Hướng Dẫn Soạn Thảo Văn Bản Chấp Thuận Xử Lý Dữ Liệu Cá Nhân

Văn bản chấp thuận xử lý dữ liệu cá nhân là một công cụ pháp lý không thể thiếu trong kỷ nguyên số, giúp doanh nghiệp minh bạch hóa hoạt động xử lý thông tin và xây dựng lòng tin bền vững với khách hàng. Để đảm bảo sự tuân thủ chặt chẽ và hạn chế tối đa rủi ro, DPO.VN mang đến giải pháp soạn thảo chuyên nghiệp, chuẩn xác theo quy định pháp luật hiện hành.

Văn bản chấp thuận xử lý dữ liệu cá nhân cần bao gồm những nội dung bắt buộc nào?

Một văn bản chấp thuận hợp lệ phải bao gồm tối thiểu các thông tin: loại dữ liệu được xử lý, mục đích xử lý cụ thể, thông tin về các bên liên quan (Bên kiểm soát, Bên xử lý), quyền và nghĩa vụ của chủ thể dữ liệu, và thời gian lưu trữ/xử lý dữ liệu.

Việc soạn thảo một văn bản chấp thuận (Consent Form) không chỉ đơn thuần là tạo ra một tờ giấy để khách hàng ký tên. Nó là nền tảng pháp lý quan trọng nhất để hợp pháp hóa hoạt động xử lý dữ liệu của doanh nghiệp. Theo Điều 6 Nghị định 356/2025/NĐ-CP và Điều 9 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi họ được biết rõ và đầy đủ các thông tin sau:

• Loại dữ liệu cá nhân được xử lý: Cần liệt kê chi tiết các trường thông tin sẽ được thu thập (ví dụ: Họ tên, số điện thoại, email, địa chỉ, dữ liệu vị trí…). Đặc biệt, nếu có dữ liệu cá nhân nhạy cảm, doanh nghiệp phải thông báo rõ ràng để chủ thể dữ liệu biết.
• Mục đích xử lý dữ liệu cá nhân: Mục đích phải cụ thể, rõ ràng và hợp pháp. Ví dụ: “Để xử lý đơn hàng và giao hàng”, “Để gửi thông tin khuyến mãi”, “Để cải thiện chất lượng dịch vụ”. Tránh dùng các cụm từ chung chung như “Để phục vụ mục đích kinh doanh” gây hiểu lầm.
• Tổ chức, cá nhân được xử lý dữ liệu cá nhân: Nêu rõ tên của Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, hoặc Bên thứ ba (nếu có chia sẻ dữ liệu).
• Các quyền và nghĩa vụ của chủ thể dữ liệu: Thông báo cho họ biết họ có các quyền như: quyền được biết, quyền đồng ý, quyền truy cập, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý dữ liệu, quyền cung cấp dữ liệu, quyền phản đối xử lý dữ liệu, quyền khiếu nại, tố cáo, khởi kiện, quyền yêu cầu bồi thường thiệt hại, quyền tự bảo vệ.
• Thời gian lưu trữ và xử lý: Xác định rõ thời gian bắt đầu và thời gian kết thúc xử lý dữ liệu, hoặc tiêu chí xác định khoảng thời gian này.

Có những hình thức chấp thuận nào được pháp luật công nhận là hợp lệ?

Sự đồng ý có thể được thể hiện bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp tin nhắn, chọn các thiết lập kỹ thuật hoặc qua một hành động khác thể hiện rõ sự chấp thuận. Quan trọng là phải ở định dạng có thể in, sao chép bằng văn bản để lưu trữ và kiểm chứng.

Pháp luật Việt Nam quy định khá linh hoạt về hình thức thể hiện sự đồng ý để phù hợp với sự phát triển của công nghệ và đa dạng các mô hình kinh doanh. Điều 6 Nghị định 356/2025/NĐ-CP và Điều 9 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đều công nhận các hình thức sau:

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Dù chọn hình thức nào, doanh nghiệp cũng phải đảm bảo khả năng “trích xuất” và “chứng minh” được sự đồng ý đó khi có yêu cầu của cơ quan chức năng hoặc khi có tranh chấp xảy ra. Đây là yếu tố then chốt của nguyên tắc trách nhiệm giải trình.

Làm thế nào để xây dựng quy trình lấy sự đồng ý minh bạch và hiệu quả?

Quy trình lấy sự đồng ý cần được thiết kế theo từng bước rõ ràng: Xác định điểm chạm với khách hàng, soạn thảo nội dung thông báo dễ hiểu, thiết lập cơ chế ghi nhận sự đồng ý chủ động, và lưu trữ bằng chứng đồng ý một cách an toàn.

Để triển khai văn bản chấp thuận vào thực tế hoạt động kinh doanh một cách mượt mà, không gây phiền hà cho khách hàng nhưng vẫn đảm bảo tính pháp lý, doanh nghiệp nên tuân theo các bước sau:

Bước 1: Xác định các điểm thu thập dữ liệu (Touchpoints)

Rà soát toàn bộ hành trình khách hàng để biết dữ liệu được thu thập ở đâu: Website, ứng dụng di động, quầy lễ tân, tổng đài, hay qua các chiến dịch marketing. Tại mỗi điểm này, cần tích hợp cơ chế hiển thị văn bản chấp thuận phù hợp.

Bước 2: Soạn thảo nội dung “Thông báo xử lý dữ liệu”

Nội dung phải ngắn gọn, súc tích, sử dụng ngôn ngữ phổ thông, dễ hiểu, tránh các thuật ngữ pháp lý rắc rối. Cần tách biệt các mục đích xử lý khác nhau để khách hàng có quyền lựa chọn. Ví dụ: Đồng ý cho xử lý đơn hàng (bắt buộc) và Đồng ý nhận tin quảng cáo (tùy chọn). Mẫu nội dung thu thập sự đồng ý cần được cập nhật thường xuyên.

Bước 3: Thiết lập cơ chế “Opt-in” (Chủ động đồng ý)

Theo quy định, sự im lặng hoặc không phản hồi không được coi là sự đồng ý. Do đó, không được sử dụng các ô checkbox đã được đánh dấu sẵn. Khách hàng phải tự tay thực hiện hành động (tích vào ô, ký tên, nhấn nút “Đồng ý”) để xác nhận sự chấp thuận của mình.

Bước 4: Lưu trữ và Quản lý sự đồng ý (Consent Management)

Sử dụng các giải pháp công nghệ (như nền tảng quản lý sự đồng ý – CMP) để lưu vết thời gian, địa chỉ IP, nội dung phiên bản chính sách mà khách hàng đã đồng ý. Điều này giúp doanh nghiệp dễ dàng chứng minh sự đồng ý của chủ thể dữ liệu khi cần thiết.

Những sai lầm phổ biến khi soạn thảo văn bản chấp thuận mà doanh nghiệp cần tránh?

Các sai lầm thường gặp bao gồm: sử dụng ngôn ngữ mơ hồ, gộp chung nhiều mục đích vào một sự đồng ý, đặt chế độ mặc định đồng ý, gây khó khăn cho việc rút lại sự đồng ý, và không thông báo rõ ràng về việc chuyển dữ liệu cho bên thứ ba.

Trong quá trình tư vấn, DPO.VN nhận thấy nhiều doanh nghiệp vẫn mắc phải các lỗi cơ bản sau, dẫn đến rủi ro bị xử phạt vi phạm hành chính:

• Gộp chung các mục đích (Bundled Consent): Yêu cầu khách hàng đồng ý với điều khoản sử dụng dịch vụ đồng thời buộc họ phải đồng ý nhận quảng cáo. Điều này vi phạm nguyên tắc tự nguyện. Sự đồng ý cho mục đích marketing phải tách biệt với sự đồng ý cho việc cung cấp dịch vụ chính.
• Thiếu minh bạch về Bên thứ ba: Chỉ nói chung chung là “chia sẻ với các đối tác” mà không nêu rõ danh tính hoặc loại hình đối tác. Khách hàng có quyền biết dữ liệu của mình sẽ đi về đâu.
• Gây khó dễ khi rút lại sự đồng ý: Quy trình rút lại sự đồng ý phải đơn giản và thuận tiện như quy trình đồng ý ban đầu. Nếu khách hàng có thể đồng ý bằng một cú nhấp chuột, họ cũng phải có thể rút lại sự đồng ý bằng một cú nhấp chuột. Quyền rút lại sự đồng ý là quyền cơ bản của chủ thể dữ liệu.
• Không cập nhật văn bản khi thay đổi mục đích: Khi doanh nghiệp muốn sử dụng dữ liệu cho một mục đích mới chưa được thông báo trước đó, phải xin lại sự đồng ý của khách hàng. Tiếp tục sử dụng dựa trên sự đồng ý cũ là không hợp lệ.

Các Câu Hỏi Thường Gặp Về Văn Bản Chấp Thuận Xử Lý Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Quốc hội (2025), Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. (Văn bản pháp lý nền tảng, có hiệu lực từ 01/01/2026).
• Chính phủ (2025), Nghị định số 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
• Chính phủ (2023), Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Bộ Công an, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân. (Nguồn thông tin chính thống về thủ tục và hướng dẫn).
• European Commission, Guidelines on Consent under Regulation 2016/679 (GDPR). (Tài liệu tham khảo quốc tế về tiêu chuẩn sự đồng ý).