Xây dựng biểu mẫu thu thập sự đồng ý của chủ thể dữ liệu

Avatar of baovedlcn

Ngày đăng -

baovedlcn Tư vấn Luật bảo vệ dữ liệu cá nhân

Xây dựng biểu mẫu thu thập sự đồng ý của chủ thể dữ liệu chuẩn xác là bước đầu tiên và quan trọng nhất để doanh nghiệp đảm bảo tính hợp pháp khi xử lý dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. DPVN sẽ cung cấp hướng dẫn chi tiết, các mẫu câu chuẩn và lưu ý pháp lý giúp Quý doanh nghiệp thiết lập cơ chế đồng ý minh bạch, hiệu quả và đúng luật.

Nội dung chính: Hướng dẫn soạn thảo nội dung, hình thức biểu mẫu đồng ý hợp lệ và tải về các mẫu tham khảo chuẩn chỉnh theo quy định mới nhất năm 2026.

Tại sao biểu mẫu đồng ý lại quan trọng đến vậy?

Sự đồng ý của chủ thể dữ liệu là một trong những cơ sở pháp lý quan trọng nhất để xử lý dữ liệu (Điều 9 Luật 91/2025/QH15). Một biểu mẫu không đạt chuẩn (ví dụ: không rõ ràng, ép buộc đồng ý) sẽ khiến sự đồng ý đó vô hiệu, dẫn đến toàn bộ hoạt động xử lý dữ liệu trở thành trái phép và doanh nghiệp có thể bị phạt nặng.

Trong thực tế tư vấn, DPVN thường gặp các lỗi sai phổ biến như: sử dụng ô tích chọn sẵn (pre-ticked box), gộp nhiều mục đích xử lý vào một lần đồng ý, hoặc ngôn ngữ pháp lý quá khó hiểu. Điều 9 Luật Bảo vệ dữ liệu cá nhân yêu cầu sự đồng ý phải dựa trên sự tự nguyện và được biết rõ thông tin. Do đó, biểu mẫu không chỉ là một thủ tục hành chính, mà là bằng chứng bảo vệ doanh nghiệp trước các tranh chấp pháp lý.

Quý vị có thể tìm hiểu thêm về các hình thức thể hiện sự đồng ý hợp lệ tại bài viết 5+ Hình thức thể hiện sự đồng ý xử lý dữ liệu cá nhân.

Nội dung bắt buộc phải có trong biểu mẫu thu thập sự đồng ý là gì?

Theo Khoản 2 Điều 9 Luật 91/2025/QH15, trước khi xin sự đồng ý, doanh nghiệp phải thông báo rõ ràng cho chủ thể dữ liệu về: Loại dữ liệu xử lý, Mục đích xử lý, Tổ chức/cá nhân xử lý (Bên kiểm soát, bên xử lý), và Quyền, nghĩa vụ của chủ thể dữ liệu.

Một biểu mẫu chuẩn cần bao gồm các thành phần sau:

Thành phần Yêu cầu chi tiết Ví dụ minh họa
Loại dữ liệu Liệt kê cụ thể, đặc biệt lưu ý tách biệt dữ liệu nhạy cảm. “Chúng tôi thu thập: Họ tên, Số điện thoại, Email và Dữ liệu sức khỏe (nhịp tim) của bạn.”
Mục đích xử lý Phải cụ thể, rõ ràng cho từng mục đích. Không dùng từ chung chung. “Để giao hàng”, “Để gửi tin nhắn quảng cáo”, “Để phân tích thói quen người dùng”.
Bên xử lý Tên đầy đủ của Bên Kiểm soát và các bên thứ ba (nếu có chia sẻ). “Dữ liệu được xử lý bởi Công ty ABC và đối tác vận chuyển XYZ.”
Quyền rút lại sự đồng ý Thông báo rõ quyền được rút lại sự đồng ý bất cứ lúc nào. “Bạn có thể hủy đăng ký nhận tin quảng cáo bất kỳ lúc nào bằng cách…”

Đặc biệt, nếu doanh nghiệp thu thập dữ liệu cá nhân nhạy cảm (như thông tin sức khỏe, sinh trắc học, tài chính), biểu mẫu phải có cảnh báo riêng biệt và nổi bật để khách hàng nhận thức rõ rủi ro.

Các hình thức biểu mẫu thu thập sự đồng ý phổ biến hiện nay?

Sự đồng ý có thể được thể hiện qua văn bản giấy, thông điệp dữ liệu (email, tin nhắn), nút tích chọn trên website/app, hoặc hành động xác thực khác (OTP). Điều quan trọng là phải có khả năng lưu trữ và kiểm chứng được sau này (Điều 6 Nghị định 356/2025/NĐ-CP).

1. Biểu mẫu trên Website/Ứng dụng (Digital Consent)

Đây là hình thức phổ biến nhất. Doanh nghiệp thường sử dụng:

  • Checkbox (Ô tích chọn): Người dùng phải chủ động tích vào ô “Tôi đồng ý…”. Lưu ý: Ô tích sẵn (Pre-ticked box) là KHÔNG hợp lệ.
  • Pop-up thông báo Cookie: Yêu cầu người dùng “Chấp nhận” hoặc “Tùy chỉnh” loại cookie được thu thập.
  • Nút xác nhận (Clickwrap): Nút “Đăng ký” hoặc “Gửi” đi kèm với dòng chữ “Bằng việc nhấp vào nút này, bạn đồng ý với Chính sách bảo mật…”.

Để tối ưu trải nghiệm người dùng mà vẫn đúng luật, xem thêm 5 hình thức lấy sự đồng ý của khách hàng hợp lệ.

2. Biểu mẫu văn bản giấy (Physical Form)

Thường dùng trong các giao dịch trực tiếp như tại quầy ngân hàng, bệnh viện, hoặc khi ký hợp đồng lao động. Doanh nghiệp nên tách riêng phần “Đồng ý xử lý dữ liệu” thành một mục riêng hoặc một phụ lục đính kèm hợp đồng để đảm bảo sự chú ý của khách hàng. Tham khảo thêm Thu thập sự đồng ý của người lao động bằng hợp đồng lao động.

Làm thế nào để lưu trữ bằng chứng sự đồng ý đúng quy định?

Doanh nghiệp có nghĩa vụ chứng minh đã nhận được sự đồng ý (Khoản 2 Điều 6 Nghị định 356). Hệ thống cần lưu trữ logfile (nhật ký hệ thống) ghi lại: Thời gian đồng ý (Timestamp), Phương thức đồng ý (IP, thiết bị, checkbox), và Nội dung chính sách tại thời điểm đó (Version control).

Việc lưu trữ bằng chứng không chỉ là yêu cầu kỹ thuật mà là tấm khiên bảo vệ doanh nghiệp. Khi có thanh tra hoặc khiếu nại, logfile chính là bằng chứng thép. Đối với văn bản giấy, cần lưu trữ bản gốc có chữ ký hoặc bản scan chất lượng cao.

Bạn cần mẫu biểu mẫu đồng ý chuẩn chỉnh cho từng ngành nghề?

Đừng để những sai sót nhỏ trong biểu mẫu gây ra hậu quả pháp lý lớn. DPVN cung cấp dịch vụ soạn thảo và rà soát biểu mẫu thu thập sự đồng ý chuyên nghiệp, phù hợp với mô hình kinh doanh của bạn.

DPVN – Chuyên gia pháp lý về Bảo vệ dữ liệu cá nhân

Hotline: 0982976486

Email: info@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Liên hệ tư vấn ngay

Câu hỏi thường gặp (FAQ)

1. Có thể cài đặt ô tích sẵn (pre-ticked box) để thuận tiện cho khách hàng không?

Không. Khoản 3 Điều 6 Nghị định 356/2025/NĐ-CP quy định rõ: “Bên kiểm soát dữ liệu cá nhân không được thiết lập phương thức mặc định đồng ý”. Sự im lặng hoặc không phản hồi cũng không được coi là sự đồng ý.

2. Tôi có thể gộp chung đồng ý nhận quảng cáo và đồng ý điều khoản sử dụng dịch vụ không?

Không nên. Luật yêu cầu sự đồng ý phải “thể hiện sự đồng ý đối với từng mục đích” (Khoản 4 Điều 9 Luật 91/2025). Bạn nên tách riêng ô tích chọn cho mục đích tiếp thị/quảng cáo để khách hàng có quyền lựa chọn.

3. Biểu mẫu đồng ý có cần thiết khi xử lý dữ liệu theo hợp đồng không?

Nếu việc xử lý dữ liệu là cần thiết để thực hiện hợp đồng với chủ thể dữ liệu (Điều 19 Luật 91/2025), bạn có thể không cần xin sự đồng ý riêng biệt. Tuy nhiên, vẫn cần thông báo rõ ràng trong hợp đồng về hoạt động xử lý dữ liệu này.

4. Khách hàng rút lại sự đồng ý thì phải làm sao?

Doanh nghiệp phải ngừng xử lý dữ liệu ngay lập tức (hoặc trong thời hạn quy định) và xóa dữ liệu nếu không còn cơ sở pháp lý khác để lưu trữ. Quy trình rút lại sự đồng ý phải đơn giản tương đương với quy trình đồng ý ban đầu.

5. Dữ liệu trẻ em thì thu thập sự đồng ý như thế nào?

Đối với trẻ em từ đủ 7 tuổi trở lên, cần có sự đồng ý của cả trẻ em và cha mẹ/người giám hộ. Đối với trẻ em dưới 7 tuổi, chỉ cần sự đồng ý của cha mẹ/người giám hộ (Điều 24 Luật 91/2025/QH15). Tham khảo thêm Quy định về bảo vệ dữ liệu cá nhân của trẻ em.

Nguồn tham khảo:

  • Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
  • Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
  • Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
  • DPVN: Các bài viết chuyên sâu về biểu mẫu và quy trình thu thập sự đồng ý.
  • ICO (Information Commissioner’s Office UK): Guidelines on Consent under GDPR.
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486