Hướng Dẫn Soạn Thảo Văn Bản Chấp Thuận Xử Lý Dữ Liệu Cá Nhân

Avatar of baovedlcn

Ngày đăng -

baovedlcn Tư vấn Luật bảo vệ dữ liệu cá nhân

Việc sở hữu một mẫu văn bản chấp thuận xử lý dữ liệu cá nhân chuẩn pháp lý không chỉ giúp doanh nghiệp tuân thủ Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Nghị định 356/2025/NĐ-CP mà còn là “tấm khiên” vững chắc bảo vệ uy tín thương hiệu trước khách hàng. DPVN sẽ cung cấp hướng dẫn chi tiết từng bước để Quý doanh nghiệp có thể tự xây dựng biểu mẫu phù hợp, minh bạch và hiệu quả nhất.

Nội dung chính: Hướng dẫn soạn thảo văn bản chấp thuận, các nội dung bắt buộc theo luật mới 2026, và các hình thức lấy sự đồng ý hợp lệ.

Văn bản chấp thuận xử lý dữ liệu cá nhân là gì và tại sao lại bắt buộc?

Đây là văn bản (giấy hoặc điện tử) thể hiện sự đồng ý tự nguyện của chủ thể dữ liệu cho phép tổ chức xử lý dữ liệu của họ. Theo Điều 9 Luật 91/2025/QH15, sự đồng ý là cơ sở pháp lý quan trọng nhất; thiếu văn bản này, mọi hoạt động thu thập, xử lý dữ liệu đều bị coi là trái phép, trừ các trường hợp miễn trừ đặc biệt.

Trong kỷ nguyên số, dữ liệu cá nhân được ví như “tài sản mới”. Tuy nhiên, quyền quyết định đối với tài sản này thuộc về cá nhân. Văn bản chấp thuận chính là “chìa khóa” để doanh nghiệp mở cửa kho tài sản đó một cách hợp pháp.

Nếu doanh nghiệp của bạn đang thu thập thông tin khách hàng qua website, ứng dụng di động, hoặc quản lý hồ sơ nhân sự, việc thiếu một cơ chế lấy sự đồng ý rõ ràng có thể dẫn đến hậu quả nghiêm trọng. Mức phạt cho hành vi vi phạm quy định về sự đồng ý có thể lên tới hàng tỷ đồng theo Điều 8 Luật Bảo vệ dữ liệu cá nhân.

Để hiểu rõ hơn về tầm quan trọng của việc này, Quý vị có thể tham khảo bài viết Vai trò của hồ sơ đánh giá tác động trong bảo vệ dữ liệu cá nhân, trong đó sự đồng ý của chủ thể là một cấu phần không thể thiếu.

Nội dung bắt buộc trong văn bản chấp thuận gồm những gì?

Theo Khoản 2 Điều 9 Luật 91/2025/QH15 và Điều 6 Nghị định 356/2025/NĐ-CP, văn bản phải nêu rõ: Loại dữ liệu xử lý; Mục đích xử lý; Thông tin của bên kiểm soát/xử lý dữ liệu; và Các quyền, nghĩa vụ của chủ thể dữ liệu. Đặc biệt, đối với dữ liệu nhạy cảm, phải có cảnh báo riêng biệt.

Một văn bản chấp thuận hợp lệ không chỉ cần “đúng” mà còn phải “đủ”. Dưới đây là danh sách các thành phần cốt lõi mà DPVN khuyến nghị doanh nghiệp cần đưa vào:

Thành phần Yêu cầu chi tiết Lưu ý thực tiễn
Loại dữ liệu Liệt kê cụ thể: Họ tên, SĐT, Email, CCCD, dữ liệu sinh trắc học… Phân biệt rõ dữ liệu cơ bản và dữ liệu cá nhân nhạy cảm.
Mục đích xử lý Ghi rõ ràng từng mục đích: Cung cấp dịch vụ, gửi quảng cáo, chia sẻ đối tác… Tránh dùng cụm từ chung chung như “cải thiện dịch vụ” mà không giải thích thêm.
Thời gian lưu trữ Xác định thời hạn cụ thể hoặc tiêu chí xác định thời hạn. Tham khảo quy định về thời gian lưu trữ dữ liệu cá nhân của người lao động nếu áp dụng cho nhân sự.
Quyền của chủ thể Thông báo quyền xem, chỉnh sửa, xóa, rút lại sự đồng ý… Cung cấp thông tin liên hệ (Hotline/Email) để chủ thể thực hiện quyền.

Hình thức lấy sự đồng ý nào được coi là hợp lệ?

Điều 6 Nghị định 356/2025/NĐ-CP công nhận đa dạng hình thức: Văn bản giấy, tích chọn trên website (checkbox), tin nhắn SMS, email, ghi âm cuộc gọi. Quan trọng nhất là sự đồng ý phải được thể hiện rõ ràng, cụ thể và có thể kiểm chứng được (lưu vết).

Doanh nghiệp không nhất thiết phải in giấy tờ rườm rà. Trong môi trường số, sự linh hoạt là cần thiết. Dưới đây là các phương thức phổ biến:

  • Website/App: Sử dụng ô tích chọn (Checkbox) với nội dung “Tôi đã đọc và đồng ý…”. Lưu ý: Không được để mặc định tích sẵn (pre-ticked box).
  • Email/SMS: Khách hàng phản hồi xác nhận (ví dụ: Soạn “Y” gửi tổng đài).
  • Hợp đồng: Lồng ghép điều khoản chấp thuận vào hợp đồng dịch vụ hoặc hợp đồng lao động. Xem thêm: Thu thập sự đồng ý của người lao động bằng hợp đồng lao động.
  • Ghi âm: Trong các cuộc gọi Telesale, nhân viên phải đọc rõ thông báo và ghi nhận câu trả lời “Đồng ý” của khách hàng.

Lưu ý quan trọng từ DPVN: Sự im lặng hoặc không phản hồi của khách hàng KHÔNG được coi là sự đồng ý (Khoản 4 Điều 9 Luật 91/2025).

Quy trình 5 bước soạn thảo và triển khai văn bản chấp thuận hiệu quả

Để đảm bảo tính pháp lý và trải nghiệm người dùng, quy trình nên gồm: (1) Rà soát luồng dữ liệu; (2) Xác định mục đích xử lý; (3) Soạn thảo nội dung minh bạch; (4) Thiết kế giao diện lấy đồng ý thân thiện; (5) Lưu trữ bằng chứng đồng ý.

Dưới đây là hướng dẫn chi tiết từng bước:

Bước 1: Rà soát luồng dữ liệu (Data Mapping)

Xác định rõ doanh nghiệp đang thu thập những dữ liệu gì, từ nguồn nào, chuyển đi đâu. Điều này giúp xác định phạm vi cần xin chấp thuận.

Bước 2: Phân loại mục đích

Tách biệt các mục đích xử lý. Ví dụ: Mục đích cung cấp dịch vụ (cần thiết) và Mục đích tiếp thị (tùy chọn). Khách hàng có quyền đồng ý mục đích này nhưng từ chối mục đích kia.

Bước 3: Soạn thảo nội dung (Drafting)

Sử dụng ngôn ngữ đơn giản, dễ hiểu, tránh thuật ngữ pháp lý phức tạp. Đảm bảo đầy đủ các nội dung bắt buộc đã nêu ở trên. Tham khảo Mẫu phiếu yêu cầu cung cấp dữ liệu cá nhân để có thêm ý tưởng.

Bước 4: Triển khai kỹ thuật (Technical Implementation)

Tích hợp vào website/app. Thiết kế giao diện sao cho thông báo nổi bật, dễ đọc. Đảm bảo hệ thống backend ghi nhận được thời điểm (timestamp) và phiên bản văn bản mà khách hàng đã đồng ý.

Bước 5: Lưu trữ và Quản lý (Record Keeping)

Lưu trữ bằng chứng đồng ý để phục vụ thanh tra, kiểm tra. Hệ thống cần cho phép tra cứu và trích xuất lịch sử đồng ý của từng khách hàng.

Các lỗi thường gặp khiến văn bản chấp thuận bị vô hiệu

Các lỗi phổ biến bao gồm: Gộp chung nhiều mục đích vào một ô đồng ý; Sử dụng ngôn ngữ mập mờ; Không có tùy chọn từ chối; Ép buộc đồng ý như một điều kiện để sử dụng dịch vụ (đối với dữ liệu không thiết yếu).

Nhiều doanh nghiệp vẫn giữ thói quen cũ là sử dụng các điều khoản “gom tất cả”. Ví dụ: “Bằng việc sử dụng ứng dụng này, bạn đồng ý cho chúng tôi xử lý dữ liệu cho mọi mục đích”. Cách làm này hiện nay là rủi ro rất lớn.

Ngoài ra, việc không cập nhật văn bản khi thay đổi mục đích xử lý cũng là một lỗi nghiêm trọng. Khi có mục đích mới phát sinh, doanh nghiệp phải xin lại sự đồng ý. Quý vị có thể tìm hiểu thêm về Doanh Nghiệp Cần Thông Báo Trước Khi Xử Lý Dữ Liệu cá nhân như thế nào? để thực hiện đúng quy trình.

Bạn cần mẫu văn bản chấp thuận “chuẩn chỉnh” cho riêng doanh nghiệp mình?

Đừng để những sai sót nhỏ trong soạn thảo gây ra rủi ro pháp lý lớn. Hãy để đội ngũ chuyên gia của DPVN hỗ trợ bạn rà soát và xây dựng hệ thống biểu mẫu tuân thủ toàn diện.

DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân

Hotline: 0982976486

Email: info@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Liên hệ tư vấn ngay

Câu hỏi thường gặp (FAQ)

1. Tôi có thể dùng một mẫu văn bản chung cho nhân viên và khách hàng không?

Không nên. Mối quan hệ lao động và quan hệ thương mại có tính chất khác nhau. Dữ liệu nhân sự thường gắn với các quy định về Luật Lao động, BHXH, trong khi dữ liệu khách hàng liên quan nhiều đến Luật Bảo vệ người tiêu dùng. Bạn nên xây dựng hai mẫu riêng biệt để đảm bảo tính chính xác và phù hợp.

2. Nếu khách hàng không đồng ý, tôi có được từ chối cung cấp dịch vụ không?

Tùy trường hợp. Nếu dữ liệu đó là bắt buộc để thực hiện hợp đồng (ví dụ: địa chỉ để giao hàng), bạn có thể từ chối. Nhưng nếu dữ liệu chỉ để phục vụ mục đích phụ (như quảng cáo), bạn không được phép từ chối cung cấp dịch vụ chính chỉ vì khách hàng không đồng ý nhận quảng cáo.

3. Văn bản chấp thuận có cần công chứng không?

Không. Luật không yêu cầu công chứng. Tuy nhiên, văn bản cần được lưu trữ ở định dạng có thể kiểm chứng được (bản giấy có chữ ký hoặc log hệ thống điện tử) để làm bằng chứng khi cần thiết.

4. Tôi đã thu thập dữ liệu trước khi Luật có hiệu lực, giờ có phải xin lại sự đồng ý không?

Theo Điều 39 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, nếu bạn đã thu thập dữ liệu và có sự đồng ý theo quy định của Nghị định 13/2023/NĐ-CP trước đó, bạn có thể tiếp tục sử dụng mà không cần xin lại, trừ khi bạn thay đổi mục đích xử lý.

5. Dữ liệu trẻ em cần lấy sự đồng ý như thế nào?

Đối với trẻ em từ 7 tuổi trở lên, cần có sự đồng ý của cả trẻ em và cha mẹ/người giám hộ. Đối với trẻ em dưới 7 tuổi, chỉ cần sự đồng ý của cha mẹ/người giám hộ. Xem chi tiết tại: Quy định về bảo vệ dữ liệu cá nhân của trẻ em.

Nguồn tham khảo:

  • Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
  • Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
  • DPVN: Các biểu mẫu và hướng dẫn tuân thủ pháp luật về dữ liệu.
  • Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao: Hướng dẫn về bảo vệ dữ liệu cá nhân.
  • GDPR.eu: Consent guidelines under GDPR (Tham khảo so sánh).
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486