Xây dựng nội dung thu thập sự đồng ý của chủ thể dữ liệu cá nhân chuẩn pháp lý là bước tiên quyết để doanh nghiệp tránh rủi ro bị phạt tới 5% doanh thu theo Nghị định 356/2025/NĐ-CP. DPVN sẽ cung cấp hướng dẫn chi tiết, checklist các nội dung bắt buộc và mẫu văn bản tham khảo để Quý doanh nghiệp áp dụng ngay vào quy trình vận hành của mình.
Cập nhật 2026: Bài viết dựa trên các quy định mới nhất của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Nghị định 356/2025/NĐ-CP có hiệu lực từ 01/01/2026.
Tại sao nội dung thu thập sự đồng ý lại quan trọng đến vậy?
Sự đồng ý của chủ thể dữ liệu là cơ sở pháp lý quan trọng nhất để doanh nghiệp được phép xử lý dữ liệu cá nhân (trừ các trường hợp ngoại lệ tại Điều 19 Luật 91/2025). Nội dung thông báo không đầy đủ, không rõ ràng sẽ khiến sự đồng ý đó trở nên vô hiệu, dẫn đến toàn bộ hoạt động xử lý dữ liệu sau đó là trái pháp luật.
Theo kinh nghiệm tư vấn của DPVN, nhiều doanh nghiệp vẫn sử dụng các mẫu “Chính sách bảo mật” cũ, chung chung như “chúng tôi thu thập thông tin để cải thiện dịch vụ”. Điều này vi phạm nghiêm trọng nguyên tắc “Minh bạch” và “Sự đồng ý” trong luật mới. Theo Điều 9 Luật Bảo vệ dữ liệu cá nhân, chủ thể dữ liệu phải được biết rõ các thông tin cụ thể TRƯỚC KHI họ đồng ý.
Quý vị có thể tìm hiểu thêm về 8 nguyên tắc bảo vệ dữ liệu cá nhân để hiểu rõ nền tảng pháp lý của yêu cầu này.
Những nội dung BẮT BUỘC phải có trong văn bản/thông báo xin sự đồng ý là gì?
Theo khoản 2 Điều 9 Luật 91/2025 và Điều 5 Nghị định 356/2025/NĐ-CP, nội dung thông báo phải bao gồm tối thiểu: Loại dữ liệu xử lý; Mục đích xử lý; Thông tin về Bên kiểm soát/xử lý dữ liệu; Quyền và nghĩa vụ của chủ thể dữ liệu; Thời gian lưu trữ và xử lý.
Dưới đây là checklist chi tiết các đầu mục thông tin mà doanh nghiệp cần đưa vào biểu mẫu hoặc giao diện thu thập sự đồng ý:
| STT | Nội dung | Yêu cầu chi tiết |
|---|---|---|
| 1 | Loại dữ liệu cá nhân được xử lý | Liệt kê cụ thể (Họ tên, SĐT, Email, Dữ liệu sinh trắc học…). Phân biệt rõ dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. |
| 2 | Mục đích xử lý dữ liệu | Mô tả rõ ràng, cụ thể cho từng hoạt động (ví dụ: để giao hàng, để gửi tin nhắn quảng cáo, để tính lương…). Không dùng từ ngữ mơ hồ. |
| 3 | Tổ chức, cá nhân liên quan | Tên, thông tin liên hệ của Bên Kiểm soát dữ liệu (doanh nghiệp của bạn). Nếu có chia sẻ cho bên thứ ba (đối tác vận chuyển, cổng thanh toán…), phải nêu rõ danh tính hoặc loại hình của họ. |
| 4 | Quyền và nghĩa vụ của chủ thể | Thông báo rõ về các quyền như: xem, chỉnh sửa, xóa, quyền rút lại sự đồng ý và cách thức thực hiện. |
| 5 | Thời gian lưu trữ và xử lý | Nêu rõ thời điểm bắt đầu và kết thúc xử lý dữ liệu, hoặc tiêu chí xác định khoảng thời gian này. Tham khảo thời gian lưu trữ dữ liệu cá nhân hợp lý. |
Có sự khác biệt nào về nội dung khi thu thập dữ liệu nhạy cảm không?
Có. Theo khoản 4 Điều 6 Nghị định 356/2025/NĐ-CP, đối với dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rõ ràng rằng dữ liệu cần xử lý là dữ liệu nhạy cảm. Nội dung thông báo cần nhấn mạnh tính chất này để chủ thể nhận thức rõ rủi ro trước khi đồng ý.
Ví dụ, khi thu thập thông tin sức khỏe hoặc dữ liệu sinh trắc học, thay vì chỉ ghi “Thu thập thông tin cá nhân”, doanh nghiệp cần ghi rõ: “Chúng tôi sẽ thu thập dữ liệu sức khỏe (dữ liệu nhạy cảm) của Quý khách để phục vụ việc khám chữa bệnh”.
Điều này đặc biệt quan trọng đối với các ngành Y tế, Bảo hiểm, Ngân hàng. Quý vị có thể xem thêm hướng dẫn chuyên sâu tại bài viết Các quy định bảo vệ dữ liệu cá nhân trong ngành tài chính, ngân hàng là gì?.
Mẫu nội dung tham khảo (Template) cho doanh nghiệp
Lưu ý:
Mẫu dưới đây mang tính chất tham khảo chung. Doanh nghiệp cần điều chỉnh cho phù hợp với thực tế hoạt động. DPVN khuyến nghị sử dụng dịch vụ tư vấn chuyên sâu để có văn bản “may đo” chính xác nhất.
PHIẾU/THÔNG BÁO THU THẬP SỰ ĐỒNG Ý XỬ LÝ DỮ LIỆU CÁ NHÂN
Kính gửi: Quý Khách hàng/Đối tác,
Để cung cấp dịch vụ [Tên dịch vụ] cho Quý khách, Công ty [Tên công ty] (“Chúng tôi”) cần thu thập và xử lý một số dữ liệu cá nhân của Quý khách. Chúng tôi cam kết tuân thủ Luật Bảo vệ dữ liệu cá nhân và bảo mật thông tin của Quý khách.
1. Loại dữ liệu được thu thập:
- Dữ liệu cơ bản: Họ tên, Số điện thoại, Email, Địa chỉ…
- Dữ liệu nhạy cảm (nếu có): Thông tin thanh toán, Dữ liệu vị trí…
2. Mục đích xử lý:
- Xác thực đơn hàng và giao hàng.
- Gửi thông báo về tình trạng dịch vụ.
- [Liệt kê các mục đích khác…]
3. Tổ chức xử lý dữ liệu:
- Bên Kiểm soát: Công ty [Tên công ty], địa chỉ […], hotline […].
- Bên thứ ba (nếu có): Đơn vị vận chuyển [Tên], Cổng thanh toán [Tên].
4. Thời gian lưu trữ: Dữ liệu sẽ được lưu trữ trong suốt thời gian cung cấp dịch vụ và [số] năm sau khi chấm dứt hợp đồng theo quy định của pháp luật kế toán/thuế.
5. Quyền của Quý khách: Quý khách có quyền xem, chỉnh sửa, yêu cầu xóa dữ liệu, hoặc rút lại sự đồng ý bất cứ lúc nào bằng cách liên hệ với chúng tôi qua email [Email hỗ trợ].
Bằng việc tích vào ô bên dưới, Quý khách xác nhận đã đọc, hiểu rõ và đồng ý cho phép chúng tôi xử lý dữ liệu cá nhân như đã nêu trên.
☐ Tôi đồng ý.
Để áp dụng mẫu này hiệu quả, doanh nghiệp cần biết cách xây dựng biểu mẫu thu thập sự đồng ý của chủ thể dữ liệu phù hợp với từng điểm chạm khách hàng (website, app, quầy giao dịch).
Hình thức thể hiện sự đồng ý như thế nào là hợp lệ?
Sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, tích chọn vào ô đồng ý, cú pháp tin nhắn, hoặc các hình thức khác có thể kiểm chứng được. Sự im lặng hoặc không phản hồi KHÔNG được coi là sự đồng ý (Khoản 4 Điều 9 Luật 91/2025).
Điều 6 Nghị định 356/2025/NĐ-CP quy định chi tiết các phương thức thể hiện sự đồng ý, bao gồm:
- Ký văn bản giấy hoặc điện tử.
- Ghi âm cuộc gọi xác nhận.
- Gửi tin nhắn SMS xác nhận.
- Tích vào ô “Tôi đồng ý” trên website/app (Lưu ý: Không được để mặc định tích sẵn).
Doanh nghiệp cần lưu trữ bằng chứng về sự đồng ý này để phục vụ công tác Thanh tra, kiểm tra doanh nghiệp về bảo vệ dữ liệu cá nhân sau này.
Bạn đang lo lắng về tính tuân thủ của các biểu mẫu hiện tại?
Đừng để những sai sót nhỏ trong văn bản pháp lý gây ra hậu quả lớn. Hãy để các chuyên gia của DPVN giúp bạn rà soát và xây dựng hệ thống biểu mẫu chuẩn chỉnh.
DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân
Hotline: 0982976486
Email: info@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp (FAQ)
1. Tôi có thể dùng một ô tích “Đồng ý” cho nhiều mục đích xử lý khác nhau không?
Không nên. Theo nguyên tắc minh bạch, bạn nên tách riêng sự đồng ý cho các mục đích khác nhau (ví dụ: 1 ô cho điều khoản dịch vụ, 1 ô riêng cho việc nhận tin nhắn quảng cáo) để khách hàng có quyền lựa chọn.
2. Nếu khách hàng không đồng ý cung cấp dữ liệu, tôi có được từ chối cung cấp dịch vụ không?
Tùy trường hợp. Nếu dữ liệu đó là bắt buộc để thực hiện hợp đồng (như địa chỉ để giao hàng), bạn có quyền từ chối. Nhưng nếu đó là dữ liệu không bắt buộc (như ngày sinh để tặng quà), bạn không được ép buộc khách hàng cung cấp mới cho sử dụng dịch vụ chính.
3. Doanh nghiệp có cần xin lại sự đồng ý của khách hàng cũ không?
Theo quy định chuyển tiếp (Điều 39 Luật 91/2025), nếu hoạt động xử lý dữ liệu trước đây đã có sự đồng ý hoặc thỏa thuận phù hợp với quy định của Nghị định 13/2023 thì được tiếp tục thực hiện mà không cần xin lại. Tuy nhiên, nếu mục đích xử lý thay đổi, bạn phải xin đồng ý mới.
4. Thông báo xin sự đồng ý có cần viết bằng tiếng Việt không?
Có. Nội dung phải rõ ràng, dễ hiểu và bằng tiếng Việt để đảm bảo chủ thể dữ liệu tại Việt Nam có thể hiểu đúng và đầy đủ trước khi quyết định.
5. Trẻ em có được tự mình đồng ý xử lý dữ liệu cá nhân không?
Đối với trẻ em từ đủ 07 tuổi trở lên, cần có sự đồng ý của cả trẻ em và người đại diện theo pháp luật (cha mẹ/người giám hộ). Đối với trẻ em dưới 07 tuổi, chỉ cần sự đồng ý của người đại diện (Điều 24 Luật 91/2025).
Nguồn tham khảo:
- Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
- Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
- Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
- DPVN: Tổng hợp các bài viết chuyên sâu về tuân thủ pháp luật dữ liệu.
- GDPR.eu: Consent under GDPR.
