Mức phạt 3 tỷ đồng áp dụng cho tổ chức — không phân biệt doanh nghiệp lớn hay nhỏ. Với startup hoặc doanh nghiệp vừa, đây là con số có thể ảnh hưởng trực tiếp đến hoạt động kinh doanh.

Các hình thức xử lý khác

Ngoài phạt tiền, doanh nghiệp vi phạm còn có thể bị:

  • Yêu cầu khắc phục hậu quả bắt buộc: xóa dữ liệu, thông báo cho chủ thể dữ liệu, khôi phục quyền bị xâm phạm
  • Đình chỉ hoạt động xử lý dữ liệu trong trường hợp vi phạm nghiêm trọng
  • Truy cứu trách nhiệm hình sự đối với vi phạm có hậu quả nghiêm trọng
  • Bị ứng viên khởi kiện và yêu cầu bồi thường thiệt hại trực tiếp

(Nguồn: Điều 8 — Luật số 91/2025/QH15)

Rủi ro nằm ở những hành động nhỏ hàng ngày — không chỉ ở sự cố lớn. Forward CV qua email cá nhân, lưu hồ sơ trên Drive không bảo mật, chia sẻ thông tin ứng viên trong nhóm chat nội bộ mà không có quy trình — tất cả đều có thể trở thành căn cứ để ứng viên khiếu nại hoặc cơ quan chức năng kiểm tra.

8. Doanh nghiệp cần làm gì ngay?

Dưới đây là checklist tối thiểu dựa trên các nghĩa vụ được quy định trong Luật 91/2025/QH15. Mỗi hạng mục đều có điều khoản tương ứng cụ thể.

Về thu thập dữ liệu (Điều 9)

  • [ ] Cập nhật hoặc xây dựng mới form đồng ý thu thập dữ liệu (consent form) cho tất cả các kênh nhận hồ sơ — website, email, job board, trực tiếp
  • [ ] Đảm bảo consent tự nguyện, rõ ràng, cụ thể — không gộp vào điều khoản sử dụng chung
  • [ ] Không xử lý dữ liệu khi chưa có sự đồng ý hợp lệ

Về lưu trữ và bảo mật (Điều 25)

  • [ ] Rà soát toàn bộ nơi lưu trữ CV và hồ sơ ứng viên hiện tại: email cá nhân, Drive, phần mềm, máy tính cá nhân
  • [ ] Thiết lập quy trình kiểm soát truy cập — ai được xem hồ sơ nào, trong phạm vi nào
  • [ ] Xây dựng chính sách thời hạn lưu trữ — hồ sơ ứng viên không trúng tuyển được giữ bao lâu, sau đó xử lý như thế nào

Về bên thứ ba (Điều 2 khoản 8)

  • [ ] Kiểm tra và ký kết hợp đồng xử lý dữ liệu với agency tuyển dụng, nhà cung cấp ATS, đơn vị background check
  • [ ] Xác minh các nền tảng đang dùng có đặt server tại đâu — nếu ngoài Việt Nam, cần đánh giá nghĩa vụ theo Điều 20

Về quyền của ứng viên (Điều 4)

  • [ ] Xây dựng quy trình tiếp nhận yêu cầu từ ứng viên: xem dữ liệu, chỉnh sửa, xóa, hạn chế xử lý
  • [ ] Đảm bảo có người/bộ phận chịu trách nhiệm xử lý các yêu cầu này

Về đánh giá tác động (Điều 21–22 — bắt buộc với doanh nghiệp lớn)

  • [ ] Xác định doanh nghiệp có thuộc diện bắt buộc lập hồ sơ đánh giá tác động xử lý dữ liệu không
  • [ ] Nếu có, triển khai quy trình đánh giá theo quy định

Câu hỏi thường gặp (FAQ)

Doanh nghiệp nhỏ có phải tuân thủ không? Có. Luật 91 áp dụng cho mọi quy mô. Doanh nghiệp nhỏ và siêu nhỏ chỉ được miễn hoặc linh hoạt với hai nghĩa vụ cụ thể (đánh giá tác động và bố trí nhân sự bảo vệ dữ liệu) — và chỉ khi không xử lý dữ liệu nhạy cảm hoặc số lượng lớn. (Điều 38)

Ứng viên tự gửi CV có phải xin đồng ý lại không? Đây là vùng xám cần tư vấn pháp lý cụ thể. Tuy nhiên, theo nguyên tắc của Điều 9, việc ứng viên gửi CV không đương nhiên là đồng ý để lưu trữ dài hạn, chia sẻ nội bộ rộng rãi, hoặc dùng cho các mục đích khác ngoài vị trí đang tuyển.

Dùng Google Drive để lưu hồ sơ ứng viên có vi phạm không? Nếu Google Drive đặt server ngoài Việt Nam, đây có thể là hành vi chuyển dữ liệu xuyên biên giới theo Điều 20 và cần đáp ứng thêm các nghĩa vụ theo điều khoản này. Cần đánh giá cụ thể theo từng trường hợp.

Agency tuyển dụng vi phạm thì doanh nghiệp có bị liên đới không? Có. Doanh nghiệp là bên kiểm soát dữ liệu (Điều 2 khoản 7) và chịu trách nhiệm về cách các bên xử lý dữ liệu theo yêu cầu của mình. Hợp đồng xử lý dữ liệu với bên thứ ba là biện pháp bảo vệ quan trọng.

Kết luận

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 không phải vấn đề của tương lai — nó đang có hiệu lực từ ngày 01/01/2026.

Với bộ phận tuyển dụng, đây là luật ảnh hưởng trực tiếp đến từng hành động hàng ngày: nhận CV, lưu hồ sơ, chia sẻ nội bộ, phỏng vấn, lưu trữ sau tuyển dụng. Tất cả đều là "xử lý dữ liệu cá nhân" theo định nghĩa của Điều 2 khoản 6.

Rủi ro không chỉ đến từ những sự cố nghiêm trọng như rò rỉ dữ liệu hàng loạt. Nó đến từ những hành động nhỏ, quen thuộc — nhưng từ năm 2026, có thể là căn cứ để ứng viên khiếu nại hoặc cơ quan chức năng xử phạt đến 3 tỷ đồng.

Bước đầu tiên không phải là hoàn thiện toàn bộ hệ thống ngay lập tức. Bước đầu tiên là biết mình đang đứng ở đâu — và bắt đầu từ checklist ở trên.

📌 Nguồn pháp lý: Toàn bộ thông tin trong bài viết được trích dẫn trực tiếp từ Luật số 91/2025/QH15 — Luật Bảo vệ dữ liệu cá nhân, thông qua ngày 26/6/2025, có hiệu lực từ 01/01/2026. Tra cứu văn bản gốc tại: thuvienphapluat.vn

Bài viết mang tính thông tin, không thay thế tư vấn pháp lý chuyên nghiệp. Doanh nghiệp nên tham khảo luật sư hoặc chuyên gia pháp lý để đánh giá nghĩa vụ cụ thể của từng trường hợp.

© mHiring — mHiring.vn

Newsletter

Đăng ký nhận thông tin mới nhất từ MBW

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Quay lại

ĐĂNG KÝ TƯ VẤN MIỄN PHÍ

Mỗi doanh nghiệp có một bài toán tuyển dụng khác nhau. Buổi tư vấn của chúng tôi được thiết kế để giúp bạn tìm ra giải pháp phù hợp nhất

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.