Quyền của chủ thể dữ liệu cá nhân theo quy định pháp luật tại Việt Nam

|. Quyền của chủ thể dữ liệu cá nhân:

Quyền của chủ thể dữ liệu cá nhân được quy định tại khoản 1 Điều 4 Luật Bảo vệ dữ liệu cá nhân số 91/2025/Q15 ("LBVDLCN"). Theo đó, quyền của chủ thể dữ liệu cá nhân gồm các quyền sau:

a) Được biết về hoạt động xử lý dữ liệu cá nhân;

b) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân;

c) Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;

d) Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân;

đ) Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;

e) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.

II. Sự đồng ý của chủ thể xử lý dữ liệu cá nhân về hoạt động xử lý dữ liệu cá nhân:

Theo quy định tại Điều 9 của LBVDLCN quy định về sự đồng ý của chủ thể dữ liệu cá nhân 

1. Sự đồng ý của chủ thể dữ liệu cá nhân là việc chủ thể dữ liệu cá nhân cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.

2. Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin sau đây:

a) Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân;

b) Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân;

c) Các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân.

3. Sự đồng ý của chủ thể dữ liệu cá nhân được thể hiện bằng phương thức rõ ràng, cụ thể, có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

4. Sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm các nguyên tắc sau đây:

a) Thể hiện sự đồng ý đối với từng mục đích;

b) Không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận;

c) Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu cá nhân thay đổi sự đồng ý đó hoặc theo quy định của pháp luật;

d) Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.

Như vậy, căn cứ theo quy định nêu trên, trước khi thực hiện các hoạt động xử lý dữ liệu cá nhân thì phải nhận được sự đồng ý của chủ thể dữ liệu cá nhân. Sự đồng ý này phải được thể hiện bằng phương thức rõ ràng, có thể in, sao chép bằng văn bản, gồm dưới dạng điện tử hoặc định dạng kiểm chứng được. Sự im lặng hoặc không phản hồi không được coi là sự đồng ý của chủ thể dữ liệu cá nhân.

III. Yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân

1. Chủ thể dữ liệu cá nhân có quyền yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, yêu cầu hạn chế xử lý dữ liệu cá nhân của mình khi có nghi ngờ phạm vi, mục đích xử lý dữ liệu cá nhân hoặc tính chính xác của dữ liệu cá nhân, trừ trường hợp quy định tại Điều 19 của Luật này hoặc trường hợp pháp luật có quy định khác.

2. Yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân phải được thể hiện bằng văn bản, bao gồm cả dạng điện tử hoặc định dạng kiểm chứng được và được gửi cho bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân. Yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân được thực hiện theo quy định của pháp luật và theo thỏa thuận giữa các bên.

3. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân tiếp nhận, thực hiện và yêu cầu bên xử lý dữ liệu cá nhân thực hiện yêu cầu rút lại sự đồng ý, hạn chế xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân trong thời gian theo quy định của pháp luật.

4. Việc thực hiện yêu cầu rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân không áp dụng đối với hoạt động xử lý dữ liệu cá nhân trước thời điểm chủ thể dữ liệu cá nhân yêu cầu rút lại sự đồng ý hoặc yêu cầu hạn chế xử lý dữ liệu cá nhân.

Như vậy, theo quy định này chủ thể dữ liệu được quyền chủ động kiểm soát thông tin bằng cách yêu cầu rút lại sự đồng ý hoặc hạn chế xử lý dữ liệu khi có nghi ngờ về mục đích hay tính chính xác của thông tin. Yêu cầu này phải được thể hiện bằng hình thức văn bản có thể kiểm chứng, và khi tiếp nhận, bên kiểm soát dữ liệu có nghĩa vụ phải thực hiện và yêu cầu các bên liên quan tuân thủ. Tuy nhiên, cần lưu ý rằng việc rút lại sự đồng ý không có hiệu lực hồi tố, chỉ áp dụng cho các hoạt động xử lý dữ liệu phát sinh sau thời điểm yêu cầu. Các quy định này vừa là công cụ pháp lý để cá nhân bảo vệ quyền riêng tư, vừa đặt ra trách nhiệm cho doanh nghiệp phải xây dựng quy trình xử lý dữ liệu minh bạch và đúng pháp luật.

IV. Thu thập, phân tích, tổng hợp dữ liệu cá nhân

1. Dữ liệu cá nhân được thu thập phải được sự đồng ý của chủ thể dữ liệu cá nhân trước khi thu thập, trừ trường hợp pháp luật có quy định khác.

2. Cơ quan Đảng, Nhà nước có thẩm quyền được phân tích, tổng hợp dữ liệu cá nhân từ nguồn dữ liệu tự thu thập hoặc được chia sẻ, cung cấp, chuyển giao, khai thác, sử dụng để phục vụ công tác lãnh đạo, chỉ đạo, quản lý nhà nước, phát triển kinh tế - xã hội theo quy định của pháp luật.

3. Cơ quan, tổ chức, cá nhân không thuộc quy định tại khoản 2 Điều này được phân tích, tổng hợp dữ liệu cá nhân từ nguồn dữ liệu cá nhân được phép xử lý theo quy định của pháp luật.

Quy định về thu thập, phân tích, tổng hợp dữ liệu cá nhân được quy định tại Điều 11 LBVDLCN. Theo đó, việc thu thập dữ liệu cá nhân phải dựa trên nguyên tắc cốt lõi là có sự đồng ý trước của chủ thể, trừ các trường hợp ngoại lệ. Trong đó, các cơ quan Đảng và Nhà nước có quyền phân tích, tổng hợp dữ liệu từ nhiều nguồn để phục vụ công tác quản lý và phát triển kinh tế - xã hội. Các tổ chức và cá nhân khác cũng được phép phân tích dữ liệu, nhưng bị giới hạn nghiêm ngặt trong phạm vi nguồn dữ liệu mà họ được phép xử lý một cách hợp pháp.

V. Mã hóa, giải mã dữ liệu cá nhân

1. Mã hóa dữ liệu cá nhân là việc chuyển đổi dữ liệu cá nhân sang dạng không nhận biết được dữ liệu cá nhân nếu không được giải mã; dữ liệu cá nhân sau khi được mã hóa vẫn là dữ liệu cá nhân.

2. Dữ liệu cá nhân là bí mật nhà nước phải được mã hóa, giải mã theo quy định của pháp luật về bảo vệ bí mật nhà nước và pháp luật về cơ yếu.

3. Cơ quan, tổ chức, cá nhân quyết định việc mã hóa, giải mã dữ liệu cá nhân phù hợp với hoạt động xử lý dữ liệu cá nhân.

Như vậy, mã hóa là một biện pháp kỹ thuật để bảo mật, nhưng cần lưu ý rằng dữ liệu cá nhân sau khi mã hóa vẫn được xem là dữ liệu cá nhân và phải tuân thủ các quy định bảo vệ. Pháp luật đặt ra yêu cầu bắt buộc phải mã hóa đối với những dữ liệu cá nhân thuộc danh mục bí mật nhà nước theo các tiêu chuẩn riêng. Đối với các loại dữ liệu thông thường khác, việc có áp dụng mã hóa hay không là quyền tùy nghi, do chính cơ quan, tổ chức tự quyết định dựa trên mức độ rủi ro. Các quy định này tạo ra một cơ chế bảo mật linh hoạt, vừa yêu cầu mức độ bảo vệ cao nhất cho dữ liệu quan trọng, vừa trao quyền tự chủ cho các tổ chức để áp dụng biện pháp phù hợp.

VI. Chỉnh sửa dữ liệu cá nhân

Chỉnh sửa dữ liệu cá nhân được quy định tại Điều 13 của LBVDLCN, cụ thể như sau:

1. Chủ thể dữ liệu cá nhân được tự mình chỉnh sửa dữ liệu cá nhân của mình đối với một số loại dữ liệu cá nhân theo thỏa thuận với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân; đề nghị bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình.

2. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân sau khi chủ thể dữ liệu cá nhân yêu cầu hoặc chỉnh sửa dữ liệu cá nhân theo quy định của pháp luật; yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu cá nhân.

3. Việc chỉnh sửa dữ liệu cá nhân phải bảo đảm tính chính xác. Trường hợp không thể chỉnh sửa dữ liệu cá nhân vì lý do chính đáng, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải thông báo để cơ quan, tổ chức, cá nhân yêu cầu biết.

Chủ thể dữ liệu có quyền yêu cầu bên kiểm soát chỉnh sửa thông tin cá nhân của mình, hoặc tự thực hiện việc này nếu có thỏa thuận trước. Khi nhận được yêu cầu hợp lệ, bên kiểm soát dữ liệu có nghĩa vụ phải thực hiện việc chỉnh sửa và đồng thời yêu cầu các bên thứ ba có liên quan cùng cập nhật. Mục tiêu cốt lõi của việc chỉnh sửa là để đảm bảo tính chính xác, và trong trường hợp không thể thực hiện vì lý do chính đáng, bên kiểm soát phải thông báo lại cho người yêu cầu. Các quy định này tạo ra một cơ chế hoàn chỉnh, vừa trao cho cá nhân quyền kiểm soát tính chính xác của thông tin, vừa ràng buộc trách nhiệm của các tổ chức trong việc duy trì hệ thống dữ liệu đáng tin cậy.

VII. Xóa, hủy, khử nhận dạng dữ liệu cá nhân

1. Việc xóa, hủy dữ liệu cá nhân được thực hiện trong các trường hợp sau đây:

a) Chủ thể dữ liệu cá nhân có yêu cầu và chấp nhận các rủi ro, thiệt hại có thể xảy ra đối với mình. Yêu cầu của chủ thể dữ liệu cá nhân trong trường hợp này phải tuân thủ đầy đủ các nguyên tắc quy định tại khoản 3 Điều 4 của Luật LBVDLCN;

b) Đã hoàn thành mục đích xử lý dữ liệu cá nhân;

c) Hết thời hạn lưu trữ theo quy định của pháp luật;

d) Thực hiện theo quyết định của cơ quan nhà nước có thẩm quyền;

đ) Thực hiện theo thỏa thuận;

e) Trường hợp khác theo quy định của pháp luật.

2. Không thực hiện yêu cầu của chủ thể dữ liệu cá nhân về việc xóa, hủy dữ liệu cá nhân trong các trường hợp quy định tại Điều 19 của Luật này hoặc việc xóa, hủy dữ liệu cá nhân vi phạm quy định tại khoản 3 Điều 4 của Luật này.

3. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân xóa, hủy dữ liệu cá nhân trong các trường hợp quy định tại khoản 1 Điều này hoặc yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba xóa, hủy dữ liệu cá nhân của chủ thể dữ liệu cá nhân. Việc xóa, hủy dữ liệu cá nhân phải được thực hiện bằng các biện pháp an toàn; ngăn chặn hoạt động xâm nhập và khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy.

4. Cơ quan, tổ chức, cá nhân không được cố ý khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy.

5. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân có trách nhiệm tuân thủ quy định của Luật này. Trường hợp không thể xóa, hủy dữ liệu cá nhân vì lý do chính đáng sau khi nhận được yêu cầu của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải thông báo để chủ thể dữ liệu cá nhân biết.

6. Việc khử nhận dạng dữ liệu cá nhân được quy định như sau:

a) Cơ quan, tổ chức, cá nhân khử nhận dạng dữ liệu cá nhân có trách nhiệm kiểm soát và giám sát chặt chẽ quá trình khử nhận dạng dữ liệu cá nhân; ngăn chặn việc truy cập trái phép, sao chép, chiếm đoạt, làm lộ, làm mất dữ liệu cá nhân trong quá trình khử nhận dạng;

b) Không được tái nhận dạng dữ liệu cá nhân sau khi đã được khử nhận dạng, trừ trường hợp pháp luật có quy định khác;

c) Việc khử nhận dạng dữ liệu cá nhân tuân thủ quy định của Luật này và quy định khác của pháp luật có liên quan.

Pháp luật quy định dữ liệu cá nhân phải được xóa hoặc hủy trong nhiều trường hợp, như khi chủ thể dữ liệu yêu cầu, khi hoàn thành mục đích xử lý, hết thời hạn lưu trữ, hoặc theo lệnh của cơ quan nhà nước. Bên kiểm soát dữ liệu có nghĩa vụ thực hiện việc xóa một cách an toàn và triệt để, tuy nhiên quyền yêu cầu xóa của cá nhân không phải là tuyệt đối và có thể bị từ chối vì các lý do pháp lý chính đáng. Các quy định này nhấn mạnh tính vĩnh viễn của việc xóa và khử nhận dạng, nghiêm cấm mọi hành vi cố ý khôi phục trái phép dữ liệu đã xóa hoặc tái nhận dạng dữ liệu đã được ẩn danh. Tóm lại, các quy định này tạo ra một vòng đời dữ liệu hoàn chỉnh, đảm bảo thông tin cá nhân chỉ được lưu trữ khi cần thiết và được loại bỏ vĩnh viễn khi không còn mục đích sử dụng hợp pháp.

VIII. Cung cấp dữ liệu cá nhân

1. Chủ thể dữ liệu cá nhân cung cấp dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân theo quy định của pháp luật hoặc theo thỏa thuận với cơ quan, tổ chức, cá nhân đó.

2. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân cung cấp dữ liệu cá nhân trong các trường hợp sau đây:

a) Cung cấp cho chủ thể dữ liệu cá nhân theo yêu cầu của chủ thể dữ liệu cá nhân phù hợp quy định của pháp luật, thỏa thuận với chủ thể dữ liệu, trừ trường hợp việc cung cấp đó có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, tài sản của người khác;

b) Cung cấp cho cơ quan, tổ chức, cá nhân khác khi được chủ thể dữ liệu cá nhân đồng ý, trừ trường hợp pháp luật có quy định khác.

Quy định này xác định rằng việc cung cấp dữ liệu cá nhân ban đầu xuất phát từ chính chủ thể dữ liệu, dựa trên yêu cầu của pháp luật hoặc sự thỏa thuận tự nguyện với các tổ chức. Sau khi dữ liệu được thu thập, cá nhân có quyền yêu cầu truy cập và nhận lại dữ liệu của chính mình. Đối với việc cung cấp dữ liệu cho bất kỳ bên thứ ba nào khác, nguyên tắc cốt lõi là phải có sự đồng ý rõ ràng của chủ thể dữ liệu, trừ khi pháp luật có quy định khác. Về tổng thể, các quy định này trao quyền kiểm soát cho chủ thể dữ liệu, khẳng định họ là người quyết định ban đầu, có quyền truy cập và là người cho phép cuối cùng trong việc chia sẻ thông tin cá nhân của mình.

 IX. Công khai dữ liệu cá nhân và Chuyển giao dữ liệu cá nhân

Pháp luật quy định chặt chẽ hai hành vi xử lý dữ liệu nhạy cảm là công khai và chuyển giao, yêu cầu phải có mục đích và cơ sở pháp lý rõ ràng. Việc công khai dữ liệu chỉ được phép khi có sự đồng ý hoặc theo luật định, đồng thời phải đảm bảo tính chính xác và không gây hại cho chủ thể dữ liệu. Hình thức công khai dữ liệu cá nhân, bao gồm: đăng tải dữ liệu trên trang thông tin điện tử, cổng thông tin điện tử, phương tiện thông tin đại chúng và các hình thức khác theo quy định của pháp luật.

Tương tự, việc chuyển giao dữ liệu cho bên khác cũng đòi hỏi phải có sự đồng ý hoặc diễn ra trong các bối cảnh cụ thể như xử lý nội bộ, tái cấu trúc doanh nghiệp, hay theo yêu cầu của cơ quan nhà nước. Một điểm pháp lý quan trọng được làm rõ là các hoạt động chuyển giao hợp pháp này, dù có thu phí hay không, không bị coi là hành vi mua, bán dữ liệu cá nhân. Cuối cùng, trong cả hai trường hợp, tổ chức thực hiện việc công khai hay chuyển giao đều phải chịu trách nhiệm giám sát chặt chẽ để đảm bảo dữ liệu được bảo vệ và sử dụng đúng mục đích.

X. Kết luận:

Qua các phân tích trên, có thể thấy Luật Bảo vệ dữ liệu cá nhân đã xác lập một cách rõ ràng quyền của cá nhân và nghĩa vụ của các tổ chức trong mọi hoạt động liên quan đến dữ liệu. Từ việc thu thập phải có sự đồng ý, xử lý phải đúng mục đích, cho đến các quyền được truy cập, chỉnh sửa và xóa bỏ, Luật đã trao cho mỗi công dân quyền năng kiểm soát thông tin của chính mình. Đây là một bước tiến pháp lý quan trọng, hài hòa giữa việc bảo vệ quyền riêng tư chính đáng của con người và thúc đẩy sự phát triển kinh tế - xã hội trong kỷ nguyên số. Việc tuân thủ nghiêm túc các quy định này là trách nhiệm chung của toàn xã hội để hướng tới một tương lai số an toàn và đáng tin cậy.

Thông tin có trong bài viết này mang tính chất chung và chỉ nhằm mục đích cung cấp thông tin về quy định pháp luật. DB Legal sẽ không chịu trách nhiệm cho bất kỳ việc sử dụng hoặc áp dụng thông tin cho bất kỳ mục đích kinh doanh nào. Để có tư vấn pháp lý chuyên sâu, xin vui lòng liên hệ với chúng tôi.

📞: +84 357 466 579

📧: contact@dblegal.vn

🌐Facebook:  DB Legal Vietnamese Fanpage or DB Legal English Fanpage 

🐦X(Twitter)

💼Linkedin

🎬Youtube