Không thu thập được consent NĐ 13 — workflow đúng cho chủ shop
Khi không lấy được consent NĐ 13, chủ shop cần làm gì? Hướng dẫn workflow đúng: ghi nhận, chặn xử lý, xóa dữ liệu. Tránh phạt 5-10 triệu Tham khảo Mepo ngay.

Không thu thập được consent NĐ 13 — workflow đúng cho chủ shop
Tháng 7 năm ngoái, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân chính thức có hiệu lực. Từ đó, các chủ shop bán lẻ như mình phải đặc biệt chú ý đến việc thu thập consent (sự đồng ý) của khách hàng trước khi xử lý dữ liệu cá nhân. Nhưng thực tế, không phải lúc nào bạn cũng nhận được sự đồng ý đó. Khách từ chối, khách vội vàng bỏ qua, hoặc nhân viên quên hỏi — tất cả đều dẫn đến tình huống "không có consent". Nếu không xử lý đúng, bạn có thể bị phạt từ 5 đến 10 triệu đồng (theo Điều 17 Nghị định 13). Mình đã gặp tình huống này và phải tìm hiểu kỹ lưỡng để tránh những rắc rối không đáng có.
Hiểu đúng về consent NĐ 13 và hậu quả khi không thu thập được
Consent theo NĐ 13 là sự đồng ý của chủ thể dữ liệu (khách hàng) cho phép bạn thu thập, xử lý dữ liệu cá nhân của họ. Consent phải được thể hiện rõ ràng, tự nguyện, và có thể rút lại bất cứ lúc nào. Với chủ shop, các dữ liệu thường gặp là: số điện thoại, email, địa chỉ, lịch sử mua hàng, thông tin thẻ thành viên.
Hậu quả khi không có consent mà vẫn xử lý dữ liệu thật đáng sợ. Bạn có thể bị phạt hành chính từ 5-10 triệu đồng (cá nhân) hoặc 10-20 triệu đồng (tổ chức) theo Điều 17. Rủi ro kiện tụng cũng rất cao khi khách hàng có quyền yêu cầu bồi thường thiệt hại. Và điều tồi tệ nhất, bạn sẽ mất uy tín trong mắt khách hàng khi họ cảm thấy bị xâm phạm quyền riêng tư. Mất uy tín đồng nghĩa với việc mất khách hàng và doanh thu.
Vì vậy, khi không thu thập được consent, bạn phải có workflow xử lý ngay lập tức. Mình đã dành khá nhiều thời gian để tìm hiểu và xây dựng quy trình phù hợp cho shop của mình.
Tình huống thực tế: Khi nào chủ shop không lấy được consent?
Có 3 tình huống phổ biến mà mình đã gặp phải:
- Khách hàng từ chối trực tiếp: Khi nhân viên hỏi "Anh/chị cho em xin số điện thoại để tích điểm ạ?", khách lắc đầu hoặc nói "không cần". Mình nhớ có lần, khách hàng thậm chí còn hỏi lại "Vì sao các anh cần số điện thoại của tôi?" và chúng tôi phải giải thích rõ ràng về mục đích sử dụng.
- Khách hàng không phản hồi: Nhân viên đưa màn hình consent, khách không tick vào ô đồng ý, hoặc bỏ qua. Điều này thường xảy ra khi khách hàng quá bận rộn hoặc không quan tâm đến thông tin của mình.
- Nhân viên quên hỏi: Trong lúc đông khách, nhân viên ghi nhận thông tin khách mà không xin phép. Mình đã từng gặp trường hợp này và phải ngay lập tức xử lý để tránh vi phạm.
Cả 3 tình huống đều dẫn đến cùng một kết quả: không có consent hợp lệ. Nếu bạn vẫn lưu trữ hoặc sử dụng dữ liệu đó, bạn đang vi phạm và có thể phải đối mặt với hậu quả nghiêm trọng.
Workflow đúng bước 1: Ghi nhận sự kiện từ chối consent ngay lập tức
Ngay khi phát hiện khách hàng không đồng ý hoặc không có phản hồi, nhân viên (hoặc hệ thống) phải ghi nhận sự kiện "không consent" vào nhật ký (log). Thông tin cần ghi bao gồm:
- Thời gian chính xác (giờ, phút, giây)
- Kênh thu thập (tại quầy, online, qua điện thoại)
- Loại dữ liệu dự kiến thu thập (số điện thoại, email,...)
- Lý do từ chối (nếu khách nói rõ)
Việc ghi nhận này giúp bạn chứng minh với cơ quan chức năng rằng bạn đã tôn trọng quyền của khách hàng và không cố tình vi phạm. Mình đã yêu cầu nhân viên của mình phải ghi lại tất cả các trường hợp từ chối consent để có thể theo dõi và cải thiện quy trình.
Workflow đúng bước 2: Chặn xử lý dữ liệu và thông báo cho khách hàng
Sau khi ghi nhận, bạn phải chặn ngay mọi hoạt động xử lý dữ liệu của khách hàng đó. Cụ thể:
- Nếu dữ liệu chưa được nhập vào hệ thống: không nhập.
- Nếu dữ liệu đã được nhập (do nhân viên quên hỏi trước): đánh dấu bản ghi đó là "chờ xác nhận" hoặc "vô hiệu hóa tạm thời".
- Không gửi email marketing, SMS, không phân tích hành vi.
Đồng thời, thông báo cho khách hàng biết rằng dữ liệu của họ sẽ không được sử dụng. Ví dụ, nhân viên có thể nói: "Dạ em đã ghi nhận, anh/chị sẽ không nhận được tin nhắn quảng cáo từ shop mình ạ." Hoặc nếu là online, gửi email xác nhận. Mình nhớ có lần, một khách hàng cảm ơn chúng tôi vì đã tôn trọng quyền riêng tư của họ.
Workflow đúng bước 3: Xóa dữ liệu (nếu đã thu thập) và lưu vết
Nếu dữ liệu đã vô tình được thu thập (ví dụ nhân viên nhập số điện thoại vào hệ thống nhưng chưa xin consent), bạn có 2 lựa chọn:
- Xóa ngay lập tức: Xóa bản ghi khỏi cơ sở dữ liệu. Nhưng phải lưu lại log rằng đã xóa vì thiếu consent.
- Giữ lại với trạng thái không xử lý: Một số phần mềm cho phép giữ dữ liệu nhưng đánh dấu "không có consent" và không bao giờ được dùng. Tuy nhiên, theo NĐ 13, nếu không có consent thì không được lưu trữ trừ khi có căn cứ pháp lý khác (như nghĩa vụ kế toán). Với dữ liệu marketing, tốt nhất là xóa.
Sau khi xóa, lưu vết: ghi lại thời gian xóa, người thực hiện, lý do. Đây là bằng chứng tuân thủ và giúp bạn tránh những rắc rối không đáng có.
Công cụ hỗ trợ: Quản lý consent trên phần mềm bán hàng
Để tự động hóa workflow trên, bạn nên sử dụng phần mềm quản lý bán hàng có tính năng quản lý consent. Một số tính năng cần có:
- Màn hình thu thập consent: Khi thanh toán, hiển thị checkbox "Tôi đồng ý cho cửa hàng lưu trữ thông tin cá nhân để tích điểm và nhận ưu đãi". Nếu khách không tick, hệ thống tự động không lưu dữ liệu.
- Nhật ký consent: Ghi lại mọi hành động liên quan đến consent (đồng ý, từ chối, rút lại).
- Chức năng xóa dữ liệu hàng loạt: Khi cần xóa các bản ghi không có consent.
- Cảnh báo khi thiếu consent: Nếu nhân viên cố tình lưu thông tin mà không có consent, hệ thống báo lỗi.
Mình đã chuyển sang dùng Mepo và thấy tính năng quản lý consent khá ổn. Màn hình thanh toán có sẵn checkbox, nếu khách không tick thì phần mềm tự động không lưu số điện thoại. Nhân viên cũng đỡ phải nhớ và chúng tôi đã giảm thiểu được những sai sót.
Những sai lầm thường gặp và cách tránh
Sai lầm 1: Cho rằng không có consent vẫn có thể lưu để "sau này hỏi lại"
- Sai: NĐ 13 yêu cầu có consent trước khi xử lý, không được lưu trữ trước rồi hỏi sau.
- Cách tránh: Chỉ lưu khi có consent ngay tại thời điểm thu thập.
Sai lầm 2: Không ghi nhận sự kiện từ chối
- Sai: Nếu không có log, bạn không thể chứng minh mình đã tôn trọng quyền từ chối.
- Cách tránh: Luôn bật tính năng ghi log trong phần mềm.
Sai lầm 3: Xóa dữ liệu nhưng không lưu vết
- Sai: Khi thanh tra, bạn cần chứng minh đã xóa đúng quy trình.
- Cách tránh: Dùng phần mềm có chức năng lưu lịch sử xóa.
Sai lầm 4: Không đào tạo nhân viên
- Sai: Nhân viên là người trực tiếp thu thập consent, nếu họ không hiểu sẽ dễ vi phạm.
- Cách tránh: Tổ chức tập huấn ngắn, in quy trình dán tại quầy.
Mình đã gặp phải một số sai lầm trên và đã phải dành thời gian để sửa chữa. Nhưng với kinh nghiệm và quy trình phù hợp, mình tin rằng các chủ shop khác có thể tránh được những rắc rối không đáng có.
Câu hỏi thường gặp
Q: Tôi có thể lưu số điện thoại khách nếu họ mua hàng và tôi cần giao hàng không? A: Có, nhưng chỉ để phục vụ giao hàng. Nếu bạn muốn dùng số đó để gửi khuyến mãi sau, bạn cần consent riêng.
Q: Nếu khách đồng ý bằng miệng nhưng không tick vào checkbox, có được không? A: Không. NĐ 13 yêu cầu consent phải được ghi nhận bằng văn bản hoặc điện tử, có thể chứng minh được. Miệng không đủ.
Q: Tôi có cần xóa dữ liệu của khách đã mua từ trước khi NĐ 13 có hiệu lực không? A: Không bắt buộc xóa, nhưng bạn phải có consent cho việc xử lý tiếp theo. Nếu không có, bạn chỉ được lưu trữ (không xử lý) hoặc xóa.
Q: Phần mềm của tôi không có chức năng quản lý consent, tôi phải làm sao? A: Bạn có thể làm thủ công bằng sổ hoặc Excel, nhưng rất dễ sai sót. Nên nâng cấp lên phần mềm có sẵn tính năng này.
Q: Mức phạt cho lần đầu vi phạm là bao nhiêu? A: Theo Nghị định 13, mức phạt tiền từ 5-10 triệu đồng đối với cá nhân, 10-20 triệu đối với tổ chức. Ngoài ra có thể bị đình chỉ xử lý dữ liệu.
Tổng kết
Không thu thập được consent NĐ 13 không phải là thảm họa nếu bạn có workflow đúng. Ghi nhận ngay, chặn xử lý, xóa nếu cần, và lưu vết cẩn thận. Đầu tư một phần mềm quản lý bán hàng có tính năng consent sẽ giúp bạn tự động hóa quy trình, giảm rủi ro. Nếu bạn đang tìm giải pháp, hãy tham khảo Mepo — phần mềm có sẵn quản lý consent theo NĐ 13, giúp bạn yên tâm kinh doanh.
Bài viết mang tính tham khảo, không thay thế tư vấn pháp lý. Để được hỗ trợ chi tiết, liên hệ với chuyên gia pháp lý hoặc phần mềm của bạn.
Vài tình huống thực tế khác và cách mình xử lý thêm
Ngoài 3 tình huống cơ bản trên, còn có những trường hợp “méo mó” hơn mà mình gặp phải khi vận hành thực tế. Ví dụ, có lần mình tư vấn cho một shop chuyên bán quần áo ở Hải Phòng, họ dùng phần mềm bán hàng quần áo tại Hải Phòng khá tốt, nhưng nhân viên thu ngân lại vô tình nhập số điện thoại của khách từ tờ rơi cũ mà không xin phép. Khi kiểm tra log, mình phát hiện dữ liệu đó đã tồn tại từ trước khi NĐ 13 có hiệu lực. Lúc đó, mình phải chặn ngay xử lý, đồng thời gửi tin nhắn zalo cho khách xin lại consent từ đầu. Nếu khách không phản hồi trong 7 ngày, toàn bộ dữ liệu đó phải xóa sạch.
Một tình huống khác là khi mình làm việc với một xưởng sản xuất lớn ở Hải Phòng. Họ dùng phần mềm quản lý sản xuất tại Hải Phòng để theo dõi đơn hàng, nhưng lại lưu cả số CCCD của khách hàng trong hệ thống mà chưa từng hỏi ý kiến. Mình bảo họ phải thiết lập một pop-up consent ngay trên màn hình nhập liệu. Nếu khách không tick, phần mềm sẽ tự động ẩn trường CCCD đi. Nghe thì đơn giản, nhưng để tích hợp được cái pop-up đó vào phần mềm quản lý bán hàng tại Hải Phòng của họ mất đúng 2 tuần chỉnh sửa.
Còn với các shop nhỏ lẻ ở TP Hồ Chí Minh, mình thấy họ thường dùng phần mềm quản lý điểm bán hàng tại TP Hồ Chí Minh chạy trên iPad. Khi khách từ chối consent, nhân viên thường lúng túng không biết ấn nút nào. Mình khuyên họ nên cài thêm một chatbot bán hàng tự động trên web và fanpage, để khi khách chat hỏi hàng, bot sẽ hỏi luôn: “Em xin phép anh chị lưu số điện thoại để giao hàng nhanh hơn nhé?”. Nếu khách im lặng hoặc từ chối, bot tự động không ghi nhận gì cả. Cái này vừa tiết kiệm thời gian vừa hợp pháp.
Một lần khác, mình ghé một spa nhỏ ở Đà Nẵng. Họ xài phần mềm quản lý spa tại Đà Nẵng có sẵn tính năng lưu thông tin khách hàng. Nhưng mỗi lần khách book lịch qua điện thoại, nhân viên lại ghi tay rồi nhập vào máy sau, quên mất khâu xin consent. Mình đề xuất họ in sẵn một tờ giấy nhỏ đặt ở quầy, ghi rõ: “Chúng tôi sẽ lưu thông tin của quý khách để phục vụ việc đặt lịch. Nếu quý khách không đồng ý, vui lòng báo nhân viên.” Cách làm thủ công này tuy hơi chậm nhưng lại hiệu quả với những shop chưa có hệ thống phần mềm quản lý điểm bán hàng tại Đồng Nai hay các tỉnh thành khác.
Còn với những shop chạy mô hình kho bãi, họ cần giải pháp quản lý kho thông minh để kiểm soát hàng tồn. Nhưng nếu hệ thống đó lưu cả tên người nhận hàng mà không có consent, rủi ro rất lớn. Mình khuyên họ nên cho khách chọn: “Đồng ý lưu thông tin để giao hàng lần sau nhanh hơn” hoặc “Không đồng ý, xóa sau khi giao”. Những chi tiết nhỏ này giúp bạn tránh được án phạt mà vẫn giữ được lòng tin của khách.
Cuối cùng, mình muốn nhấn mạnh: dù bạn dùng phần mềm tính oee để tối ưu máy móc, hay phần mềm quản lý vật tư tại Hà Nội để quản lý nguyên liệu, thì nguyên tắc consent vẫn phải đặt lên hàng đầu. Mepo có hỗ trợ tính năng log consent khá chi tiết, nhưng quan trọng nhất vẫn là ý thức của đội ngũ nhân viên và quy trình vận hành thực tế tại shop của bạn.


Quản lý cửa hàng dễ hơn — bắt đầu miễn phí trong 5 phút
Phần mềm mã nguồn mở quản lý bán hàng · kho · thu chi · sản xuất. Local-first, hoạt động offline 100%, AI Claude phân tích — miễn phí cho shop nhỏ.
- Miễn phí cho shop nhỏ — không cần thẻ tín dụng
- Hoạt động offline 100% — mất mạng vẫn bán
- Đồng bộ Shopee · Lazada · TikTok Shop
- Tuân thủ Nghị định 13/2023 về dữ liệu cá nhân