Xây Dựng Biểu Mẫu Thu Thập Sự Đồng Ý Của Chủ Thể Dữ Liệu

Xây dựng biểu mẫu thu thập sự đồng ý của chủ thể dữ liệu là bước nền tảng quyết định tính hợp pháp của mọi hoạt động xử lý thông tin cá nhân. Với sự hỗ trợ chuyên sâu từ DPO.VN, doanh nghiệp sẽ sở hữu những biểu mẫu chuẩn xác, minh bạch, không chỉ tuân thủ tuyệt đối Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025, mà còn củng cố niềm tin vững chắc nơi khách hàng.

Tại sao biểu mẫu đồng ý lại là văn bản pháp lý quan trọng nhất?

Biểu mẫu đồng ý hợp lệ là bằng chứng pháp lý duy nhất chứng minh doanh nghiệp được phép xử lý dữ liệu, giúp tránh khỏi các mức phạt hành chính lên tới 3 tỷ đồng hoặc 5% doanh thu theo Luật Bảo vệ dữ liệu cá nhân 2025.

Trong bối cảnh pháp lý ngày càng chặt chẽ, sự đồng ý của chủ thể dữ liệu không còn là một lựa chọn mà là yêu cầu bắt buộc (trừ các trường hợp ngoại lệ tại Điều 19 Luật Bảo vệ dữ liệu cá nhân). Một biểu mẫu được thiết kế đúng chuẩn không chỉ giúp doanh nghiệp tuân thủ pháp luật mà còn thể hiện sự tôn trọng đối với quyền riêng tư của khách hàng. Ngược lại, một biểu mẫu sơ sài, thiếu minh bạch có thể khiến toàn bộ dữ liệu thu thập được trở nên vô giá trị về mặt pháp lý, đẩy doanh nghiệp vào rủi ro bị kiện tụng và xử phạt nặng nề.

Những nội dung bắt buộc phải có trong một biểu mẫu đồng ý hợp lệ là gì?

Theo Điều 9 Luật Bảo vệ dữ liệu cá nhân, một biểu mẫu đồng ý chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và được biết rõ 4 thông tin cốt lõi: Loại dữ liệu xử lý, Mục đích xử lý, Tổ chức/cá nhân xử lý, và Quyền, nghĩa vụ của họ.

Để xây dựng một biểu mẫu “chuẩn chỉnh”, doanh nghiệp cần đảm bảo đầy đủ các thành phần sau đây, được trình bày một cách rõ ràng, dễ hiểu:

• Loại dữ liệu cá nhân được xử lý: Liệt kê chi tiết các thông tin sẽ thu thập (ví dụ: Họ tên, số điện thoại, email, địa chỉ IP, dữ liệu vị trí…). Cần phân biệt rõ dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
• Mục đích xử lý dữ liệu cá nhân: Đây là phần quan trọng nhất. Mục đích phải cụ thể, rõ ràng và hợp pháp (ví dụ: “Để giao hàng”, “Để gửi bản tin khuyến mãi”, không dùng các cụm từ mơ hồ như “Để cải thiện dịch vụ” hay “Cho các mục đích khác”).
• Tổ chức, cá nhân được xử lý dữ liệu cá nhân: Nêu rõ tên của Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu và bất kỳ Bên thứ ba nào có liên quan.
• Quyền và nghĩa vụ của chủ thể dữ liệu: Thông báo cho họ biết về các quyền như: xem, chỉnh sửa, xóa, rút lại sự đồng ý, hạn chế xử lý, và phản đối xử lý dữ liệu (theo Điều 9 Nghị định 13).
• Thời gian lưu trữ và xử lý: (Khuyến nghị bổ sung để tăng tính minh bạch) Cho biết dữ liệu sẽ được giữ trong bao lâu hoặc tiêu chí để xác định thời gian lưu trữ.

Hình thức thể hiện sự đồng ý nào được pháp luật công nhận?

Sự đồng ý có thể được thể hiện bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp tin nhắn, chọn thiết lập kỹ thuật hoặc hành động khác, nhưng phải đảm bảo rõ ràng, cụ thể và có thể in, sao chép hoặc kiểm chứng được.

Điều 11.3 Nghị định 13/2023/NĐ-CP và Điều 6 Nghị định 356/2025/NĐ-CP mở ra nhiều lựa chọn linh hoạt cho doanh nghiệp:

Doanh nghiệp phải lưu trữ bằng chứng sự đồng ý như thế nào?

Doanh nghiệp có nghĩa vụ chứng minh sự đồng ý của chủ thể dữ liệu khi có tranh chấp. Do đó, việc lưu trữ hồ sơ, log hệ thống, file ghi âm hoặc văn bản ký kết là bắt buộc và phải đảm bảo tính toàn vẹn, không thể chối bỏ.

Việc thu thập được sự đồng ý mới chỉ là một nửa chặng đường. Điều 11.10 Nghị định 13 quy định: “Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.” Điều này đặt ra yêu cầu khắt khe về hệ thống lưu trữ:

• Đối với môi trường điện tử: Hệ thống cần ghi lại (log) chính xác thời gian (timestamp), địa chỉ IP, thông tin thiết bị, và nội dung phiên bản biểu mẫu mà người dùng đã đồng ý tại thời điểm đó.
• Đối với văn bản giấy: Cần lưu trữ bản gốc hoặc bản scan chất lượng cao trong hệ thống quản lý tài liệu an toàn.
• Đối với ghi âm: File ghi âm cần được quản lý, bảo mật và dễ dàng truy xuất khi cần thiết.

DPO.VN khuyến nghị doanh nghiệp nên tích hợp cơ chế quản lý sự đồng ý (Consent Management Platform – CMP) để tự động hóa quy trình này, đảm bảo tính chính xác và sẵn sàng cho các đợt thanh kiểm tra.

Các trường hợp ngoại lệ nào không cần sự đồng ý của chủ thể dữ liệu?

Có 5 trường hợp doanh nghiệp được phép xử lý dữ liệu mà không cần sự đồng ý, bao gồm: bảo vệ tính mạng/sức khỏe trong tình huống khẩn cấp, công khai theo luật định, phục vụ quốc phòng/an ninh/trật tự an toàn xã hội, thực hiện nghĩa vụ hợp đồng, và phục vụ hoạt động của cơ quan nhà nước theo luật chuyên ngành.

Điều 19 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định rõ các trường hợp này. Ví dụ, khi khách hàng đã ký hợp đồng mua bán, doanh nghiệp có quyền xử lý dữ liệu cần thiết (tên, địa chỉ, số điện thoại) để thực hiện việc giao hàng và thanh toán mà không cần xin thêm một sự đồng ý riêng biệt cho việc này. Tuy nhiên, nếu muốn sử dụng dữ liệu đó để quảng cáo chéo sản phẩm khác, doanh nghiệp vẫn phải xin sự đồng ý. Việc hiểu rõ các ngoại lệ này giúp doanh nghiệp tối ưu hóa quy trình vận hành, tránh lãng phí nguồn lực vào các thủ tục không cần thiết.

Quy trình xây dựng biểu mẫu thu thập sự đồng ý chuẩn mực

Để đảm bảo tính tuân thủ và chuyên nghiệp, doanh nghiệp có thể tham khảo quy trình 5 bước sau đây:

• Bước 1: Rà soát luồng dữ liệu (Data Mapping): Xác định rõ doanh nghiệp đang thu thập những dữ liệu gì, từ ai, để làm gì và chia sẻ cho ai. Điều này là cơ sở để điền thông tin chính xác vào biểu mẫu.
• Bước 2: Xác định cơ sở pháp lý: Phân loại xem hoạt động nào cần sự đồng ý, hoạt động nào thuộc trường hợp ngoại lệ (thực hiện hợp đồng, nghĩa vụ pháp lý…).
• Bước 3: Soạn thảo nội dung biểu mẫu: Viết nội dung thông báo rõ ràng, dễ hiểu, không dùng thuật ngữ chuyên ngành phức tạp. Tách biệt các mục đích xử lý khác nhau.
• Bước 4: Thiết kế giao diện (UI/UX): Đối với ứng dụng/website, thiết kế các ô checkbox (không tick sẵn), nút bấm “Đồng ý” và “Từ chối” rõ ràng. Đảm bảo người dùng phải thực hiện một hành động cụ thể (opt-in) để thể hiện sự đồng ý.
• Bước 5: Kiểm thử và Lưu trữ: Kiểm tra quy trình hoạt động, đảm bảo hệ thống ghi nhận (log) chính xác sự đồng ý của người dùng và lưu trữ an toàn.

Các Câu Hỏi Thường Gặp Về Biểu Mẫu Thu Thập Sự Đồng Ý

Tài liệu tham khảo

• Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Chính phủ (2025), Nghị định số 356/2025/NĐ-CP được Chính phủ ban hành để quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
• Chính phủ (2023), Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Liên minh Châu Âu (2016), General Data Protection Regulation (GDPR) – Article 7: Conditions for consent.
• Information Commissioner’s Office (ICO UK), Consent guide.