Thu thập dữ liệu cá nhân của khách hàng cần tuân thủ điều gì?

Thu thập dữ liệu cá nhân của khách hàng hợp pháp đòi hỏi doanh nghiệp phải tuân thủ nghiêm ngặt các quy định về sự đồng ý, thông báo rõ ràng và giới hạn mục đích. Để đảm bảo tuân thủ và giảm thiểu rủi ro, DPO.VN mang đến giải pháp toàn diện giúp doanh nghiệp thực hiện đúng quy trình thu thập thông tin và bảo mật dữ liệu.

Doanh nghiệp phải đáp ứng 5 yêu cầu cốt lõi nào khi thu thập dữ liệu cá nhân của khách hàng?

Doanh nghiệp phải đảm bảo có được sự đồng ý hợp lệ, thông báo đầy đủ thông tin cho khách hàng, chỉ thu thập dữ liệu trong phạm vi cần thiết, áp dụng các biện pháp bảo vệ ngay từ đầu và có khả năng chứng minh sự tuân thủ của mình.

Để hoạt động thu thập thông tin khách hàng diễn ra hợp pháp và an toàn, doanh nghiệp không chỉ cần tập trung vào mục tiêu kinh doanh mà còn phải đặt việc tuân thủ pháp luật lên hàng đầu. Theo quy định tại Nghị định 13/2023/NĐ-CP và định hướng của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, có 5 yêu cầu nền tảng mà mọi quy trình thu thập dữ liệu cá nhân phải đáp ứng:

1. Có sự đồng ý hợp lệ của chủ thể dữ liệu: Đây là nền tảng của mọi hoạt động thu thập. Sự đồng ý phải tự nguyện, rõ ràng và dựa trên thông tin đầy đủ.
2. Thông báo đầy đủ trước khi xử lý: Doanh nghiệp phải minh bạch về mục đích, phạm vi và cách thức xử lý dữ liệu trước khi khách hàng đồng ý.
3. Tuân thủ nguyên tắc giới hạn mục đích và tối thiểu hóa dữ liệu: Chỉ thu thập những gì thực sự cần thiết cho mục đích đã nêu, không thu thập tràn lan.
4. Áp dụng các biện pháp bảo vệ dữ liệu: Phải có sẵn các biện pháp quản lý và kỹ thuật để bảo vệ dữ liệu ngay từ thời điểm thu thập.
5. Lưu trữ bằng chứng và chịu trách nhiệm giải trình: Doanh nghiệp phải có khả năng chứng minh rằng mình đã tuân thủ tất cả các quy định khi được cơ quan chức năng yêu cầu.

Làm thế nào để có được sự đồng ý hợp lệ từ khách hàng?

Sự đồng ý hợp lệ phải dựa trên sự tự nguyện, được thể hiện rõ ràng qua hành động cụ thể sau khi khách hàng đã biết rõ loại dữ liệu, mục đích xử lý, các bên liên quan, cùng quyền và nghĩa vụ của mình.

Sự đồng ý của chủ thể dữ liệu không chỉ là một thủ tục hình thức mà là yêu cầu pháp lý cốt lõi. Điều 11 Nghị định 13/2023/NĐ-CP và Điều 9 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định rất chặt chẽ về tính hợp lệ của sự đồng ý. Doanh nghiệp cần đảm bảo các yếu tố sau:

Nội dung của sự đồng ý cần có những gì?

Sự đồng ý chỉ có hiệu lực khi chủ thể dữ liệu biết rõ: loại dữ liệu được xử lý, mục đích xử lý, tổ chức/cá nhân được xử lý dữ liệu, và các quyền, nghĩa vụ của mình.

Theo khoản 2 Điều 11 Nghị định 13/2023/NĐ-CP, một sự đồng ý được xem là hợp lệ khi khách hàng hiểu rõ các thông tin sau:

• Loại dữ liệu cá nhân được xử lý: Liệt kê cụ thể các thông tin sẽ thu thập (ví dụ: họ tên, email, số điện thoại, địa chỉ IP).
• Mục đích xử lý dữ liệu cá nhân: Nêu rõ từng mục đích sử dụng (ví dụ: để giao hàng, để gửi bản tin marketing, để phân tích hành vi người dùng).
• Tổ chức, cá nhân được xử lý dữ liệu: Công khai danh tính của Bên Kiểm soát, Bên Xử lý và các Bên thứ ba có thể tiếp cận dữ liệu.
• Các quyền và nghĩa vụ của chủ thể dữ liệu: Thông báo về các quyền như truy cập, chỉnh sửa, xóa, rút lại sự đồng ý.

Sự im lặng hoặc không phản hồi có được coi là đồng ý không?

Tuyệt đối không. Cả Nghị định 13/2023/NĐ-CP (khoản 6 Điều 11) và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (khoản 4 Điều 9) đều khẳng định sự im lặng hoặc không phản hồi không được coi là sự đồng ý.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Doanh nghiệp không thể mặc định rằng khách hàng đồng ý chỉ vì họ không từ chối. Sự đồng ý phải được thể hiện qua một hành động khẳng định rõ ràng, ví dụ như:

• Đánh dấu vào ô tick (checkbox) có nội dung như: “Tôi đã đọc và đồng ý với Chính sách bảo vệ dữ liệu cá nhân”. Ô này không được đánh dấu sẵn.
• Nhấn vào nút “Tôi đồng ý” sau khi đã hiển thị đầy đủ thông tin.
• Gửi tin nhắn theo cú pháp xác nhận.
• Ký vào văn bản, hợp đồng có điều khoản rõ ràng về việc đồng ý xử lý dữ liệu.

Doanh nghiệp phải thông báo những nội dung gì cho khách hàng trước khi thu thập dữ liệu?

Doanh nghiệp phải thông báo một lần trước khi xử lý dữ liệu, bao gồm mục đích, loại dữ liệu, cách thức xử lý, thông tin các bên liên quan, hậu quả có thể xảy ra, và thời gian xử lý dữ liệu.

Nguyên tắc minh bạch đòi hỏi doanh nghiệp phải công khai, rõ ràng về hoạt động xử lý dữ liệu của mình. Điều 13 Nghị định 13/2023/NĐ-CP quy định việc thông báo phải được thực hiện một lần trước khi tiến hành xử lý dữ liệu. Nội dung thông báo bắt buộc phải có:

Hình thức thông báo phải đảm bảo có thể được in, sao chép bằng văn bản, bao gồm cả dạng điện tử. Cách phổ biến nhất là xây dựng một “Chính sách bảo vệ dữ liệu cá nhân” hoặc “Chính sách quyền riêng tư” chi tiết và dẫn link đến nó tại các điểm thu thập dữ liệu.

Quy trình thu thập dữ liệu cá nhân cơ bản và dữ liệu nhạy cảm có gì khác biệt?

Khi thu thập dữ liệu nhạy cảm, ngoài các yêu cầu chung, doanh nghiệp phải thông báo rõ cho chủ thể dữ liệu biết rằng dữ liệu sắp được xử lý là dữ liệu nhạy cảm và áp dụng các biện pháp bảo vệ tăng cường.

Pháp luật Việt Nam phân loại dữ liệu cá nhân thành hai nhóm với mức độ bảo vệ khác nhau. Việc phân biệt dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm là rất quan trọng để doanh nghiệp áp dụng đúng quy trình.

• Dữ liệu cá nhân cơ bản: Bao gồm các thông tin phổ biến như họ tên, ngày sinh, giới tính, số điện thoại, email (Khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP).
• Dữ liệu cá nhân nhạy cảm: Bao gồm các thông tin gắn liền với quyền riêng tư như quan điểm chính trị, tôn giáo; tình trạng sức khỏe; thông tin di truyền; dữ liệu sinh trắc học; thông tin tài chính, ngân hàng; dữ liệu về vị trí (Khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP).

Khi thu thập dữ liệu nhạy cảm, doanh nghiệp phải thực hiện thêm các nghĩa vụ đặc biệt:

1. Thông báo rõ ràng: Khoản 8 Điều 11 Nghị định 13/2023/NĐ-CP yêu cầu: “Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm”.
2. Áp dụng biện pháp bảo vệ tăng cường: Điều 28 Nghị định 13/2023/NĐ-CP quy định, ngoài các biện pháp bảo vệ cơ bản, việc xử lý dữ liệu nhạy cảm đòi hỏi phải chỉ định bộ phận và nhân sự phụ trách bảo vệ dữ liệu cá nhân, đồng thời trao đổi thông tin với Cơ quan chuyên trách.

💡 Kinh nghiệm thực tế: Một ứng dụng theo dõi sức khỏe khi thu thập dữ liệu về nhịp tim, giấc ngủ của người dùng, phải hiển thị một thông báo rõ ràng: “Chúng tôi sắp thu thập dữ liệu sức khỏe của bạn, đây là dữ liệu cá nhân nhạy cảm. Bạn có đồng ý không?”. Đồng thời, công ty phải có các biện pháp mã hóa mạnh mẽ và kiểm soát truy cập chặt chẽ đối với loại dữ liệu này.

Doanh nghiệp có trách nhiệm gì trong và sau khi thu thập dữ liệu?

Doanh nghiệp chịu trách nhiệm bảo vệ dữ liệu, đáp ứng các quyền của chủ thể dữ liệu, lập và lưu trữ hồ sơ đánh giá tác động, và quan trọng nhất là phải chứng minh được sự tuân thủ của mình khi có tranh chấp hoặc kiểm tra.

Trách nhiệm của doanh nghiệp không dừng lại sau khi đã có được sự đồng ý. Giai đoạn sau thu thập là lúc các nguyên tắc bảo vệ dữ liệu phải được thực thi một cách liên tục.

Làm thế nào để lưu trữ bằng chứng về sự đồng ý của khách hàng?

Doanh nghiệp cần lưu lại nhật ký hệ thống (log file) về thời gian, địa chỉ IP, và phiên bản chính sách mà khách hàng đã đồng ý, hoặc lưu trữ bản sao các văn bản, hợp đồng đã ký.

Khoản 10 Điều 11 Nghị định 13/2023/NĐ-CP nêu rõ: “Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân”. Điều này có nghĩa là gánh nặng chứng minh thuộc về doanh nghiệp.

DPO.VN khuyến nghị các phương pháp sau để lưu trữ bằng chứng một cách hiệu quả:

• Đối với môi trường trực tuyến: Ghi lại log chi tiết về việc người dùng đồng ý, bao gồm dấu thời gian (timestamp), địa chỉ IP, user agent, nội dung và phiên bản của chính sách quyền riêng tư đã được chấp thuận.
• Đối với môi trường vật lý: Lưu trữ bản sao các phiếu đăng ký, hợp đồng, hoặc văn bản đồng ý có chữ ký của khách hàng.
• Quản lý phiên bản: Khi chính sách quyền riêng tư thay đổi, cần yêu cầu người dùng đồng ý lại và lưu trữ rõ ràng họ đã đồng ý với phiên bản nào.

Doanh nghiệp cần làm gì để thể hiện trách nhiệm giải trình?

Để giải trình, doanh nghiệp phải lập, lưu trữ và nộp Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân cho cơ quan chức năng theo quy định, đồng thời duy trì các tài liệu, chính sách nội bộ để sẵn sàng cho việc kiểm tra.

Trách nhiệm giải trình là một trong những nguyên tắc quan trọng nhất. Điều 24 Nghị định 13/2023/NĐ-CP và Điều 21 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 yêu cầu Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

Hồ sơ này phải được gửi 01 bản chính đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) trong vòng 60 ngày kể từ ngày bắt đầu xử lý dữ liệu. Đây là bằng chứng hữu hình và quan trọng nhất cho thấy doanh nghiệp đã nghiêm túc đánh giá các rủi ro và áp dụng biện pháp bảo vệ phù hợp. Việc tuân thủ quy trình này không chỉ giúp doanh nghiệp đáp ứng yêu cầu pháp lý mà còn tạo ra một khuôn khổ quản trị dữ liệu vững chắc từ bên trong.

Các Câu Hỏi Thường Gặp Về Thu Thập Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Cổng Dịch vụ công Quốc gia – Thủ tục hành chính về Bảo vệ dữ liệu cá nhân.
• Luật An ninh mạng 24/2018/QH14.