Quy định mới nhất về xử lý vi phạm bảo vệ dữ liệu cá nhân

Trong bối cảnh chuyển đổi số, dữ liệu cá nhân đã trở thành một trong những tài sản quan trọng nhất của doanh nghiệp, hiện diện xuyên suốt từ hồ sơ người lao động đến thông tin khách hàng và đối tác, đồng thời tiềm ẩn rủi ro pháp lý ngày càng lớn.

Kể từ ngày 01/01/2026, với việc Luật Bảo vệ dữ liệu cá nhân năm 2025 và Nghị định số 356/2025/NĐ-CP chính thức có hiệu lực, khuôn khổ pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam đã được thiết lập một cách toàn diện, thống nhất và mang tính răn đe cao, buộc doanh nghiệp phải thay đổi cách tiếp cận từ quản lý dữ liệu sang quản trị rủi ro pháp lý.

Trong bài viết này, CNC sẽ phân tích các nội dung pháp lý trọng tâm liên quan đến xử lý vi phạm quy định bảo vệ dữ liệu cá nhân, bao gồm nghĩa vụ thông báo sự cố, các cơ chế xử lý trách nhiệm và vai trò của cơ quan chuyên trách, nhằm hỗ trợ doanh nghiệp chủ động tuân thủ và phòng ngừa rủi ro trong quá trình chuyển đổi số.

Thực trạng vi phạm quy định về bảo vệ dữ liệu cá nhân tại Việt Nam

Zalo bị xử phạt hành chính lên đến 810 triệu đồng[1]

Cuối năm 2025, việc Zalo cập nhật điều khoản dịch vụ đã nhanh chóng trở thành tâm điểm chú ý của dư luận và giới chuyên gia pháp lý, đặc biệt xoay quanh tính hợp pháp của cơ chế thu thập sự đồng ý của người dùng.

Theo điều khoản mới, người dùng buộc phải chấp nhận toàn bộ nội dung cập nhật để tiếp tục sử dụng dịch vụ; trong trường hợp không đồng ý, tài khoản có thể bị chấm dứt sau một thời hạn nhất định. Cách tiếp cận này làm dấy lên nghi vấn nghiêm trọng về việc sự đồng ý có còn mang bản chất “tự nguyện” theo yêu cầu của pháp luật về bảo vệ dữ liệu cá nhân hay không.[2]

Ảnh minh họa. Nguồn: Báo Luật sư Việt Nam.

Các nội dung gây tranh cãi trong điều khoản mới bao gồm: phạm vi thu thập dữ liệu cá nhân quá rộng, bao gồm cả dữ liệu cá nhân nhạy cảm; việc áp dụng các biện pháp kỹ thuật để thu thập và xử lý đồng thời nhiều nhóm dữ liệu liên quan đến tài khoản người dùng; các điều khoản hạn chế hoặc làm suy yếu quyền rút lại sự đồng ý; cũng như các điều khoản miễn trừ trách nhiệm có nguy cơ chuyển phần lớn rủi ro pháp lý từ doanh nghiệp sang người tiêu dùng.[3]

Phản ứng mạnh mẽ từ cộng đồng người dùng, giới chuyên gia và cơ quan quản lý cho thấy rủi ro tuân thủ trong lĩnh vực bảo vệ dữ liệu cá nhân không chỉ dừng lại ở mức xử phạt hành chính, mà còn kéo theo những hệ quả nghiêm trọng về uy tín thương hiệu, niềm tin thị trường và giá trị lâu dài của nền tảng số. Việc cơ quan quản lý nhà nước trực tiếp làm việc với doanh nghiệp trong vụ việc này phát đi một thông điệp rõ ràng: các cơ chế thu thập và quản lý sự đồng ý của người dùng sẽ là trọng tâm giám sát trong giai đoạn tới.

Tiktok bị xử phạt hành chính lên đến 880 triệu đồng[4]

Không lâu sau vụ việc của Zalo, nền tảng TikTok tiếp tục bị xử phạt hành chính với mức phạt lên đến 880 triệu đồng do không thiết lập cơ chế cho phép người dùng đồng ý hoặc từ chối một cách riêng biệt đối với việc sử dụng dữ liệu cá nhân cho mục đích quảng cáo và giới thiệu hàng hóa, dịch vụ. Cách thức “gộp chung” sự đồng ý này bị đánh giá là xâm phạm quyền tự quyết về dữ liệu cá nhân của người dùng.

Đáng chú ý, TikTok còn bị xác định đã cung cấp thông tin không đầy đủ, thiếu minh bạch và có khả năng gây nhầm lẫn cho người dùng về cách thức thu thập, sử dụng dữ liệu; đồng thời, một số điều khoản trong điều kiện giao dịch chung bị kết luận là vi phạm pháp luật về bảo vệ quyền lợi người tiêu dùng và bảo vệ dữ liệu cá nhân.[5] Trước những vi phạm này, Ủy ban Cạnh tranh Quốc gia không chỉ áp dụng chế tài xử phạt, mà còn yêu cầu TikTok chấm dứt hành vi vi phạm, chủ động rà soát toàn bộ chính sách nội bộ và điều khoản sử dụng để bảo đảm tuân thủ pháp luật Việt Nam.

Vụ việc của TikTok cho thấy cơ quan quản lý không chỉ tập trung vào hành vi xử lý dữ liệu thuần túy, mà còn xem xét tổng thể mối quan hệ giữa doanh nghiệp – người dùng, bao gồm tính minh bạch thông tin, cấu trúc điều khoản hợp đồng và mức độ bảo vệ quyền lợi của chủ thể dữ liệu.

Từ các vụ việc trên có thể thấy, vi phạm quy định bảo vệ dữ liệu cá nhân không còn là rủi ro mang tính cá biệt, mà đã trở thành một hiện tượng có tính hệ thống, gắn liền với cả yếu tố con người, kỹ thuật và quản trị nội bộ. Trong bối cảnh đó, câu hỏi đặt ra không còn là “liệu có vi phạm hay không”, mà là:

Tổ chức, cá nhân vi phạm quy định pháp luật về bảo vệ DLCN sẽ phải chịu trách nhiệm pháp lý ở mức độ nào và theo cơ chế xử lý nào?

Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân

Căn cứ theo Điều 8 Luật Bảo vệ dữ liệu cá nhân năm 2025, các hành vi vi phạm pháp luật về BVDLCN tùy theo tính chất, mức độ và hậu quả của hành vi vi phạm, có thể bị xử phạt hành chính; truy cứu trách nhiệm hình sự; và bồi thường thiệt hại nếu hành vi vi phạm gây tổn thất cho chủ thể dữ liệu.

• Xử phạt vi phạm hành chính

  • Quy định hiện hành về xử phạt vi phạm hành chính

Trước khi Luật BVDLCN được ban hành, các vi phạm quy định bảo vệ dữ liệu cá nhân được điều chỉnh rải rác thông qua các nghị định xử phạt hành chính theo lĩnh vực chuyên ngành. Cụ thể, Nghị định số 15/2020/NĐ-CP quy định mức phạt tiền tối đa cho một số hành vi xâm phạm thông tin cá nhân như sau:[6]

Bên cạnh đó, Điều 46 Nghị định số 98/2020/NĐ-CP[7] cũng quy định xử phạt đối với hành vi vi phạm quyền bảo vệ thông tin của người tiêu dùng. Theo đó, mức phạt tiền tối đa là 40 triệu đồng, tuy nhiên có thể tăng nặng trong một số trường hợp cụ thể:

Riêng đối với hành vi vi phạm liên quan đến người tiêu dùng dễ bị tổn thương thì mức phạt tối đa có thể lên tới 70 triệu đồng.

Nhìn chung, các quy định trên thể hiện nỗ lực bước đầu của hệ thống pháp luật Việt Nam trong việc bảo vệ DLCN. Tuy nhiên, phạm vi điều chỉnh còn rải rác, mức phạt chưa tương xứng với tính chất và hậu quả của hành vi vi phạm, đặc biệt khi so sánh với khả năng thu lợi từ việc khai thác DLCN quy mô lớn.

• Quy định về xử phạt vi phạm hành chính theo Luật BVDLCN

Sự ra đời của Luật BVDLCN đánh dấu bước chuyển mình quan trọng trong chính sách bảo vệ quyền riêng tư tại Việt Nam. Luật này thiết lập một hệ thống chế tài thống nhất và có tính răn đe cao hơn hẳn so với các quy định hành chính trước đây.

Theo Điều 8 của Luật BVDLCN, mức phạt tiền tối đa đối với tổ chức vi phạm quy định bảo vệ dữ liệu cá nhân được quy định như sau:

Lưu ý rằng, mức phạt trên áp dụng cho tổ chức còn trường hợp cá nhân thực hiện cùng hành vi vi phạm với tổ chức thì mức phạt tiền tối đa bằng 1/2 mức phạt tiền tối đa đối với tổ chức.

Ngoài tiền phạt, Luật BVDLCN còn quy định các hình phạt bổ sung như: Thu hồi giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý DLCN hoặc tước quyền sử dụng Giấy chứng nhận đủ điều kiện kinh doanh (từ 01 đến 03 tháng) và tạm đình chỉ hoặc đình chỉ hoạt động xử lý DLCN (từ 01 đến 03 tháng).

So với các quy định cũ, Luật BVDLCN thể hiện một bước tiến rõ rệt về cả phạm vi điều chỉnh, mức chế tài và tính răn đe. Trong khi các nghị định trước đây chủ yếu dừng ở mức phạt vài chục triệu đồng, thì Luật BVDLCN đã mở rộng mức phạt lên tới hàng tỷ đồng hoặc tính theo tỷ lệ phần trăm doanh thu, phản ánh cách tiếp cận hiện đại, phù hợp với bối cảnh kinh tế số.

Đặc biệt, việc đưa yếu tố doanh thu và lợi nhuận bất hợp pháp vào công thức xác định mức phạt giúp tăng tính công bằng và hiệu quả trong thực thi. Cùng với đó, các biện pháp bổ sung như đình chỉ hoạt động hoặc thu hồi giấy phép không chỉ mang tính trừng phạt mà còn định hướng tuân thủ và phòng ngừa vi phạm trong tương lai.

Tổng thể, sự chuyển đổi này cho thấy Việt Nam đang chuyển từ mô hình “xử phạt kỹ thuật” sang cơ chế “bảo vệ quyền cơ bản” của cá nhân về DLCN, đặt nền móng cho việc hội nhập quốc tế trong lĩnh vực bảo vệ quyền riêng tư dữ liệu.

• Truy cứu trách nhiệm hình sự

Trong bối cảnh DLCN ngày càng trở thành tài sản quan trọng của doanh nghiệp, việc thu thập, xử lý và chia sẻ dữ liệu phải tuân thủ nghiêm ngặt các quy định của pháp luật. Tuy nhiên, nhiều doanh nghiệp vẫn xem nhẹ khâu bảo mật, dẫn đến rò rỉ, mua bán hoặc sử dụng sai mục đích DLCN của nhân viên, khách hàng hoặc đối tác.

Vấn đề pháp lý đặt ra là: doanh nghiệp và cá nhân quản lý có thể bị truy cứu trách nhiệm hình sự trong những trường hợp nào khi vi phạm quy định bảo vệ dữ liệu cá nhân, và các mức chế tài cụ thể ra sao?

Về mặt hình sự, BLHS năm 2015 (sửa đổi 2017) quy định hai tội danh có liên quan trực tiếp đến hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, đó là Điều 159 – Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác và Điều 288 – Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông.

Cụ thể, theo Điều 159, người có hành vi chiếm đoạt, nghe lén, ghi âm trái phép, tiết lộ thông tin riêng tư hoặc khám xét, thu giữ thư tín trái pháp luật — nếu đã bị xử lý hành chính hoặc kỷ luật mà còn tái phạm — có thể bị phạt tiền, cải tạo không giam giữ hoặc phạt tù đến 03 năm.

Trong bối cảnh chuyển đổi số mạnh mẽ, doanh nghiệp ngày càng nắm giữ và xử lý lượng lớn DLCN của nhân viên, khách hàng, đối tác. Nếu các quy trình thu thập, lưu trữ hoặc chia sẻ thông tin không tuân thủ quy định của pháp luật, rủi ro bị xử lý hình sự là hoàn toàn có thể xảy ra.

Ví dụ, hành vi chuyển dữ liệu nhân viên ra nước ngoài mà không có sự đồng ý, hoặc chia sẻ dữ liệu khách hàng cho bên thứ ba để phục vụ mục đích thương mại mà không thông báo rõ ràng, có thể bị xem xét là sử dụng trái phép thông tin cá nhân theo Điều 288. Tương tự, hành vi truy cập, nghe lén hoặc tiết lộ thông tin nội bộ (như email, tin nhắn riêng của nhân viên) mà không được phép có thể bị xử lý theo Điều 159.

Do đó, các doanh nghiệp cần chủ động rà soát quy trình nội bộ, ban hành quy định nội bộ về bảo mật dữ liệu, và đào tạo nhân viên để tránh những hành vi vô ý nhưng có thể dẫn đến vi phạm hình sự.

• Bồi thường thiệt hại

Khi DLCN bị xâm phạm, chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại. Vấn đề pháp lý đặt ra là: để yêu cầu bồi thường được chấp nhận, cần đáp ứng những điều kiện nào và thiệt hại được xác định ra sao?

Theo nguyên tắc chung của Bộ luật Dân sự 2015, để phát sinh trách nhiệm bồi thường thiệt hại, phải có đủ ba yếu tố:

Luật BVDLCN cũng thừa nhận quyền của chủ thể dữ liệu được yêu cầu bồi thường thiệt hại vật chất và tinh thần nếu việc xử lý dữ liệu vi phạm quyền, lợi ích hợp pháp của họ.

Tuy nhiên, cần lưu ý rằng chủ thể dữ liệu cần xác định rõ thiệt hại để yêu cầu bồi thường có thể được chấp nhận. Theo đó, thiệt hại có thể là thiệt hại về vật chất hoặc thiệt hại về tinh thần. Trước hết, thiệt hại vật chất là những tổn thất thực tế có thể định lượng được, chẳng hạn:

Trong khi đó, thiệt hại tinh thần là tổn thất vô hình nhưng có thực, chẳng hạn như cảm giác lo sợ, xấu hổ, hoặc tổn thương danh dự, uy tín do thông tin cá nhân bị công khai. Thậm chí, hệ quả còn có thể là ảnh hưởng tâm lý kéo dài do bị quấy rối hoặc đe dọa thông qua dữ liệu bị rò rỉ. Người bị xâm phạm có quyền yêu cầu một khoản tiền bù đắp tổn thất tinh thần, mức bồi thường tùy thuộc vào tính chất, mức độ tổn hại và được tòa án xem xét theo quy định pháp luật dân sự.

Cơ chế bồi thường thiệt hại trong lĩnh vực bảo vệ DLCN không chỉ nhằm bù đắp tổn thất cho người bị hại, mà còn là biện pháp răn đe, phòng ngừa đối với các tổ chức xử lý dữ liệu. Trong bối cảnh chuyển đổi số, việc nhận thức rõ trách nhiệm dân sự song song với nghĩa vụ tuân thủ pháp lý là yếu tố then chốt giúp tổ chức duy trì niềm tin của người dùng và tránh các rủi ro pháp lý nghiêm trọng.

Lưu ý đối với doanh nghiệp

Từ góc độ doanh nghiệp, doanh nghiệp cần hết sức cẩn trọng để đảm bảo tuân thủ dữ liệu cá nhân trong nội bộ và xây dựng tường chắn trước kẻ gian luôn rình rập cơ sở dữ liệu của mình. Đặc biệt trong bối cảnh các quy định bảo vệ dữ liệu cá nhân đang được thắt chặt, doanh nghiệp cần hết sức lưu ý để tránh phải chịu rủi ro lến đến hàng tỷ đồng.

Để đảm bảo tuân thủ nhằm tránh rủi ro pháp lý, doanh nghiệp, đặc biệt là các lãnh đạo công ty, bộ phận HR, IT và Marketing cần lưu ý các điều sau:

• Thông báo khi xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân

Khi xảy ra vi phạm quy định bảo vệ dữ liệu cá nhân, các tổ chức, cá nhân kiểm soát hoặc xử lý dữ liệu có nghĩa vụ thông báo như thế nào, trong thời hạn bao lâu, và với nội dung ra sao để đảm bảo tuân thủ pháp luật về bảo vệ DLCN hiện hành?

Theo Điều 23 Luật BVDLCN và Điều 28 Nghị định số 356/2025/NĐ-CP, nghĩa vụ thông báo vi phạm là một trong những biện pháp bảo đảm trách nhiệm giải trình của bên kiểm soát dữ liệu, bên kiểm soát và XLDL, cũng như bên thứ ba có liên quan.

Ngoài ra, đối với vi phạm liên quan đến dữ liệu nhạy cảm (như dữ liệu vị trí hoặc sinh trắc học), pháp luật yêu cầu thông báo bổ sung cho chủ thể dữ liệu bị ảnh hưởng trong thời hạn 72 giờ kể từ thời điểm phát hiện. Nội dung thông báo này phải bao gồm tối thiểu: thời điểm phát hiện, loại dữ liệu bị ảnh hưởng, mức độ rủi ro, biện pháp khắc phục và thông tin liên hệ của bộ phận phụ trách bảo vệ dữ liệu.

Tóm lại, quy trình thông báo khi phát hiện vi phạm quy định bảo vệ dữ liệu cá nhân được thực hiện như sau:

Trong thực tế, việc thực hiện nghĩa vụ thông báo vi phạm quy định bảo vệ dữ liệu cá nhân thường gặp hai nhóm tình huống:

Thứ nhất, vi phạm do lỗi hệ thống hoặc tấn công mạng (ví dụ: bị rò rỉ dữ liệu người dùng, truy cập trái phép). Trong trường hợp này, bên kiểm soát hoặc bên xử lý dữ liệu phải kích hoạt quy trình ứng phó sự cố, lập biên bản vi phạm, thông báo cho cơ quan chuyên trách trong vòng 72 giờ và chủ động cung cấp thông tin chi tiết về mức độ thiệt hại, số lượng dữ liệu bị ảnh hưởng và biện pháp khắc phục.

Thứ hai, vi phạm liên quan đến dữ liệu nhạy cảm, chẳng hạn tiết lộ thông tin sinh trắc học hoặc dữ liệu vị trí của cá nhân. Khi đó, ngoài nghĩa vụ thông báo cho cơ quan nhà nước, tổ chức còn phải gửi thông báo trực tiếp cho các chủ thể dữ liệu bị ảnh hưởng, đảm bảo họ được biết rủi ro và hướng dẫn biện pháp tự bảo vệ. Trường hợp không thể thông báo đầy đủ trong 72 giờ vì lý do kỹ thuật, tổ chức phải thông báo công khai qua phương tiện điện tử chính thức và tiếp tục gửi thông báo cá nhân hóa ngay khi điều kiện cho phép.

Việc lập hồ sơ và lưu trữ thông tin vi phạm trong tối thiểu 5 năm kể từ ngày khắc phục xong sự cố giúp đảm bảo tính minh bạch và phục vụ công tác thanh tra, kiểm tra của cơ quan có thẩm quyền.

Như vậy, trong mọi trường hợp vi phạm quy định bảo vệ dữ liệu cá nhân, nghĩa vụ thông báo là bắt buộc, được giới hạn thời gian 72 giờ kể từ thời điểm phát hiện. Các bên liên quan phải thông báo kịp thời cho cơ quan chuyên trách, lập biên bản vi phạm, và thông tin cho chủ thể dữ liệu (đặc biệt trong trường hợp dữ liệu nhạy cảm). Việc không tuân thủ thời hạn hoặc cố tình trì hoãn thông báo có thể bị xem là hành vi vi phạm hành chính và bị xử lý theo quy định của pháp luật về bảo vệ DLCN.

• Tuân thủ nghiêm quy định về bảo vệ dữ liệu cá nhân

Theo Điều 35 Luật BVDLCN và Điều 31 Nghị định 356/2025/NĐ-CP, hoạt động kiểm tra việc tuân thủ quy định về bảo vệ dữ liệu cá nhân được thực hiện theo cơ chế thường xuyên và đột xuất, nhằm đảm bảo hiệu quả quản lý nhà nước và kịp thời phát hiện, xử lý hành vi vi phạm.

Cụ thể, cơ quan chuyên trách về bảo vệ dữ liệu cá nhân có quyền tiến hành kiểm tra trong các trường hợp:

(i) Có căn cứ nghi vấn về hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân;

(ii) Có chỉ đạo của cơ quan, người có thẩm quyền quản lý nhà nước; hoặc

(iii) Phục vụ công tác quản lý nhà nước theo quy định pháp luật.

Về nguyên tắc, đối với các cuộc kiểm tra theo kế hoạch, cơ quan chuyên trách sẽ ban hành Quyết định kiểm tra và thông báo cho doanh nghiệp trước 15 ngày về thời gian, nội dung và thành phần đoàn kiểm tra. Tuy nhiên, trong trường hợp kiểm tra đột xuất nhằm kịp thời xác minh, phát hiện hoặc ngăn chặn hành vi vi phạm, cơ quan chuyên trách có quyền tiến hành kiểm tra ngay mà không cần thông báo trước.

Quy định này cho thấy việc tuân thủ pháp luật về bảo vệ dữ liệu cá nhân không thể mang tính đối phó hoặc theo thời điểm. Doanh nghiệp cần duy trì trạng thái tuân thủ liên tục, từ quy trình thu thập, lưu trữ, xử lý dữ liệu đến hồ sơ pháp lý và cơ chế kiểm soát nội bộ, nhằm sẵn sàng đáp ứng yêu cầu kiểm tra của cơ quan có thẩm quyền trong mọi tình huống.

• Doanh nghiệp phải đánh giá tác động xử lý dữ liệu

Một trong những nghĩa vụ quan trọng nhưng thường bị doanh nghiệp xem nhẹ là thực hiện Đánh giá tác động xử lý dữ liệu cá nhân (Data Protection Impact Assessment – DPIA).

Theo quy định hiện hành, doanh nghiệp với tư cách là bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm lập và lưu giữ hồ sơ đánh giá tác động đối với hoạt động xử lý dữ liệu của mình.[8] Đây không đơn thuần là một thủ tục hành chính mang tính hình thức, mà là cơ chế tự rà soát nhằm:

• Xác định loại dữ liệu đang được thu thập và xử lý (dữ liệu cơ bản hay dữ liệu nhạy cảm);
• Đánh giá mục đích xử lý có hợp pháp và tương xứng hay không;
• Nhận diện các rủi ro tiềm ẩn đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu;
• Đề xuất biện pháp kỹ thuật và tổ chức nhằm giảm thiểu nguy cơ xâm phạm dữ liệu.

Đặc biệt, đối với các hoạt động xử lý dữ liệu nhạy cảm, xử lý dữ liệu trên quy mô lớn, chuyển dữ liệu ra nước ngoài hoặc ứng dụng công nghệ mới (AI, Big Data, phân tích hành vi người dùng…), việc đánh giá tác động càng trở nên cần thiết.

Trong thực tiễn, nhiều doanh nghiệp chỉ chú trọng đến việc thu thập sự đồng ý mà chưa xây dựng quy trình đánh giá rủi ro nội bộ một cách bài bản. Điều này có thể khiến doanh nghiệp rơi vào tình trạng “tuân thủ hình thức” nhưng vẫn đối mặt với nguy cơ xử phạt nếu xảy ra sự cố.

Do đó, doanh nghiệp nên:

(i) Ban hành quy trình đánh giá tác động nội bộ;
(ii) Phân công bộ phận chuyên trách (thường là Legal/Compliance phối hợp IT);
(iii) Cập nhật và rà soát định kỳ khi có thay đổi về mô hình kinh doanh hoặc công nghệ xử lý dữ liệu.

Việc chủ động thực hiện DPIA không chỉ giúp giảm thiểu rủi ro pháp lý mà còn thể hiện trách nhiệm giải trình của doanh nghiệp trong quản trị dữ liệu

• Cẩn trọng khi thu thập sự đồng ý của người tiêu dùng

Việc thu thập sự đồng ý của chủ thể dữ liệu là một trong những căn cứ pháp lý quan trọng để doanh nghiệp được phép xử lý dữ liệu cá nhân. Tuy nhiên, trên thực tế, không ít doanh nghiệp vẫn tiếp cận vấn đề này theo hướng hình thức, thiếu cân nhắc đầy đủ đến quyền tự quyết của người tiêu dùng và các yêu cầu chặt chẽ của pháp luật về bảo vệ dữ liệu cá nhân.

Đôi khi, không phải mọi hình thức “tick chọn” đều được xem là hợp lệ. Doanh nghiệp cần tránh các hành vi như:

(i) Gộp nhiều mục đích xử lý trong một sự đồng ý chung;

(ii) Thiết kế điều khoản mặc định “đã đồng ý” (pre-ticked box);

(iii) Buộc khách hàng phải đồng ý xử lý dữ liệu vượt quá phạm vi cần thiết để được sử dụng dịch vụ.

Từ góc độ tuân thủ, vụ việc phân tích tại phần 1 nêu trên là một bài học thực tiễn quan trọng đối với doanh nghiệp trong quá trình xây dựng chính sách và điều khoản liên quan đến bảo vệ dữ liệu cá nhân. Sự đồng ý của người tiêu dùng cần được thiết kế trên cơ sở tự nguyện, minh bạch, có khả năng rút lại và không gắn với các điều kiện mang tính “ép buộc”, nhằm tránh những rủi ro pháp lý và phản ứng tiêu cực tương tự trong tương lai.

Phụ trách

Trần Thị Hạnh Nhân | Cộng sự Điện thoại: (84) 32 703 0033 Email: nhan.tran@cnccounsel.com

Nguyễn Lê Anh Thư | Trợ lý luật sư Điện thoại: (84) 28 6276-9900 Email: thu.nguyen@cnccounsel.com

Liên hệ

Mọi thông tin vui lòng liên hệ:

Công ty Luật TNHH CNC Việt Nam

Địa chỉ: 2A1 Nguyễn Thị Minh Khai, Phường Sài Gòn, Thành phố Hồ Chí Minh, Việt Nam

Điện thoại: 028 6276 9900

Hotline: 0916 545 618

Email: contact@cnccounsel.com

Website: cnccounsel

Sẽ rất vui khi bạn ghé thăm văn phòng của CNC bởi ở đó bạn sẽ được trao đổi với Luật sư phù hợp nhất với hoàn cảnh của bạn. Tất nhiên, nếu bạn không thể thu xếp để gặp trực tiếp, chỉ cần gửi email cho chúng tôi tại địa chỉ contact@cnccounsel.com hoặc gọi số máy (+84-28) 6276 9900.

Miễn trừ:

Cẩm nang này được chuẩn bị hoặc được sử dụng vì mục đích giới thiệu hoặc cập nhật cho khách hàng những thông tin về những vấn đề và/hoặc sự phát triển các quan điểm pháp lý tại Việt Nam. Các thông tin được trình bày tại bản tin này không tạo thành ý kiến tư vấn thuộc bất kỳ loại nào và có thể được thay đổi mà không cần phải thông báo trước.

——————————————————————————–

[1] Ủy ban Cạnh tranh Quốc gia, Ủy ban Cạnh tranh Quốc gia xử phạt vi phạm hành chính đối với Công ty Cổ phần Tập đoàn VNG (Zalo), [https://vcc.gov.vn/default.aspx?page=news&do=detail&id=301efa2c-02d6-4df6-9b57-2291a6293060], truy cập lần cuối ngày 10/02/2026.

[2] Ý Như, Điều khoản mới của Zalo và vấn đề bảo đảm quyền cho người sử dụng, Tạp chí điện tử Luật sư Việt Nam, [https://lsvn.vn/dieu-khoan-moi-cua-zalo-va-van-de-bao-dam-quyen-cho-nguoi-su-dung-a167801.html] , truy cập lần cuối ngày 10/02/2026.

[3] Thỏa thuận sử dụng dịch vụ Zalo được cập nhật lần cuối ngày 26/12/2025, [https://zalo.vn/dieukhoan/], truy cập lần cuối ngày 10/02/2026.

[4] Ủy ban Cạnh tranh Quốc gia, Ủy ban Cạnh tranh Quốc gia xử phạt vi phạm hành chính đối với Công ty TikTok Pte. Ltd, [https://vcc.gov.vn/default.aspx?page=news&do=detail&id=0868962a-8fdf-4683-a2c3-0dd3456fe5d5], truy cập lần cuối ngày 10/02/2026.

[5] Lưu Hiệp, TikTok bị xử phạt 880 triệu đồng, Báo Công an Nhân dân, [https://cand.com.vn/Cong-nghe/tiktok-bi-xu-phat-880-trieu-dong-i794895/], truy cập lần cuối ngày 10/02/2026.

[6] Điều 84, 85 và 86 Nghị định số 15/2020/NĐ-CP, được sửa đổi, bổ sung bởi Nghị định số 14/2022/NĐ-CP.

[7] Được sửa đổi, bổ sung bởi Nghị định số 24/2025/NĐ-CP.

[8] Điều 21 Luật Bảo vệ Dữ liệu cá nhân 2025.