Tiêu chuẩn về “Sự đồng ý” của chủ thể dữ liệu đã có sự phát triển rõ rệt từ Nghị định 13/2023/NĐ-CP tiến tới Luật Bảo vệ dữ liệu cá nhân (2025) và Nghị định 356/2025/NĐ-CP. Sự thay đổi này tập trung vào việc tăng cường tính minh bạch, khả năng kiểm chứng và đặt gánh nặng trách nhiệm chứng minh lên vai bên kiểm soát/xử lý dữ liệu.
1. Phương thức thể hiện sự đồng ý cụ thể và logic hơn
Nghị định 356 đã cụ thể hóa các phương thức mà bên kiểm soát/bên xử lý dữ liệu có thể sử dụng để thu thập sự đồng ý, nhằm bảo đảm khả năng kiểm chứng về định danh chủ thể dữ liệu, thời điểm và nội dung đồng ý.
Các phương thức bao gồm:
- Bằng văn bản;
- Bằng cuộc gọi ghi âm;
- Cú pháp đồng ý qua tin nhắn điện thoại;
- Qua thư điện tử, trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý;
- Bằng các phương thức khác phù hợp có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
2. Nội hàm của “khả năng kiểm chứng” được làm rõ
Một điểm tiến quan trọng của Nghị định 356 là làm rõ nội hàm của yêu cầu “khả năng kiểm chứng” đối với sự đồng ý, qua đó khắc phục khoảng trống còn tồn tại dưới Nghị định 13/2023/NĐ-CP. Theo đó, khi thu thập sự đồng ý từ chủ thể dữ liệu, doanh nghiệp phải có khả năng chứng minh được tối thiểu các yếu tố sau:
- Chủ thể dữ liệu đã thực hiện sự đồng ý là ai;
- Thời điểm sự đồng ý được thực hiện;
- Nội dung và phạm vi mà chủ thể dữ liệu đã đồng ý.
Như vậy, trách nhiệm của doanh nghiệp không dừng ở việc thu thập sự đồng ý, mà còn bao gồm nghĩa vụ tái hiện được quá trình đồng ý khi có yêu cầu của cơ quan quản lý hoặc khi phát sinh tranh chấp. Trên thực tế, nếu không thể truy vết và đối chứng các yếu tố nêu trên, sự đồng ý có nguy cơ bị coi là không hợp lệ.
3. Các nguyên tắc mới nhằm chống lại “Sự đồng ý mặc định”
Nghị định 356 lần đầu tiên đặt ra nguyên tắc rõ ràng nhằm loại bỏ cơ chế “sự đồng ý mặc định” trong hoạt động xử lý dữ liệu cá nhân. Theo đó, pháp luật nghiêm cấm việc thiết lập phương thức mặc định đồng ý (như các ô đã tích sẵn) hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu.
Điểm cốt lõi rằng người dùng chỉ được coi là đã đồng ý khi họ chủ động thực hiện hành vi thể hiện sự chấp thuận. Ngược lại, mọi cách thức “đẩy” người dùng vào việc đồng ý thông qua thiết kế giao diện, cách trình bày hoặc luồng thao tác đều tiềm ẩn rủi ro vi phạm. So với Nghị định 13/2023/NĐ-CP, cách tiếp cận này được thể hiện rõ ràng và trực diện hơn, đặc biệt trong bối cảnh các mô hình thu thập dữ liệu dựa trên nền tảng số.
Ví dụ 1: Một số form đăng ký tài khoản có sẵn các dòng như “Tôi đồng ý nhận thông tin marketing”, “Tôi đồng ý chia sẻ dữ liệu cho đối tác” với ô đã được tích sẵn. Người dùng chỉ cần bấm “Đăng ký”. Trường hợp này không đáp ứng yêu cầu về sự đồng ý hợp lệ, do thiếu hành vi chủ động của người dùng.
Ví dụ 2: Banner cookie trên website thương mại điện tử
Nhiều website hiển thị banner cookie với nút “Đồng ý nổi bật, trong khi tùy chọn “Tùy chỉnh” hoặc “Từ chối” bị làm mờ, đặt ở vị trí khó nhìn hoặc phải bấm thêm nhiều bước mới thấy. Điều này gây ra rủi ro vi phạm, vì giao diện tạo áp lực tâm lý khiến người dùng có xu hướng bấm “chấp nhận” mà không thực sự lựa chọn chủ động.
4. Trách nhiệm chứng minh và Nghĩa vụ lưu trữ
Nghĩa vụ lưu trữ sự đồng ý là một điểm tiến quan trọng của Nghị định 356 khi lần đầu tiên luật hóa rõ ràng trách nhiệm này. Theo đó, sự đồng ý của chủ thể dữ liệu không chỉ là điều kiện hợp pháp để xử lý dữ liệu tại thời điểm phát sinh, mà còn phải được lưu trữ như một hồ sơ pháp lý độc lập. Doanh nghiệp có nghĩa vụ bảo đảm khả năng truy xuất và cung cấp bằng chứng về sự đồng ý khi có yêu cầu kiểm tra, thanh tra của cơ quan có thẩm quyền hoặc khi phát sinh tranh chấp.
Trên thực tế, việc không lưu trữ hoặc không chứng minh được sự đồng ý có thể dẫn đến rủi ro bị coi là xử lý dữ liệu cá nhân không có căn cứ pháp lý hợp lệ, dù trước đó đã từng thu thập sự đồng ý từ chủ thể dữ liệu.
Khuyến nghị: Những thay đổi nêu trên cho thấy doanh nghiệp cần xem xét lại toàn bộ quy trình thu thập, ghi nhận và lưu trữ sự đồng ý, đặc biệt là các giao diện số, biểu mẫu điện tử và hệ thống CNTT đang vận hành. Việc quản lý sự đồng ý không còn là vấn đề hình thức, mà đã trở thành một cấu phần trọng yếu của hệ thống tuân thủ và trách nhiệm giải trình về dữ liệu cá nhân.
Thời gian viết bài: 19/01/2026
Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn
Vì sao chọn dịch vụ CDLAF
- Chúng tôi cung cấp đến bạn giải pháp pháp lý hiệu quả và toàn diện, giúp bạn tiết kiệm ngân sách, duy trì sự tuân thủ trong doanh nghiệp;
- Chúng tôi tiếp tục duy trì việc theo dõi vấn đề pháp lý của bạn ngay cả khi dịch vụ đã hoàn thành và cập nhật đến bạn khi có bất kỳ sự thay đổi nào từ hệ thống pháp luật Việt Nam;
- Hệ thống biểu mẫu về doanh nghiệp, đầu tư được xây dựng và cập nhật liên tục sẽ cung cấp khi khách hàng yêu cầu, rút ngắn thời gian thực hiện thủ tục;
- Doanh nghiệp cập nhật kịp thời các chính sách và phương thức làm việc tại các cơ quan nhà nước có thẩm quyền;
- Đội ngũ Luật sư của CDLAF nhiều năm kinh nghiệm hoạt động tại lĩnh vực Lao động, Doanh nghiệp, Đầu tư cùng với các cố vấn nhân sự, tài chính;
- Quy trình bảo mật thông tin nghiêm ngặt trong suốt quá trình thực hiện dịch vụ và ngay cả khi dịch vụ được hoàn thành sau đó;
Bạn có thể tham thảo thêm:
- Trí tuệ nhân tạo (AI) và Quyền dữ liệu cá nhân
- Trách nhiệm kiểm sáot nội bộ và chia sẻ dữ liệu trong tổ chức
- Nhân sự bảo vệ Dữ liệu cá nhân theo Nghị định 356: Tự thực hiện hay Thuê ngoài chuyên nghiệp?
- Các điều kiện để việc chuyển dữ liệu cho đối tác được coi là “hợp lệ”
- Quy định liên quan đến Dữ liệu cá nhân theo Pháp luật Bảo vệ dữ liệu cá nhân hiện hành
