5+ Hình Thức Thể Hiện Sự Đồng Ý Xử Lý Dữ Liệu Cá Nhân Hợp Lệ

Hình thức thể hiện sự đồng ý xử lý dữ liệu cá nhân là yếu tố pháp lý then chốt, xác định tính hợp pháp cho mọi hoạt động thu thập và sử dụng thông tin của khách hàng. Việc áp dụng đúng các phương thức này không chỉ giúp doanh nghiệp tuân thủ nghiêm ngặt Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025, mà còn là nền tảng để DPO.VN hỗ trợ xây dựng lòng tin vững chắc, giảm thiểu rủi ro pháp lý và tối ưu hóa quy trình quản trị dữ liệu.

Các hình thức thể hiện sự đồng ý nào được pháp luật công nhận?

Theo quy định tại Điều 6 Nghị định số 356/2025/NĐ-CP được Chính phủ ban hành quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân, có 5 hình thức chính để thể hiện sự đồng ý: bằng văn bản, cuộc gọi ghi âm, qua tin nhắn, qua thư điện tử/website/ứng dụng, và các phương thức cụ thể khác phù hợp có thể kiểm chứng được.

Sự đồng ý của chủ thể dữ liệu là cơ sở pháp lý quan trọng nhất trong hầu hết các hoạt động xử lý dữ liệu. Việc lựa chọn hình thức phù hợp không chỉ phụ thuộc vào bối cảnh thu thập mà còn phải đảm bảo tính xác thực và khả năng lưu trữ bằng chứng. Dưới đây là chi tiết về các hình thức được công nhận:

1. Sự đồng ý bằng văn bản (Văn bản giấy)

Đây là hình thức truyền thống và có giá trị chứng minh pháp lý cao nhất. Chủ thể dữ liệu sẽ ký tên trực tiếp vào các biểu mẫu, hợp đồng hoặc bản cam kết. Hình thức này thường được áp dụng trong các giao dịch trực tiếp tại quầy, ký kết hợp đồng lao động, hoặc khi xử lý dữ liệu cá nhân nhạy cảm đòi hỏi sự thận trọng cao. Văn bản cần ghi rõ các nội dung về mục đích, loại dữ liệu và quyền lợi của chủ thể.

2. Sự đồng ý qua tích chọn trên môi trường điện tử (Checkbox)

Trên các nền tảng số như website hay ứng dụng di động, việc tích vào ô “Tôi đồng ý” (checkbox) là hình thức phổ biến nhất. Tuy nhiên, để hợp lệ, ô này không được tích sẵn (mặc định). Chủ thể dữ liệu phải thực hiện hành động tích chọn một cách chủ động. Hệ thống cần ghi nhận lại thời điểm (timestamp) và nội dung mà người dùng đã đồng ý để phục vụ công tác hậu kiểm.

3. Sự đồng ý qua tin nhắn (SMS) hoặc thư điện tử (Email)

Doanh nghiệp có thể gửi thông báo và yêu cầu chủ thể dữ liệu phản hồi sự đồng ý qua tin nhắn SMS (ví dụ: soạn tin “Y” gửi tổng đài) hoặc qua Email (nhấn vào liên kết xác nhận). Hình thức này phù hợp cho các chiến dịch marketing, xác nhận giao dịch hoặc cập nhật chính sách mới. Lưu ý, nội dung tin nhắn/email phải rõ ràng, không gây hiểu lầm.

4. Sự đồng ý bằng giọng nói (Ghi âm cuộc gọi)

Trong các hoạt động tổng đài chăm sóc khách hàng (Call Center) hoặc bán hàng qua điện thoại (Telesales), sự đồng ý có thể được thể hiện bằng lời nói. Tuy nhiên, cuộc gọi này bắt buộc phải được ghi âm và lưu trữ. Trước khi ghi âm, nhân viên phải thông báo cho khách hàng biết về việc cuộc gọi đang được ghi âm để làm bằng chứng cho sự đồng ý.

5. Sự đồng ý qua hành động cụ thể khác (Opt-in)

Ngoài các hình thức trên, pháp luật còn công nhận các hành động thể hiện sự đồng ý rõ ràng khác, miễn là có thể kiểm chứng được. Ví dụ: Quét mã QR để đăng ký tham gia sự kiện, đi qua cổng kiểm soát có nhận diện khuôn mặt (sau khi đã được thông báo rõ ràng và có lối đi khác cho người không đồng ý), hoặc các thao tác vuốt/chạm trên màn hình cảm ứng được thiết kế chuyên biệt để xác nhận đồng ý.

Điều kiện nào để sự đồng ý được coi là hợp lệ theo quy định?

Sự đồng ý chỉ hợp lệ khi đảm bảo 4 yếu tố: Tự nguyện, Được thông báo đầy đủ, Cụ thể và rõ ràng, và Có thể kiểm chứng được. Mọi hình thức ép buộc, lừa dối hoặc thiết lập mặc định đồng ý đều vô hiệu.

Sở hữu một “cái gật đầu” từ khách hàng là chưa đủ, doanh nghiệp cần đảm bảo cái gật đầu đó đáp ứng đầy đủ các tiêu chuẩn pháp lý khắt khe. Điều 11 Nghị định 13/2023/NĐ-CP và Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025 đặt ra các nguyên tắc vàng cho một sự đồng ý hợp lệ:

Tính tự nguyện và không bị ép buộc

Chủ thể dữ liệu phải có quyền tự do thực sự trong việc lựa chọn. Doanh nghiệp không được lấy việc cung cấp dịch vụ làm điều kiện bắt buộc để đổi lấy sự đồng ý xử lý dữ liệu (trừ khi dữ liệu đó là tối cần thiết để thực hiện hợp đồng). Ví dụ: Không thể bắt buộc người dùng đồng ý nhận email quảng cáo mới cho phép họ tải tài liệu hướng dẫn sử dụng.

Được cung cấp thông tin đầy đủ (Informed Consent)

Trước khi đồng ý, chủ thể dữ liệu phải biết rõ: Dữ liệu nào bị thu thập? Mục đích là gì? Ai sẽ xử lý? Dữ liệu có bị chuyển cho bên thứ 3 hay ra nước ngoài không? Quyền lợi của họ là gì? Thông báo xử lý dữ liệu cá nhân phải được trình bày bằng ngôn ngữ dễ hiểu, không dùng thuật ngữ chuyên môn đánh đố.

Sự đồng ý phải cụ thể và rõ ràng

Sự đồng ý không được chung chung. Doanh nghiệp cần tách biệt các mục đích xử lý khác nhau. Ví dụ: Một ô tích cho việc “Đồng ý Điều khoản sử dụng” và một ô tích riêng cho “Đồng ý nhận tin nhắn tiếp thị”. Điều này giúp minh bạch hóa quy trình và trao quyền kiểm soát thực sự cho người dùng.

Làm thế nào để xây dựng biểu mẫu thu thập sự đồng ý chuẩn pháp lý?

Biểu mẫu chuẩn cần tách biệt rõ ràng các mục đích, sử dụng ngôn ngữ đơn giản, tránh các ô tích sẵn, và bao gồm đầy đủ thông tin về quyền rút lại sự đồng ý cũng như thông tin liên hệ của bộ phận bảo vệ dữ liệu.

Thiết kế biểu mẫu thu thập sự đồng ý không chỉ là vấn đề kỹ thuật mà còn là nghệ thuật pháp lý. Dưới đây là các bước và lưu ý quan trọng DPO.VN khuyến nghị:

• Tiêu đề rõ ràng: Sử dụng tiêu đề như “Phiếu xin ý kiến đồng ý xử lý dữ liệu” thay vì ẩn trong “Chính sách bảo mật”.
• Liệt kê mục đích dạng danh sách: Trình bày từng mục đích (ví dụ: Xử lý đơn hàng, Gửi khuyến mãi, Chia sẻ đối tác) kèm theo ô tích chọn (checkbox) riêng biệt cho mỗi mục.
• Nổi bật quyền rút lại: Ghi rõ câu “Bạn có thể rút lại sự đồng ý bất kỳ lúc nào bằng cách…” ngay trên biểu mẫu để người dùng yên tâm.
• Tránh kỹ thuật “Dark Patterns”: Không dùng màu sắc, kích thước chữ hoặc vị trí nút bấm để đánh lừa người dùng chọn đồng ý. Sự minh bạch tạo nên uy tín bền vững.

Trách nhiệm chứng minh sự đồng ý thuộc về ai khi có tranh chấp?

Trách nhiệm chứng minh hoàn toàn thuộc về Bên Kiểm soát dữ liệu và Bên Kiểm soát và xử lý dữ liệu. Doanh nghiệp phải lưu trữ bằng chứng (log hệ thống, văn bản ký kết, file ghi âm) để xuất trình khi có yêu cầu từ cơ quan chức năng hoặc chủ thể dữ liệu.

Theo Điều 38 Nghị định 13, nghĩa vụ chứng minh sự đồng ý là một trong những trách nhiệm giải trình quan trọng nhất. Khi có khiếu nại, nếu doanh nghiệp không đưa ra được bằng chứng xác thực về việc chủ thể đã đồng ý vào thời điểm cụ thể với nội dung cụ thể, doanh nghiệp sẽ bị coi là vi phạm và đối mặt với mức phạt nặng.

Để quản trị rủi ro này, doanh nghiệp cần hệ thống hóa việc lưu trữ:

• Với văn bản giấy: Lưu trữ bản gốc hoặc bản scan chất lượng cao trong kho lưu trữ an toàn.
• Với dữ liệu điện tử: Lưu trữ log file ghi nhận ID người dùng, thời gian (ngày/giờ), địa chỉ IP, phiên bản chính sách bảo mật họ đã đồng ý.
• Với ghi âm: Lưu file ghi âm kèm theo metadata (dữ liệu đặc tả) để dễ dàng truy xuất.

Có quy định riêng nào khi xin sự đồng ý xử lý dữ liệu nhạy cảm không?

Có. Khi xử lý dữ liệu cá nhân nhạy cảm, doanh nghiệp bắt buộc phải thông báo rõ ràng cho chủ thể biết dữ liệu đó là nhạy cảm và cần có sự đồng ý riêng biệt, không được gộp chung với dữ liệu cơ bản.

Dữ liệu nhạy cảm (như hồ sơ sức khỏe, quan điểm chính trị, dữ liệu sinh trắc học, thông tin tài chính…) có mức độ rủi ro cao hơn đối với quyền riêng tư. Do đó, Điều 11.8 Nghị định 13 yêu cầu một lớp bảo vệ bổ sung: Chủ thể phải được cảnh báo rõ ràng. Ví dụ, trong biểu mẫu, dòng chữ “Thu thập dữ liệu sinh trắc học (vân tay/khuôn mặt)” nên được in đậm hoặc làm nổi bật để người dùng chú ý trước khi tích chọn.

Câu hỏi thường gặp về hình thức đồng ý xử lý dữ liệu

Tài liệu tham khảo

• Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. [Trực tuyến].
• Chính phủ (2025), Nghị định số 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
• Chính phủ (2023), Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân. [Trực tuyến].
• Bộ Công an, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân. [Trực tuyến].
• GDPR.eu, GDPR Consent. [Trực tuyến]. Có tại: https://gdpr.eu/consent/ (Tham khảo tiêu chuẩn quốc tế tương đồng).