Cách chứng minh sự đồng ý của chủ thể dữ liệu khi có tranh chấp?

Chứng minh sự đồng ý của chủ thể dữ liệu một cách hợp lệ là nghĩa vụ pháp lý quan trọng, giúp doanh nghiệp xây dựng nền tảng tuân thủ vững chắc và tránh rủi ro tranh chấp. Để đảm bảo tính pháp lý của bằng chứng chấp thuận, DPO.VN cung cấp giải pháp toàn diện giúp doanh nghiệp thiết lập quy trình thu thập và lưu trữ sự đồng thuận đúng quy định. Bằng chứng hợp lệ, trách nhiệm giải trình, lưu trữ an toàn.

Trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về ai theo quy định pháp luật?

Theo Khoản 10, Điều 11 Nghị định 13/2023/NĐ-CP, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân. Doanh nghiệp phải chủ động thu thập và lưu trữ bằng chứng hợp lệ.

Pháp luật Việt Nam đã quy định rất rõ ràng về gánh nặng chứng minh khi có tranh chấp liên quan đến việc xử lý dữ liệu cá nhân. Cụ thể, Khoản 10, Điều 11 Nghị định 13/2023/NĐ-CP nêu rõ: “Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân”.

Điều này có nghĩa là, doanh nghiệp (với vai trò là Bên Kiểm soát hoặc Bên Kiểm soát và xử lý dữ liệu) không thể cho rằng mình mặc nhiên có quyền xử lý dữ liệu. Thay vào đó, doanh nghiệp phải xây dựng một cơ chế vững chắc để thu thập, quản lý và quan trọng nhất là có thể truy xuất được bằng chứng về sự đồng ý hợp lệ khi có yêu cầu từ chủ thể dữ liệu hoặc cơ quan nhà nước có thẩm quyền. Đây là nền tảng của nguyên tắc trách nhiệm giải trình (Accountability), một trong những trụ cột quan trọng của pháp luật bảo vệ dữ liệu cá nhân hiện đại. Việc không thể cung cấp bằng chứng hợp lệ sẽ bị coi là xử lý dữ liệu trái phép và có thể dẫn đến các chế tài nghiêm khắc.

Những hình thức bằng chứng nào được pháp luật công nhận để chứng minh sự đồng ý?

Pháp luật công nhận các hình thức đồng ý rõ ràng, cụ thể và có định dạng kiểm chứng được, bao gồm văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp tin nhắn, hoặc các thiết lập kỹ thuật khác thể hiện được điều này, theo quy định tại Khoản 3 và Khoản 5, Điều 11 Nghị định 13/2023/NĐ-CP.

Để bằng chứng về sự đồng ý có giá trị pháp lý, nó phải đáp ứng hai yêu cầu cốt lõi: thể hiện một cách rõ ràng, tự nguyện và phải ở định dạng có thể kiểm chứng được. Dưới đây là các hình thức được pháp luật công nhận và hướng dẫn áp dụng từ DPO.VN:

Bằng chứng bằng văn bản có giá trị ra sao?

Văn bản giấy có chữ ký tay hoặc hợp đồng điện tử có chữ ký số/chữ ký điện tử là hình thức bằng chứng mạnh mẽ nhất, thể hiện rõ ràng ý chí của chủ thể dữ liệu.

Đây là hình thức truyền thống nhưng có giá trị pháp lý rất cao. Doanh nghiệp nên sử dụng hình thức này trong các giao dịch quan trọng.

• Văn bản giấy: Hợp đồng, phiếu đăng ký, hoặc bất kỳ tài liệu nào có chữ ký sống của chủ thể dữ liệu, trong đó nêu rõ các nội dung về xử lý dữ liệu cá nhân.
• Định dạng điện tử: Các văn bản, hợp đồng được ký bằng chữ ký số hoặc chữ ký điện tử theo quy định của pháp luật về giao dịch điện tử. Hình thức này có giá trị tương đương văn bản giấy.

Làm thế nào để sự đồng ý qua hành động trên nền tảng số được công nhận?

Doanh nghiệp phải ghi lại nhật ký (log) hệ thống về hành động của người dùng, bao gồm thời gian, địa chỉ IP, và phiên bản chính sách mà họ đã đồng ý, để làm bằng chứng kiểm chứng được.

Với sự phát triển của công nghệ, các hình thức đồng ý qua hành động kỹ thuật ngày càng phổ biến. Để các hình thức này hợp lệ, doanh nghiệp phải có khả năng ghi lại và lưu trữ bằng chứng về hành động đó.

• Đánh dấu vào ô đồng ý (Checkbox): Đây là hình thức phổ biến trên website/ứng dụng. DPO.VN đặc biệt lưu ý doanh nghiệp không được thiết lập sẵn (pre-ticked) ô đồng ý. Hệ thống phải ghi lại được hành động tick của người dùng, kèm theo dấu thời gian (timestamp), ID người dùng và nội dung mà họ đã đồng ý.
• Cú pháp đồng ý qua tin nhắn: Ví dụ, soạn tin “DK DLCN” gửi đến tổng đài. Doanh nghiệp viễn thông và đối tác phải lưu lại lịch sử tin nhắn này làm bằng chứng.
• Chọn các thiết lập kỹ thuật đồng ý: Người dùng chủ động bật/tắt các tùy chọn về quyền riêng tư trong phần cài đặt tài khoản của họ. Doanh nghiệp phải lưu lại trạng thái cài đặt này của người dùng.

Sự đồng ý qua giọng nói có được xem là hợp lệ không?

Có, sự đồng ý qua giọng nói được pháp luật công nhận. Tuy nhiên, doanh nghiệp phải có file ghi âm đầy đủ, không bị cắt xén, thể hiện rõ nội dung đã thông báo và lời xác nhận đồng ý của chủ thể dữ liệu.

Nghị định 13/2023/NĐ-CP công nhận sự đồng ý qua giọng nói. Điều này rất quan trọng đối với các doanh nghiệp hoạt động trong lĩnh vực tài chính, bảo hiểm, viễn thông thường xuyên tương tác với khách hàng qua điện thoại. Để bằng chứng này có giá trị, file ghi âm phải:

• Bao gồm toàn bộ nội dung tư vấn viên đã thông báo cho khách hàng về việc xử lý dữ liệu.
• Ghi lại rõ ràng lời nói xác nhận đồng ý của khách hàng.
• Được lưu trữ an toàn, bảo mật, và có thể truy xuất khi cần thiết.

Doanh nghiệp cần cung cấp những thông tin gì để sự đồng ý của chủ thể dữ liệu có hiệu lực?

Để sự đồng ý có hiệu lực, doanh nghiệp phải thông báo rõ ràng cho chủ thể dữ liệu về 4 nội dung cốt lõi: loại dữ liệu được xử lý, mục đích xử lý, tổ chức/cá nhân được xử lý, và các quyền, nghĩa vụ của chủ thể dữ liệu, theo Khoản 2, Điều 11 Nghị định 13/2023/NĐ-CP.

Một trong những yếu tố quan trọng nhất để sự đồng ý của chủ thể dữ liệu được coi là hợp lệ là nó phải dựa trên cơ sở “biết rõ”. Điều này có nghĩa là, việc chứng minh sự đồng ý không chỉ là đưa ra bằng chứng về hành động “đồng ý” mà còn phải chứng minh được rằng doanh nghiệp đã cung cấp đầy đủ thông tin cho chủ thể dữ liệu trước khi họ đưa ra quyết định.

Luật sư Nguyễn Tiến Hảo, chuyên gia tư vấn của DPO.VN, nhấn mạnh: “Doanh nghiệp phải lưu lại được phiên bản của chính sách bảo mật hoặc thông báo quyền riêng tư mà khách hàng đã xem và đồng ý tại thời điểm đó. Đây là một phần không thể thiếu của bộ bằng chứng”.

Cụ thể, các thông tin bắt buộc phải cung cấp bao gồm:

• Loại dữ liệu cá nhân được xử lý: Liệt kê cụ thể các loại dữ liệu sẽ thu thập (ví dụ: họ tên, email, số điện thoại, dữ liệu vị trí).
• Mục đích xử lý dữ liệu cá nhân: Nêu rõ từng mục đích một cách riêng biệt (ví dụ: mục đích giao hàng, mục đích gửi quảng cáo, mục đích phân tích hành vi người dùng).
• Tổ chức, cá nhân được xử lý dữ liệu cá nhân: Công khai danh tính của Bên Kiểm soát, Bên Xử lý, và bất kỳ Bên thứ ba nào có thể nhận được dữ liệu.
• Các quyền và nghĩa vụ của chủ thể dữ liệu: Thông báo cho họ về các quyền được quy định tại Điều 9 Nghị định 13/2023/NĐ-CP như quyền truy cập, chỉnh sửa, xóa dữ liệu, rút lại sự đồng ý, v.v.

Doanh nghiệp phải lưu trữ và quản lý bằng chứng đồng ý như thế nào cho đúng luật?

Doanh nghiệp phải lưu trữ bằng chứng đồng ý một cách an toàn, bảo mật, và có khả năng truy xuất nhanh chóng khi cần. Thời gian lưu trữ phải phù hợp với mục đích xử lý và tuân thủ các quy định pháp luật chuyên ngành (nếu có).

Thu thập được bằng chứng là bước đầu, nhưng việc quản lý và lưu trữ nó một cách hiệu quả mới là yếu tố quyết định. Một hệ thống quản lý sự đồng ý (Consent Management Platform – CMP) là giải pháp mà DPO.VN khuyến nghị các doanh nghiệp nên cân nhắc đầu tư.

Các yêu cầu chính trong việc lưu trữ và quản lý bao gồm:

• Tính toàn vẹn: Bằng chứng phải được lưu trữ nguyên vẹn, không bị thay đổi, sửa xóa. Các hệ thống log kỹ thuật số cần có cơ chế chống giả mạo.
• Tính bảo mật: Bằng chứng về sự đồng ý cũng là dữ liệu cần được bảo vệ. Doanh nghiệp cần áp dụng các biện pháp mã hóa, kiểm soát truy cập để ngăn chặn việc tiếp cận trái phép.
• Khả năng truy xuất: Khi chủ thể dữ liệu hoặc cơ quan chức năng yêu cầu, doanh nghiệp phải có khả năng tìm kiếm và trích xuất bằng chứng đồng ý của một cá nhân cụ thể một cách nhanh chóng.
• Thời gian lưu trữ: Dữ liệu về sự đồng ý cần được lưu trữ ít nhất cho đến khi kết thúc hoạt động xử lý dữ liệu cá nhân liên quan. Sau đó, việc lưu trữ tiếp hay hủy bỏ sẽ tuân theo chính sách lưu trữ chung của doanh nghiệp và quy định của pháp luật.

Hậu quả pháp lý khi không chứng minh được sự đồng ý của chủ thể dữ liệu là gì?

Không chứng minh được sự đồng ý hợp lệ sẽ bị coi là xử lý dữ liệu cá nhân trái phép, có thể bị xử phạt vi phạm hành chính lên đến 3 tỷ đồng, truy cứu trách nhiệm hình sự, và phải bồi thường thiệt hại cho chủ thể dữ liệu theo quy định tại Điều 8, Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.

Việc không thể chứng minh sự đồng ý của chủ thể dữ liệu mang lại những rủi ro pháp lý và tài chính vô cùng lớn cho doanh nghiệp. Các hậu quả trực tiếp bao gồm:

• Xử phạt vi phạm hành chính: Đây là hậu quả phổ biến nhất. Luật Bảo vệ dữ liệu cá nhân sắp có hiệu lực đã đưa ra các mức phạt rất cao, có thể lên đến 3 tỷ đồng cho các hành vi vi phạm quy định chung.
• Truy cứu trách nhiệm hình sự: Trong trường hợp hành vi vi phạm có đủ yếu tố cấu thành tội phạm theo quy định của Bộ luật Hình sự (ví dụ: tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác), cá nhân chịu trách nhiệm có thể bị truy cứu trách nhiệm hình sự.
• Bồi thường thiệt hại: Chủ thể dữ liệu có quyền của chủ thể dữ liệu cá nhân khởi kiện và yêu cầu doanh nghiệp bồi thường thiệt hại vật chất và tinh thần phát sinh từ việc dữ liệu của họ bị xử lý trái phép.
• Tổn hại uy tín: Một vụ kiện hoặc bê bối về dữ liệu có thể gây tổn hại nghiêm trọng đến hình ảnh và uy tín thương hiệu, làm mất niềm tin của khách hàng, đối tác và nhà đầu tư, gây ra những thiệt hại tài chính gián tiếp nhưng vô cùng lớn.

Tóm lại, việc thiết lập một quy trình chặt chẽ để thu thập và chứng minh sự đồng ý không chỉ là một nghĩa vụ pháp lý mà còn là một khoản đầu tư thông minh để bảo vệ doanh nghiệp trước các rủi ro tiềm ẩn. Việc chủ động xây dựng hệ thống và bằng chứng ngay từ đầu sẽ giúp doanh nghiệp tự tin đối mặt với bất kỳ cuộc thanh tra hay tranh chấp nào trong tương lai.

Các Câu Hỏi Thường Gặp Về Chứng Minh Sự Đồng Ý Của Chủ Thể Dữ Liệu

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Thủ tục về Bảo vệ dữ liệu cá nhân.
• Luật Giao dịch điện tử 2023.
• Information Commissioner’s Office (ICO) UK : Guidance on Consent