5 hình thức lấy sự đồng ý của khách hàng hợp lệ là chìa khóa quan trọng giúp doanh nghiệp tuân thủ pháp luật về bảo vệ dữ liệu cá nhân, xây dựng niềm tin và tránh các rủi ro pháp lý nghiêm trọng. Tại DPO.VN, chúng tôi cung cấp giải pháp tư vấn chuyên sâu, giúp doanh nghiệp áp dụng chính xác các quy định này vào thực tế hoạt động kinh doanh một cách hiệu quả nhất.

Nội dung bài viết

Tại sao việc chọn đúng hình thức lấy sự đồng ý lại quan trọng?

Việc chọn đúng hình thức lấy sự đồng ý không chỉ là yêu cầu bắt buộc của pháp luật mà còn là bằng chứng pháp lý quan trọng nhất để bảo vệ doanh nghiệp khi có tranh chấp xảy ra, đồng thời thể hiện sự tôn trọng đối với quyền riêng tư của khách hàng.

Trong kỷ nguyên số, dữ liệu cá nhân là tài sản quý giá. Tuy nhiên, việc thu thập và xử lý dữ liệu này phải dựa trên nền tảng pháp lý vững chắc, đó chính là sự đồng ý của chủ thể dữ liệu. Nghị định 356/2025/NĐ-CP và sắp tới là Luật Bảo vệ dữ liệu cá nhân 2025 đã đặt ra những tiêu chuẩn rất cao về vấn đề này. Một sự đồng ý không hợp lệ sẽ khiến toàn bộ quá trình xử lý dữ liệu trở nên bất hợp pháp, dẫn đến nguy cơ bị xử phạt hành chính lên đến 3 tỷ đồng (theo dự thảo Luật mới), thậm chí là trách nhiệm hình sự.

Điều 6 của Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân quy định rõ ràng các phương thức thể hiện sự đồng ý. Điểm chung cốt lõi là sự đồng ý phải rõ ràng, cụ thể, tự nguyện và đặc biệt là có thể kiểm chứng được. Điều này có nghĩa là doanh nghiệp phải lưu trữ được bằng chứng về việc khách hàng đã đồng ý vào thời điểm nào, với nội dung gì.

1. Lấy sự đồng ý bằng văn bản có phải là phương thức an toàn nhất?

Đúng vậy, văn bản giấy với chữ ký trực tiếp luôn là hình thức có giá trị chứng minh cao nhất, đặc biệt phù hợp cho các giao dịch trực tiếp tại quầy, hợp đồng dịch vụ lớn hoặc khi xử lý dữ liệu nhạy cảm.

Đây là hình thức truyền thống nhưng chưa bao giờ lỗi thời. Trong các lĩnh vực như ngân hàng, bảo hiểm, y tế, việc khách hàng ký tên vào văn bản chấp thuận xử lý dữ liệu cá nhân mang lại sự chắc chắn về mặt pháp lý. Văn bản này cần tách biệt hoặc làm nổi bật so với các điều khoản hợp đồng khác để đảm bảo khách hàng nhận thức rõ ràng.

2. Sự đồng ý qua tin nhắn điện thoại được thực hiện như thế nào?

Doanh nghiệp có thể gửi tin nhắn SMS chứa nội dung yêu cầu đồng ý và khách hàng phản hồi bằng một cú pháp xác nhận (ví dụ: “DY” hoặc “Y”). Hệ thống cần lưu trữ log tin nhắn này làm bằng chứng.

Hình thức này thường được áp dụng trong các chiến dịch marketing, đăng ký dịch vụ giá trị gia tăng trên điện thoại. Ưu điểm là nhanh chóng, tiện lợi. Tuy nhiên, doanh nghiệp cần đảm bảo nội dung tin nhắn yêu cầu phải rõ ràng, dễ hiểu và không gây nhầm lẫn.

3. Có thể lấy sự đồng ý bằng cuộc gọi ghi âm không?

Có, nhưng quy trình phải chặt chẽ. Nhân viên tổng đài cần đọc rõ thông báo xử lý dữ liệu và ghi nhận câu trả lời “Đồng ý” bằng lời nói của khách hàng. File ghi âm cuộc gọi phải được lưu trữ an toàn và dễ dàng truy xuất.

Phương thức này phù hợp với các dịch vụ tư vấn qua điện thoại (telesales, chăm sóc khách hàng). Lưu ý quan trọng là trước khi ghi âm, doanh nghiệp cũng phải thông báo cho khách hàng biết cuộc gọi đang được ghi âm vì mục đích chất lượng và bằng chứng pháp lý.

4. Tick box trên website/ứng dụng: Làm sao để hợp lệ?

Đây là hình thức phổ biến nhất trên môi trường số. Để hợp lệ, ô tick box (hộp kiểm) KHÔNG ĐƯỢC đánh dấu sẵn (pre-ticked). Khách hàng phải chủ động thực hiện hành động tích vào ô để thể hiện sự đồng ý.

Điều 6.3 của Nghị định 356/2025/NĐ-CP quy định rõ: “Bên kiểm soát dữ liệu cá nhân… không được thiết lập phương thức mặc định đồng ý”. Do đó, các hành động như cuộn trang, không phản hồi, hoặc để mặc định ô đồng ý đều không được coi là sự đồng ý hợp lệ. Bên cạnh ô tick box, cần có đường dẫn đến nội dung thu thập sự đồng ý chi tiết.

5. Sự đồng ý qua xác thực điện tử (OTP, chữ ký số) có giá trị như thế nào?

Đây là hình thức có độ bảo mật và xác thực cao nhất trên môi trường điện tử. Việc nhập mã OTP hoặc sử dụng chữ ký số để xác nhận một giao dịch đồng nghĩa với việc khách hàng đã đồng ý với các điều khoản xử lý dữ liệu đi kèm.

Hình thức này thường được sử dụng trong các giao dịch tài chính, ngân hàng điện tử, ví điện tử. Nó đảm bảo tính “chính chủ” và rất khó để chối bỏ (non-repudiation), giúp doanh nghiệp an tâm tối đa về mặt pháp lý.

Làm thế nào để quản lý và lưu trữ bằng chứng sự đồng ý hiệu quả?

Doanh nghiệp cần xây dựng một hệ thống quản lý sự đồng ý (Consent Management Platform – CMP) tập trung, cho phép lưu trữ, tra cứu và cập nhật trạng thái đồng ý của từng khách hàng theo thời gian thực.

Thu thập được sự đồng ý mới chỉ là bước đầu. Chứng minh sự đồng ý của chủ thể dữ liệu khi có thanh tra hoặc khiếu nại mới là thách thức thực sự. Hệ thống của doanh nghiệp cần ghi nhận được: Ai đã đồng ý? Đồng ý khi nào? Đồng ý qua kênh nào? Và quan trọng nhất là Khách hàng đã đồng ý với phiên bản thông báo nào?.

Ngoài ra, doanh nghiệp cũng cần tôn trọng quyền rút lại sự đồng ý của khách hàng. Quy trình này phải đơn giản và thuận tiện tương đương với lúc họ đưa ra sự đồng ý. Ví dụ, nếu khách hàng đồng ý nhận email marketing qua một cú click chuột, họ cũng phải có thể hủy đăng ký (unsubscribe) dễ dàng qua một đường link trong email.

Những sai lầm thường gặp khi lấy sự đồng ý mà doanh nghiệp cần tránh

Các sai lầm phổ biến bao gồm: sử dụng ô đánh dấu sẵn, gộp nhiều mục đích vào một lần đồng ý, không thông báo rõ về xử lý dữ liệu nhạy cảm, và coi sự im lặng là đồng ý.

Gộp chung mục đích (Bundled consent): Yêu cầu khách hàng đồng ý với điều khoản sử dụng dịch vụ VÀ đồng ý nhận quảng cáo trong cùng một cú click là không hợp lệ. Sự đồng ý cho mục đích marketing phải tách biệt.
Thiếu thông tin về dữ liệu nhạy cảm: Theo Điều 6.4 Nghị định 356/2025/NĐ-CP, khi xử lý dữ liệu cá nhân nhạy cảm (như thông tin sức khỏe, tài chính, vị trí), doanh nghiệp PHẢI thông báo rõ ràng cho khách hàng biết đây là dữ liệu nhạy cảm.
Ngôn ngữ khó hiểu: Sử dụng thuật ngữ pháp lý phức tạp, dài dòng nhằm “đánh lừa” khách hàng đồng ý là vi phạm nguyên tắc minh bạch.

5 Câu Hỏi Thường Gặp Về Hình Thức Lấy Sự Đồng Ý

1. Doanh nghiệp có cần xin lại sự đồng ý của khách hàng cũ khi Nghị định mới có hiệu lực không?

Trả lời: Theo quy định chuyển tiếp (Điều 39 Luật Bảo vệ dữ liệu cá nhân 2025), nếu hoạt động xử lý dữ liệu đang thực hiện đã có sự đồng ý của chủ thể dữ liệu đúng quy định trước đó thì không phải xin lại. Tuy nhiên, nếu sự đồng ý trước đây chưa đảm bảo các tiêu chí “rõ ràng, tự nguyện, cụ thể” theo luật mới, doanh nghiệp nên rà soát và xin lại để đảm bảo an toàn pháp lý.

2. Trẻ em có tự đưa ra sự đồng ý được không?

Trả lời: Đối với trẻ em từ đủ 7 tuổi trở lên, việc xử lý dữ liệu cần có sự đồng ý của cả trẻ em VÀ người đại diện theo pháp luật (cha mẹ/người giám hộ). Đối với trẻ dưới 7 tuổi, chỉ cần sự đồng ý của người đại diện.

3. Khi nào được miễn trừ việc lấy sự đồng ý?

Trả lời: Có 5 trường hợp ngoại lệ được quy định tại Điều 19 Luật Bảo vệ dữ liệu cá nhân, bao gồm: trường hợp khẩn cấp để bảo vệ tính mạng/sức khỏe; công khai theo luật định; an ninh quốc gia; thực hiện hợp đồng với chủ thể dữ liệu; và phục vụ hoạt động của cơ quan nhà nước.

4. Hình thức đồng ý “Opt-out” (Mặc định đồng ý, khách hàng phải bỏ chọn nếu không muốn) có hợp lệ không?

Trả lời: Không. Pháp luật Việt Nam yêu cầu cơ chế “Opt-in” (Khách hàng phải chủ động hành động để đồng ý). Việc thiết lập mặc định đồng ý là vi phạm quy định tại Điều 6.3 Dự thảo Nghị định hướng dẫn.

5. Bên thứ ba có thể thay mặt khách hàng đưa ra sự đồng ý không?

Trả lời: Có thể, thông qua việc ủy quyền hợp pháp theo quy định của Bộ luật Dân sự. Tuy nhiên, bên nhận dữ liệu cần thẩm định kỹ văn bản ủy quyền này để đảm bảo phạm vi ủy quyền bao gồm việc đồng ý xử lý dữ liệu cá nhân.

Đồng Hành Cùng Doanh Nghiệp Trong Kỷ Nguyên Bảo Vệ Dữ Liệu Với DPO.VN

Để xây dựng quy trình lấy sự đồng ý chuẩn mực, đảm bảo tính tuân thủ và tối ưu trải nghiệm khách hàng, hãy liên hệ ngay với đội ngũ chuyên gia của DPO.VN. Chúng tôi, Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia, với sự dẫn dắt của Luật sư Nguyễn Tiến Hảo, cam kết mang đến các giải pháp pháp lý toàn diện và hiệu quả nhất cho doanh nghiệp của bạn.

Website: dpo.vn

Hotline: 0914.315.886

Email: info@dpo.vn

Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Yên Hoà, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam.

Tài liệu tham khảo

Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. (Văn bản luật mới nhất về bảo vệ dữ liệu cá nhân).
Chính phủ (2025), Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
DPO.VN, Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân mới nhất. Có tại: https://dpo.vn/ho-so-danh-gia-tac-dong-xu-ly-du-lieu-ca-nhan-moi-nhat/
Information Commissioner’s Office (UK), Consent. Có tại: https://ico.org.uk/

Luật sư Nguyễn Tiến Hảo

Với kinh nghiệm tư vấn pháp lý về bảo vệ dữ liệu cá nhân cho gần 100 doanh nghiệp trong nước và quốc tế, Luật sư Nguyễn Tiến Hảo đã khẳng định vị thế là một trong những chuyên gia pháp lý hàng đầu tại Việt Nam về quản trị rủi ro và tuân thủ pháp lý trong lĩnh vực Bảo vệ dữ liệu cá nhân. Với chuyên môn sâu sắc trong việc diễn giải và áp dụng các quy định về Bảo vệ Dữ liệu Cá nhân, thể hiện qua năng lực xây dựng các Hồ sơ Đánh giá Tác động Xử Lý Dữ Liệu Cá Nhân đạt tiêu chuẩn và có tính ứng dụng cao. Các giải pháp cung cấp cho doanh nghiệp không chỉ đảm bảo sự tuân thủ nghiêm ngặt với pháp luật Việt Nam mà còn tương thích với các thông lệ quốc tế tốt nhất. Mang lại cho khách hàng sự bảo vệ pháp lý toàn diện và một lợi thế cạnh tranh rõ rệt. Tiểu sử tác giả