Quy định doanh nghiệp cần lưu ý trong tuyển dụng người lao động từ 1.1.2026

1. Bảo vệ dữ liệu cá nhân trong tuyển dụng và quản lý lao động

Điều 25 của Luật Bảo vệ dữ liệu cá nhân 2025 nêu rõ các yêu cầu và trách nhiệm cụ thể đối với cơ quan, tổ chức và cá nhân liên quan, như sau:

- Trách nhiệm trong tuyển dụng lao động:

Cơ quan, tổ chức, cá nhân chỉ được yêu cầu cung cấp thông tin phục vụ cho mục đích tuyển dụng, phù hợp với quy định của pháp luật. Thông tin này chỉ được sử dụng cho mục đích tuyển dụng và các mục đích khác theo thỏa thuận hợp pháp.

Thông tin cung cấp phải được xử lý theo quy định của pháp luật và cần có sự đồng ý của người dự tuyển.

Trong trường hợp không tuyển dụng, thông tin của người dự tuyển phải được xóa hoặc hủy, trừ khi có thỏa thuận khác với người dự tuyển.

- Trách nhiệm trong quản lý và sử dụng người lao động:

Cơ quan, tổ chức, cá nhân phải tuân thủ quy định của Luật Bảo vệ Dữ liệu, pháp luật về lao động, việc làm và các quy định pháp luật liên quan khác.
Dữ liệu cá nhân của người lao động phải được lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận.

Khi chấm dứt hợp đồng, dữ liệu cá nhân của người lao động phải được xóa hoặc hủy, trừ khi có thỏa thuận hoặc quy định pháp luật khác.

- Xử lý dữ liệu cá nhân bằng công nghệ trong quản lý lao động:

Chỉ được áp dụng các biện pháp công nghệ, kỹ thuật phù hợp với quy định của pháp luật, đảm bảo quyền và lợi ích của chủ thể dữ liệu cá nhân, và người lao động phải biết rõ về các biện pháp này.

Không được xử lý hoặc sử dụng dữ liệu cá nhân thu thập từ các biện pháp công nghệ, kỹ thuật trái quy định của pháp luật.

2. Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân từ 1.1.2026

Theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 thì việc xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân bao gồm:

(1) Tổ chức, cá nhân có hành vi vi phạm quy định của Luật Bảo vệ dữ liệu cá nhân 2025 và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

(2) Việc xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân thực hiện theo quy định tại các khoản 3, 4, 5, 6 và 7 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 và pháp luật về xử lý vi phạm hành chính.

(3) Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 thì áp dụng mức phạt tiền theo quy định tại khoản (5).

(4) Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản (5) thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025.

(5) Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 3 tỉ đồng.

(6) Mức phạt tiền tối đa quy định tại các khoản (3), (4) và (5) được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.

(7) Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

Xem bản gốc tại đây