Trong thời đại số hóa và sự phát triển mạnh mẽ của luật pháp về bảo vệ dữ liệu, quyền riêng tư của người lao động đang trở thành một chủ đề nóng bỏng hơn bao giờ hết. Vụ việc NovaGroup (Tập đoàn mẹ của Novaland Group) gây tranh cãi gay gắt trên mạng xã hội và trong cộng đồng nhân sự khi công khai danh sách hơn 420 nhân sự thuộc diện “không tái tuyển dụng” là một hồi chuông cảnh tỉnh cho các doanh nghiệp.
Hành động này không chỉ dấy lên làn sóng phẫn nộ về đạo đức nghề nghiệp mà còn đặt ra những dấu hỏi lớn về tính hợp pháp dựa trên Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
Toàn cảnh sự việc NovaGroup công khai “Blacklist” nhân sự
Vừa qua, trên website tuyển dụng chính thức của NovaGroup đã xuất hiện một danh sách gồm hơn 420 nhân sự bị gắn mác “Không tái tuyển dụng”. Đáng chú ý, danh sách này phơi bày hàng loạt thông tin nhạy cảm của các cá nhân bao gồm: họ tên, chức danh từng đảm nhiệm, đơn vị công tác, số điện thoại và thông tin định danh (đã được che một phần).
Những người bị bêu tên trải dài ở nhiều cấp bậc khác nhau, từ các vị trí vận hành cơ bản như nhân viên phục vụ, bảo vệ, tài xế, cho đến các vị trí cấp cao như trưởng phòng, giám đốc vận hành tại các công ty thành viên.
Được biết, mục đích của NovaGroup khi đăng tải danh sách này là để tạo một kênh tham chiếu cho các nhà tuyển dụng khác khi cần xác minh lịch sử làm việc của ứng viên. Tuy nhiên, việc đưa một danh sách có tính chất “danh sách đen” (blacklist) lên môi trường internet công cộng đã vấp phải phản ứng dữ dội. Thực tế, nhiều doanh nghiệp lớn vẫn duy trì hệ thống lưu trữ nội bộ để đánh dấu những nhân sự vi phạm quy định hoặc không đáp ứng tiêu chuẩn, nhưng việc công khai nó ra bên ngoài lại là một vấn đề hoàn toàn khác.
Sau khi nhận được làn sóng phản đối từ cộng đồng, đường dẫn chứa danh sách này đã không còn truy cập được, nhưng phía NovaGroup vẫn chưa đưa ra bất kỳ thông báo chính thức nào về lý do đăng tải, việc gỡ bỏ hay hướng xử lý khắc phục hậu quả cho hơn 420 nhân sự bị ảnh hưởng.
Phân tích pháp lý: Hành vi công khai danh sách có vi phạm Nghị định 13/2023/NĐ-CP?
Để đánh giá hành vi của NovaGroup, chúng ta cần chiếu theo các quy định của Nghị định 13/2023/NĐ-CP (có hiệu lực từ 01/07/2023).
Dữ liệu bị công khai có phải là Dữ liệu cá nhân?
Theo quy định tại Nghị định 13, dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh… gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Trong đó, họ tên, nơi làm việc, số điện thoại, số chứng minh nhân dân/căn cước công dân đều được phân loại rõ ràng là Dữ liệu cá nhân cơ bản. Do đó, toàn bộ các thông tin mà NovaGroup đăng tải chắc chắn thuộc phạm vi điều chỉnh và bảo vệ nghiêm ngặt của pháp luật.
Nguyên tắc xử lý và sự đồng ý của chủ thể dữ liệu
Một trong những nguyên tắc tối thượng của Nghị định 13/2023/NĐ-CP là chủ thể dữ liệu phải được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình và dữ liệu chỉ được xử lý đúng với mục đích đã được đăng ký, tuyên bố. Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý.
Hơn thế nữa, mọi hoạt động xử lý dữ liệu (bao gồm cả việc công khai, chia sẻ) đều phải có sự đồng ý của chủ thể dữ liệu. Sự đồng ý này chỉ có hiệu lực khi người lao động hoàn toàn tự nguyện và biết rõ loại dữ liệu nào bị xử lý, mục đích xử lý, và tổ chức nào được phép xử lý.
Trong vụ việc của NovaGroup, rất khó có khả năng hơn 420 nhân sự này đã tự nguyện ký vào văn bản đồng ý cho phép công ty cũ được liệt kê tên mình lên website tuyển dụng công cộng dưới danh nghĩa “không tái tuyển dụng”. Việc xử lý dữ liệu mà không có sự đồng ý hợp pháp của chủ thể là hành vi vi phạm pháp luật nghiêm trọng.
Hệ lụy “Blacklist” và Quyền lợi của 420 người lao động
Việc công khai danh tính kèm theo chức danh và đơn vị công tác lên một trang web tuyển dụng công khai không chỉ xâm phạm quyền riêng tư mà còn tạo ra một “án tử” về mặt nghề nghiệp đối với người lao động. Trên các diễn đàn nghề nghiệp, sự lo ngại đã dâng cao vì danh sách này thực chất là một dạng “blacklist” công khai, có thể tước đi cơ hội tìm kiếm việc làm mới của hàng trăm con người một cách oan uổng và thiếu minh bạch.
Vậy dưới góc độ pháp lý, hơn 420 nhân sự này có những quyền hạn gì để tự vệ? Theo Điều 9 của Nghị định 13/2023/NĐ-CP, chủ thể dữ liệu có đầy đủ các quyền năng pháp lý vững chắc:
- Quyền được biết và Quyền đồng ý: Người lao động có quyền được biết và quyền đồng ý hoặc không đồng ý cho phép xử lý (công khai) dữ liệu của mình.
- Quyền rút lại sự đồng ý và Quyền xóa dữ liệu: Bất kỳ ai trong danh sách đều có quyền yêu cầu NovaGroup lập tức xóa bỏ dữ liệu cá nhân của mình khỏi website và các nền tảng chia sẻ khác. Việc xóa dữ liệu phải được thực hiện trong 72 giờ sau khi có yêu cầu.
- Quyền phản đối xử lý dữ liệu: Nhằm ngăn chặn hoặc hạn chế việc tiết lộ dữ liệu cá nhân ra công chúng.
- Quyền khiếu nại, tố cáo, khởi kiện: Người lao động có thể đưa vụ việc ra các cơ quan chức năng có thẩm quyền để yêu cầu xử lý.
- Quyền yêu cầu bồi thường thiệt hại: Nếu việc công khai danh sách này dẫn đến việc người lao động bị mất cơ hội việc làm, tổn hại danh dự, uy tín, họ hoàn toàn có quyền yêu cầu doanh nghiệp bồi thường thiệt hại theo quy định của pháp luật dân sự.
Trách nhiệm của Doanh nghiệp (Bên Kiểm soát dữ liệu)
Trong trường hợp này, NovaGroup đóng vai trò là Bên Kiểm soát dữ liệu cá nhân (tổ chức quyết định mục đích và phương tiện xử lý dữ liệu). Nghĩa vụ của họ được pháp luật quy định rất khắt khe:
- Phải bảo đảm các quyền của chủ thể dữ liệu và chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.
- Thông báo vi phạm: Nếu xảy ra sự cố vi phạm quy định bảo vệ dữ liệu, doanh nghiệp buộc phải thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm.
- Chịu chế tài xử phạt: Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, hoặc xử lý hình sự. Đặc biệt, Điều 8 của Nghị định nghiêm cấm các hành vi xử lý dữ liệu trái quy định, hoặc lợi dụng hoạt động bảo vệ dữ liệu để vi phạm pháp luật.
Bài học quản trị nhân sự và bảo vệ dữ liệu năm 2026
Sự cố của NovaGroup là một tiền lệ đáng báo động nhưng cũng là một bài học đắt giá cho toàn bộ thị trường lao động và giới doanh nghiệp trong năm 2026.
Thứ nhất, phân định ranh giới giữa quản lý nội bộ và công khai. Việc doanh nghiệp lập danh sách nhân sự vi phạm hoặc không đủ điều kiện tái tuyển dụng để phục vụ mục đích quản trị nội bộ là bình thường và cần thiết. Tuy nhiên, dữ liệu này tuyệt đối phải được bảo mật và lưu trữ nội bộ, không được phép chia sẻ cho bên thứ ba (như các nhà tuyển dụng khác) hay đưa lên không gian mạng công cộng nếu chưa có sự đồng ý bằng văn bản của chính người lao động.
Thứ hai, tuân thủ nghiêm ngặt quy trình xử lý dữ liệu cá nhân. Các doanh nghiệp cần xây dựng bộ phận chuyên trách về bảo vệ dữ liệu, thường xuyên đào tạo nâng cao nhận thức cho nhân viên phòng Nhân sự (HR). Bất kỳ một quy trình thu thập, lưu trữ, hay chia sẻ thông tin nhân viên nào cũng phải trải qua bước Đánh giá tác động xử lý dữ liệu cá nhân và được lập hồ sơ chặt chẽ.
Kết luận Danh sách hơn 420 nhân sự “không tái tuyển dụng” của NovaGroup không chỉ đơn thuần là một cuộc khủng hoảng truyền thông nội bộ, mà còn là một phép thử pháp lý lớn đối với chính sách quyền riêng tư và pháp luật bảo vệ dữ liệu tại Việt Nam.
Trong thời đại mà thông tin cá nhân là tài sản vô giá, sự tôn trọng quyền riêng tư của người lao động không chỉ là vấn đề đạo đức mà còn là giới hạn đỏ của pháp luật. Mọi doanh nghiệp cần thấu hiểu rằng, việc bảo vệ dữ liệu cá nhân là nghĩa vụ bắt buộc, và bất kỳ một sự tùy tiện nào cũng có thể phải trả giá bằng uy tín thương hiệu và các chế tài nghiêm khắc từ luật pháp.
Bài viết có sự tham khảo từ: https://cafef.vn/novagroup-gay-tranh-cai-vi-cong-khai-danh-sach-hon-420-nhan-su-khong-tai-tuyen-dung-188260612114652229.chn
Tham khảo thêm bài viết của chúng tôi: https://htllaw.com.vn/phap-luat-ve-nha-cho-thue-o-viet-nam-voi-quoc-te
