Sự đồng ý của chủ thể dữ liệu cá nhân là cơ sở pháp lý nền tảng, đòi hỏi các hình thức thể hiện rõ ràng và tuân thủ các điều kiện nghiêm ngặt. Tại DPVN, chúng tôi sẽ cung cấp hướng dẫn toàn diện giúp doanh nghiệp của bạn thu thập sự đồng ý hợp lệ, đảm bảo tuân thủ và xây dựng lòng tin với khách hàng.
Định nghĩa và phạm vi sự đồng ý của chủ thể dữ liệu cá nhân theo pháp luật Việt Nam là gì?
Theo Khoản 8, Điều 2 Nghị định 13/2023/NĐ-CP, sự đồng ý của chủ thể dữ liệu là “việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu”. Đây là cơ sở pháp lý quan trọng và phổ biến nhất cho hầu hết các hoạt động xử lý dữ liệu cá nhân trong kinh doanh.
Định nghĩa này đặt ra một tiêu chuẩn cao cho việc thu thập sự đồng ý. Nó không chấp nhận sự đồng ý ngầm định hay suy diễn. Mọi hoạt động xử lý dữ liệu dựa trên sự đồng ý đều phải bắt nguồn từ một hành động chủ động và có ý thức của chủ thể dữ liệu cá nhân. Đây là một trong những điểm nổi bật của Nghị định về bảo vệ dữ liệu cá nhân.
Về chuyên môn sâu, quy định này của Việt Nam hoàn toàn tương thích với các tiêu chuẩn quốc tế khắt khe như Quy định chung về bảo vệ dữ liệu (GDPR) của Châu Âu. Nó nhấn mạnh vào việc trao quyền kiểm soát thực sự cho cá nhân. Doanh nghiệp không còn có thể che giấu các điều khoản về xử lý dữ liệu trong những văn bản dài dòng, khó hiểu. Thay vào đó, họ phải minh bạch, rõ ràng và nhận được một sự cho phép tường minh trước khi hành động. Tinh thần này tiếp tục được khẳng định mạnh mẽ trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
Một sự đồng ý hợp lệ cần đáp ứng những điều kiện và hình thức nào?
Theo Điều 11 Nghị định 13/2023/NĐ-CP, một sự đồng ý hợp lệ phải đáp ứng 4 điều kiện cốt lõi: (1) Phải tự nguyện; (2) Phải dựa trên việc được cung cấp đầy đủ thông tin; (3) Phải cụ thể, rõ ràng cho từng mục đích; và (4) Phải được thể hiện bằng một hình thức có thể được chứng minh, lưu trữ. Đặc biệt, sự im lặng không được coi là đồng ý.
Việc đảm bảo cả 4 điều kiện này là trách nhiệm của Bên Kiểm soát Dữ liệu. Thiếu một trong các yếu tố này có thể khiến sự đồng ý trở nên vô hiệu.
Điều kiện 1: Tự nguyện (Voluntary)
Chủ thể dữ liệu phải có một sự lựa chọn tự do thực sự. Họ không được bị ép buộc hoặc phải đối mặt với hậu quả tiêu cực nếu từ chối.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Tính tự nguyện là một thách thức lớn trong bối cảnh lao động. Một điều khoản trong hợp đồng lao động yêu cầu nhân viên ‘đồng ý cho công ty sử dụng dữ liệu cho mọi mục đích’ có nguy cơ cao bị xem là không tự nguyện, vì nhân viên ở thế yếu và khó có thể từ chối. Do đó, chúng tôi luôn tư vấn doanh nghiệp nên tách bạch: các hoạt động xử lý cần thiết cho hợp đồng thì không cần sự đồng ý, còn các hoạt động không cần thiết (như dùng ảnh làm marketing) thì phải dùng một văn bản thu thập sự đồng ý của người lao động riêng biệt.”
Điều kiện 2: Được thông báo đầy đủ (Informed)
Trước khi đồng ý, chủ thể dữ liệu phải biết rõ về:
- Loại dữ liệu cá nhân được xử lý.
- Mục đích xử lý dữ liệu.
- Tổ chức, cá nhân được xử lý dữ liệu.
- Các quyền và nghĩa vụ của mình.
Đây là lý do tại sao mọi cơ chế thu thập sự đồng ý đều phải đi kèm với một chính sách bảo vệ dữ liệu cá nhân rõ ràng.
Điều kiện 3: Cụ thể cho từng mục đích (Specific & Granular)
Sự đồng ý không thể được thu thập một cách gộp chung. Nếu có nhiều mục đích xử lý, doanh nghiệp phải liệt kê và cho phép người dùng lựa chọn đồng ý với từng mục đích một.
Điều kiện 4: Được thể hiện bằng các hình thức rõ ràng, có thể chứng minh
Sự đồng ý phải là một hành động khẳng định, không phải là sự im lặng. Các hình thức thể hiện sự đồng ý hợp lệ bao gồm:
| Hình thức | Ví dụ thực tế |
|---|---|
| Văn bản | Ký vào một phiếu đồng ý bằng giấy. |
| Giọng nói | Trả lời “Tôi đồng ý” trong một cuộc gọi được ghi âm (sau khi đã được thông báo). |
| Đánh dấu vào ô đồng ý | Tích vào một ô checkbox (không được đánh dấu sẵn) trên website. |
| Cú pháp tin nhắn | Soạn tin nhắn theo cú pháp “DK” hoặc “Dong y” gửi đến một đầu số. |
| Hành động khác | Nhấn vào nút “Chấp nhận” trên một banner đồng ý cookies. |
Những trường hợp nào được phép xử lý dữ liệu cá nhân mà không cần sự đồng ý?
Sự đồng ý không phải là cơ sở pháp lý duy nhất. Điều 17 Nghị định 13 đã quy định 5 trường hợp ngoại lệ không cần sự đồng ý, bao gồm các tình huống khẩn cấp, để thực hiện hợp đồng, hoặc để tuân thủ nghĩa vụ theo luật định.
Việc áp dụng các trường hợp này đòi hỏi sự cẩn trọng và doanh nghiệp phải có khả năng chứng minh sự cần thiết. Để tìm hiểu sâu hơn về 5 trường hợp này, bạn có thể tham khảo bài viết chi tiết: Khi nào xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu?
Chủ thể dữ liệu có những quyền gì liên quan đến sự đồng ý của mình?
Quyền quan trọng nhất liên quan trực tiếp đến sự đồng ý là “Quyền rút lại sự đồng ý”, được quy định tại Khoản 4, Điều 9 Nghị định 13. Điều này cho phép chủ thể dữ liệu có thể thay đổi quyết định của mình bất cứ lúc nào, và việc rút lại phải dễ dàng như khi họ đã đồng ý.
Quyền này đặt ra một nghĩa vụ quan trọng cho doanh nghiệp: phải cung cấp một cơ chế rút lại sự đồng ý rõ ràng và dễ tiếp cận.
- Ví dụ thực tế: Nếu bạn thu thập sự đồng ý nhận marketing qua một ô checkbox trên website, bạn phải cung cấp một đường link “Hủy đăng ký” (Unsubscribe) trong mỗi email marketing gửi đi.
- Lưu ý quan trọng: Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã diễn ra trước thời điểm rút lại.
Để tìm hiểu sâu hơn, bạn có thể đọc bài viết: Quyền rút lại sự đồng ý của chủ thể dữ liệu cá nhân.
DPVN: Dịch Vụ Tư Vấn và Xây Dựng Cơ Chế Thu Thập Sự Đồng Ý
Việc thiết kế một cơ chế thu thập sự đồng ý vừa tuân thủ pháp luật, vừa tối ưu hóa trải nghiệm người dùng là một thách thức lớn. Một quy trình sai có thể khiến toàn bộ hoạt động xử lý dữ liệu của bạn trở nên bất hợp pháp.
Đội ngũ của DPVN, với kinh nghiệm của Luật sư Nguyễn Lâm Sơn, chuyên tư vấn và xây dựng các giải pháp thu thập sự đồng ý hiệu quả, từ việc rà soát các luồng hiện tại, soạn thảo các thông báo, cho đến việc tư vấn triển khai các Nền tảng Quản lý Sự đồng ý (CMP). Hãy liên hệ với chúng tôi:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp về Sự đồng ý của chủ thể dữ liệu
1. Ô checkbox được đánh dấu sẵn có được coi là sự đồng ý hợp lệ không?
Không. Đây là một thực hành bị cấm vì nó vi phạm nguyên tắc “tự nguyện” và “rõ ràng”. Sự đồng ý phải là một hành động chủ động từ phía người dùng (họ phải tự tay đánh dấu vào ô đó).
2. Sự đồng ý có hiệu lực trong bao lâu?
Theo Khoản 9, Điều 11 Nghị định 13, sự đồng ý có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác (tức là rút lại sự đồng ý) hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu.
3. Ai có trách nhiệm chứng minh sự đồng ý?
Trách nhiệm chứng minh thuộc về Bên Kiểm soát Dữ liệu. Do đó, doanh nghiệp phải có một hệ thống để ghi lại và lưu trữ an toàn các bằng chứng về sự đồng ý (ví dụ: log về thời điểm, địa chỉ IP, và nội dung mà người dùng đã đồng ý).
4. Chế tài xử phạt khi vi phạm quy định về sự đồng ý là gì?
Xử lý dữ liệu mà không có sự đồng ý hợp lệ là một trong những hành vi bị nghiêm cấm. Theo Luật 91/2025/QH15, hành vi này có thể bị xử phạt hành chính lên tới 3 tỷ đồng, cùng với trách nhiệm bồi thường thiệt hại.
5. Sự đồng ý của trẻ em được quy định như thế nào?
Việc xử lý dữ liệu của trẻ em đòi hỏi một cơ chế đồng ý kép: phải có sự đồng ý của cha, mẹ hoặc người giám hộ, và đồng thời phải có sự đồng ý của chính trẻ em nếu trẻ từ đủ 7 tuổi trở lên.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- European Data Protection Board (EDPB) – Guidelines 05/2020 on consent: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en
- ICO (UK) – What is valid consent?: https://ico.org.uk/for-organisations/guide-to-data-protection/consent/
