Doanh nghiệp có được sử dụng dữ liệu khách hàng để quảng cáo, remarketing không?

Việc sử dụng dữ liệu khách hàng cho mục đích quảng cáo, tiếp thị lại (remarketing) là hoạt động phổ biến của doanh nghiệp trong môi trường số. Tuy nhiên, từ 01/01/2026, khi Luật Bảo vệ dữ liệu cá nhân có hiệu lực đã đặt ra những giới hạn pháp lý đối với hoạt động này.

1. Doanh nghiệp có được sử dụng dữ liệu khách hàng để quảng cáo, remarketing không?

Theo Luật Bảo vệ dữ liệu cá nhân 2025, việc sử dụng dữ liệu cá nhân để quảng cáo, remarketing không bị cấm, nhưng chỉ được thực hiện khi đáp ứng đầy đủ điều kiện pháp luật.

Cụ thể, căn cứ theo quy định tại khoản 6 Điều 2 Luật Bảo vệ dữ liệu cá nhân 2025:

6. Xử lý dữ liệu cá nhân là hoạt động tác động đến dữ liệu cá nhân, bao gồm một hoặc nhiều hoạt động như sau: thu thập, phân tích, tổng hợp, mã hóa, giải mã, chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao dữ liệu cá nhân và hoạt động khác tác động đến dữ liệu cá nhân.

Có thể thấy, quảng cáo và remarketing được xem là một hình thức xử lý dữ liệu cá nhân, bởi bao gồm các hoạt động như thu thập, phân tích, tổng hợp, sử dụng dữ liệu nhằm giới thiệu sản phẩm, dịch vụ đến đúng đối tượng khách hàng

Do đó, doanh nghiệp chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật (theo khoản 2 Điều 3). Và chỉ được xử lý dữ liệu cá nhân khi được sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác (khoản 1 Điều 9).

doanh nghiệp có được sử dụng dữ liệu khách hàng để quảng cáo — *Doanh nghiệp có được sử dụng dữ liệu khách hàng để quảng cáo, remarketing không? (Ảnh minh họa)*

2. Phương thức thể hiện sự đồng ý của chủ thể dữ liệu cá nhân

Theo Điều 9 Luật Dữ liệu cá nhân 2025, sự đồng ý của chủ thể dữ liệu cá nhân được hiểu là việc cá nhân cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.

Sự đồng ý này chỉ có hiệu lực khi được đưa ra trên cơ sở tự nguyện và chủ thể dữ liệu đã được thông tin đầy đủ, bao gồm:

- Loại dữ liệu cá nhân được xử lý và mục đích xử lý;

- Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân;

- Các quyền và nghĩa vụ của chủ thể dữ liệu cá nhân.

Việc đồng ý phải được thể hiện một cách rõ ràng, cụ thể và có thể in, sao chép, kiểm chứng, dưới dạng văn bản, điện tử hoặc định dạng phù hợp khác.

Hướng dẫn quy định này, Điều 6 Nghị định 356/2026/NĐ-CP nêu rõ các phương thức thể hiện sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm khả năng xác định được chủ thể đã đồng ý, thời điểm đồng ý và nội dung đồng ý.

Các phương thức hợp lệ bao gồm: bằng văn bản; thông qua cuộc gọi có ghi âm; cú pháp đồng ý qua tin nhắn điện thoại; qua thư điện tử, trang thông tin điện tử, nền tảng hoặc ứng dụng có thiết lập kỹ thuật xin sự đồng ý; hoặc các phương thức khác có thể in, sao chép và kiểm chứng được.

Bên kiểm soát dữ liệu cá nhân và bên kiểm soát, xử lý dữ liệu cá nhân có trách nhiệm lưu trữ bằng chứng về sự đồng ý. Trong trường hợp xảy ra tranh chấp, trách nhiệm chứng minh thuộc về bên kiểm soát dữ liệu.

Đáng chú ý, pháp luật không cho phép thiết lập cơ chế đồng ý mặc định hoặc sử dụng cách trình bày gây nhầm lẫn giữa đồng ý và không đồng ý. Mọi thiết lập sẵn phải tuân thủ nguyên tắc bảo vệ dữ liệu cá nhân và tôn trọng quyền của chủ thể dữ liệu.

Riêng đối với việc xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rõ rằng dữ liệu được xin xử lý thuộc nhóm dữ liệu cá nhân nhạy cảm trước khi đưa ra sự đồng ý.

3. Quy định riêng đối với quảng cáo, remarketing có sử dụng dữ liệu cá nhân

Luật Bảo vệ dữ liệu cá nhân dành Điều 28 để quy định riêng về việc sử dụng dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo, đây cũng là căn cứ pháp lý trực tiếp cho hoạt động remarketing.

Theo đó, căn cứ khoản 3, khoản 5 và khoản 8 Điều luật này:

- Việc xử lý dữ liệu cá nhân để quảng cáo bắt buộc phải có sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, hình thức, tần suất quảng cáo;

- Doanh nghiệp phải cung cấp cơ chế để khách hàng từ chối hoặc yêu cầu ngừng nhận quảng cáo;

- Quảng cáo cá nhân hóa, quảng cáo theo hành vi chỉ được thực hiện khi khách hàng đã đồng ý việc theo dõi, thu thập dữ liệu

Đồng thời, việc sử dụng dữ liệu cá nhân cho quảng cáo còn phải tuân thủ pháp luật về quảng cáo, phòng chống tin nhắn rác, thư điện tử rác, cuộc gọi rác

4. Doanh nghiệp cần lưu ý gì để tránh vi phạm pháp luật?

Nếu sử dụng dữ liệu khách hàng cho quảng cáo, remarketing không đúng quy định, doanh nghiệp có thể bị xử phạt rất nặng.

Điều 7 Luật Bảo vệ dữ liệu cá nhân, nghiêm cấm việc sử lý dữ liệu cá nhân trái quy định pháp luật. Điều luật này còn cấm sử dụng dữ liệu cá nhân khi chưa có sự đồng ý hợp lệ cũng như mua, bán dữ liệu cá nhân trái phép

Theo Điều 8 Luật này, tùy tính chất vi phạm, mức phạt hành chính có thể lên tới 03 tỷ đồng, hoặc tính theo doanh thu, khoản thu có được từ hành vi vi phạm, kèm theo trách nhiệm bồi thường thiệt hại...

Trên đây là thông tin về việc doanh nghiệp có được sử dụng dữ liệu khách hàng để quảng cáo, remarketing không?

1900 6192 để được giải đáp qua tổng đài

090 222 9061 để sử dụng dịch vụ Luật sư tư vấn (CÓ PHÍ)