Chủ thể dữ liệu cá nhân là ai? Quyền và nghĩa vụ 2025

Chủ thể dữ liệu cá nhân là ai, có những quyền và nghĩa vụ nào là câu hỏi cốt lõi mà mọi cá nhân và doanh nghiệp phải nắm vững để đảm bảo tuân thủ pháp luật. Nắm bắt chính xác các quy định này là bước đầu tiên để xây dựng nền tảng pháp lý vững chắc, được hỗ trợ toàn diện bởi các chuyên gia tại DPO.VN. Định nghĩa cá nhân, quyền riêng tư, trách nhiệm pháp lý.

Chủ thể dữ liệu cá nhân là ai theo quy định của pháp luật Việt Nam?

Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh. Đây là một con người cụ thể, còn sống, không phải là tổ chức, doanh nghiệp hay cá nhân đã qua đời (trừ một số trường hợp đặc biệt).

Theo quy định tại khoản 6 Điều 2 Nghị định 13/2023/NĐ-CP, Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh. Tương tự, Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (có hiệu lực từ 01/01/2026) cũng định nghĩa tại khoản 5 Điều 2 rằng Chủ thể dữ liệu cá nhân là người được dữ liệu cá nhân phản ánh.

Điều này có nghĩa là, bất kỳ cá nhân nào có thông tin nhận dạng được một tổ chức, doanh nghiệp thu thập, lưu trữ hoặc xử lý đều được coi là một chủ thể dữ liệu. Ví dụ, một khách hàng mua sắm trên trang thương mại điện tử, một nhân viên trong công ty, một bệnh nhân tại bệnh viện, hay một người dùng đăng ký tài khoản trên mạng xã hội đều là các chủ thể dữ liệu.

Phạm vi áp dụng của quy định này rất rộng, bao gồm:

• Công dân Việt Nam: Dù sinh sống trong nước hay nước ngoài.
• Người nước ngoài tại Việt Nam: Bao gồm người cư trú và cả những người chỉ nhập cảnh trong thời gian ngắn.
• Cá nhân có liên quan đến hoạt động xử lý dữ liệu tại Việt Nam: Kể cả khi họ đang ở nước ngoài nhưng dữ liệu của họ được xử lý bởi một tổ chức có hoạt động tại Việt Nam.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Một điểm quan trọng cần làm rõ là tổ chức (công ty, hiệp hội) không phải là chủ thể dữ liệu cá nhân. Pháp luật chỉ bảo vệ dữ liệu của các cá nhân cụ thể. Do đó, doanh nghiệp cần phân biệt rõ ràng giữa dữ liệu khách hàng là cá nhân và dữ liệu khách hàng là tổ chức để có chính sách bảo vệ phù hợp.

11 Quyền của chủ thể dữ liệu cá nhân theo Nghị định 13 là gì?

Theo Điều 9 Nghị định 13/2023/NĐ-CP, chủ thể dữ liệu có 11 quyền cơ bản, bao gồm quyền được biết, đồng ý, truy cập, rút lại sự đồng ý, xóa dữ liệu, hạn chế và phản đối xử lý, yêu cầu cung cấp dữ liệu, khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại, và quyền tự bảo vệ.

Nghị định 13 đã trao cho các cá nhân một bộ công cụ pháp lý mạnh mẽ để kiểm soát thông tin của chính mình. Đối với doanh nghiệp, việc hiểu và đáp ứng 11 quyền này là nghĩa vụ bắt buộc để tránh các rủi ro pháp lý.

1. Quyền được biết: Cá nhân có quyền được thông báo về hoạt động xử lý dữ liệu cá nhân của mình, bao gồm mục đích, loại dữ liệu, bên xử lý, và thời gian lưu trữ.
2. Quyền đồng ý: Đây là quyền cốt lõi. Việc xử lý dữ liệu phải dựa trên sự đồng ý tự nguyện, rõ ràng của chủ thể dữ liệu, trừ các trường hợp pháp luật cho phép.
3. Quyền truy cập: Cá nhân có quyền xem, chỉnh sửa hoặc yêu cầu doanh nghiệp chỉnh sửa dữ liệu cá nhân của mình.
4. Quyền rút lại sự đồng ý: Bất kỳ lúc nào, chủ thể dữ liệu cũng có quyền rút lại sự đồng ý đã cho trước đó. Doanh nghiệp phải ngừng xử lý dữ liệu ngay khi nhận được yêu cầu hợp lệ.
5. Quyền xóa dữ liệu: Cá nhân có quyền yêu cầu doanh nghiệp xóa dữ liệu của mình khi không còn cần thiết cho mục đích thu thập ban đầu, hoặc khi đã rút lại sự đồng ý.
6. Quyền hạn chế xử lý dữ liệu: Trong một số trường hợp (ví dụ, khi đang tranh cãi về tính chính xác của dữ liệu), chủ thể dữ liệu có thể yêu cầu tạm thời hạn chế việc xử lý.
7. Quyền cung cấp dữ liệu: Cá nhân có quyền yêu cầu doanh nghiệp cung cấp cho mình bản sao dữ liệu cá nhân mà doanh nghiệp đang nắm giữ.
8. Quyền phản đối xử lý dữ liệu: Đặc biệt trong các hoạt động marketing trực tiếp, quảng cáo, cá nhân có quyền phản đối việc dữ liệu của mình bị xử lý cho các mục đích này.
9. Quyền khiếu nại, tố cáo, khởi kiện: Khi quyền lợi bị xâm phạm, chủ thể dữ liệu có quyền khiếu nại đến doanh nghiệp, tố cáo tới cơ quan chức năng hoặc khởi kiện ra tòa án.
10. Quyền yêu cầu bồi thường thiệt hại: Nếu việc xử lý dữ liệu trái quy định gây ra thiệt hại, cá nhân có quyền yêu cầu bồi thường.
11. Quyền tự bảo vệ: Cá nhân có quyền tự mình thực hiện các biện pháp cần thiết để bảo vệ dữ liệu của mình theo quy định của Bộ luật Dân sự.

Làm thế nào để chủ thể dữ liệu thực thi các quyền của mình một cách hiệu quả?

Chủ thể dữ liệu cần gửi yêu cầu bằng văn bản hoặc qua các hình thức có thể kiểm chứng được cho doanh nghiệp. Doanh nghiệp có nghĩa vụ phản hồi và thực hiện yêu cầu trong thời hạn luật định, ví dụ như 72 giờ đối với yêu cầu xóa dữ liệu.

Để thực thi quyền của mình, chủ thể dữ liệu cần chủ động liên hệ với Bên Kiểm soát hoặc Bên Kiểm soát và xử lý dữ liệu (doanh nghiệp/tổ chức đang giữ dữ liệu). Điều 14 Nghị định 13/2023/NĐ-CP quy định cụ thể về việc yêu cầu cung cấp dữ liệu, có thể áp dụng tương tự cho việc thực thi các quyền khác:

• Hình thức yêu cầu: Yêu cầu phải được thể hiện bằng văn bản, có thể là văn bản giấy hoặc điện tử (email, biểu mẫu trực tuyến). Nghị định 13/2023/NĐ-CP có ban hành Mẫu số 01 (Phiếu yêu cầu cung cấp dữ liệu cá nhân dành cho cá nhân) và Mẫu số 02 (dành cho tổ chức, doanh nghiệp) để tham khảo.
• Nội dung yêu cầu: Cần nêu rõ thông tin của người yêu cầu, dữ liệu cụ thể cần tác động (truy cập, xóa, sửa), và mục đích yêu cầu.
• Kênh tiếp nhận: Doanh nghiệp phải công khai kênh tiếp nhận yêu cầu (email, số điện thoại, địa chỉ) để chủ thể dữ liệu liên hệ.
• Thời hạn xử lý: Pháp luật quy định thời hạn cụ thể cho một số yêu cầu. Ví dụ, việc hạn chế xử lý dữ liệu (Điều 9.6b), phản đối xử lý (Điều 9.8b), cung cấp dữ liệu (Điều 14.3) và xóa dữ liệu (Điều 16.5) đều phải được thực hiện trong vòng 72 giờ kể từ khi nhận được yêu cầu.

Nếu doanh nghiệp không phản hồi hoặc từ chối yêu cầu không hợp lý, chủ thể dữ liệu có quyền khiếu nại lên cơ quan chuyên trách là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an.

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định quyền của chủ thể dữ liệu như thế nào?

Luật mới tại Điều 4 đã tổng hợp và tinh gọn các quyền của chủ thể dữ liệu thành 6 nhóm quyền chính, về cơ bản vẫn giữ nguyên nội hàm và bản chất của 11 quyền trong Nghị định 13, đảm bảo tính kế thừa và phát triển.

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, khi có hiệu lực, sẽ thay thế Nghị định 13/2023/NĐ-CP. Điều 4 của Luật này đã hệ thống hóa lại các quyền của chủ thể dữ liệu một cách logic hơn, nhưng không làm suy giảm quyền lợi của cá nhân.

Sự thay đổi này cho thấy xu hướng làm cho luật pháp trở nên cô đọng và dễ tiếp cận hơn, nhưng vẫn đảm bảo đầy đủ các quyền lợi đã được thiết lập. Doanh nghiệp cần cập nhật các chính sách và quy trình nội bộ để phản ánh đúng theo cơ cấu của Luật mới khi nó chính thức có hiệu lực.

5 Nghĩa vụ của chủ thể dữ liệu cá nhân mà doanh nghiệp cần lưu ý là gì?

Chủ thể dữ liệu có 5 nghĩa vụ chính: tự bảo vệ dữ liệu của mình, tôn trọng dữ liệu của người khác, cung cấp thông tin đầy đủ và chính xác, tham gia tuyên truyền, và tuân thủ pháp luật về bảo vệ dữ liệu cá nhân.

Bên cạnh các quyền lợi, pháp luật cũng quy định rõ các nghĩa vụ của chủ thể dữ liệu tại Điều 10 Nghị định 13/2023/NĐ-CP và được tái khẳng định tại khoản 2 Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025. Việc này tạo ra một sự cân bằng, yêu cầu sự hợp tác từ cả hai phía để bảo vệ dữ liệu một cách hiệu quả. Doanh nghiệp cần biết những nghĩa vụ này để có cơ sở làm việc với khách hàng và nhân viên.

1. Tự bảo vệ dữ liệu cá nhân của mình: Cá nhân có trách nhiệm chính trong việc bảo vệ thông tin của mình, chẳng hạn như không chia sẻ mật khẩu, không cung cấp thông tin cho các nguồn không đáng tin cậy.
2. Tôn trọng, bảo vệ dữ liệu cá nhân của người khác: Không được xâm phạm, sử dụng trái phép dữ liệu của người khác.
3. Cung cấp đầy đủ, chính xác dữ liệu cá nhân: Khi đồng ý cho xử lý dữ liệu, cá nhân có nghĩa vụ cung cấp thông tin chính xác. Điều này giúp doanh nghiệp thực hiện đúng các giao dịch và tuân thủ pháp luật (ví dụ: xác thực danh tính khách hàng).
4. Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân: Góp phần nâng cao nhận thức chung trong cộng đồng.
5. Thực hiện quy định của pháp luật và tham gia phòng, chống vi phạm: Tuân thủ các quy định và hợp tác với cơ quan chức năng khi cần thiết.

Đối với doanh nghiệp, nghĩa vụ cung cấp thông tin chính xác của chủ thể dữ liệu là rất quan trọng. Khi xảy ra tranh chấp, doanh nghiệp có thể dựa vào đây để chứng minh rằng mình đã hành động dựa trên thông tin do chính chủ thể dữ liệu cung cấp.

Trách nhiệm của doanh nghiệp trong việc đảm bảo quyền của chủ thể dữ liệu là gì?

Doanh nghiệp (Bên Kiểm soát/Xử lý dữ liệu) có trách nhiệm thực hiện các biện pháp tổ chức và kỹ thuật, lựa chọn đối tác tin cậy, đảm bảo và tạo điều kiện cho chủ thể dữ liệu thực thi quyền, và chịu trách nhiệm về mọi thiệt hại do quá trình xử lý dữ liệu gây ra.

Các Điều 38, 39, 40 của Nghị định 13/2023/NĐ-CP và Điều 37 của Luật Bảo vệ dữ liệu cá nhân 2025 quy định rất rõ về trách nhiệm của các bên liên quan. Đây là kim chỉ nam cho mọi hoạt động tuân thủ của doanh nghiệp.

• Thực hiện các biện pháp bảo vệ: Áp dụng các biện pháp tổ chức (ban hành quy chế, đào tạo nhân viên) và kỹ thuật (mã hóa, tường lửa) để bảo vệ dữ liệu cá nhân.
• Đảm bảo các quyền của chủ thể dữ liệu: Xây dựng các quy trình và công cụ để tiếp nhận, xử lý và phản hồi các yêu cầu từ chủ thể dữ liệu một cách kịp thời và đúng luật.
• Lưu trữ nhật ký hệ thống: Ghi lại quá trình xử lý dữ liệu cá nhân để phục vụ cho việc giải trình và kiểm tra khi cần thiết.
• Lựa chọn Bên Xử lý dữ liệu phù hợp: Khi thuê một bên thứ ba để xử lý dữ liệu (ví dụ: dịch vụ email marketing, dịch vụ cloud), Bên Kiểm soát phải đảm bảo đối tác cũng có các biện pháp bảo vệ phù hợp và phải có hợp đồng/thỏa thuận rõ ràng.
• Chịu trách nhiệm trước chủ thể dữ liệu: Doanh nghiệp phải chịu trách nhiệm về bất kỳ thiệt hại nào phát sinh từ quá trình xử lý dữ liệu của mình, kể cả khi thiệt hại đó do Bên Xử lý dữ liệu gây ra.
• Phối hợp với cơ quan nhà nước: Cung cấp thông tin và hợp tác với Bộ Công an, các cơ quan có thẩm quyền trong việc điều tra, xử lý các hành vi vi phạm.

Việc tuân thủ các trách nhiệm này không chỉ là nghĩa vụ pháp lý mà còn là yếu tố then chốt để xây dựng niềm tin với khách hàng. Một doanh nghiệp minh bạch và tôn trọng quyền riêng tư sẽ có lợi thế cạnh tranh lớn trên thị trường.

Các Câu Hỏi Thường Gặp Về Chủ Thể Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Thủ tục về Bảo vệ dữ liệu cá nhân.
• Báo cáo tình hình kinh tế – xã hội, cung cấp bối cảnh về mức độ ứng dụng công nghệ thông tin tại Việt Nam.