Sử dụng sự đồng ý trong hợp đồng lao động để xử lý dữ liệu nhân viên

Sự đồng ý trong hợp đồng lao động để xử lý dữ liệu nhân viên là một vấn đề pháp lý phức tạp, đòi hỏi sự cẩn trọng để đảm bảo tính tự nguyện và hợp pháp. Để tuân thủ Nghị định 13/2023/NĐ-CP và chuẩn bị cho Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, các chuyên gia tại DPO.VN mang đến giải pháp toàn diện giúp doanh nghiệp giảm thiểu rủi ro pháp lý. Thỏa thuận xử lý dữ liệu, cơ sở pháp lý, quyền của người lao động.

Điều khoản đồng ý xử lý dữ liệu cá nhân trong hợp đồng lao động có hợp lệ và an toàn về mặt pháp lý không?

Việc tích hợp điều khoản đồng ý vào hợp đồng lao động tiềm ẩn nhiều rủi ro pháp lý vì khó chứng minh được yếu tố tự nguyện, vốn là điều kiện tiên quyết cho sự đồng ý hợp lệ theo Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.

Trong quan hệ lao động, người sử dụng lao động luôn ở vị thế quyền lực cao hơn so với người lao động. Điều này tạo ra một thách thức lớn khi chứng minh rằng sự đồng ý của nhân viên là hoàn toàn tự nguyện, không bị ép buộc hay chi phối bởi lo ngại ảnh hưởng đến cơ hội việc làm. Cả Nghị định 13/2023/NĐ-CP (Điều 11) và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (Điều 9) đều nhấn mạnh rằng sự đồng ý chỉ có hiệu lực khi dựa trên cơ sở tự nguyện. Nếu một điều khoản đồng ý được xem là điều kiện bắt buộc để ký kết hợp đồng lao động, nó có thể bị coi là không hợp lệ và vô hiệu.

Yếu tố tự nguyện trong sự đồng ý của người lao động được xác định như thế nào?

Tính tự nguyện được đảm bảo khi người lao động có quyền lựa chọn thực sự, có thể từ chối hoặc rút lại sự đồng ý mà không phải chịu bất kỳ hậu quả bất lợi nào đối với công việc của họ.

Về bản chất, sự tự nguyện trong bối cảnh lao động có nghĩa là việc đồng ý hay không đồng ý xử lý dữ liệu cá nhân cho các mục đích không thiết yếu sẽ không ảnh hưởng đến việc ký kết, thực hiện hay chấm dứt hợp đồng lao động. Nếu việc từ chối đồng ý dẫn đến việc ứng viên không được tuyển dụng hoặc nhân viên bị gây khó khăn, thì sự đồng ý đó không còn mang tính tự nguyện.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Để tăng cường tính tự nguyện, chúng tôi thường tư vấn doanh nghiệp nên tách biệt rõ ràng. Thay vì gộp chung vào hợp đồng chính, hãy sử dụng một văn bản đồng ý riêng hoặc một phụ lục hợp đồng cho các hoạt động xử lý dữ liệu không bắt buộc như sử dụng hình ảnh để quảng bá công ty. Điều này cho phép nhân viên đưa ra quyết định một cách độc lập và tạo ra bằng chứng pháp lý vững chắc hơn cho doanh nghiệp.

Doanh nghiệp đối mặt với những rủi ro pháp lý nào khi chỉ dựa vào sự đồng ý trong hợp đồng?

Các rủi ro chính bao gồm: điều khoản đồng ý bị vô hiệu, bị xử phạt hành chính nặng, phải bồi thường thiệt hại cho nhân viên, và tổn hại nghiêm trọng đến uy tín thương hiệu tuyển dụng.

Việc lạm dụng cơ sở pháp lý là sự đồng ý trong hợp đồng lao động có thể dẫn đến những hậu quả nghiêm trọng:

• Vô hiệu hóa điều khoản: Nếu cơ quan chức năng hoặc tòa án xác định sự đồng ý không mang tính tự nguyện, điều khoản đó sẽ bị vô hiệu. Mọi hoạt động xử lý dữ liệu dựa trên sự đồng ý này sẽ trở thành bất hợp pháp.
• Xử phạt hành chính: Doanh nghiệp có thể đối mặt với mức phạt lên đến 3 tỷ đồng cho các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Bồi thường thiệt hại: Nhân viên có quyền khởi kiện yêu cầu bồi thường thiệt hại khi dữ liệu của họ bị xử lý trái phép (Điều 9 Nghị định 13/2023/NĐ-CP).
• Tổn hại uy tín: Một vụ kiện tụng liên quan đến quyền riêng tư của nhân viên có thể gây tổn hại lớn đến hình ảnh và thương hiệu của công ty trên thị trường lao động.

Ngoài sự đồng ý, doanh nghiệp có thể dựa vào cơ sở pháp lý nào khác để xử lý dữ liệu nhân viên?

Doanh nghiệp có thể xử lý dữ liệu nhân viên dựa trên các cơ sở pháp lý khác như để thực hiện nghĩa vụ theo hợp đồng lao động, hoặc để tuân thủ nghĩa vụ theo quy định của pháp luật mà không cần sự đồng ý của nhân viên.

Việc hiểu và áp dụng đúng các cơ sở pháp lý khác là chìa khóa để xây dựng một hệ thống quản trị dữ liệu nhân sự bền vững và tuân thủ. Điều 17 Nghị định 13/2023/NĐ-CP và Điều 19 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã quy định các trường hợp xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu. Trong bối cảnh lao động, hai cơ sở pháp lý quan trọng nhất là:

Khi nào việc xử lý dữ liệu được xem là cần thiết để thực hiện hợp đồng lao động?

Việc xử lý dữ liệu là cần thiết khi nó phục vụ trực tiếp cho việc thực hiện các quyền và nghĩa vụ cốt lõi đã được thỏa thuận trong hợp đồng, chẳng hạn như trả lương, cung cấp phúc lợi, hoặc quản lý công việc.

Cơ sở pháp lý này áp dụng cho các hoạt động xử lý dữ liệu không thể thiếu để mối quan hệ lao động có thể vận hành. Nếu không xử lý những dữ liệu này, doanh nghiệp không thể hoàn thành nghĩa vụ của mình đối với người lao động.

Ví dụ cụ thể:

• Để trả lương: Doanh nghiệp cần xử lý thông tin tài khoản ngân hàng, mã số thuế cá nhân.
• Để quản lý hiệu suất: Doanh nghiệp cần xử lý dữ liệu về kết quả công việc, đánh giá hàng tháng/quý.
• Để cung cấp phúc lợi: Doanh nghiệp cần xử lý thông tin về người phụ thuộc để mua bảo hiểm sức khỏe cho gia đình nhân viên.
• Để liên lạc trong công việc: Doanh nghiệp cần xử lý số điện thoại, email của nhân viên.

Trong những trường hợp này, doanh nghiệp không cần xin sự đồng ý của nhân viên, nhưng vẫn phải tuân thủ nguyên tắc minh bạch, tức là thông báo rõ cho họ về các hoạt động xử lý này.

Những hoạt động xử lý dữ liệu nào được coi là tuân thủ nghĩa vụ pháp luật?

Đây là các hoạt động xử lý dữ liệu mà pháp luật bắt buộc người sử dụng lao động phải thực hiện, ví dụ như kê khai và nộp thuế thu nhập cá nhân, đóng bảo hiểm xã hội, hoặc báo cáo lao động cho cơ quan nhà nước.

Pháp luật Việt Nam yêu cầu doanh nghiệp phải thu thập và xử lý một số loại dữ liệu nhất định của người lao động để thực hiện các nghĩa vụ về thuế, bảo hiểm, lao động, an toàn vệ sinh lao động.

Ví dụ:

• Thu thập số định danh cá nhân, thông tin người phụ thuộc để kê khai thuế TNCN.
• Xử lý thông tin về mức lương, quá trình làm việc để đóng Bảo hiểm xã hội, Bảo hiểm y tế, Bảo hiểm thất nghiệp.
• Lưu trữ dữ liệu về sức khỏe (ví dụ: kết quả khám sức khỏe định kỳ) để tuân thủ quy định về an toàn, vệ sinh lao động.
• Báo cáo tình hình sử dụng lao động định kỳ cho cơ quan quản lý lao động địa phương.

Đối với những hoạt động này, việc xử lý dữ liệu là bắt buộc và không phụ thuộc vào sự đồng ý của người lao động.

Làm thế nào để soạn thảo một điều khoản đồng ý xử lý dữ liệu cá nhân tuân thủ trong hợp đồng lao động?

Một điều khoản đồng ý tuân thủ cần phải rõ ràng, cụ thể, tách bạch cho từng mục đích, dễ hiểu và cung cấp đầy đủ thông tin về hoạt động xử lý dữ liệu, đồng thời phải đảm bảo tính tự nguyện thực sự.

Mặc dù có rủi ro, trong một số trường hợp, doanh nghiệp vẫn cần đến sự đồng ý của nhân viên cho các mục đích xử lý dữ liệu không thuộc hai cơ sở pháp lý nêu trên. Để giảm thiểu rủi ro, việc soạn thảo điều khoản này phải cực kỳ cẩn trọng.

Điều khoản đồng ý cần bao gồm những nội dung cụ thể nào?

Điều khoản phải nêu rõ loại dữ liệu được xử lý, mục đích xử lý, các bên có thể tiếp cận dữ liệu, và các quyền của người lao động liên quan đến dữ liệu của họ, theo yêu cầu tại Điều 11 Nghị định 13/2023/NĐ-CP.

Dựa trên yêu cầu của pháp luật, một điều khoản đồng ý hợp lệ cần phải cung cấp cho người lao động những thông tin sau một cách minh bạch:

• Loại dữ liệu cá nhân được xử lý: Liệt kê cụ thể các loại dữ liệu sẽ được xử lý dựa trên sự đồng ý này (ví dụ: hình ảnh chân dung, video phỏng vấn, thông tin liên lạc cá nhân cho các sự kiện ngoại khóa).
• Mục đích xử lý dữ liệu cá nhân: Mô tả rõ ràng, chi tiết từng mục đích (ví dụ: sử dụng hình ảnh trên website và các ấn phẩm truyền thông của công ty để quảng bá thương hiệu nhà tuyển dụng).
• Tổ chức, cá nhân được xử lý dữ liệu: Nêu rõ ai sẽ xử lý dữ liệu (ví dụ: bộ phận Marketing, hoặc một đơn vị agency truyền thông bên ngoài).
• Các quyền và nghĩa vụ của người lao động: Nhắc lại các quyền của họ như quyền rút lại sự đồng ý bất kỳ lúc nào, quyền truy cập, chỉnh sửa, xóa dữ liệu.

Doanh nghiệp có nên tách biệt sự đồng ý cho các mục đích xử lý khác nhau không?

Chắc chắn là có. Việc tách biệt sự đồng ý cho từng mục đích riêng lẻ là một thông lệ tốt nhất và được yêu cầu bởi pháp luật để đảm bảo tính minh bạch và tự nguyện, tránh việc gộp chung nhiều mục đích vào một lần đồng ý duy nhất.

Điều 11.4 Nghị định 13/2023/NĐ-CP quy định: Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân phải liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra. Điều này có nghĩa là doanh nghiệp không thể yêu cầu nhân viên đồng ý với một gói các mục đích xử lý khác nhau.

DPO.VN khuyến nghị sử dụng các ô đánh dấu (checkbox) riêng biệt cho từng mục đích trong một biểu mẫu đồng ý điện tử hoặc văn bản riêng. Ví dụ:

• ☐ Tôi đồng ý cho Công ty sử dụng hình ảnh của tôi cho các hoạt động truyền thông nội bộ.
• ☐ Tôi đồng ý cho Công ty sử dụng hình ảnh của tôi cho các hoạt động quảng bá ra bên ngoài.
• ☐ Tôi đồng ý nhận thông tin về các chương trình phúc lợi tự nguyện từ các đối tác của Công ty qua email cá nhân.

Cách tiếp cận này không chỉ tuân thủ pháp luật mà còn thể hiện sự tôn trọng quyền riêng tư của nhân viên, góp phần xây dựng một môi trường làm việc tin cậy.

Quy trình xử lý khi người lao động rút lại sự đồng ý đã ký trong hợp đồng là gì?

Khi nhận được yêu cầu rút lại sự đồng ý, doanh nghiệp phải thông báo cho nhân viên về hậu quả có thể xảy ra và ngừng xử lý dữ liệu cho các mục đích đã bị rút lại, đồng thời yêu cầu các bên liên quan cùng thực hiện.

Quyền rút lại sự đồng ý là một trong những quyền cơ bản của chủ thể dữ liệu, được quy định tại Điều 9 Nghị định 13/2023/NĐ-CP. Doanh nghiệp cần xây dựng một quy trình rõ ràng để xử lý các yêu cầu này một cách chuyên nghiệp và tuân thủ.

Doanh nghiệp cần làm gì khi nhận được yêu cầu rút lại sự đồng ý?

Doanh nghiệp phải xác nhận yêu cầu, thông báo về hậu quả pháp lý hoặc thiệt hại (nếu có), và tiến hành ngừng xử lý dữ liệu cho mục đích tương ứng theo quy định tại Điều 12 Nghị định 13/2023/NĐ-CP.

Quy trình xử lý yêu cầu rút lại sự đồng ý bao gồm các bước sau:

1. Tiếp nhận và xác thực: Ghi nhận yêu cầu của người lao động, đảm bảo yêu cầu được thể hiện ở định dạng có thể kiểm chứng được (văn bản, email).
2. Thông báo hậu quả: Điều 12.3 Nghị định 13/2023/NĐ-CP yêu cầu doanh nghiệp phải thông báo cho người lao động về những hậu quả hoặc thiệt hại có thể xảy ra. Ví dụ, nếu họ rút lại sự đồng ý tham gia chương trình bảo hiểm sức khỏe tự nguyện, họ sẽ mất quyền lợi từ chương trình đó.
3. Ngừng xử lý: Doanh nghiệp phải ngừng và yêu cầu các bên liên quan (nếu có) ngừng xử lý dữ liệu cho các mục đích đã bị rút lại sự đồng ý. Quan trọng là việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã diễn ra trước đó.
4. Xử lý dữ liệu liên quan: Tùy thuộc vào yêu cầu, doanh nghiệp có thể cần phải xóa hoặc hủy dữ liệu cá nhân liên quan đến mục đích đó, trừ khi có cơ sở pháp lý khác để tiếp tục lưu trữ.

Việc rút lại sự đồng ý có ảnh hưởng đến hiệu lực của hợp đồng lao động không?

Không, việc rút lại sự đồng ý cho các mục đích xử lý dữ liệu không thiết yếu không được ảnh hưởng đến hiệu lực của hợp đồng lao động. Tuy nhiên, doanh nghiệp vẫn có quyền tiếp tục xử lý dữ liệu cần thiết để thực hiện hợp đồng và tuân thủ pháp luật.

Đây là một điểm cực kỳ quan trọng. Nếu việc rút lại sự đồng ý dẫn đến chấm dứt hợp đồng lao động, điều đó chứng tỏ sự đồng ý ban đầu không hề tự nguyện. Do đó, hợp đồng lao động vẫn tiếp tục có hiệu lực. Tuy nhiên, doanh nghiệp vẫn được và phải tiếp tục xử lý những dữ liệu cá nhân dựa trên hai cơ sở pháp lý đã phân tích ở trên: để thực hiện hợp đồng (trả lương, quản lý công việc) và để tuân thủ nghĩa vụ pháp luật (thuế, bảo hiểm). Việc rút lại sự đồng ý chỉ áp dụng cho các mục đích xử lý dữ liệu bổ sung, không thiết yếu mà nhân viên đã tự nguyện đồng ý trước đó.

Các Câu Hỏi Thường Gặp Về Sự Đồng Ý Trong Hợp Đồng Lao Động

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân
• Luật Bảo vệ Dữ liệu Cá nhân 91/2025/QH15
• Bộ luật Lao động 2019
• Article 29 Working Party – Opinion 2/2017 on data processing at work (Hướng dẫn của EU về xử lý dữ liệu tại nơi làm việc)
• Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (Cung cấp bởi Bộ Công an)