Giải quyết xung đột pháp luật trong quan hệ lao động hiện đại
(Luật sư Nguyễn Hữu Phước – Công ty luật Phuoc & Partners)
Từ ngày 01/01/2026, doanh nghiệp (DN) bước vào thời kỳ pháp lý mới khi Luật Bảo vệ dữ liệu cá nhân (DLCN) có hiệu lực và thay thế cơ chế vận hành cũ dựa theo Nghị định 13. Trong bối cảnh sản xuất và kinh doanh ngày càng số hóa, mọi hoạt động quản lý nhân sự đều gắn chặt với DLCN của người lao động (NLĐ). Khi DLCN trở thành trung tâm của vận hành, các quy định của Bộ luật Lao động (BLLĐ), Luật Bảo vệ DLCN và Luật Sở hữu trí tuệ (SHTT) bắt đầu giao thoa mạnh mẽ và thường xuyên tạo ra va chạm.
Theo BLLĐ[1], DN được trao quyền tuyển dụng, bố trí, quản lý, điều hành và giám sát NLĐ, đồng thời có quyền khen thưởng và xử lý kỷ luật nhưng phải tôn trọng danh dự, nhân phẩm của NLĐ. Cũng theo BLLĐ[2], quy định thời giờ làm việc tối đa 8 giờ/ngày và yêu cầu DN thông báo khi sắp xếp giờ làm. Luật này cũng[3]quy định rõ nguyên tắc xử lý kỷ luật theo hướng DN phải chứng minh được lỗi của NLĐ, tổ chức họp với thành phần tham dự bắt buộc, lập biên bản và bảo đảm quyền tự bào chữa của NLĐ. Những quy định này khiến DN phải thu thập và sử dụng dữ liệu để chứng minh hành vi vi phạm nhưng phải bảo đảm tính hợp pháp của dữ liệu ấy.
Luật Bảo vệ DLCN bước vào bức tranh này với phạm vi điều chỉnh rộng hơn. Luật này[4] quy định áp dụng cho mọi tổ chức, cá nhân xử lý DLCN tại Việt Nam, kể cả tổ chức nước ngoài. luật này [5]cũng xác lập quyền của chủ thể dữ liệu gồm quyền được biết, đồng ý hoặc từ chối; quyền rút lại sự đồng ý; quyền truy cập, chỉnh sửa, xóa hoặc hạn chế xử lý dữ liệu. Ngoài ra, luật này[6] cũng quy định các hành vi bị cấm như xử lý DLCN trái luật, làm lộ, chiếm đoạt dữ liệu, bán DLCN. Như vậy, dữ liệu lao động, vốn là nền tảng cho quản lý DN, nay trở thành đối tượng pháp lý độc lập, khiến mọi hành vi thu thập và sử dụng phải có cơ sở pháp lý rõ ràng.
Trong khi hai luật trên tập trung vào NLĐ và DLCN của họ, Luật SHTT lại điều chỉnh một mảng khác là tài sản trí tuệ được tạo ra từ hoạt động sáng tạo, nghiên cứu hoặc thực hiện nhiệm vụ được giao trong DN. Luật SHTT[7] liệt kê các loại hình tác phẩm được bảo hộ, trong đó có quy định rõ “chương trình máy tính, sưu tập dữ liệu” cũng được bảo hộ quyền tác giả. Luật này[8] cũng xác định chương trình máy tính được bảo hộ như tác phẩm văn học, “dù được thể hiện dưới dạng mã nguồn hay mã máy”, và sưu tập dữ liệu được bảo hộ ở sự sáng tạo trong tuyển chọn, sắp xếp tư liệu. Hơn nữa, luật này[9] cũng quy định quyền nhân thân của tác giả như quyền đặt tên, đứng tên và bảo vệ sự toàn vẹn tác phẩm. Ngoài ra, luật này[10] cũng xác lập các quyền tài sản như quyền sao chép, phân phối, phát sóng và cho thuê bản sao chương trình máy tính. Không dừng ở đó, luật này[11] cũng quy định bí mật kinh doanh được bảo hộ nếu không phải hiểu biết thông thường, tạo ra lợi thế cạnh tranh và được chủ sở hữu áp dụng biện pháp bảo mật cần thiết. Quan trọng hơn hết, luật này[12] còn quy định bí mật kinh doanh mà NLĐ có được khi thực hiện nhiệm vụ “thuộc quyền sở hữu của bên thuê hoặc bên giao việc”, trừ trường hợp có thỏa thuận khác.
Chính sự khác biệt về mục tiêu bảo vệ của ba luật trên khiến DN gặp xung đột trong thực tiễn. Camera giám sát là ví dụ điển hình. DN lắp camera để bảo vệ tài sản, phòng tránh rủi ro an ninh và theo dõi tuân thủ nội quy lao động, một loại quyền được BLLĐ cho phép. Nhưng mỗi hình ảnh thu được là DLCN của NLĐ và vì thế NLĐ có quyền được biết theo Luật Bảo vệ DLCN. DN phải thông báo mục đích, thời hạn lưu trữ, phạm vi sử dụng, và chỉ xử lý trong các mục đích đã nêu. Đồng thời, góc quay camera có thể ghi lại quy trình sản xuất, mã hàng, quy trình bảo mật hoặc thiết bị độc quyền vốn là bí mật kinh doanh theo Luật SHTT. Do đó, camera phải được quản lý như công cụ vừa giám sát NLĐ, vừa bảo vệ DLCN, vừa bảo vệ tài sản trí tuệ.
Tình huống tương tự cũng xảy ra khi DN sử dụng phần mềm trí tuệ nhân tạo (AI) trong tuyển dụng hoặc đánh giá nhân sự. Dữ liệu giọng nói, hình ảnh, cử chỉ được AI phân tích đều là DLCN. Người nộp hồ sơ có quyền được biết và phản đối theo Luật Bảo vệ DLCN. Còn BLLĐ thì cấm phân biệt đối xử trong tuyển dụng. Trong khi đó, bản thân mô hình AI và bộ dữ liệu huấn luyện có thể là chương trình máy tính hoặc sưu tập dữ liệu được bảo hộ theo Luật SHTT [13]. DN có trách nhiệm bảo vệ mô hình AI như là tài sản trí tuệ, nhưng đồng thời phải minh bạch về cách AI xử lý dữ liệu ứng viên. Hai yêu cầu này thường mâu thuẫn nhau theo cách DN ngại công bố quá mức thông tin nội bộ sợ lộ bí mật kinh doanh, nhưng nếu không minh bạch thì vi phạm Luật Bảo vệ DLCN.
Với chấm công sinh trắc học, rủi ro pháp lý càng rõ. Dữ liệu vân tay hoặc khuôn mặt là DLCN nhạy cảm và NLĐ có quyền từ chối và rút lại sự đồng ý. Nếu họ rút lại đồng ý, DN phải cung cấp phương thức chấm công thay thế. BLLĐ yêu cầu DN quản lý thời giờ làm việc chính xác trong khi Luật Bảo vệ DLCN buộc việc xử lý dữ liệu sinh trắc phải có cơ sở pháp lý và biện pháp bảo vệ mạnh. Nếu tiếp tục sử dụng dữ liệu sinh trắc học sau khi NLĐ từ chối, DN có thể vi phạm cả hai luật.
Với quyền SHTT, xung đột còn tinh vi hơn. Khi NLĐ tạo ra phần mềm, báo cáo, bản thiết kế hoặc cơ sở dữ liệu trong quá trình thực hiện công việc, sản phẩm ấy được bảo hộ quyền tác giả của NLĐ hoặc thuộc về DN và quy định về bí mật kinh doanh theo Luật SHTT. Tuy nhiên, khi NLĐ nghỉ việc và yêu cầu mang theo sản phẩm ấy, DN phải tách rời nội dung có chứa DLCN của khách hàng hoặc của những NLĐ khác trước khi cho phép mang đi. Luật Bảo vệ DLCN áp dụng cho DLCN, còn Luật SHTT áp dụng cho sản phẩm trí tuệ. Hai lớp pháp lý này chồng lên nhau trong cùng một sản phẩm, buộc DN phải tổ chức lại cách quản trị thông tin.
Trong xử lý kỷ luật lao động, sự tương tác ba luật lại diễn ra một cách trực diện. Dữ liệu chấm công, camera, log hệ thống và email công vụ là chứng cứ phổ biến để chứng minh lỗi của NLĐ theo BLLĐ. Nhưng nếu chứng cứ được thu thập không đúng nguyên tắc minh bạch của Luật Bảo vệ DLCN, như không thông báo cho NLĐ, sử dụng ngoài mục đích ban đầu, hoặc lưu trữ quá lâu, thì chứng cứ ấy trở nên bất hợp pháp. Một chứng cứ không hợp pháp sẽ không thể làm căn cứ xử lý kỷ luật và điều này buộc DN phải cẩn trọng ngay từ giai đoạn thu thập.
Vấn đề chuyển DLCN ra nước ngoài cũng là mối quan tâm lớn. Nhiều DN FDI chuyển dữ liệu nhân sự về hệ thống toàn cầu. Luật Bảo vệ DLCN yêu cầu DN phải đánh giá tác động, có biện pháp bảo mật, và tuân thủ hướng dẫn chi tiết của Chính phủ về chuyển dữ liệu xuyên biên giới. Bên cạnh đó, nhiều dữ liệu được chuyển đi không chỉ là dữ liệu nhân sự mà còn chứa bí mật kinh doanh và DN phải áp dụng biện pháp cần thiết để bảo vệ theo Luật SHTT. Nếu dữ liệu vừa chứa DLCN vừa chứa bí mật kinh doanh, DN phải vừa bảo vệ DLCN theo Luật Bảo vệ DLCN và vừa bảo vệ tài sản của mình theo Luật SHTT.
Để xử lý những xung đột này, DN cần thay đổi cách tiếp cận quản trị theo hướng tích hợp ba luật. Đầu tiên, DN cần thiết lập bản đồ dữ liệu để xác định loại dữ liệu, chủ thể, mục đích và cơ sở pháp lý xử lý. Chỉ khi hiểu rõ toàn bộ vòng đời dữ liệu, DN mới có thể gắn từng loại dữ liệu với yêu cầu cụ thể của từng luật. Tiếp theo, DN phải tái cấu trúc hệ thống hợp đồng lao động, nội quy lao động và thỏa thuận bảo mật, bảo đảm chúng phù hợp với Luật Bảo vệ DLCN và Luật SHTT. Nội quy lao động phải mô tả rõ công nghệ giám sát và mục đích sử dụng. Hợp đồng lao động phải ghi nhận cơ sở pháp lý cho việc xử lý DLCN trong hoạt động quản lý nhân sự. Thỏa thuận bảo mật phải xác định rõ quyền sở hữu của DN đối với chương trình máy tính, cơ sở dữ liệu hoặc bí mật kinh doanh do NLĐ tạo ra theo Luật SHTT.
Một bước quan trọng khác là thiết lập quy trình đánh giá tác động xử lý dữ liệu cho các hệ thống có rủi ro cao như camera AI, hệ thống đánh giá KPI tự động hoặc phần mềm nhân sự tích hợp dữ liệu nhạy cảm. Mặc dù Luật Bảo vệ DLCN đang chờ văn bản hướng dẫn, DN nên chủ động xây dựng mẫu đánh giá tác động để chứng minh tuân thủ. Việc đào tạo nội bộ đóng vai trò trọng yếu. Theo đó, NLĐ cần được thông báo rõ về DLCN nào được thu thập, vì sao, lưu bao lâu và quyền của họ. Cấp quản lý cần hiểu ranh giới giữa quyền giám sát theo BLLĐ và nghĩa vụ bảo vệ dữ liệu theo Luật Bảo vệ DLCN. Các nhóm chức năng nhân sự, IT, pháp chế và an ninh mạng phải làm việc chung khi triển khai công nghệ mới.
Khi ba luật được tích hợp vào chung một hệ thống quản trị dữ liệu, DN vừa bảo vệ được quyền của NLĐ, vừa bảo vệ được tài sản trí tuệ, vừa tránh được rủi ro pháp lý trong quá trình vận hành. Có thể nói, DLCN, NLĐ và tài sản trí tuệ không còn là ba mảnh ghép rời rạc mà trở thành một cấu trúc pháp lý thống nhất. Việc hiểu và vận dụng đúng ba lớp luật này là điều kiện để DN vận hành minh bạch, an toàn và ổn định hơn trong kỷ nguyên số hóa toàn diện.
Bài viết này của tôi được viết trên cơ sở dựa trên những kiến thức pháp luật mà tôi đã được học cũng như những kinh nghiệm chuyên môn trong nhiều năm qua. Nếu bạn thấy những thông tin chia sẻ của tôi ở trên là hữu ích, xin hãy ủng hộ tôi bằng một cú click chuột vào website này nhé www.phuoc-partner.com. Cám ơn bạn rất nhiều.
[1] Khoản 1 và 2 Điều 6 BLLĐ
[2] Điều 105 BLLĐ
[3] Điều 122 BLLĐ
[4] Điều 1 Luật Bảo vệ DLCN
[5] Điều 4 Luật Bảo vệ DLCN
[6] Điều 7 Luật Bảo vệ DLCN
[7] Điều 14 Luật SHTT
[8] Điều 22 Luật SHTT
[9] Điều 19 Luật SHTT
[10] Điều 20 Luật SHTT
[11] Điều 84 Luật SHTT
[12] Khoản 3 Điều 121 Luật SHTT
[13] Điều 14 và Điều 22 Luật SHTT
