# Chứng minh thu thập và quản lý consent

### 1. Mục tiêu <a href="#id-1-mc-tiu" id="id-1-mc-tiu"></a>

Cho Pháp chế/DPO có bộ bằng chứng rõ ràng về cách xin đồng ý, ghi nhận, thay đổi và lưu vết consent trên toàn hệ thống tuyển dụng.

Dùng khi làm việc với kiểm toán, cơ quan quản lý hoặc khách hàng doanh nghiệp để chứng minh việc xử lý dữ liệu luôn bám theo consent của ứng viên/nhân sự.

***

### 2. Khi nào dùng <a href="#id-2-khi-no-dng" id="id-2-khi-no-dng"></a>

* Trước hoặc trong các đợt kiểm tra/audit về bảo vệ dữ liệu (nhà nước, khách hàng, audit nội bộ).
* Khi cần trả lời câu hỏi: “Anh/chị xin consent như thế nào, quản lý thay đổi consent ra sao, có log chứng minh không?”.
* Khi cần tự rà soát nội bộ định kỳ về việc thu thập và quản lý consent trong khối tuyển dụng.

***

### 3. Các khu vực & dữ liệu cần sử dụng <a href="#id-3-cc-khu-vc--d-liu-cn-s-dng" id="id-3-cc-khu-vc--d-liu-cn-s-dng"></a>

#### 3.1. Cấu hình mục đích xử lý và chính sách (Purpose & Privacy Notice) <a href="#id-31-cu-hnh-mc-ch-x-l-v-chnh-sch-purpose--privacy-no" id="id-31-cu-hnh-mc-ch-x-l-v-chnh-sch-purpose--privacy-no"></a>

* Mục đích xử lý: APPLY\_JOB, AI\_PROCESSING, JOB\_ALERT, TALENT\_POOL; legal basis; bắt buộc/tùy chọn; thời hạn lưu trữ.
* Chính sách/Privacy Notice và các phiên bản: nội dung giải thích cho ứng viên, thời điểm hiệu lực.

#### 3.2. Form / màn hình xin consent thực tế <a href="#id-32-form--mn-hnh-xin-consent-thc-t" id="id-32-form--mn-hnh-xin-consent-thc-t"></a>

* Form ứng viên trên ATS/TRM hoặc Privacy Center: checkbox, câu chữ giải thích từng mục đích, link tới chính sách.
* Cho thấy người dùng đã được thông tin gì tại thời điểm bấm Đồng ý / Từ chối.

#### 3.3. Danh sách consent hiện tại theo chủ thể <a href="#id-33-danh-sch-consent-hin-ti-theo-ch-th" id="id-33-danh-sch-consent-hin-ti-theo-ch-th"></a>

* Màn “Danh sách Consent” + “Chi tiết chủ thể”: trạng thái consent GRANTED/DECLINED/WITHDRAWN theo từng mục đích, từng ứng dụng.
* Cho thấy hệ thống đang quản lý consent một cách có cấu trúc, theo từng mục đích xử lý.

#### 3.4. Lịch sử thay đổi consent (Consent Event / Audit log) <a href="#id-34-lch-s-thay-i-consent-consent-event--audit-log" id="id-34-lch-s-thay-i-consent-consent-event--audit-log"></a>

* Log các sự kiện GRANT, DECLINE, WITHDRAW, ADMIN\_REVOKE… kèm thời gian, kênh (WEB/API), IP, actor, lý do.
* Là bằng chứng cho việc mọi thay đổi consent đều được ghi nhận, không sửa/xóa bằng tay.

***

### 4. Các bước thực hiện <a href="#id-4-cc-bc-thc-hin" id="id-4-cc-bc-thc-hin"></a>

#### 4.1. Chuẩn bị tài liệu chính sách và cấu hình hệ thống <a href="#id-41-chun-b-ti-liu-chnh-sch-v-cu-hnh-h-thng" id="id-41-chun-b-ti-liu-chnh-sch-v-cu-hnh-h-thng"></a>

Thu thập bản mới nhất của:

* Chính sách bảo vệ dữ liệu/Privacy Notice áp dụng cho tuyển dụng.
* Bảng cấu hình mục đích xử lý (Purpose) từ MBW Consent: tên mục đích, mô tả, legal basis, bắt buộc/tùy chọn, thời hạn lưu trữ.

Mục đích: cho kiểm tra thấy việc xin consent gắn với các mục đích rõ ràng, có thời hạn và cơ sở pháp lý.

#### 4.2. Trình bày cách xin consent trên giao diện người dùng <a href="#id-42-trnh-by-cch-xin-consent-trn-giao-din-ngi-dng" id="id-42-trnh-by-cch-xin-consent-trn-giao-din-ngi-dng"></a>

* Mở form ứng viên (ATS/TRM) hoặc Privacy Center thể hiện:
  * Câu chữ giải thích ngắn cho từng mục đích (theo tiếng Việt thân thiện).
  * Checkbox bắt buộc/tùy chọn, trạng thái mặc định, link tới Privacy Notice.
* Nếu cần, chụp màn hình hoặc xuất file mô tả để đưa vào bộ hồ sơ kiểm tra.

#### 4.3. Minh họa cách consent được ghi nhận và lưu trữ <a href="#id-43-minh-ha-cch-consent-c-ghi-nhn-v-lu-tr" id="id-43-minh-ha-cch-consent-c-ghi-nhn-v-lu-tr"></a>

* Vào MBW Consent → “Danh sách Consent”; chọn một vài chủ thể tiêu biểu (ứng viên, talent, nhân sự).
* Mở trang “Chi tiết chủ thể” để cho thấy:
  * Danh sách ứng dụng & mục đích xử lý với trạng thái đồng ý hiện tại.
  * Cho thấy khác biệt giữa mục đích bắt buộc (APPLY\_JOB) và mục đích tùy chọn (TALENT\_POOL, JOB\_ALERT…).

#### 4.4. Minh họa lịch sử thay đổi consent (timeline) <a href="#id-44-minh-ha-lch-s-thay-i-consent-timeline" id="id-44-minh-ha-lch-s-thay-i-consent-timeline"></a>

* Từ trang chi tiết chủ thể, kéo xuống phần “Lịch sử Đồng ý & Thu hồi” (Consent Event).
* Chọn 1–2 trường hợp điển hình:
  * Lần đầu người dùng đồng ý cho một mục đích.
  * Lần sau rút lại hoặc từ chối mục đích đó.
* Trình bày cho kiểm toán: thời điểm nào người dùng đồng ý, thời điểm nào rút lại, qua kênh nào, có can thiệp admin không.

#### 4.5. Liên hệ consent với hành vi xử lý dữ liệu thực tế <a href="#id-45-lin-h-consent-vi-hnh-vi-x-l-d-liu-thc-t" id="id-45-lin-h-consent-vi-hnh-vi-x-l-d-liu-thc-t"></a>

* Mô tả (hoặc minh họa bằng ví dụ) cách các ứng dụng ATS/TRM gọi API checkconsent trước khi gửi job alert, thêm vào talent pool, chia sẻ sang đối tác…
* Giải thích: khi consent cho mục đích đó là DECLINED/WITHDRAWN, hành động xử lý sẽ không được thực hiện (hoặc chỉ dùng dữ liệu ở dạng nặc danh).

#### 4.6. Đóng gói thành bộ hồ sơ minh chứng <a href="#id-46-ng-gi-thnh-b-h-s-minh-chng" id="id-46-ng-gi-thnh-b-h-s-minh-chng"></a>

Gom các thành phần sau vào cùng một thư mục/hồ sơ:

* Chính sách, bảng cấu hình mục đích xử lý.
* 1–2 screenshot form xin consent.
* 3–5 case consent tiêu biểu (export màn “Chi tiết chủ thể” hoặc chụp màn hình, kèm lịch sử Consent Event).

Ghi chú rõ ID chủ thể, ngày giờ và mục đích tương ứng để sau này có thể tra cứu lại trên hệ thống.

***

### 5. Lưu ý cho Pháp chế/DPO <a href="#id-5-lu--cho-php-chdpo" id="id-5-lu--cho-php-chdpo"></a>

* Luôn ưu tiên giải thích theo ngôn ngữ nghiệp vụ (“xin đồng ý để gửi thông báo việc làm”, “ngừng dùng dữ liệu cho job alert từ ngày…”) rồi mới trích xuất màn hình/ký hiệu kỹ thuật (APPLY\_JOB, TALENT\_POOL…).
* Nên chuẩn bị sẵn 3 nhóm ví dụ consent:
  * Trường hợp luôn đồng ý.
  * Trường hợp từ chối một số mục đích.
  * Trường hợp đã rút lại consent;\
    để khi audit hỏi thêm có thể lấy ngay ví dụ phù hợp.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.mhiring.vn/mbase/mbw-consent/chung-minh-tuan-thu/chung-minh-thu-thap-va-quan-ly-consent.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.