Sự đồng ý của chủ thể dữ liệu là tâm điểm trong pháp luật bảo vệ dữ liệu cá nhân tại Việt Nam. Nghị định 13/2023/NĐ-CP có hiệu lực, các tổ chức, doanh nghiệp đã phải tuân thủ nghiêm ngặt quy định liên quan đến thu thập và xử lý dữ liệu cá nhân. Mới đây, Nghị định 24/2025/NĐ-CP đã bổ sung Điều 53a. Theo đó, quy định đã làm rõ các mức xử phạt khi vi phạm nghĩa vụ về sự đồng ý.

Bài viết này của VDPC sẽ giúp bạn hiểu rõ hơn về mối liên hệ giữa sự đồng ý và mức phạt vi phạm tại Điều 53a Nghị định 24/2025/NĐ-CP.

1. Sự đồng ý của chủ thể dữ liệu là gì?

Theo pháp luật Việt Nam, sự đồng ý của chủ thể dữ liệu là điều kiện tiên quyết để tổ chức được phép xử lý thông tin cá nhân.

Căn cứ khoản 8 Điều 2 Nghị định 13/2023/NĐ-CP:

“Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.”

Như vậy, sự đồng ý phải đáp ứng các tiêu chí sau:

Rõ ràng: Phải được thể hiện một cách minh bạch, không mập mờ hay suy đoán.
Tự nguyện: Chủ thể dữ liệu không bị ép buộc, dụ dỗ, hoặc gây hiểu nhầm.
Khẳng định việc cho phép xử lý dữ liệu cá nhân. Người dùng cần hiểu rõ là mình đang đồng ý với điều gì. Tức là việc xử lý dữ liệu cá nhân của mình.
Sự đồng ý chỉ có giá trị nếu phù hợp với từng mục đích cụ thể.

2. Hiệu lực của sự đồng ý

Căn cứ pháp lý: Khoản 1 Điều 11 Nghị định 13/2023/NĐ-CP.

Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả hoạt động trong quy trình xử lý dữ liệu cá nhân. Trừ trường hợp pháp luật có quy định khác.

Theo khoản 2 Điều 11 Nghị định 13/2023/NĐ-CP. Sự đồng ý chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:

Loại dữ liệu cá nhân được xử lý;
Mục đích xử lý dữ liệu cá nhân;
Tổ chức, cá nhân được xử lý dữ liêu cá nhân;
Các quyền, nghĩa vụ của chủ thể dữ liệu.

3. Hình thức thể hiện sự đồng ý

Căn cứ pháp lý: Khoản 3 Điều 11 Nghị định 13/2023/NĐ-CP.

Sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng một trong các hình thức dưới đây:

Văn bản;
Giọng nói;
Đánh dấu vào ô đồng ý;
Cú pháp đồng ý qua tin nhắn;
Chọn các thiết lập kỹ thuật đồng ý;
Qua một hành động khác thể hiện được.

Định dạng của sự đồng ý: Có thể lưu trữ, kiểm chứng được dưới dạng có thể in, sao chép bằng văn bản.

Sự đồng ý có hiệu lực tới khi chủ thể dữ liệu có quyết định khác. Hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản. (Khoản 9 Điều 11 Nghị định 13/2023/NĐ-CP)

4. Lưu ý về sự đồng ý

Sự đồng ý phải được tiến hành cho một mục đích. Nếu có nhiều mục đích thì các bên tham ra xử lý dữ liệu phải liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích được nêu ra.
Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.
Chủ thể dữ liệu có thể đồng ý một phần hoặc đồng ý khi có các điều kiện kèm theo.

Quyền rút lại sự đồng ý

Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình.
Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu trước đó.
Việc rút lại sự đồng ý có thể lưu trữ, kiểm chứng được dưới dạng có thể in, sao chép bằng văn bản.
Nghĩa vụ của các bên tham gia xử lý dữ liệu:
(1) Thông báo hậu quả cho chủ thể dữ liệu khi rút lại sự đồng ý.
(2) Ngừng xử lý dữ liệu và yêu cầu các bên liên quan cũng ngừng xử lý.

Sự đồng ý khi ủy quyền xử lý dữ liệu cá nhân

Tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan đến xử lý dữ liệu cá nhân.
Việc thay mặt thông qua ủy quyền, phù hợp với Bộ luật Dân sự.
Chủ thể dữ liệu phải biết rõ và đồng ý về việc ủy quyền này.

5. Quy định tại Điều 53a Nghị định 24 về phạt vi phạm về sự đồng ý khi xử lý dữ liệu cá nhân của chủ thể

Mức phạt vi phạm về sự đồng ý khi xử lý dữ liệu cá nhân của chủ thể:

Điều 53a Nghị định 24/2025/NĐ-CP quy định các mức phạt cụ thể đối với vi phạm về đồng ý dữ liệu. Dưới đây là các hành vi phổ biến và chế tài xử phạt tương ứng:

Mức phạt từ 50 – 70 triệu đồng đối với cá nhân kinh doanh dịch vụ nền tảng số.
Mức phạt từ 100 – 140 triệu đồng đối với tổ chức kinh doanh dịch vụ nền tảng số.
Mức phạt từ 100 – 200 triệu đồng đối với tổ chức thiết lập, vận hành nền tảng số trung gian.
Mức phạt từ 300 – 400 triệu đồng đối với tổ chức thiết lập, vận hành nền tảng số lớn.

Khi vi phạm các hành vi dưới đây theo khoản 1 Điều 53a Nghị định 24/2025/NĐ-CP:

Không lập văn bản khi thực hiện ủy quyền. Hoặc thuê bên thứ ba thực hiện thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng theo quy định.
Lập văn bản ủy quyền hoặc thuê bên thứ ba thực hiện thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin người tiêu dùng nhưng nội dung văn bản không quy định hoặc quy định không rõ phạm vi, trách nhiệm của mỗi bên trong việc bảo vệ thông tin người tiêu dùng theo quy định.
Ủy quyền hoặc thuê bên thứ ba thực hiện thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin người tiêu dùng nhưng người tiêu dùng chưa đồng ý.

6. Doanh nghiệp nên làm gì để tuân thủ Nghị định 24

Dưới đây là những hành động thiết yếu và cấp bách mà mọi doanh nghiệp nên triển khai:

✅ Rà soát toàn bộ quy trình thu thập, sử dụng và chia sẻ dữ liệu cá nhân.

✅ Thiết lập biểu mẫu đồng ý rõ ràng, riêng biệt cho từng mục đích xử lý.

✅ Lưu trữ bằng chứng đồng ý dưới dạng nhật ký, email xác nhận, checkbox hệ thống.

✅ Thiết kế cơ chế rút lại đồng ý dễ dùng, truy cập trực tiếp từ website/app/email.

✅ Đào tạo nhân sự về quy định pháp luật mới về dữ liệu cá nhân.

Sự đồng ý của chủ thể dữ liệu là nền tảng pháp lý thiết yếu khi doanh nghiệp xử lý thông tin cá nhân. Nghị định 24/2025/NĐ-CP, đặc biệt Điều 53a, đã nâng cao mức độ răn đe đối với hành vi vi phạm. Việc tuân thủ không chỉ để tránh phát sinh các rủi ro pháp lý, mà còn giúp doanh nghiệp nâng cao uy tín và giữ chân người dùng. Ngay từ bây giờ, các tổ chức cần hành động để xây dựng quy trình minh bạch, bền vững và hợp pháp.

Trên đây là nội dung tư vấn về Sự đồng ý của chủ thể dữ liệu và mức phạt theo Nghị định 24. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

TIN PHÁP LUẬT

Sự đồng ý của chủ thể dữ liệu và mức phạt theo Nghị định 24