Mẫu nội dung thu thập sự đồng ý của chủ thể dữ liệu cá nhân

Mẫu nội dung thu thập sự đồng ý của chủ thể dữ liệu cá nhân là công cụ pháp lý thiết yếu giúp doanh nghiệp minh bạch hóa quy trình xử lý thông tin, đảm bảo quyền lợi khách hàng và tuân thủ nghiêm ngặt các quy định pháp luật. Để xây dựng một biểu mẫu chuẩn xác, chuyên nghiệp và tối ưu hóa trải nghiệm người dùng, giải pháp từ DPO.VN sẽ cung cấp hướng dẫn chi tiết, giúp doanh nghiệp dễ dàng thiết lập cơ chế đồng ý hợp lệ và an toàn.

Tại sao doanh nghiệp cần có mẫu nội dung thu thập sự đồng ý chuẩn?

Một mẫu nội dung thu thập sự đồng ý chuẩn không chỉ là yêu cầu bắt buộc của pháp luật để tránh các chế tài xử phạt nặng nề, mà còn là nền tảng để xây dựng lòng tin với khách hàng, chứng minh trách nhiệm giải trình và giảm thiểu rủi ro tranh chấp pháp lý về sau.

Trong bối cảnh Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025 đang đặt ra những tiêu chuẩn khắt khe, sự đồng ý của chủ thể dữ liệu được xem là “chìa khóa vàng” để mở ra cánh cửa xử lý dữ liệu hợp pháp. Việc sử dụng một mẫu nội dung sơ sài, thiếu thông tin hoặc gây hiểu lầm không chỉ khiến sự đồng ý trở nên vô hiệu mà còn đẩy doanh nghiệp vào thế rủi ro pháp lý cao. Một biểu mẫu chuẩn chỉnh giúp doanh nghiệp:

• Đảm bảo tính hợp pháp: Đáp ứng đầy đủ các điều kiện về sự tự nguyện và được thông báo (informed consent) theo Điều 9 Luật Bảo vệ dữ liệu cá nhân.
• Minh bạch hóa quy trình: Giúp khách hàng hiểu rõ dữ liệu của họ đi đâu, về đâu và được dùng làm gì, từ đó an tâm cung cấp thông tin.
• Dễ dàng chứng minh tuân thủ: Khi có thanh tra hoặc tranh chấp, biểu mẫu lưu trữ là bằng chứng thép bảo vệ doanh nghiệp trước các cáo buộc vi phạm.

Những nội dung bắt buộc phải có trong mẫu thu thập sự đồng ý là gì?

Theo quy định pháp luật, nội dung thông báo để lấy sự đồng ý phải bao gồm tối thiểu 4 yếu tố cốt lõi: Loại dữ liệu được xử lý, Mục đích xử lý, Tổ chức/cá nhân xử lý dữ liệu, và Quyền, nghĩa vụ của chủ thể dữ liệu.

Để sự đồng ý có hiệu lực, Điều 5 Nghị định 356/2025/NĐ-CP và Điều 9 Luật Bảo vệ dữ liệu cá nhân yêu cầu chủ thể dữ liệu phải “biết rõ” các thông tin sau trước khi đồng ý:

1. Loại dữ liệu cá nhân nào được thu thập?

Doanh nghiệp cần liệt kê cụ thể các trường thông tin sẽ thu thập. Không được dùng các cụm từ chung chung như “thông tin cá nhân” hay “dữ liệu của bạn”.

Ví dụ: “Chúng tôi thu thập: Họ tên, số điện thoại, địa chỉ email, lịch sử mua hàng.”

Đặc biệt lưu ý phân biệt rõ dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm (như thông tin sức khỏe, tài chính, sinh trắc học) vì dữ liệu nhạy cảm cần cơ chế bảo vệ và thông báo đặc biệt hơn.

2. Mục đích xử lý dữ liệu là gì?

Đây là phần quan trọng nhất. Mục đích phải cụ thể, rõ ràng và hợp pháp. Doanh nghiệp không được thu thập dữ liệu cho một mục đích rồi âm thầm sử dụng cho mục đích khác.

Ví dụ: “Dữ liệu được sử dụng để: Xử lý đơn hàng, Gửi thông tin khuyến mãi (nếu bạn chọn), Cải thiện chất lượng dịch vụ.”

Nguyên tắc là “đồng ý cho từng mục đích”, không được gộp chung tất cả vào một nút “Đồng ý hết”.

3. Ai là người xử lý dữ liệu?

Cần nêu rõ tên đầy đủ của Bên Kiểm soát dữ liệu (doanh nghiệp thu thập) và các bên thứ ba có liên quan (nếu có chia sẻ dữ liệu).

Ví dụ: “Dữ liệu của bạn được xử lý bởi Công ty ABC và đối tác giao hàng XYZ.”

4. Quyền và nghĩa vụ của chủ thể dữ liệu là gì?

Thông báo phải tóm tắt các quyền của chủ thể dữ liệu như quyền truy cập, chỉnh sửa, xóa dữ liệu, rút lại sự đồng ý, và khiếu nại. Đồng thời, cũng cần nêu rõ nghĩa vụ cung cấp thông tin chính xác của họ.

Mẫu văn bản thu thập sự đồng ý tham khảo cho doanh nghiệp

Dưới đây là một cấu trúc mẫu tham khảo giúp doanh nghiệp hình dung cách trình bày nội dung thu thập sự đồng ý một cách rõ ràng và đầy đủ pháp lý.

💡 Lưu ý từ DPO.VN: Đây chỉ là mẫu tham khảo cơ bản. Tùy thuộc vào ngành nghề kinh doanh (như y tế, tài chính, giáo dục) và quy trình vận hành thực tế, nội dung cần được tùy biến và bổ sung để đảm bảo tính chính xác và tuân thủ tối đa.

Làm thế nào để thiết kế hình thức thu thập sự đồng ý đúng chuẩn UX/UI?

Hình thức thể hiện sự đồng ý cần rõ ràng, dễ thao tác và không gây nhầm lẫn. Doanh nghiệp cần tránh các thiết kế “bẫy” người dùng như tích sẵn ô đồng ý, làm ẩn nội dung quan trọng hoặc sử dụng ngôn ngữ khó hiểu.

Một nội dung tốt cần đi kèm với một hình thức thể hiện tốt. Điều 6 Nghị định 356/2025/NĐ-CP quy định rõ các phương thức thể hiện sự đồng ý bao gồm văn bản, tích chọn trên trang web, tin nhắn, v.v. Để tối ưu trải nghiệm người dùng và đảm bảo tính pháp lý:

• Sử dụng cơ chế Opt-in: Luôn sử dụng các ô check-box trống để người dùng chủ động tích chọn. Tuyệt đối không tích sẵn (Pre-ticked boxes) vì theo Điều 6.3 Nghị định 356/2025/NĐ-CP, không được thiết lập phương thức mặc định đồng ý.
• Tách biệt các mục đích: Nếu có nhiều mục đích xử lý (ví dụ: cung cấp dịch vụ và quảng cáo), hãy tách thành các dòng riêng biệt để người dùng có quyền lựa chọn đồng ý một phần.
• Ngôn ngữ đơn giản: Tránh dùng thuật ngữ pháp lý phức tạp. Hãy viết sao cho một người dùng phổ thông lớp 9 cũng có thể hiểu được.
• Dễ dàng truy cập: Đặt thông báo thu thập sự đồng ý ở vị trí dễ nhìn, ngay tại thời điểm thu thập dữ liệu (ví dụ: ngay trên form đăng ký).

Các Câu Hỏi Thường Gặp Về Thu Thập Sự Đồng Ý

Tài liệu tham khảo

• Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Chính phủ (2025), Nghị định số 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
• Chính phủ (2023), Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 về bảo vệ dữ liệu cá nhân. Có tại: Thư viện Pháp luật
• Bộ Công an, Cổng Dịch vụ công Bộ Công an – Lĩnh vực Bảo vệ dữ liệu cá nhân.
• Information Commissioner’s Office (ICO UK), Guide to the General Data Protection Regulation (GDPR) – Consent. Có tại: ICO Website