5 Hình Thức Lấy Sự Đồng Ý Của Khách Hàng Hợp Lệ Theo Luật Bảo Vệ Dữ Liệu Cá Nhân

Việc áp dụng đúng 5 hình thức lấy sự đồng ý của khách hàng hợp lệ không chỉ giúp doanh nghiệp tuân thủ Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, mà còn là nền tảng xây dựng lòng tin bền vững với người tiêu dùng. DPVN sẽ phân tích chi tiết từng phương thức, từ văn bản truyền thống đến các giải pháp công nghệ hiện đại, giúp Quý doanh nghiệp dễ dàng lựa chọn và triển khai hiệu quả.

Sự đồng ý của chủ thể dữ liệu cá nhân là gì và tại sao lại quan trọng?

Trong bối cảnh chuyển đổi số mạnh mẽ, dữ liệu cá nhân được coi là tài sản quý giá. Việc thu thập và xử lý dữ liệu này đòi hỏi sự minh bạch và tôn trọng quyền riêng tư của người dùng. Sự đồng ý không chỉ là một thủ tục hành chính, mà là cam kết về sự tôn trọng và bảo vệ quyền lợi của khách hàng.

Điều 9 Luật 91/2025/QH15 và Điều 6 Nghị định 356/2025/NĐ-CP quy định rõ các nguyên tắc cốt lõi của sự đồng ý:

• Tự nguyện: Khách hàng không bị ép buộc hoặc lừa dối để đồng ý.
• Được thông báo (Informed consent): Khách hàng phải biết rõ mục đích, loại dữ liệu, và các bên liên quan trước khi đồng ý.
• Cụ thể và rõ ràng: Sự đồng ý phải được thể hiện cho từng mục đích xử lý riêng biệt, không được gộp chung một cách mập mờ.
• Có thể rút lại: Khách hàng có quyền thay đổi quyết định bất cứ lúc nào (xem thêm: Quyền rút lại sự đồng ý của chủ thể dữ liệu cá nhân là gì?).

5 Hình thức lấy sự đồng ý của khách hàng hợp lệ theo pháp luật hiện hành

Dưới đây là phân tích chi tiết ưu nhược điểm và cách áp dụng cho từng hình thức:

1. Văn bản giấy (Written Consent)

Đây là hình thức truyền thống và có giá trị pháp lý cao nhất, thường được áp dụng cho các giao dịch quan trọng hoặc xử lý dữ liệu cá nhân nhạy cảm.

• Ưu điểm: Rõ ràng, dễ lưu trữ bản gốc, khó chối bỏ trách nhiệm.
• Áp dụng: Hợp đồng lao động (xem thêm: Thu thập sự đồng ý của người lao động bằng hợp đồng lao động), hợp đồng bảo hiểm, dịch vụ y tế.

2. Tích chọn (Checkbox) trên môi trường số

Hình thức phổ biến nhất trong thương mại điện tử. Khách hàng chủ động tích vào ô “Tôi đồng ý với Điều khoản và Chính sách bảo mật”.

• Lưu ý quan trọng: Theo khoản 3 Điều 6 Nghị định 356, ô tích không được để mặc định chọn sẵn (pre-ticked box). Khách hàng phải tự thao tác để thể hiện sự đồng thuận.
• Áp dụng: Đăng ký tài khoản, đăng ký nhận tin tin tức (newsletter), mua hàng online.

3. Ghi âm cuộc gọi (Voice Consent)

Thường được sử dụng trong Telesales hoặc chăm sóc khách hàng. Doanh nghiệp cần thông báo cuộc gọi được ghi âm và hỏi rõ ý kiến khách hàng.

• Yêu cầu: Phải lưu trữ file ghi âm làm bằng chứng. Kịch bản cuộc gọi phải có phần xác nhận đồng ý rõ ràng (“Anh/chị có đồng ý để bên em xử lý dữ liệu… không?”).

4. Tin nhắn SMS hoặc Email xác nhận

Khách hàng phản hồi lại tin nhắn (ví dụ: soạn “Y” gửi tổng đài) hoặc nhấp vào liên kết xác nhận trong email.

• Ưu điểm: Tiện lợi, chi phí thấp, dễ tự động hóa.
• Áp dụng: Xác nhận đăng ký dịch vụ, tham gia chương trình khuyến mãi.

5. Xác thực điện tử (OTP, Sinh trắc học)

Sử dụng mã OTP gửi về điện thoại hoặc xác thực vân tay/khuôn mặt để xác nhận đồng ý cho một giao dịch cụ thể.

• Tính bảo mật: Rất cao, thường dùng cho giao dịch tài chính ngân hàng.

Điều kiện để sự đồng ý được coi là hợp lệ (Valid Consent)

DPVN lưu ý Quý doanh nghiệp một số lỗi thường gặp khiến sự đồng ý bị vô hiệu:

• Gộp chung mục đích: Yêu cầu khách hàng đồng ý một lần cho cả việc cung cấp dịch vụ và việc bán dữ liệu cho bên thứ ba. Điều này vi phạm nguyên tắc “cụ thể”.
• Thiết lập mặc định: Sử dụng các ô tích sẵn hoặc cơ chế “im lặng là đồng ý” (Silence is consent). Khoản 4 Điều 9 Luật 91/2025 khẳng định sự im lặng không được coi là sự đồng ý.
• Thông tin mập mờ: Chính sách bảo mật quá dài dòng, dùng thuật ngữ chuyên ngành khó hiểu để che giấu mục đích thực sự.

Để xây dựng biểu mẫu chuẩn, Quý vị có thể tham khảo xây dựng biểu mẫu thu thập sự đồng ý của chủ thể dữ liệu.

Trách nhiệm chứng minh sự đồng ý thuộc về ai?

Điều này đặt ra yêu cầu cao về hệ thống lưu trữ và quản lý dữ liệu. Doanh nghiệp cần đảm bảo khả năng truy xuất lịch sử đồng ý của từng khách hàng tại mọi thời điểm. Nếu không chứng minh được, doanh nghiệp sẽ bị coi là xử lý dữ liệu trái phép và đối mặt với mức phạt rất nặng.

Giải pháp tối ưu quy trình lấy sự đồng ý cho doanh nghiệp

Để đảm bảo tuân thủ pháp luật mà không làm ảnh hưởng đến trải nghiệm khách hàng, DPVN khuyến nghị doanh nghiệp áp dụng mô hình “Consent Management Platform” (CMP) với các bước sau:

1. Rà soát điểm chạm: Xác định tất cả các kênh thu thập dữ liệu (Web, App, Offline) để tích hợp cơ chế lấy sự đồng ý phù hợp.
2. Thiết kế giao diện minh bạch: Sử dụng ngôn ngữ đơn giản, dễ hiểu. Tách biệt các mục đích xử lý (ví dụ: Marketing, Phân tích hành vi, Chia sẻ đối tác) để khách hàng lựa chọn (Granular consent).
3. Lưu trữ bằng chứng: Ghi nhận thời gian, địa chỉ IP, nội dung chính sách tại thời điểm khách hàng đồng ý.
4. Cơ chế rút lại dễ dàng: Cho phép khách hàng thay đổi ý định dễ dàng như lúc họ đồng ý (ví dụ: nút “Unsubscribe” hoặc cài đặt quyền riêng tư trên ứng dụng).

Nếu Quý doanh nghiệp cần hỗ trợ chuyên sâu về vấn đề này, dịch vụ Dịch Vụ Tư Vấn Lập Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân của chúng tôi sẽ bao gồm cả việc rà soát và kiện toàn quy trình lấy sự đồng ý.

Câu hỏi thường gặp (FAQ)

Nguồn tham khảo:

• Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
• Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
• DPVN: Các bài viết chuyên sâu về tuân thủ pháp luật dữ liệu.
• GDPR.eu: Guidelines on Consent.