Một công ty công khai trên website tuyển dụng danh sách hơn 400 người như Novaland dưới tiêu để “không tái tuyển dụng”, kèm các thông tin như họ tên đầy đủ, chức danh từng đảm nhiệm, 4 số cuối CCCD, 4 số cuối số điện thoại và tên đơn vị nơi từng làm việc.
Đáng chú ý, trang này còn có mục “liên hệ tham chiếu” với hotline và email, tạo cảm giác rằng bên thứ ba có thể liên hệ để xác minh hoặc tham khảo thông tin về những cá nhân trong danh sách. Về nguyên tắc, doanh nghiệp có thể duy trì danh sách “không tái tuyển dụng” như một công cụ quản trị rủi ro nhân sự nội bộ, nếu việc này có mục đích hợp pháp, phạm vi dữ liệu tối thiểu, thời hạn lưu trữ hợp lý, phân quyền truy cập nghiêm ngặt và cơ chế kiểm soát phù hợp.
Tuy nhiên, việc đưa một danh sách có chứa dữ liệu định danh của người lao động lên môi trường Internet - nơi bên thứ ba không xác định có thể truy cập - là một câu chuyện pháp lý hoàn toàn khác. Nếu không có sự đồng ý của chủ thể dữ liệu hoặc một căn cứ luật định rõ ràng, hành vi này có rủi ro cao vi phạm Luật Bảo vệ dữ liệu cá nhân 2025, đồng thời kéo theo các rủi ro về dân sự, lao động, hành chính và uy tín doanh nghiệp.
SỰ VIỆC
Ngày 11/6/2026, trên LinkedIn xuất hiện nhiều hình ảnh chụp từ cổng thông tin tuyển dụng của một công ty, trong đó có một trang mang tiêu để “DANH SÁCH ỨNG VIÊN KHÔNG TÁI TUYỂN DỤNG". Theo các hình ảnh được chia sẻ, trang này có thể truy cập công khai, không yêu cầu đăng nhập, với một số đặc điểm đáng chú ý:
(i) Danh sách liệt kê hơn 400 người, chia thành 22 trang, có chức năng tìm kiếm theo họ tên và lọc theo tổng công ty/đơn vị.
(ii) Mỗi dòng hiển thị nhiều trường thông tin định danh, bao gồm: số thứ tự, họ và tên đầy đủ, chức danh cụ thể từng đảm nhiệm như Trưởng phòng Marketing Kỹ thuật số, Quản lý Dự án, Tổ trưởng Nhà hàng, Nhân viên Tài xế..., số CMND/CCCD hiển thị 4 số cuối, số điện thoại hiển thị 4 số cuối, và tên công ty nơi từng làm việc.
(iii) Trang còn có mục “LIÊN HỆ THAM CHIỂU” kèm hotline và email, có thể được hiểu là mời nhà tuyển dụng khác hoặc bên thứ ba liên hệ để xác minh/ tham khảo thông tin.
KHI "BLACKLIST" CÔNG KHAI TRÊN INTERNET - RANH GIỚI GIỮA QUẢN TRỊ RỦI RO VÀ VI PHẠM PHÁP LUẬT HỆ THỐNG
Sự kiện ngày 11/6/2026 trên LinkedIn về việc công khai danh sách hơn 400 cựu nhân sự "không tái tuyển dụng" là một chỉ dấu cho thấy: Nhiều doanh nghiệp Việt Nam vẫn đang vận hành với tư duy quản trị cũ kỹ, hoàn toàn mù mờ trước các chế tài nghiêm khắc của Luật Bảo vệ dữ liệu cá nhân (PDPL 2025).
Trong cấu trúc vận hành của một doanh nghiệp, việc thiết lập một "Do-Not-Rehire List" (Danh sách không tái tuyển dụng) là một quyền lợi hợp pháp nhằm tích tụ Tư bản Nhân sự (Human Capital) chất lượng cao và loại trừ các rủi ro vận hành. Tuy nhiên, khi ban lãnh đạo hoặc bộ phận HR quyết định "Internet hóa" danh sách này, họ đã phạm phải một sai lầm chí mạng: Biến một công cụ quản trị nội bộ thành một hành vi vi phạm pháp luật hệ thống, tự đặt doanh nghiệp vào thế đối đầu với trục Hiến pháp – Dân sự – Dữ liệu cá nhân (PDPL 2025).
HỆ TRỤC VI PHẠM PHÁP LÝ CỦA HÀNH VI "CÔNG KHAI BLACKLIST"
Hành vi đưa danh sách định danh cựu nhân viên lên môi trường Internet (dù đã che 4 số cuối CCCD/SĐT) thực chất đã kích hoạt một chuỗi sai lầm mang tính hệ thống trên 4 mặt trận pháp lý:
[ 1. TRỤC PDPL 2025 ]
- Vi phạm Điều 16, 25
- Masking bể mặt không phải Khử nhận dạng
[2. TRỤC DÂN SỰ ]
- Xâm phạm Điều 34
- Phát sinh bồi thường ngoài HĐ
[ 3. TRỤC HIẾN PHÁP ]
- Xâm phạm Quyền riêng tư
- Cản trở Quyền làm việc (Điều 35 Hiến pháp)
[ 4. TRỤC LAO ĐỘNG ]
- Vượt quá thẩm quyền
- Kỷ luật online trái luật định
1. Trục Dữ Liệu Cá Nhân (PDPL 2025): Cái Bẫy "Masking Bề Mặt"
Sai lầm về Khử nhận dạng (Điều 2): Việc che 4 số cuối SĐT hay CCCD chỉ là biện pháp kỹ thuật che phủ bề mặt (Masking). Khi kết hợp tổ hợp: Họ tên đầy đủ + Chức danh cũ + Đơn vị công tác cũ, danh tính của cá nhân hoàn toàn bị định danh cấu trúc. Dữ liệu này vẫn chịu sự bảo vệ tuyệt đối của PDPL.
Sự dịch chuyển mục đích trái phép (Điều 25): Dữ liệu nhân sự được thu thập ban đầu cho mục đích tuyển dụng và thực hiện HĐLĐ nội bộ. Việc tự ý chuyển đổi sang mục đích "công khai tham chiếu cho bên thứ ba" mà không có sự đồng ý (Consent) của chủ thể dữ liệu là hành vi vi phạm nguyên tắc giới hạn mục đích.
Bức tường Điều 16 (Công khai dữ liệu): Điều 16 PDPL chỉ cho phép công khai dữ liệu trong 4 trường hợp ngặt nghèo (Có sự đồng ý, Theo luật định, Tình trạng khẩn cấp/An ninh, Thực hiện nghĩa vụ HĐ). Doanh nghiệp tư nhân hoàn toàn không có thẩm quyền công để tự lập một "blacklist" cảnh báo thị trường lao động.
2. Trục Bộ Luật Dân Sự 2015: Nguy Cơ Bồi Thường Ngoài Hợp Đồng Khổng Lồ
Xâm phạm danh dự, uy tín (Điều 34): Việc gắn nhãn "không tái tuyển dụng" công khai mặc nhiên tạo ra một bộ lọc định kiến bất lợi về năng lực hoặc đạo đức của người lao động đối với các nhà tuyển dụng tương lai.
Kích hoạt Điều 584 & 592: Mỗi cá nhân trong số hơn 400 người là một chủ thể quyền độc lập. Nếu họ chứng minh được việc công khai này làm họ mất cơ hội việc làm, doanh nghiệp phải đối mặt với hàng trăm vụ kiện đòi bồi thường tổn thất tinh thần và thiệt hại thu nhập thực tế.
3. Trục Lao Động: Khoảng Trống Blacklist Và Sự Vượt Quyền Quản Trị
Bộ luật Lao động 2019 quy định cứng 4 hình thức kỷ luật (khiển trách, kéo dài thời hạn nâng lương, cách chức, sa thải). "Bêu tên công khai trên Internet" không nằm trong danh mục này. Doanh nghiệp có quyền từ chối tái tuyển dụng trong nội bộ, nhưng không có quyền phong tỏa cơ hội việc làm của người lao động trên thị trường.
KHUNG CHUẨN CHO "DO-NOT-REHIRE LIST" HỢP PHÁP
Để bảo vệ quyền quản trị nhân sự nhưng không giẫm phải "mìn" pháp lý của PDPL 2025, các doanh nghiệp bắt buộc phải tái cấu trúc công cụ này theo bộ nguyên tắc nội bộ nghiêm ngặt:
TIÊU CHÍ CẤU TRÚC từ Mô hình "Đa cấp/Công khai" (Sai lầm) sang Mô hình "Tu lược" (Đúng)
- Phạm vi hiển thị từ Công khai trên Website/ Mạng xã hội: Ai cũng có thể truy cập và xem được chuyển sang Tuyệt đối nội bộ hệ thống: Tập trung hóa và giới hạn phạm vi Wikipedia
- Trường dữ liệu chuyển từ Bao gồm chi tiết: Họ tên, CCCD, SĐT, Chức danh, Đơn vị cũ thành Giới hạn tối thiểu: Chỉ hiển thị Tên và Mã định danh/Tra cứu.
- Quyền truy cập từ trạng thái Tự do: Mọi người đều có thể tra cứu, không yêu cầu đăng nhập sang Phân quyền chặt chẽ: Chỉ cấp quyền cho các cấp quản lý hoặc CEO.
- Căn cứ ghi nhận không theo Cảm tính: Dựa trên quyết định đơn phương, không có hồ sơ đính kèm.mà phải Minh bạch: Yêu cầu biên bản kỷ luật, đánh giá hiệu suất và chữ ký nhận.
- Thời hạn lưu trữ chuyển từ Vô thời hạn: Lưu trữ toàn bộ dữ liệu lâu dài sang Có lịch trình: Lưu trữ giới hạn theo quy định, có lộ trình xóa/hủy cụ thể.
CHIẾN LƯỢC HÀNH ĐỘNG CHO CÁC BÊN
1. Đối Với Doanh Nghiệp (Biện Pháp Khắc Phục Khẩn Cấp 72 Giờ)
- Kích hoạt Điều 23 PDPL: Ngay lập tức gỡ bỏ trang web. Lập biên bản xác nhận vi phạm dữ liệu cá nhân và đánh giá rủi ro xâm phạm danh dự, uy tín của hơn 400 nhân sự để chuẩn bị kịch bản báo cáo Cơ quan chuyên trách (Bộ Công an) trong vòng 72 giờ nếu có nguy cơ khủng hoảng.
- Kiểm toán hệ thống dữ liệu (Data Audit): Rà soát lại toàn bộ quy trình Reference Check và cách thức chia sẻ thông tin ứng viên trong nội bộ/các group HR.
2. Đối Với Người Lao Động (Chiến Lược Bảo Vệ Tư Bản Cá Nhân)
- Lập vi bằng số: Sử dụng các dịch vụ thừa phát lại để ghi nhận bằng chứng (URL, Cached, hình ảnh hiển thị) trước khi trang web bị xóa sạch dấu vết.
- Thực thi Quyền chủ thể (Điều 4): Gửi văn bản chính thức yêu cầu doanh nghiệp giải trình mục đích, xóa bỏ hoàn toàn dữ liệu và dự phòng phương án khởi kiện dân sự nếu phát sinh thiệt hại về cơ hội nghề nghiệp.
