Doanh nghiệp có bắt buộc phải xoá toàn bộ dữ liệu của người lao động khi chấm dứt hợp đồng lao động không?

Từ ngày 01/01/2026, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 bắt đầu có hiệu lực, đã đánh dấu một bước ngoặt mới cho quyền được bảo vệ dữ liệu cá nhân, quyền riêng tư tại Việt Nam, đồng thời thay đổi cách doanh nghiệp quản lý dữ liệu và nâng cao nhận thức của chủ thể dữ liệu về bảo vệ thông tin cá nhân. So với các quy định tại Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, Luật Bảo vệ dữ liệu cá nhân đã chuyển từ việc “ghi nhận quyền” sang cơ chế thực thi quyền có trách nhiệm. Sau đây, hãy cùng chúng tôi điểm qua những quy định hiện hành tại Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành luật bảo vệ dữ liệu cá nhân.

Một vấn đề mà các doanh nghiệp đặt nhiều sự quan tâm khi Luật Bảo vệ dữ liệu cá nhân năm 2025 có hiệu lực là quy định về việc doanh nghiệp phải xoá, huỷ dữ liệu của người lao động khi chấm dứt hợp đồng.

Cụ thể, điểm c khoản 2 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025 quy định: “Trách nhiệm bảo vệ dữ liệu cá nhân của tổ chức trong quản lý, sử dụng người lao động được quy định như sau: c) Phải xoá, huỷ dữ liệu cá nhân của người lao động khi chấm dửt hợp đồng, trừ trường hợp theo thoả thuận hoặc pháp luật có quy định khác.”

Có thể thấy, doanh nghiệp phải xoá dữ liệu cá nhân của người lao động đã nghỉ việc, nhưng không phải xoá toàn bộ dữ liệu. Mục tiêu của quy định này là để bảo vệ quyền đối với thông tin của người lao động, ngăn chặn việc dữ liệu bị lạm dụng, rò rỉ hoặc sử dụng sai mục đích. Bởi nếu thông tin của một nhân viên cũ bị rò rỉ, doanh nghiệp có thể bị nghi ngờ về việc buôn bán thông tin người lao động, đồng thời phải đối mặt với thiệt hại về uy tín trước đối tác và thị trường.

Tuy nhiên, doanh nghiệp cũng cần hiểu rằng: việc xoá dữ liệu bắt buộc với những thông tin không còn mục đích xử lý, không thuộc diện phải lưu trữ theo quy định của pháp luật khác và không cần tiếp tục sử dụng cho việc bảo vệ quyền và lợi ích hợp pháp của doanh nghiệp. Doanh nghiệp cần nắm rõ phạm vi dữ liệu phải xoá và trong những trường hợp nào doanh nghiệp có quyền từ chối yêu cầu xoá dữ liệu cá nhân của người lao động.

Thứ nhất, đối với những hồ sơ, tài liệu kế toán cần được lưu trữ. Cụ thể, những hồ sơ mang dữ liệu cá nhân nằm trong tài liệu kế toán như: hồ sơ nhân sự cơ bản, hợp đồng lao động, bảng lương, phiếu lương, thưởng, phụ cấp, … cần phải được lưu trữ theo quy định của pháp luật kế toán – thuế. Về thời hạn lưu trữ những tài liệu này: ít nhất 05 năm đối với tài liệu không trực tiếp để ghi sổ kế toán và lập báo cáo tài chính và ít nhất 10 năm đối với chứng từ kế toán sử dụng trực tiếp để ghi sổ kế toán và lập báo cáo tài chính.

Thứ hai, đối với hồ sơ bảo hiểm xã hội. Luật Bảo hiểm xã hội năm 2024 quy định về trách nhiệm của người sử dụng lao động phải xuất trình, cung cấp đầy đủ, chính xác, kịp thời thông tin, tài liệu liên quan đến việc đóng, hưởng bảo hiểm xã hội theo yêu cầu của cơ quan nhà nước có thẩm quyền. Việc lưu trữ thông tin về bảo hiểm xã hội giúp doanh nghiệp dễ dàng đối chiếu, chốt sổ BHXH, giải quyết các tranh chấp lao động, tranh chấp về thời gian đóng BHXH, tránh các rủi ro khi bị thanh tra lao động.

Thứ ba, đối với các hồ sơ lao động khác. Theo quy định của Bộ luật Lao động năm 2019, thời hiệu yêu cầu Toà án giải quyết tranh chấp lao động cá nhân là 01 năm  kể từ ngày phát hiện ra hành vi mà bên tranh chấp cho rằng quyền và lợi ích hợp pháp của mình bị vi phạm. Như vậy, ngoài hồ sơ kế toán – thuế, hồ sơ BHXH, doanh nghiệp cần lưu trữ hồ sơ của người lao động trong quá trình làm việc ít nhất 01 năm kể từ thời điểm chấm dứt HĐLĐ.

Nghị định 356/2025/NĐ-CP cũng quy định doanh nghiệp có nghĩa vụ:

* Phản hồi yêu cầu xoá dữ liệu cá nhân trong thời hạn 02 ngày làm việc, cung cấp đầy đủ cho người lao động về thủ tục xoá, và

* Thực hiện xoá trong thời hạn 20 ngày. Trong trường hợp cần yêu cầu bên thứ ba cung cấp, xoá, hạn chế xử lý dữ liệu thì thực hiện trong thời hạn 30 ngày.

Như vậy, khi chấm dứt Hợp đồng lao động với người lao động, doanh nghiệp nên phổ biến đầy đủ đến người lao động về phạm vi lưu trữ dữ liệu cá nhân của người lao động, mục đích sử dụng, đồng thời cần xây dựng hệ thống thông tin dữ liệu nhân sự thành nhiều tầng, được bóc tách rõ ràng, đảm bảo có thể phân tách nhóm thông tin nhanh chóng, phục vụ việc xoá, tiêu huỷ dữ liệu cá nhân không được phép lưu trữ hoặc khi có yêu cầu xoá phù hợp với quy định về thời hạn trong quy định mới. Đồng thời, trong trường hợp doanh nghiệp mong muốn được tiếp tục lưu trữ và sử dụng thông tin của người lao động ngay cả sau khi họ đã nghỉ việc, doanh nghiệp cần lập thoả thuận rõ ràng với người lao động, nêu rõ mục đích, phạm vi sử dụng và thời gian lưu trữ.

Quy định mới về bảo vệ dữ liệu cá nhân đã đặt ra yêu cầu về thay đổi cách tư duy lưu trữ và quản trị thông tin của doanh nghiệp từ thói quen “lưu trữ mặc định” sang “lưu trữ có chủ đích”. Việc doanh nghiệp nhanh chóng rà soát lại hệ thống con người – quy trình – công nghệ, xây dựng một quy trình xử lý dữ liệu minh bạch là một lựa chọn thiết thực, là một cách khẳng định văn hoá quản trị chuyên nghiệp, an toàn, đảm bảo bộ máy hoạt động đồng bộ, nhanh chóng và không gián đoạn.