Thế nào là Sự Đồng Ý Của Chủ Thể Dữ Liệu Cá Nhân Hợp Lệ?

Sự đồng ý của chủ thể dữ liệu cá nhân hợp lệ là yêu cầu bắt buộc và là nền tảng cho mọi hoạt động xử lý dữ liệu cá nhân đúng pháp luật. Để đảm bảo tuân thủ và vận hành an toàn, DPO.VN mang đến giải pháp toàn diện giúp doanh nghiệp hiểu rõ và áp dụng chính xác các quy định về việc chấp thuận xử lý thông tin. Nắm vững định nghĩa sự đồng ý, cách thức thu thập hợp lệ, và các điều kiện pháp lý.

Điều Gì Cấu Thành Sự Đồng Ý Hợp Lệ Của Chủ Thể Dữ Liệu Theo Pháp Luật Việt Nam?

Một sự đồng ý hợp lệ phải dựa trên nguyên tắc tự nguyện, chủ thể dữ liệu được cung cấp đầy đủ thông tin, thể hiện một cách rõ ràng, cụ thể và cho từng mục đích xử lý riêng biệt. Đây là yêu cầu cốt lõi được quy định tại cả Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.

Trong môi trường pháp lý ngày càng chặt chẽ, việc hiểu đúng và đủ về sự đồng ý của chủ thể dữ liệu không còn là lựa chọn mà là một nghĩa vụ bắt buộc đối với mọi doanh nghiệp. Sự đồng ý không chỉ là một cú nhấp chuột vào ô đồng ý, mà là một quy trình pháp lý phức tạp đòi hỏi sự minh bạch và trách nhiệm từ phía doanh nghiệp. Pháp luật Việt Nam đã xác định rõ các yếu tố cấu thành một sự chấp thuận hợp lệ, nhằm bảo vệ quyền lợi chính đáng của người dân và tạo ra một sân chơi công bằng cho các tổ chức.

Bốn Yếu Tố Cốt Lõi Của Sự Đồng Ý Hợp Lệ Là Gì?

Một sự đồng ý được coi là hợp lệ khi đáp ứng đủ 4 yếu tố: (1) Tự nguyện; (2) Dựa trên việc biết rõ thông tin; (3) Được thể hiện rõ ràng và cụ thể; và (4) Được tiến hành cho từng mục đích xử lý riêng biệt.

Để một sự đồng ý được pháp luật công nhận, nó phải hội tụ đầy đủ các yếu tố nền tảng. Thiếu một trong các yếu tố này có thể khiến toàn bộ quá trình thu thập và xử lý dữ liệu trở nên vô hiệu và đẩy doanh nghiệp vào rủi ro pháp lý.

• Tính tự nguyện: Đây là yếu tố tiên quyết. Theo Điều 11 khoản 2 Nghị định 13/2023/NĐ-CP và Điều 9 khoản 2 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, chủ thể dữ liệu phải đưa ra quyết định một cách tự do, không bị ép buộc, lừa dối hay chịu bất kỳ áp lực nào. Doanh nghiệp không được phép từ chối cung cấp dịch vụ chỉ vì người dùng không đồng ý cho các hoạt động xử lý dữ liệu không cần thiết cho dịch vụ đó.
• Dựa trên việc biết rõ thông tin: Chủ thể dữ liệu chỉ có thể đưa ra quyết định tự nguyện khi họ hiểu rõ dữ liệu của mình sẽ được xử lý như thế nào. Điều 11 khoản 2 Nghị định 13/2023/NĐ-CP yêu cầu doanh nghiệp phải cung cấp thông tin một cách rõ ràng về: loại dữ liệu cá nhân được xử lý, mục đích xử lý, tổ chức/cá nhân được xử lý, và các quyền, nghĩa vụ của chủ thể dữ liệu.
• Thể hiện rõ ràng và cụ thể: Sự đồng ý phải được thể hiện thông qua một hành động khẳng định, không thể suy diễn. Điều 11 khoản 3 Nghị định 13/2023/NĐ-CP liệt kê các hình thức hợp lệ như: văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, hoặc các thiết lập kỹ thuật.
• Cho từng mục đích xử lý: Điều 11 khoản 4 Nghị định 13/2023/NĐ-CP yêu cầu khi có nhiều mục đích xử lý dữ liệu, doanh nghiệp phải liệt kê từng mục đích để chủ thể dữ liệu có thể đồng ý với một hoặc nhiều mục đích. Không được phép gộp chung nhiều mục đích vào một lần xin chấp thuận duy nhất.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Một sai lầm phổ biến là doanh nghiệp gộp chung việc đồng ý với điều khoản dịch vụ và đồng ý cho mục đích tiếp thị. Theo luật, đây là hai mục đích riêng biệt và phải có sự đồng ý riêng. Việc tách bạch này thể hiện sự tôn trọng đối với quyền tự quyết của người dùng và là yêu cầu bắt buộc để đảm bảo sự đồng ý hợp lệ.

Im lặng có được xem là đồng ý không?

Tuyệt đối không. Cả Nghị định 13/2023/NĐ-CP (Điều 11 khoản 6) và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (Điều 9 khoản 4) đều khẳng định rằng sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.

Đây là một trong những quy định rõ ràng và quan trọng nhất, chấm dứt các hình thức thu thập sự đồng ý ngầm hoặc mặc định. Doanh nghiệp không thể cho rằng khách hàng đồng ý chỉ vì họ không phản đối. Các ô đánh dấu sẵn (pre-ticked boxes) cũng không được xem là hợp lệ, vì nó không thể hiện một hành động đồng ý chủ động từ phía người dùng. Sự đồng ý phải là kết quả của một hành động khẳng định từ chủ thể dữ liệu.

Doanh Nghiệp Có Thể Thu Thập Sự Đồng Ý Bằng Những Hình Thức Nào?

Pháp luật cho phép nhiều hình thức thu thập sự đồng ý, miễn là chúng rõ ràng, cụ thể và có thể được lưu trữ để kiểm chứng, bao gồm văn bản giấy, hợp đồng điện tử, giọng nói, tin nhắn SMS, hoặc các hành động kỹ thuật khẳng định trên nền tảng số.

Việc lựa chọn hình thức thu thập sự đồng ý phụ thuộc vào bối cảnh tương tác giữa doanh nghiệp và chủ thể dữ liệu. Điều quan trọng là hình thức được chọn phải tạo ra một bằng chứng có thể kiểm chứng được.

Các phương thức thu thập sự đồng ý được pháp luật công nhận là gì?

Điều 11 khoản 3 Nghị định 13/2023/NĐ-CP quy định sự đồng ý phải được thể hiện rõ ràng qua văn bản, giọng nói, đánh dấu ô đồng ý, cú pháp tin nhắn, chọn thiết lập kỹ thuật, hoặc hành động khẳng định khác.

Dưới đây là phân tích các hình thức phổ biến và cách áp dụng đúng luật:

Doanh nghiệp cần lưu trữ bằng chứng về sự đồng ý như thế nào?

Doanh nghiệp phải lưu trữ bằng chứng ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dạng điện tử hoặc định dạng kiểm chứng được, theo quy định tại Điều 11 khoản 5 Nghị định 13/2023/NĐ-CP.

Việc lưu trữ bằng chứng không chỉ là yêu cầu pháp lý mà còn là công cụ tự vệ quan trọng cho doanh nghiệp. DPO.VN khuyến nghị doanh nghiệp nên thiết lập một hệ thống quản lý sự đồng ý (Consent Management Platform – CMP) để ghi lại các thông tin quan trọng sau:

• Ai đã đồng ý: Thông tin định danh của chủ thể dữ liệu (ví dụ: ID người dùng, email).
• Khi nào họ đồng ý: Dấu thời gian (timestamp) chính xác của hành động đồng ý.
• Họ đã đồng ý với điều gì: Phiên bản chính xác của văn bản/thông báo mà họ đã xem và đồng ý.
• Họ đồng ý bằng cách nào: Phương thức đồng ý (ví dụ: đánh dấu ô, cú pháp SMS).
• Lịch sử sự đồng ý: Ghi lại cả thời điểm rút lại sự đồng ý hoặc thay đổi sự đồng ý.

Doanh Nghiệp Cần Xử Lý Yêu Cầu Rút Lại Sự Đồng Ý Của Chủ Thể Dữ Liệu Ra Sao?

Khi nhận được yêu cầu rút lại sự đồng ý, doanh nghiệp phải thông báo cho chủ thể dữ liệu về hậu quả có thể xảy ra, sau đó ngừng xử lý dữ liệu và yêu cầu các bên liên quan cùng thực hiện.

Quyền rút lại sự đồng ý là một trong những quyền cơ bản của chủ thể dữ liệu cá nhân, được quy định tại Điều 9 khoản 4 Nghị định 13/2023/NĐ-CP. Doanh nghiệp cần xây dựng một quy trình rõ ràng để xử lý các yêu cầu này một cách hiệu quả và tuân thủ pháp luật.

Quy trình tiếp nhận và thực hiện yêu cầu rút lại sự đồng ý là gì?

Quy trình bao gồm các bước: Tiếp nhận yêu cầu, xác minh danh tính, thông báo hậu quả, và thực hiện ngừng xử lý dữ liệu trong thời gian quy định.

Điều 12 Nghị định 13/2023/NĐ-CP quy định chi tiết về việc rút lại sự đồng ý. DPO.VN khuyến nghị quy trình 4 bước sau:

1. Tiếp nhận yêu cầu: Cung cấp các kênh dễ tiếp cận để chủ thể dữ liệu gửi yêu cầu (ví dụ: email, biểu mẫu trực tuyến, tổng đài). Yêu cầu phải được thể hiện ở định dạng có thể lưu trữ được (văn bản, email, bản ghi âm).
2. Xác minh danh tính: Thực hiện các bước cần thiết để xác minh người yêu cầu chính là chủ thể dữ liệu, tránh việc lạm dụng.
3. Thông báo hậu quả: Trước khi thực hiện, doanh nghiệp phải thông báo cho chủ thể dữ liệu về hậu quả hoặc thiệt hại có thể xảy ra khi rút lại sự đồng ý (ví dụ: không thể nhận được thông tin khuyến mại, một số tính năng của dịch vụ bị hạn chế).
4. Thực hiện yêu cầu: Ngừng xử lý dữ liệu và yêu cầu Bên Xử lý dữ liệu, Bên thứ ba liên quan cùng ngừng xử lý. Cần lưu ý, việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã diễn ra trước đó.

Doanh nghiệp cần thông báo những hậu quả gì khi sự đồng ý bị rút lại?

Doanh nghiệp phải thông báo rõ ràng về các hậu quả trực tiếp, hợp lý và có thể dự đoán được, ví dụ như việc không thể tiếp tục sử dụng một dịch vụ, mất quyền lợi thành viên, hoặc không nhận được các thông báo quan trọng.

Việc thông báo hậu quả (quy định tại Điều 12 khoản 3 Nghị định 13/2023/NĐ-CP) phải được thực hiện một cách trung thực và không mang tính đe dọa. Mục đích là để chủ thể dữ liệu đưa ra quyết định cuối cùng sau khi đã cân nhắc đầy đủ. Ví dụ, nếu khách hàng rút lại sự đồng ý cho phép xử lý dữ liệu vị trí, doanh nghiệp cần thông báo rằng ứng dụng sẽ không thể cung cấp tính năng tìm cửa hàng gần nhất.

Trách Nhiệm Chứng Minh Sự Đồng Ý Thuộc Về Ai và Cần Chuẩn Bị Gì?

Trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân. Doanh nghiệp cần chuẩn bị sẵn sàng các hồ sơ, nhật ký hệ thống và bằng chứng lưu trữ để chứng minh sự tuân thủ.

Điều 11 khoản 10 Nghị định 13/2023/NĐ-CP quy định rất rõ ràng: Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân. Đây là nguyên tắc trách nhiệm giải trình được cụ thể hóa. Điều này có nghĩa là, doanh nghiệp không thể cho rằng mình vô tội cho đến khi bị chứng minh có tội; ngược lại, doanh nghiệp phải chủ động chứng minh mình đã làm đúng ngay từ đầu. Để chuẩn bị, doanh nghiệp cần lưu trữ cẩn thận tất cả các bằng chứng về sự đồng ý như đã nêu ở phần trên, đảm bảo chúng luôn sẵn sàng để trình diện khi có yêu cầu từ cơ quan chức năng hoặc trong quá trình giải quyết tranh chấp.

Có Trường Hợp Nào Được Xử Lý Dữ Liệu Cá Nhân Mà Không Cần Sự Đồng Ý Không?

Có. Pháp luật quy định một số trường hợp ngoại lệ cho phép xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu, chủ yếu liên quan đến các tình huống khẩn cấp, an ninh quốc gia, thực hiện nghĩa vụ hợp đồng và yêu cầu của cơ quan nhà nước.

Mặc dù sự đồng ý là nguyên tắc nền tảng, pháp luật cũng dự liệu các tình huống đặc biệt mà việc yêu cầu sự đồng ý là không thực tế hoặc có thể gây hại cho lợi ích chung. Điều 17 Nghị định 13/2023/NĐ-CP và Điều 19 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 liệt kê các trường hợp này.

5 trường hợp ngoại lệ được pháp luật quy định là gì?

Các trường hợp chính bao gồm: (1) Tình huống khẩn cấp để bảo vệ tính mạng, sức khỏe; (2) Công khai dữ liệu theo luật định; (3) Phục vụ an ninh quốc gia, trật tự xã hội; (4) Thực hiện nghĩa vụ theo hợp đồng; và (5) Phục vụ hoạt động của cơ quan nhà nước.

Dưới đây là chi tiết các trường hợp được miễn trừ nghĩa vụ xin phép đồng ý:

• Trường hợp khẩn cấp: Để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Ví dụ, bệnh viện có thể xử lý dữ liệu sức khỏe của một bệnh nhân bất tỉnh để cấp cứu mà không cần chờ sự đồng ý.
• Công khai dữ liệu theo quy định của luật: Một số thông tin cá nhân có thể được công khai theo yêu cầu của pháp luật chuyên ngành.
• Vì an ninh quốc gia, trật tự xã hội: Cơ quan nhà nước có thẩm quyền xử lý dữ liệu trong các tình huống khẩn cấp về quốc phòng, an ninh, phòng chống tội phạm.
• Thực hiện nghĩa vụ theo hợp đồng: Xử lý dữ liệu cần thiết để thực hiện các nghĩa vụ trong hợp đồng mà chủ thể dữ liệu là một bên. Ví dụ, công ty vận chuyển xử lý địa chỉ của khách hàng để giao hàng theo đơn đặt hàng.
• Phục vụ hoạt động của cơ quan nhà nước: Các hoạt động đã được quy định theo luật chuyên ngành.

Hiểu rõ các yếu tố và quy trình liên quan đến sự đồng ý của chủ thể dữ liệu là bước đi chiến lược giúp doanh nghiệp không chỉ tuân thủ pháp luật mà còn xây dựng được lòng tin vững chắc nơi khách hàng, tạo lợi thế cạnh tranh bền vững trong kỷ nguyên số.

Các Câu Hỏi Thường Gặp Về Sự Đồng Ý Của Chủ Thể Dữ Liệu

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Luật An ninh mạng 24/2018/QH14.
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15
• Thủ tục hành chính liên quan đến bảo vệ dữ liệu cá nhân.
• Information Commissioner’s Office – ICO UK: Guidance on Consent.