Hướng Dẫn Lưu Trữ & Xóa Hồ Sơ Nhân Sự Chuẩn PDPL: Tối Ưu HR & Tránh Phạt Tỷ Đồng

Vietnam English Chinese
  1. Trang chủ
  2. Tin tức - sự kiện
  3. Tin tức thị trường
  4. Hướng Dẫn Lưu Trữ & Xóa Hồ Sơ Nhân Sự Chuẩn PDPL: Tối Ưu HR & Tránh Phạt Tỷ Đồng
Hướng Dẫn Lưu Trữ & Xóa Hồ Sơ Nhân Sự Chuẩn PDPL: Tối Ưu HR & Tránh Phạt Tỷ Đồng

Lượt xem: 58

Table of Contents

    Trong kỷ nguyên số, dữ liệu cá nhân được ví như "dầu mỏ" của doanh nghiệp, mang lại lợi thế cạnh tranh to lớn. Nhưng đồng thời, nó cũng là một "quả bom nổ chậm" nếu không được quản trị và bảo vệ đúng cách. Đặc biệt, sự ra đời của các khung pháp lý mới về bảo vệ quyền riêng tư đã làm thay đổi hoàn toàn cách thức vận hành của các doanh nghiệp tại Việt Nam.

    Với việc Luật Bảo vệ dữ liệu cá nhân (PDPL) chính thức được thông qua và có hiệu lực từ 01/01/2026 (nâng cấp từ Nghị định 13/2023/NĐ-CP), các chế tài xử phạt hành chính đã được siết chặt hơn bao giờ hết. Lúc này, bộ phận Nhân sự (HR) – nơi nắm giữ khối lượng dữ liệu khổng lồ – đang đứng trước áp lực tuân thủ vô cùng lớn.

    Thói quen "lưu trữ vô thời hạn" hồ sơ ứng viên và nhân viên cũ không còn là sự cẩn thận của người làm hành chính, mà cấu thành hành vi vi phạm pháp luật tiềm ẩn rủi ro tài chính cực lớn. Bài viết chuyên sâu này từ ALTAS Law sẽ phân tích chi tiết quy trình lưu trữ hồ sơ nhân sự theo PDPL, giúp doanh nghiệp vừa tuân thủ pháp luật, vừa tối ưu hóa vận hành nội bộ.

    Hướng dẫn lưu trữ và xóa hồ sơ nhân sự chuẩn PDPL 2025 giúp doanh nghiệp tối ưu HR.

    1. Bức Tranh Toàn Cảnh Về Khung Pháp Lý Bảo Vệ Dữ Liệu (PDPL)

    Trước khi đi sâu vào nghiệp vụ của HR, chúng ta cần hiểu rõ bối cảnh pháp lý mà doanh nghiệp đang phải đối mặt. Sự chuyển dịch từ Nghị định lên cấp độ Luật đánh dấu một bước ngoặt trong tư duy quản lý nhà nước về không gian số.

    1.1. Sự ra đời của Luật Bảo vệ dữ liệu cá nhân (PDPL)

    PDPL (Personal Data Protection Law) là văn bản pháp luật toàn diện đầu tiên tại Việt Nam quy định về việc bảo vệ quyền riêng tư và dữ liệu cá nhân trong kỷ nguyên số. Luật được Quốc hội thông qua vào ngày 26/06/2025 và chính thức có hiệu lực từ ngày 01/01/2026, thay thế và kế thừa các quy định từ Nghị định 13/2023/NĐ-CP trước đó.

    Sự nâng cấp này không chỉ chuẩn hóa các thuật ngữ mà còn bổ sung nhiều cơ chế giám sát nghiêm ngặt hơn, đưa Việt Nam tiệm cận với các tiêu chuẩn quốc tế như GDPR (General Data Protection Regulation) của Châu Âu. Mọi tổ chức, cá nhân (trong và ngoài nước) có hoạt động xử lý dữ liệu của công dân Việt Nam đều nằm trong phạm vi điều chỉnh. (Theo Thư viện Pháp luật).

    1.2. Phân loại dữ liệu theo chuẩn mới

    Luật phân chia dữ liệu cá nhân thành hai nhóm cốt lõi, đòi hỏi các biện pháp bảo mật khác nhau:

    • Dữ liệu cá nhân cơ bản: Bao gồm họ tên, ngày tháng năm sinh, giới tính, quốc tịch, số điện thoại, địa chỉ, số CMND/CCCD, mã số thuế cá nhân, tình trạng hôn nhân...
    • Dữ liệu cá nhân nhạy cảm: Đây là nhóm cần được bảo vệ "bọc thép", bao gồm: tình trạng sức khỏe (hồ sơ bệnh án), đặc điểm sinh trắc học (vân tay, mống mắt, khuôn mặt), quan điểm chính trị, tôn giáo, khuynh hướng tình dục, dữ liệu tội phạm, dữ liệu vị trí và dữ liệu tài chính ngân hàng.

    1.3. Quyền lực mới của "Chủ thể dữ liệu"

    Người dân (bao gồm ứng viên và người lao động) giờ đây được trao những quyền mạnh mẽ đối với dữ liệu của chính mình:

    • Quyền được biết (công ty đang giữ thông tin gì, làm gì với nó).
    • Quyền đồng ý hoặc rút lại sự đồng ý bất cứ lúc nào.
    • Quyền truy cập, yêu cầu chỉnh sửa dữ liệu sai lệch.
    • Quyền yêu cầu xóa dữ liệu (Quyền được lãng quên).
    • Quyền phản đối việc xử lý dữ liệu cho mục đích quảng cáo/marketing.

    2. Tại Sao Bộ Phận Nhân Sự (HR) Là "Tâm Điểm" Của Sự Tuân Thủ?

    Khi áp dụng PDPL vào môi trường doanh nghiệp, bộ phận HR không còn đơn thuần thực hiện nghiệp vụ quản lý giấy tờ, chấm công hay tính lương. Họ chính thức trở thành những người Quản trị Dữ liệu cá nhân (Data Controllers/Processors).

    2.1. Khối lượng và tính chất dữ liệu HR nắm giữ

    Từ khi một ứng viên nộp CV cho đến khi một nhân viên nghỉ việc (thậm chí nhiều năm sau đó), HR liên tục thu thập, lưu trữ và xử lý thông tin. Họ không chỉ giữ CMND/CCCD, mà còn giữ giấy khám sức khỏe (dữ liệu nhạy cảm), dấu vân tay chấm công (sinh trắc học), thông tin tài khoản ngân hàng (dữ liệu tài chính) và thông tin về người phụ thuộc (vợ/chồng/con cái).

    Điều này khiến HR trở thành phòng ban chịu rủi ro pháp lý cao nhất nếu xảy ra sự cố rò rỉ.

    2.2. Ba nguyên tắc cốt lõi HR buộc phải tuân thủ

    Để không bước qua ranh giới vi phạm, mọi quy trình HR phải xoay quanh 3 nguyên tắc:

    • Sự đồng ý (Consent): Dữ liệu chỉ được thu thập và xử lý khi người lao động đã được thông báo minh bạch và đồng ý bằng văn bản.
    • Hạn chế mục đích (Purpose Limitation): Chỉ thu thập những thông tin thực sự cần thiết cho quan hệ lao động. (Vd: Tuyển nhân viên kế toán không được phép yêu cầu họ cung cấp lịch sử truy cập web cá nhân hay tôn giáo).
    • Hạn chế lưu trữ (Storage Limitation): Dữ liệu không được lưu vĩnh viễn. Khi mục đích đã hoàn thành (vd: nhân viên nghỉ việc và hết thời hạn lưu trữ theo luật Kế toán), dữ liệu phải được hủy bỏ an toàn.

    3. Bốn Trụ Cột Pháp Lý Trong Xử Lý Dữ Liệu Nhân Sự

    Để tránh các rủi ro về xử phạt và kiện tụng, doanh nghiệp cần xây dựng hệ thống quản trị nhân sự dựa trên 4 trụ cột pháp lý vững chắc sau.

    Trụ cột 1: Căn cứ pháp lý để xử lý dữ liệu (Legal Basis)

    Nhiều doanh nghiệp lầm tưởng rằng "Hợp đồng lao động" là tấm kim bài miễn tử, cho phép HR tự do thu thập mọi thông tin. Thực tế, PDPL yêu cầu khắt khe hơn:

    • Sự đồng ý (Consent) là vua: Phải có văn bản hoặc biểu mẫu điện tử xác thực sự đồng ý tự nguyện, cụ thể. Nhân viên phải biết rõ công ty lưu cái gì, lưu ở đâu, trong bao lâu và chuyển cho ai.
    • Các ngoại lệ không cần đồng ý: Doanh nghiệp chỉ được phép xử lý dữ liệu mà không cần hỏi ý kiến trong các trường hợp hãn hữu:
      • Thực hiện nghĩa vụ theo luật định (như đóng Thuế, BHXH, Công đoàn).
      • Bảo vệ tính mạng, sức khỏe khẩn cấp (vd: cung cấp nhóm máu cho bệnh viện khi nhân viên bị tai nạn lao động).
      • Phục vụ yêu cầu điều tra của cơ quan nhà nước có thẩm quyền.

    Trụ cột 2: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA/TIA)

    Đánh giá tác động (Data Protection Impact Assessment - DPIA) là nghĩa vụ pháp lý nặng nề và bắt buộc đối với mọi doanh nghiệp.

    • Lập và lưu giữ: Doanh nghiệp phải lập DPIA ngay từ thời điểm bắt đầu xử lý dữ liệu.
    • Báo cáo cơ quan chức năng: Phải gửi 01 bản chính hồ sơ DPIA về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) - Bộ Công an trong vòng 60 ngày. (Nguồn tham khảo: Cổng TTĐT Bộ Công an).
    • Nội dung: Hồ sơ phải mô tả chi tiết loại dữ liệu thu thập, mục đích, quy trình lưu trữ, và quan trọng nhất là các phương án kỹ thuật để chống hacker, chống nội gián đánh cắp dữ liệu.

    Trụ cột 3: Quản trị nghiêm ngặt "Dữ liệu nhạy cảm"

    Dữ liệu nhạy cảm yêu cầu một lớp rào chắn thứ hai.

    • Sự đồng ý tách biệt: Việc nhân viên ký Hợp đồng lao động không đồng nghĩa với việc họ cho phép công ty lấy vân tay. Cần có một form đồng ý riêng biệt, nhấn mạnh rõ việc thu thập dữ liệu sinh trắc học chỉ dùng để chấm công.
    • Chỉ định nhân sự (DPO): Các doanh nghiệp (đặc biệt là quy mô lớn) bắt buộc phải bổ nhiệm Nhân viên Bảo vệ Dữ liệu (Data Protection Officer - DPO) và báo cáo thông tin liên lạc của DPO cho Bộ Công an.

    Trụ cột 4: Chuyển dữ liệu ra nước ngoài (Cross-border Transfer)

    Nếu công ty bạn là doanh nghiệp FDI hoặc sử dụng phần mềm nhân sự đám mây (SaaS) có máy chủ đặt tại nước ngoài (như Workday, SAP, Oracle, Zoho):

    • Phải lập thêm một hồ sơ Đánh giá tác động chuyển dữ liệu ra nước ngoài.
    • Công ty mẹ ở nước ngoài có thể là đơn vị lưu trữ, nhưng pháp nhân tại Việt Nam vẫn phải chịu trách nhiệm pháp lý cao nhất nếu rò rỉ xảy ra đối với công dân Việt Nam.

    4. Rủi Ro Xử Phạt Và Hậu Quả Của Việc Vi Phạm PDPL

    Luật mới không chỉ mang tính răn đe trên giấy. Các chế tài được thiết kế để "đánh mạnh vào túi tiền" của những tổ chức lơ là bảo mật.

    4.1. Mức phạt hành chính khổng lồ

    • Vi phạm quy định mua bán, lộ lọt dữ liệu: Phạt tiền có thể lên tới 10 lần doanh thu vi phạm hoặc mức phạt cố định lên đến 3 tỷ đồng tùy tính chất.
    • Vi phạm chuyển dữ liệu xuyên biên giới trái phép: Mức phạt có thể chạm ngưỡng 5% tổng doanh thu năm tài chính trước đó của doanh nghiệp. (Số liệu tham khảo từ các dự thảo chế tài xử phạt liên quan).
    • Các lỗi như không lập hồ sơ DPIA, không thông báo khi bị tấn công mạng (trong 72 giờ) cũng phải đối mặt với mức phạt hàng trăm triệu đồng.

    4.2. Những sai lầm "chết người" thường ngày của HR

    Nhiều HR vi phạm PDPL mỗi ngày mà không hề hay biết thông qua các thói quen:

    • Chia sẻ nội bộ bừa bãi: Chụp ảnh danh sách lương, số điện thoại, tài khoản ngân hàng của toàn công ty và gửi vào nhóm chat Zalo/Skype chung mà không có mật khẩu.
    • Sử dụng CV cũ không xin phép: Lấy CV của ứng viên nộp từ 2 năm trước đưa cho một đối tác khác xem xét tuyển dụng.
    • Ký hợp đồng Outsource thiếu chặt chẽ: Thuê một bên thứ ba tổ chức Teambuilding hoặc làm dịch vụ tính lương (Payroll) và gửi toàn bộ data nhân sự cho họ nhưng không có điều khoản "Cam kết bảo mật dữ liệu" (NDA & Data Processing Agreement).

    5. Giải Quyết Bài Toán Khó: Lưu Trữ Hay Xóa Bỏ?

    Đứng trước các quy định khắt khe, HR cần có chiến lược phân loại và xử lý từng nhóm hồ sơ cụ thể.

    5.1. Quản trị hồ sơ ứng viên không trúng tuyển (Talent Pool)

    Nhiều công ty có thói quen gom hàng chục ngàn CV thành "kho dữ liệu ứng viên" để dùng dần. Tuy nhiên, khi ứng viên gửi CV cho vị trí "Nhân viên Marketing", mục đích chỉ giới hạn ở đợt tuyển dụng đó. Kết thúc đợt tuyển, nếu không được nhận, mục đích đã hoàn thành và CV đó phải bị xóa.

    • Cách làm đúng luật: Bạn muốn giữ CV? Hãy thiết kế lại Form ứng tuyển. Thêm một ô tick (không được chọn sẵn - unchecked): "Tôi đồng ý để Công ty lưu trữ hồ sơ trong vòng 12 tháng nhằm mục đích xem xét cho các vị trí phù hợp trong tương lai."
    • Trong thư từ chối (Rejection Email): Lồng ghép nội dung: "Chúng tôi mong muốn lưu giữ thông tin của bạn trong 6 tháng để kết nối khi có cơ hội. Nếu bạn không đồng ý, chúng tôi sẽ tiến hành xóa hồ sơ của bạn trong vòng 72 giờ."

    5.2. Hồ sơ nhân viên đã nghỉ việc và sự xung đột pháp luật

    Khi một nhân sự nghỉ việc và yêu cầu thực hiện "Quyền được lãng quên" (xóa toàn bộ dữ liệu). HR phải làm sao?

    Đây là điểm giao thoa giữa PDPL, Luật Lao động và Luật Kế toán.

    • Dữ liệu KHÔNG ĐƯỢC XÓA (Phải lưu trữ): Các chứng từ liên quan đến quyết toán thuế, bảo hiểm xã hội, hợp đồng lao động, bảng lương gốc. Theo Luật Kế toán, các tài liệu này thường phải lưu trữ từ 5 - 10 năm để phục vụ thanh tra. HR có quyền từ chối yêu cầu xóa của nhân viên đối với nhóm dữ liệu này dựa trên căn cứ "Thực hiện nghĩa vụ pháp luật".
    • Dữ liệu PHẢI XÓA: Các thông tin không còn giá trị pháp lý sau khi nghỉ việc như: dấu vân tay chấm công, hình ảnh cá nhân lưu trên hệ thống nội bộ, sơ yếu lý lịch tự thuật, kết quả khám sức khỏe định kỳ. Nhóm này cần được xóa bỏ định kỳ.

    6. Lộ Trình 5 Bước Chuẩn Hóa Lưu Trữ Hồ Sơ Nhân Sự Chuẩn PDPL

    Nhằm hỗ trợ các chủ doanh nghiệp và Giám đốc Nhân sự (CHRO) triển khai nhanh chóng, ALTAS Law đề xuất lộ trình 5 bước thực tiễn sau:

    Lộ trình 3 bước thu thập, lưu trữ và xóa dữ liệu nhân sự theo Nghị định 13.

    Bước 1: Kiểm kê và lập bản đồ dữ liệu (Data Mapping & Inventory)

    Không thể bảo vệ thứ mà bạn không biết mình đang có. Bộ phận HR cần phối hợp cùng IT để rà soát toàn bộ:

    • Đang giữ giấy tờ gì trong tủ khóa?
    • Đang lưu file gì trên Google Drive, OneDrive cá nhân của nhân viên tuyển dụng?
    • Hệ thống phần mềm đang ghi nhận những thông tin gì?
      Lập một danh mục chi tiết xác định luồng dữ liệu đi từ đâu, ai tiếp cận, và lưu ở đâu.

    Bước 2: Thiết lập Chính sách lưu trữ dữ liệu (Retention Policy)

    Ban hành một văn bản nội bộ quy định thời hạn "tuổi thọ" của từng loại giấy tờ.

    • Ví dụ: CV ứng viên trượt: Lưu tối đa 6 tháng. Bản sao CMND nhân viên nghỉ việc: Hủy sau 1 năm. Bảng lương gốc: Lưu 10 năm.
      Cứ đến hạn, hệ thống hoặc nhân sự phụ trách phải tiến hành tiêu hủy.

    Bước 3: Chuẩn hóa hệ thống văn bản đồng ý (Consent Forms)

    Rà soát và cập nhật toàn bộ hệ thống biểu mẫu của phòng nhân sự.

    • Bổ sung Phụ lục Bảo mật dữ liệu vào Hợp đồng lao động hiện tại.
    • Xây dựng "Thông báo quyền riêng tư" (Privacy Notice) rõ ràng dành cho người lao động.
    • Tạo form xin phép thu thập dữ liệu sinh trắc học riêng biệt.

    Bước 4: Áp dụng biện pháp kỹ thuật và tiêu hủy an toàn

    • Đối với hồ sơ giấy: Phải lưu trong tủ có khóa. Phân quyền rõ ràng (chỉ C&B hoặc HR Manager mới có chìa khóa). Khi tiêu hủy phải dùng máy cắt giấy vụn, tuyệt đối không ném nguyên vẹn ra bãi rác.
    • Đối với hồ sơ số: Phân quyền truy cập (Decentralization). HR mảng đào tạo không được quyền xem bảng lương. Áp dụng mã hóa cho các file chứa dữ liệu nhạy cảm. Hệ thống phải có Log (nhật ký) ghi lại ai đã tải, sửa file. Xóa dữ liệu số bằng phần mềm ghi đè để không thể khôi phục.

    Bước 5: Đào tạo nhận thức nội bộ (Internal Training)

    Công nghệ tốt đến mấy cũng vô dụng nếu con người thiếu nhận thức. Việc đào tạo định kỳ cho đội ngũ HR và quản lý cấp trung là bắt buộc. Mọi nhân sự cần hiểu rằng: Để lộ CV ứng viên trên bàn làm việc hay gửi danh sách lương qua Zalo không mã hóa là vi phạm kỷ luật lao động và vi phạm pháp luật nghiêm trọng.

    7. ALTAS Corp – Đối Tác Pháp Lý Đồng Hành Cùng Doanh Nghiệp Trong Kỷ Nguyên Số

    Việc tuân thủ PDPL 2026 không chỉ là câu chuyện đối phó với các án phạt, mà là cơ hội để doanh nghiệp dọn dẹp hệ thống, tối ưu hóa quy trình vận hành và xây dựng uy tín thương hiệu nhà tuyển dụng vững chắc. Một tổ chức tôn trọng dữ liệu của nhân sự sẽ thu hút được những nhân tài xuất sắc nhất.

    Dịch vụ tư vấn tuân thủ pháp luật và bảo vệ dữ liệu cá nhân Altas Law.

    Với kinh nghiệm tư vấn pháp lý doanh nghiệp chuyên sâu, ALTAS Law (thuộc ALTAS Corp) cung cấp gói giải pháp "Legal Compliance & Data Protection" được thiết kế may đo cho từng doanh nghiệp:

    • Audit Hệ thống: Rà soát, đánh giá toàn diện mức độ tuân thủ PDPL hiện tại của bộ phận HR và toàn bộ công ty.
    • Soạn thảo Văn bản: Xây dựng trọn bộ quy trình, biểu mẫu đồng ý, Nội quy lao động, NDA chuẩn pháp lý.
    • Thực hiện Hồ sơ DPIA: Đại diện doanh nghiệp lập và nộp Hồ sơ đánh giá tác động xử lý dữ liệu lên Cục An ninh mạng (Bộ Công an).
    • Tư vấn Giải pháp: Phối hợp cùng đối tác công nghệ để thiết lập hệ thống phân quyền, lưu trữ và xóa dữ liệu tự động, an toàn.

    Đừng đợi đến khi rò rỉ dữ liệu hoặc nhận trát phạt từ cơ quan chức năng mới bắt đầu hành động. Hãy chủ động xây dựng hàng rào pháp lý bảo vệ tài sản lớn nhất của doanh nghiệp: Dữ liệu con người.

    VP TP. HCM: Tầng 5, số 37 Ký Con, Phường Nguyễn Thái Bình, Quận 1.

    VP Hà Nội: Tầng 12, Tòa Mipec Tower, 229 Tây Sơn, Q. Đống Đa.

    VP Bắc Ninh: Tầng 4, Tòa Dương Tuấn, số 09 Lê Thái Tổ, P. Võ Cường.

    Website: altas.vn

    Email: contact@altas.vn

    Phone: +8428 6270 9600      | Hotline: +84 916 923 235

    (Chịu trách nhiệm nội dung: Trưởng nhóm Marketing tại ALTAS Corp – Trần Tú Văn)

     

    Liên hệ để được tư vấn

    Đăng ký ngay

    Về ALTAS

    VP TP. HCM: Tầng 5, số 37 Ký Con, Phường Nguyễn Thái Bình, Quận 1.

    VP Hà Nội: Tầng 12, Tòa Mipec Tower, 229 Tây Sơn, Q. Đống Đa.

    VP Bắc Ninh: Tầng 4, Tòa Dương Tuấn, số 09 Lê Thái Tổ, P. Võ Cường.

    Website: altas.vn

    Email: contact@altas.vn

    Phone: +8428 6270 9600      | Hotline: +84 916 923 235

     

    Chính sách

    © Copyright ALTAS CORP . All rights reserved
    Zalo
    Hotline