5+ Hình thức thể hiện sự đồng ý xử lý dữ liệu cá nhân

Avatar of baovedlcn

Ngày đăng -

baovedlcn Tư vấn Luật bảo vệ dữ liệu cá nhân

Trong kỷ nguyên số, hình thức thể hiện sự đồng ý xử lý dữ liệu cá nhân là chìa khóa pháp lý quan trọng nhất mà mọi doanh nghiệp phải nắm vững để tuân thủ Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. DPVN sẽ giúp bạn định danh chính xác các phương thức hợp lệ như văn bản, tin nhắn, click-box… và cách triển khai chúng để tránh rủi ro bị xử phạt lên tới hàng tỷ đồng.

Nội dung chính: Hướng dẫn chi tiết các hình thức lấy sự đồng ý hợp lệ, điều kiện pháp lý và mẫu áp dụng thực tế cho doanh nghiệp năm 2026.

Sự đồng ý của chủ thể dữ liệu cá nhân là gì và tại sao nó quan trọng?

Sự đồng ý là việc chủ thể dữ liệu cho phép xử lý dữ liệu của mình một cách tự nguyện, cụ thể và được thông báo đầy đủ. Theo Điều 9 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, đây là cơ sở pháp lý ưu tiên hàng đầu; thiếu sự đồng ý hợp lệ, mọi hoạt động thu thập, xử lý dữ liệu (trừ trường hợp ngoại lệ) đều bị coi là vi phạm pháp luật.

Sự đồng ý không chỉ là một thủ tục hành chính, mà là “tấm khiên” bảo vệ doanh nghiệp trước các tranh chấp pháp lý. Để sự đồng ý có hiệu lực, nó phải đáp ứng các nguyên tắc cốt lõi: Tự nguyện, Được thông báo rõ ràng, Cụ thể cho từng mục đích và Có thể rút lại bất cứ lúc nào. Doanh nghiệp cần tham khảo kỹ bài viết 8 nguyên tắc bảo vệ dữ liệu cá nhân để hiểu rõ nền tảng này.

Có những hình thức thể hiện sự đồng ý nào được pháp luật công nhận?

Điều 6 Nghị định 356/2025/NĐ-CP quy định 5 hình thức chính: (1) Văn bản; (2) Giọng nói (ghi âm cuộc gọi); (3) Tích vào ô đồng ý trên website/ứng dụng; (4) Tin nhắn đồng ý qua điện thoại; (5) Email xác nhận. Ngoài ra, các phương thức khác có thể kiểm chứng được cũng được chấp nhận.

Dưới đây là chi tiết từng hình thức và cách áp dụng hiệu quả:

1. Sự đồng ý bằng văn bản (Giấy tờ truyền thống)

Đây là hình thức an toàn và truyền thống nhất, thường được áp dụng trong các giao dịch trực tiếp như mở tài khoản ngân hàng, khám chữa bệnh, hoặc ký kết thu thập sự đồng ý của người lao động bằng hợp đồng lao động. Văn bản cần có chữ ký trực tiếp của chủ thể dữ liệu.

2. Tích vào ô đồng ý (Checkbox/Click-wrap) trên môi trường số

Phổ biến nhất trên website và ứng dụng di động. Tuy nhiên, doanh nghiệp cần lưu ý:

  • Không được để ô chọn được tích sẵn (Pre-ticked box).
  • Nội dung đồng ý phải tách biệt với các điều khoản khác.
  • Hệ thống phải lưu vết (Log) thời điểm, địa chỉ IP và nội dung mà người dùng đã tích chọn.

Xem thêm về 5 hình thức lấy sự đồng ý của khách hợp lệ để tránh các lỗi kỹ thuật thường gặp.

3. Sự đồng ý qua tin nhắn (SMS/OTP) hoặc Email

Khách hàng soạn tin nhắn theo cú pháp hoặc xác nhận qua mã OTP/link trong email. Hình thức này rất phù hợp cho các chiến dịch Marketing hoặc xác thực giao dịch điện tử.

4. Sự đồng ý bằng giọng nói (Voice Recording)

Áp dụng cho các tổng đài chăm sóc khách hàng (Telesales). Doanh nghiệp bắt buộc phải thông báo cuộc gọi đang được ghi âm và lưu trữ file ghi âm làm bằng chứng.

Làm thế nào để đảm bảo sự đồng ý là hợp lệ và có giá trị pháp lý?

Để hợp lệ, sự đồng ý phải thỏa mãn 3 điều kiện: (1) Được cung cấp đầy đủ thông tin (Mục đích, loại dữ liệu, bên xử lý…); (2) Thể hiện hành động tích cực (Không im lặng); (3) Có thể in, sao chép hoặc kiểm chứng được. Đặc biệt, với dữ liệu nhạy cảm, sự đồng ý phải được thể hiện rõ ràng hơn nữa.

Luật sư DPVN chia sẻ: Một sai lầm phổ biến là gộp chung sự đồng ý vào Điều khoản sử dụng dịch vụ dài lê thê mà khách hàng không bao giờ đọc. Điều này vi phạm nguyên tắc “Cụ thể và Rõ ràng”. Thay vào đó, hãy thiết kế các lớp thông tin (Layered Notice) và sử dụng ngôn ngữ đơn giản, dễ hiểu.

Quý doanh nghiệp cần đặc biệt chú ý đến việc doanh nghiệp cần thông báo trước khi xử lý dữ liệu cá nhân như thế nào? để đảm bảo quyền được biết của khách hàng.

Trách nhiệm chứng minh sự đồng ý thuộc về ai khi có tranh chấp?

Khoản 2 Điều 6 Nghị định 356/2025/NĐ-CP quy định rõ: Trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên kiểm soát dữ liệu và Bên kiểm soát & xử lý dữ liệu. Doanh nghiệp phải lưu trữ bằng chứng (Log hệ thống, văn bản, file ghi âm…) trong suốt thời gian xử lý dữ liệu.

Điều này đặt ra yêu cầu cao về hệ thống kỹ thuật và quy trình lưu trữ. Nếu không thể xuất trình bằng chứng khi cơ quan chức năng kiểm tra hoặc khách hàng khiếu nại, doanh nghiệp sẽ mặc nhiên bị coi là vi phạm. DPVN khuyến nghị sử dụng các giải pháp xây dựng biểu mẫu thu thập sự đồng ý của chủ thể dữ liệu chuẩn hóa ngay từ đầu.

Quy định riêng về sự đồng ý đối với dữ liệu nhạy cảm là gì?

Đối với dữ liệu cá nhân nhạy cảm (như sức khỏe, tài chính, sinh trắc học…), Khoản 4 Điều 6 Nghị định 356 yêu cầu doanh nghiệp phải thông báo rõ ràng cho chủ thể biết đó là dữ liệu nhạy cảm trước khi họ đồng ý. Sự đồng ý phải được tách biệt hoàn toàn với dữ liệu cơ bản.

Ví dụ: Khi ngân hàng thu thập FaceID (sinh trắc học) để xác thực, ứng dụng phải hiện thông báo riêng: “Chúng tôi cần thu thập dữ liệu khuôn mặt (Dữ liệu nhạy cảm) để bảo mật tài khoản. Bạn có đồng ý không?”. Tham khảo thêm tại Dữ liệu cá nhân nhạy cảm là gì? Các biện pháp bảo vệ.

Doanh nghiệp của bạn đã có Quy trình lấy sự đồng ý chuẩn Nghị định 356 chưa?

Đừng để rủi ro pháp lý cản trở hoạt động kinh doanh. Hãy để các chuyên gia của DPVN hỗ trợ bạn rà soát và thiết lập hệ thống Consent Management chuyên nghiệp.

DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân

Hotline: 0982976486

Email: info@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Liên hệ tư vấn ngay

Câu hỏi thường gặp (FAQ)

1. Sự im lặng của khách hàng có được coi là đồng ý không?

Không. Điều 9 Luật 91/2025 khẳng định: “Sự im lặng hoặc không phản hồi không được coi là sự đồng ý”. Doanh nghiệp không được tự ý xử lý dữ liệu nếu khách hàng không có hành động xác nhận.

2. Khách hàng có thể rút lại sự đồng ý sau khi đã cấp không?

Có. Chủ thể dữ liệu có quyền rút lại sự đồng ý bất cứ lúc nào. Doanh nghiệp phải cung cấp phương thức rút lại dễ dàng tương đương với khi cấp sự đồng ý. Xem thêm: Quyền rút lại sự đồng ý của chủ thể dữ liệu cá nhân là gì?.

3. Một lần đồng ý có giá trị mãi mãi không?

Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu thay đổi hoặc rút lại, trừ khi pháp luật có quy định khác. Tuy nhiên, nếu doanh nghiệp thay đổi mục đích xử lý, bắt buộc phải xin sự đồng ý lại từ đầu.

4. Trẻ em có tự đồng ý xử lý dữ liệu được không?

Đối với trẻ em từ đủ 07 tuổi trở lên, cần sự đồng ý của cả trẻ em và người đại diện theo pháp luật (cha mẹ/người giám hộ). Dưới 07 tuổi chỉ cần sự đồng ý của người đại diện.

5. Có trường hợp nào xử lý dữ liệu mà không cần sự đồng ý không?

Có. Điều 19 Luật 91/2025 quy định các trường hợp ngoại lệ như: bảo vệ tính mạng khẩn cấp, thực hiện hợp đồng, phục vụ cơ quan nhà nước, v.v. Tham khảo chi tiết tại Khi nào xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu?.

Nguồn tham k

Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486