Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo và tiếp thị

Bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo và tiếp thị đòi hỏi sự tuân thủ nghiêm ngặt các quy định pháp luật để xây dựng lòng tin khách hàng và tránh rủi ro. DPO.VN mang đến giải pháp toàn diện giúp doanh nghiệp của bạn vận hành các chiến dịch marketing hiệu quả và an toàn. Thu thập sự đồng ý, quy định pháp lý, an toàn thông tin.

Làm thế nào để xác định cơ sở pháp lý và thu thập sự đồng ý hợp lệ cho hoạt động quảng cáo?

Doanh nghiệp phải có sự đồng ý rõ ràng, tự nguyện và cụ thể từ khách hàng trước khi sử dụng dữ liệu của họ cho mục đích quảng cáo, đồng thời phải thông báo đầy đủ về nội dung, phương thức, hình thức và tần suất giới thiệu sản phẩm.

Cơ sở pháp lý cốt lõi cho mọi hoạt động quảng cáo, tiếp thị tại Việt Nam là sự đồng ý của chủ thể dữ liệu. Điều 21 Nghị định 13/2023/NĐ-CP và Điều 28 Luật Bảo vệ dữ liệu cá nhân 2025 đều nhấn mạnh rằng doanh nghiệp chỉ được sử dụng dữ liệu cá nhân của khách hàng cho mục đích marketing khi có sự đồng ý hợp lệ.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Một sai lầm phổ biến là doanh nghiệp cho rằng khi khách hàng cung cấp thông tin để mua hàng, họ mặc nhiên đồng ý nhận quảng cáo. Theo quy định, đây là hai mục đích xử lý khác nhau. Doanh nghiệp phải tách biệt rõ ràng và xin phép cho từng mục đích. Hộp kiểm (checkbox) không được đánh dấu sẵn là một thực hành tốt để chứng minh sự đồng ý là tự nguyện.

Để sự đồng ý được coi là hợp lệ, theo Điều 11 Nghị định 13/2023/NĐ-CP, doanh nghiệp phải đảm bảo khách hàng biết rõ các nội dung sau trước khi đồng ý:

• Nội dung: Các loại sản phẩm, dịch vụ sẽ được quảng cáo.
• Phương thức: Quảng cáo sẽ được gửi qua kênh nào (Email, SMS, Zalo, cuộc gọi).
• Hình thức: Định dạng của quảng cáo (văn bản, hình ảnh, video).
• Tần suất: Số lượng tin quảng cáo dự kiến gửi trong một khoảng thời gian (ví dụ: không quá 3 email/tuần).

Hơn nữa, việc sử dụng dữ liệu cá nhân thu thập từ một mục đích khác (ví dụ: xử lý đơn hàng) cho mục đích quảng cáo là hành vi vi phạm nguyên tắc giới hạn mục đích, trừ khi có được sự đồng ý riêng biệt và rõ ràng cho hoạt động marketing.

Doanh nghiệp phải cung cấp quyền từ chối và quản lý hoạt động tiếp thị như thế nào?

Doanh nghiệp bắt buộc phải cung cấp cơ chế rõ ràng và dễ dàng để khách hàng có thể từ chối nhận quảng cáo bất kỳ lúc nào. Yêu cầu này phải được thực hiện trong vòng 72 giờ theo quy định của pháp luật.

Quyền phản đối xử lý dữ liệu cho mục đích quảng cáo là một trong những quyền cơ bản của chủ thể dữ liệu, được quy định tại Điều 9 Nghị định 13/2023/NĐ-CP và Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025. Mọi cá nhân đều có quyền yêu cầu doanh nghiệp ngừng sử dụng thông tin của họ cho các hoạt động tiếp thị.

Để tuân thủ, doanh nghiệp cần:

• Thiết lập cơ chế từ chối rõ ràng: Mỗi thông điệp quảng cáo (email, SMS) phải kèm theo một hướng dẫn đơn giản để từ chối, ví dụ như đường link “Hủy đăng ký” ở cuối email hoặc cú pháp tin nhắn từ chối.
• Thực hiện yêu cầu kịp thời: Theo khoản 8b Điều 9 Nghị định 13/2023/NĐ-CP, Bên Kiểm soát dữ liệu phải thực hiện yêu cầu của chủ thể dữ liệu trong vòng 72 giờ sau khi nhận được yêu cầu. Việc chậm trễ có thể bị coi là hành vi vi phạm.
• Quản lý danh sách từ chối: Doanh nghiệp phải duy trì một “danh sách không gửi quảng cáo” (suppression list) và thường xuyên cập nhật để đảm bảo không gửi nhầm thông điệp cho những người đã từ chối.

Việc quản lý tốt tần suất và nội dung quảng cáo như đã cam kết không chỉ là nghĩa vụ pháp lý mà còn là cách giữ chân khách hàng. Một nghiên cứu của MarketingSherpa cho thấy 75% người dùng hủy đăng ký nhận email vì nhận quá nhiều tin.

Quy tắc chuyển giao dữ liệu khách hàng cho bên thứ ba (agency quảng cáo) là gì?

Việc chuyển giao dữ liệu cho agency quảng cáo chỉ hợp pháp khi có sự đồng ý của khách hàng và phải được ràng buộc bằng một hợp đồng xử lý dữ liệu, trong đó quy định rõ trách nhiệm bảo mật và phạm vi sử dụng dữ liệu của agency.

Trong mối quan hệ này, doanh nghiệp sở hữu dữ liệu khách hàng đóng vai trò là Bên Kiểm soát dữ liệu cá nhân, còn agency quảng cáo là Bên Xử lý dữ liệu cá nhân. Điều 39 Nghị định 13/2023/NĐ-CP quy định rõ trách nhiệm của Bên Xử lý dữ liệu, trong đó có yêu cầu chỉ được tiếp nhận và xử lý dữ liệu sau khi có hợp đồng hoặc thỏa thuận với Bên Kiểm soát.

Các điểm chính cần lưu ý:

Các yêu cầu đối với quảng cáo theo hành vi và công nghệ theo dõi (cookies) là gì?

Doanh nghiệp phải có sự đồng ý rõ ràng từ người dùng trước khi thu thập dữ liệu qua cookies và các công nghệ theo dõi khác cho mục đích quảng cáo, đồng thời phải cung cấp tùy chọn từ chối và “không theo dõi”.

Quảng cáo theo hành vi (behavioral advertising) dựa trên việc theo dõi hoạt động trực tuyến của người dùng, và điều này được pháp luật Việt Nam quản lý chặt chẽ. Điều 28.8 Luật Bảo vệ dữ liệu cá nhân 2025 đặt ra các yêu cầu cụ thể cho loại hình quảng cáo này.

DPO.VN khuyến nghị doanh nghiệp triển khai các biện pháp sau trên website và ứng dụng của mình:

• Cookie Banner: Hiển thị một banner thông báo rõ ràng ngay khi người dùng truy cập lần đầu. Banner này phải giải thích việc sử dụng cookies, đặc biệt là cookies quảng cáo và phân tích, và yêu cầu sự đồng ý (opt-in) của người dùng trước khi kích hoạt chúng.
• Lựa chọn từ chối: Cung cấp một nút “Từ chối tất cả” hoặc một trung tâm quản lý tùy chọn (preference center) để người dùng có thể dễ dàng từ chối việc chia sẻ dữ liệu qua cookies.
• Tùy chọn “Không theo dõi”: Điều 29.4 Luật Bảo vệ dữ liệu cá nhân 2025 yêu cầu các nền tảng mạng xã hội và dịch vụ truyền thông trực tuyến phải cung cấp lựa chọn “không theo dõi” (Do Not Track). Đây là một tiêu chuẩn cần được áp dụng rộng rãi cho các website có hoạt động quảng cáo.
• Cập nhật Chính sách Bảo mật: Chính sách bảo mật phải mô tả chi tiết các loại cookies đang sử dụng, mục đích của chúng, thời gian lưu trữ, và cách người dùng có thể quản lý hoặc xóa bỏ chúng.

Ai chịu trách nhiệm chứng minh và chế tài vi phạm trong hoạt động quảng cáo?

Doanh nghiệp kinh doanh dịch vụ quảng cáo và tiếp thị có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân là hợp pháp. Vi phạm có thể dẫn đến các chế tài hành chính nghiêm khắc, bao gồm phạt tiền lên đến 3 tỷ đồng hoặc cao hơn.

Trách nhiệm giải trình là một nguyên tắc cốt lõi. Điều 21.3 Nghị định 13/2023/NĐ-CP và Điều 28.7 Luật Bảo vệ dữ liệu cá nhân 2025 đều nêu rõ, tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, quảng cáo phải có trách nhiệm chứng minh rằng việc sử dụng dữ liệu cá nhân của khách hàng là tuân thủ đúng quy định.

Khi có tranh chấp hoặc khiếu nại, doanh nghiệp phải có khả năng xuất trình bằng chứng về sự đồng ý của khách hàng, các thông báo đã cung cấp, và hợp đồng với các bên liên quan. Đây là lý do tại sao việc lưu trữ hồ sơ, nhật ký hệ thống và các bằng chứng về sự đồng ý là cực kỳ quan trọng.

Về chế tài xử phạt, Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 quy định các mức phạt rất cụ thể và nghiêm khắc. Đối với các hành vi vi phạm trong lĩnh vực quảng cáo không liên quan đến mua bán dữ liệu hay chuyển dữ liệu xuyên biên giới, mức phạt tiền tối đa có thể lên đến 03 tỷ đồng đối với tổ chức. Ngoài ra, doanh nghiệp còn có thể đối mặt với các yêu cầu bồi thường thiệt hại từ khách hàng nếu hành vi vi phạm gây ra tổn thất.

Để chủ động tuân thủ, doanh nghiệp cần thực hiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo Điều 24 Nghị định 13/2023/NĐ-CP, sử dụng các mẫu biểu như Mẫu Đ24-DLCN-01, Mẫu Đ24-DLCN-02, và Mẫu Đ24-DLCN-03 tùy thuộc vai trò của mình (Bên Kiểm soát, Bên Xử lý hay Bên thứ ba). Hồ sơ này, cùng với thông báo theo Mẫu số 04a (cho tổ chức) hoặc Mẫu số 04b (cho cá nhân), phải được gửi đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.

Các Câu Hỏi Thường Gặp Về Bảo Vệ Dữ Liệu Trong Quảng Cáo

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15
• Báo cáo chi phí vi phạm dữ liệu của IBM (Cost of a Data Breach Report).
• Tổng quan về GDPR – Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu.