Sự đồng ý của chủ thể dữ liệu cá nhân theo pháp luật hiện hành

Trong thời đại số, dữ liệu cá nhân trở thành một trong những tài sản quan trọng và cần được bảo vệ chặt chẽ. Việc thu thập, sử dụng hay chia sẻ thông tin cá nhân không thể thực hiện tùy ý mà cần dựa trên những nguyên tắc pháp lý nhất định. Trong đó, sự đồng ý của chủ thể dữ liệu cá nhân là yếu tố quan trọng nhằm bảo đảm quyền riêng tư và quyền kiểm soát thông tin của mỗi cá nhân theo pháp luật hiện hành. Bài viết dưới đây Luật Trí Minh sẽ phân tích các quy định mới nhất của Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định 356/2025/NĐ-CP về vấn đề này.

1. Sự đồng ý của chủ thể dữ liệu cá nhân là gì?

Sự đồng ý của chủ thể dữ liệu cá nhân là một trong những nguyên tắc cốt lõi của pháp luật về bảo vệ dữ liệu cá nhân. Theo đó, việc thu thập, lưu trữ, sử dụng, phân tích, chia sẻ hoặc thực hiện bất kỳ hoạt động xử lý dữ liệu cá nhân nào đều phải dựa trên cơ sở pháp lý phù hợp, trong đó sự đồng ý của chủ thể dữ liệu là căn cứ phổ biến nhất.

Theo đó, Sự đồng ý của chủ thể dữ liệu cá nhân là việc chủ thể dữ liệu cá nhân cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác..

2. Điều kiện để sự đồng ý có giá trị pháp lý

Không phải mọi sự đồng ý đều được xem là hợp lệ. Theo Luật Bảo vệ dữ liệu cá nhân năm 2025, sự đồng ý của chủ thể dữ liệu phải đáp ứng các điều kiện sau:

2.1. Sự đồng ý phải được đưa ra một cách tự nguyện

Một trong những nguyên tắc quan trọng để xác định tính hợp pháp của sự đồng ý là chủ thể dữ liệu phải hoàn toàn chủ động trong quyết định của mình. Việc đồng ý xử lý dữ liệu cá nhân phải xuất phát từ ý chí tự do, không bị tác động bởi hành vi ép buộc, gian dối hoặc bất kỳ hình thức gây áp lực nào.

Các tổ chức, doanh nghiệp có trách nhiệm xây dựng cơ chế xin đồng ý minh bạch, không được sử dụng cách thức gây hiểu lầm, che giấu thông tin hoặc khiến cá nhân buộc phải chấp nhận việc xử lý dữ liệu khi chưa thực sự mong muốn.

2.2. Chủ thể dữ liệu phải được cung cấp đầy đủ thông tin trước khi đồng ý

Trước khi tiến hành thu thập và xử lý dữ liệu cá nhân, bên kiểm soát dữ liệu hoặc bên xử lý dữ liệu cần thông báo rõ ràng cho chủ thể dữ liệu về những nội dung liên quan. Đây là cơ sở để cá nhân có đủ nhận thức và đưa ra lựa chọn phù hợp.

Các thông tin cần được cung cấp bao gồm:

• Mục đích thu thập và xử lý dữ liệu cá nhân;
• Loại dữ liệu cá nhân được sử dụng;
• Phạm vi và phương thức xử lý dữ liệu;
• Các tổ chức, cá nhân có liên quan đến hoạt động xử lý;
• Quyền, nghĩa vụ của chủ thể dữ liệu;
• Những nguy cơ hoặc vấn đề có thể phát sinh trong quá trình xử lý thông tin.

Trường hợp cá nhân đồng ý khi chưa được giải thích đầy đủ hoặc không nắm được các nội dung quan trọng thì sự đồng ý đó có thể không đáp ứng điều kiện về giá trị pháp lý.

2.3. Sự đồng ý phải cụ thể, rõ ràng đối với từng mục đích xử lý

Sự đồng ý của chủ thể dữ liệu cần thể hiện chính xác phạm vi mà cá nhân cho phép tổ chức, doanh nghiệp thực hiện. Việc đồng ý chung chung cho nhiều hoạt động xử lý khác nhau có thể làm mất đi tính minh bạch và khả năng kiểm soát dữ liệu của cá nhân.

Ví dụ, chủ thể dữ liệu có thể đưa ra các lựa chọn riêng như:

• Cho phép nhận thông tin quảng cáo, tiếp thị qua email;
• Cho phép chia sẻ dữ liệu với công ty liên kết hoặc đối tác;
• Cho phép chuyển dữ liệu cá nhân sang hệ thống lưu trữ ở nước ngoài.

Mỗi mục đích xử lý cần được trình bày độc lập để chủ thể dữ liệu có thể lựa chọn đồng ý hoặc từ chối đối với từng nội dung cụ thể, bảo đảm quyền kiểm soát thông tin cá nhân theo quy định pháp luật.

3. Các phương thức thể hiện sự đồng ý theo Nghị định 356/2025/NĐ-CP

Điều 6 Nghị định 356/2025/NĐ-CP quy định cụ thể các hình thức thể hiện sự đồng ý của chủ thể dữ liệu cá nhân, bao gồm:

• Thông qua văn bản: Đây là phương thức truyền thống và thường được sử dụng trong các giao dịch, thỏa thuận có tính ràng buộc như hợp đồng lao động, hợp đồng cung cấp dịch vụ, phiếu đăng ký thông tin khách hàng hoặc các tài liệu liên quan đến chính sách bảo vệ dữ liệu cá nhân.
• Thông qua dữ liệu điện tử: Chủ thể dữ liệu có thể xác nhận đồng ý bằng các thao tác trên nền tảng số như tích chọn ô xác nhận trên website, đồng ý trên ứng dụng di động, xác nhận biểu mẫu trực tuyến hoặc sử dụng chữ ký điện tử. Hình thức này ngày càng phổ biến trong hoạt động kinh doanh và cung cấp dịch vụ trực tuyến.
• Thông qua thư điện tử (Email): Việc cá nhân gửi email xác nhận hoặc phản hồi thể hiện sự đồng ý cũng có thể được xem là căn cứ chứng minh ý chí của chủ thể dữ liệu trong quá trình xử lý thông tin.
• Thông qua tin nhắn SMS: Một số trường hợp, sự đồng ý được xác lập thông qua việc chủ thể dữ liệu thực hiện cú pháp tin nhắn theo hướng dẫn của đơn vị thu thập hoặc xử lý dữ liệu.
• Thông qua ghi âm cuộc gọi: Trong các hoạt động như tư vấn, chăm sóc khách hàng, telesales hoặc cung cấp dịch vụ qua điện thoại, nội dung ghi âm thể hiện việc khách hàng xác nhận đồng ý có thể được sử dụng làm căn cứ chứng minh sự chấp thuận.
• Thông qua các hành vi xác nhận khác có thể chứng minh được: Ngoài các phương thức nêu trên, doanh nghiệp có thể áp dụng các hình thức xác nhận điện tử khác nếu có khả năng lưu trữ, kiểm tra và chứng minh rõ ràng rằng chủ thể dữ liệu đã chủ động đưa ra sự đồng ý của mình.

4. Những hành vi bị cấm khi xin sự đồng ý

Một điểm mới quan trọng của Nghị định 356/2025/NĐ-CP là quy định rõ các trường hợp không được coi là sự đồng ý hợp lệ. Cụ thể:

4.1. Không được sử dụng cơ chế đồng ý mặc định

Ví dụ:

• Tự động tích sẵn ô “Tôi đồng ý”;
• Mặc định cho phép nhận quảng cáo;
• Mặc định cho phép chia sẻ dữ liệu cho bên thứ ba.

Người dùng phải chủ động lựa chọn đồng ý.

4.2. Không được thiết kế giao diện gây nhầm lẫn

Ví dụ:

• Nút “Từ chối” bị làm mờ hoặc khó nhìn;
• Buộc người dùng đồng ý mới được tiếp tục trong khi không cần thiết;
• Che giấu thông tin về mục đích xử lý dữ liệu.

4.3. Không được gộp nhiều mục đích xử lý vào một lựa chọn

Doanh nghiệp phải tách riêng từng mục đích xử lý để chủ thể dữ liệu có quyền lựa chọn độc lập.

5. Xử lý dữ liệu cá nhân nhạy cảm có cần yêu cầu riêng không?

Đối với dữ liệu cá nhân nhạy cảm, bên xử lý dữ liệu phải thông báo rõ cho chủ thể dữ liệu biết đây là dữ liệu cá nhân nhạy cảm trước khi xin sự đồng ý.

Một số loại dữ liệu cá nhân nhạy cảm bao gồm:

• Dữ liệu sinh trắc học;
• Dữ liệu ADN;
• Dữ liệu sức khỏe;
• Thông tin tài khoản ngân hàng;
• Lịch sử giao dịch tài chính;
• Dữ liệu định vị vị trí;
• Thông tin liên quan đến tội phạm, vi phạm pháp luật.

Việc xử lý các dữ liệu này đòi hỏi mức độ bảo vệ cao hơn so với dữ liệu cá nhân thông thường.

6. Doanh nghiệp cần làm gì để tuân thủ quy định về sự đồng ý?

Để giảm thiểu rủi ro pháp lý, doanh nghiệp nên:

6.1. Rà soát toàn bộ biểu mẫu thu thập dữ liệu

Kiểm tra:

• Website;
• Ứng dụng di động;
• Hợp đồng;
• Form đăng ký;
• Chương trình marketing.

6.2. Xây dựng cơ chế lưu trữ bằng chứng đồng ý

Doanh nghiệp cần có khả năng chứng minh:

• Thời điểm đồng ý;
• Nội dung đã thông báo;
• Hình thức đồng ý;
• Người thực hiện đồng ý.

6.3. Thiết lập quy trình rút lại sự đồng ý

Người dùng phải có khả năng:

• Dễ dàng từ chối;
• Hủy đăng ký nhận thông tin;
• Rút lại sự đồng ý bất cứ lúc nào.

6.4. Đào tạo nhân sự

Nhân viên phụ trách marketing, kinh doanh, nhân sự và công nghệ thông tin cần được đào tạo về yêu cầu bảo vệ dữ liệu cá nhân để tránh các vi phạm trong quá trình xử lý dữ liệu.

7. Dịch vụ tư vấn bảo vệ dữ liệu cá nhân tại Luật Trí Minh

Luật Trí Minh cung cấp dịch vụ tư vấn pháp lý về bảo vệ dữ liệu cá nhân dành cho doanh nghiệp và tổ chức, bao gồm:

• Tư vấn quy định pháp luật về dữ liệu cá nhân;
• Soạn thảo chính sách bảo mật dữ liệu;
• Soạn thảo thỏa thuận xử lý dữ liệu cá nhân (DPA);
• Tư vấn chuyển giao dữ liệu cá nhân;
• Rà soát quy trình xử lý dữ liệu;
• Tư vấn xử lý vi phạm liên quan đến dữ liệu cá nhân;
• Hỗ trợ xây dựng hệ thống quản trị dữ liệu nội bộ.

8. Lý do nên lựa chọn dịch vụ tại Luật Trí Minh

Trong bối cảnh các quy định về bảo vệ dữ liệu cá nhân ngày càng được siết chặt, việc tuân thủ đúng quy định pháp luật là yếu tố quan trọng giúp doanh nghiệp hạn chế rủi ro pháp lý và bảo vệ uy tín thương hiệu. Với kinh nghiệm tư vấn pháp lý cho nhiều doanh nghiệp trong các lĩnh vực khác nhau, Luật Trí Minh mang đến những giải pháp toàn diện, phù hợp với thực tiễn hoạt động của khách hàng. Đội ngũ chuyên gia luôn đồng hành và hỗ trợ doanh nghiệp xây dựng hệ thống quản lý dữ liệu cá nhân hiệu quả, an toàn và đúng quy định pháp luật.

• Đội ngũ luật sư giàu kinh nghiệm: Am hiểu sâu về quy định pháp luật liên quan đến bảo vệ dữ liệu cá nhân và hoạt động của doanh nghiệp.
• Tư vấn giải pháp phù hợp thực tiễn: Đưa ra phương án xử lý và xây dựng quy trình quản lý dữ liệu phù hợp với từng mô hình hoạt động.
• Hỗ trợ nhanh chóng, tận tâm: Giải đáp kịp thời các vướng mắc pháp lý trong quá trình doanh nghiệp thu thập và xử lý dữ liệu cá nhân.
• Tiết kiệm thời gian và chi phí: Giúp doanh nghiệp hạn chế rủi ro pháp lý và tối ưu nguồn lực khi triển khai các quy định về bảo vệ dữ liệu.
• Cam kết bảo mật thông tin khách hàng: Mọi thông tin và dữ liệu của khách hàng luôn được bảo đảm an toàn và bảo mật trong quá trình tư vấn.
• Quy trình làm việc chuyên nghiệp: Dịch vụ được triển khai theo quy trình rõ ràng, minh bạch, đảm bảo hiệu quả và tiến độ thực hiện.
• Hỗ trợ tư vấn lâu dài: Luật Trí Minh luôn sẵn sàng đồng hành cùng doanh nghiệp trong quá trình vận hành và xử lý các vấn đề pháp lý phát sinh liên quan đến dữ liệu cá nhân.

Trên đây là những chia sẻ về “Sự đồng ý của chủ thể dữ liệu cá nhân theo pháp luật hiện hành”. Trong trường hợp cần trao đổi chi tiết hoặc có nhu cầu sử dụng dịch vụ tại Luật Trí Minh, vui lòng liên hệ qua Email: contact@luattriminh.vn hoặc số Hotline: 024 3766 9599 (Hà Nội) và 028 3933 3323 (TP.HCM) để được hỗ trợ kịp thời.

————————-

Liên hệ để được tư vấn

Hà Nội: 024 3766 9599

TP.HCM: 028 3933 3323

Email: contact@luattriminh.vn

Zalo: https://zalo.me/1348045542689641225

Trụ sở: Tầng 5, Tòa nhà Việt/Viet Tower, Số 1 phố Thái Hà, Phường Đống Đa, Thành Phố Hà Nội

Chi nhánh: Lầu 11, Toà nhà Vimedimex, số 246 Cống Quỳnh, Phường Bến Thành, Thành phố Hồ Chí Minh