Thời gian thực hiện quyền của chủ thể dữ liệu là yếu tố then chốt quyết định sự tuân thủ và uy tín của doanh nghiệp trong kỷ nguyên số. Việc nắm vững các mốc thời gian cụ thể, từ 72 giờ đến 10 ngày làm việc, không chỉ giúp tránh rủi ro pháp lý mà còn thể hiện sự tôn trọng quyền riêng tư của khách hàng. Hãy cùng DPO.VN tìm hiểu chi tiết để xây dựng quy trình xử lý yêu cầu dữ liệu chuyên nghiệp và hiệu quả.

Nội dung bài viết

Thời hạn cụ thể phải hoàn thành yêu cầu của chủ thể dữ liệu là bao lâu?

Thời hạn này không cố định mà phụ thuộc vào từng loại quyền và quy định pháp luật cụ thể. Thông thường, doanh nghiệp phải phản hồi trong 02 ngày làm việc và hoàn thành xử lý trong vòng từ 07 đến 15 ngày làm việc, trừ một số trường hợp đặc biệt.

Trong bối cảnh pháp luật về bảo vệ dữ liệu ngày càng chặt chẽ, việc xác định đúng thời hạn xử lý các yêu cầu của chủ thể dữ liệu là cực kỳ quan trọng. Nghị định 13/2023/NĐ-CP đã đặt nền móng đầu tiên với mốc thời gian 72 giờ cho một số quyền nhất định. Tuy nhiên, sự ra đời của Nghị định 356/2025/NĐ-CP hướng dẫn Luật Bảo vệ dữ liệu cá nhân đã mang đến một khung thời gian chi tiết và linh hoạt hơn, phù hợp với thực tế vận hành của doanh nghiệp.

Cụ thể, theo Điều 5 Nghị định 356/2025/NĐ-CP hướng dẫn Luật Bảo vệ dữ liệu cá nhân, thời hạn xử lý được phân chia rõ ràng theo từng nhóm quyền:

Nhóm quyền rút lại sự đồng ý, hạn chế, phản đối xử lý: Phải thực hiện trong vòng 07 ngày làm việc. Nếu cần sự tham gia của bên thứ ba, thời hạn là 15 ngày làm việc.
Nhóm quyền xem, chỉnh sửa, cung cấp, xóa dữ liệu: Thời hạn thực hiện là 10 ngày làm việc. Tương tự, nếu có bên thứ ba tham gia, thời hạn là 15 ngày làm việc.
Yêu cầu về biện pháp bảo vệ dữ liệu: Thời hạn thực hiện là 15 ngày làm việc.

Việc tuân thủ các mốc thời gian này không chỉ là nghĩa vụ pháp lý mà còn là cơ hội để doanh nghiệp thể hiện sự chuyên nghiệp và cam kết bảo vệ quyền riêng tư của khách hàng.

Có sự khác biệt về thời gian xử lý giữa các quyền không?

Có, pháp luật phân chia thời gian xử lý dựa trên tính chất phức tạp và mức độ khẩn cấp của từng quyền. Các quyền ảnh hưởng trực tiếp đến việc tiếp tục xử lý dữ liệu thường có thời hạn ngắn hơn so với các quyền yêu cầu trích xuất hay chỉnh sửa thông tin.

Để giúp doanh nghiệp dễ dàng nắm bắt và thiết lập quy trình nội bộ (SLA), DPO.VN tổng hợp bảng so sánh chi tiết dưới đây dựa trên Nghị định 356/2025/NĐ-CP:

Nhóm Quyền	Thời hạn phản hồi	Thời hạn thực hiện (Tự xử lý)	Thời hạn thực hiện (Có bên thứ 3)
Rút lại sự đồng ý, Hạn chế xử lý, Phản đối xử lý	02 ngày làm việc	07 ngày làm việc	15 ngày làm việc
Xem, Chỉnh sửa, Cung cấp, Xóa dữ liệu	02 ngày làm việc	10 ngày làm việc	15 ngày làm việc
Yêu cầu biện pháp bảo vệ	02 ngày làm việc	15 ngày làm việc	–

Sự phân chia này phản ánh mức độ ưu tiên: việc dừng xử lý (rút lại sự đồng ý) cần được thực hiện nhanh chóng để ngăn chặn rủi ro, trong khi việc cung cấp hay chỉnh sửa dữ liệu cần thời gian để xác minh và trích xuất chính xác từ hệ thống.

Doanh nghiệp có được phép gia hạn thời gian xử lý không?

Được phép, nhưng có điều kiện và giới hạn. Doanh nghiệp chỉ được gia hạn khi tính chất yêu cầu phức tạp, và phải thông báo lý do cho chủ thể dữ liệu. Thời gian gia hạn tối đa cũng được quy định cụ thể cho từng trường hợp.

Pháp luật thấu hiểu rằng không phải mọi yêu cầu đều có thể xử lý ngay lập tức, đặc biệt là với những hệ thống dữ liệu lớn và phức tạp. Do đó, cơ chế gia hạn được đưa ra như một giải pháp linh hoạt. Tuy nhiên, quyền này không được lạm dụng.

Theo quy định, thời gian gia hạn tối đa là:

Không quá 10 ngày làm việc đối với các yêu cầu về rút lại sự đồng ý, hạn chế, phản đối, xem, chỉnh sửa, cung cấp, xóa dữ liệu.
Không quá 15 ngày làm việc đối với yêu cầu thực hiện biện pháp bảo vệ dữ liệu.

Để gia hạn hợp lệ, Bên Kiểm soát dữ liệu cá nhân phải thực hiện hai việc: (1) Thông báo cho chủ thể dữ liệu về việc gia hạn và lý do cụ thể; (2) Chịu trách nhiệm chứng minh việc gia hạn là cần thiết và hợp lý trước cơ quan chức năng nếu có tranh chấp.

Thời hạn phản hồi xác nhận đã nhận yêu cầu là khi nào?

Ngay khi nhận được yêu cầu hợp lệ từ chủ thể dữ liệu, doanh nghiệp có trách nhiệm phản hồi xác nhận trong vòng 02 ngày làm việc. Đây là bước đầu tiên và bắt buộc trong quy trình xử lý.

Quy định về thời hạn phản hồi 02 ngày làm việc (được nêu tại Điều 5 Nghị định 356/2025/NĐ-CP) nhằm đảm bảo tính minh bạch và sự an tâm cho chủ thể dữ liệu. Trong phản hồi này, doanh nghiệp không chỉ xác nhận đã nhận được yêu cầu mà còn phải cung cấp đầy đủ thông tin về thủ tục, quy trình xử lý tiếp theo.

Điều này đòi hỏi doanh nghiệp phải thiết lập hệ thống tiếp nhận tự động hoặc quy trình CSKH (Chăm sóc khách hàng) nhanh nhạy để không bỏ lỡ “thời điểm vàng” này. Việc phản hồi chậm trễ ngay từ bước đầu có thể gây ấn tượng xấu và dẫn đến khiếu nại không đáng có.

Hậu quả pháp lý khi chậm trễ thực hiện quyền là gì?

Chậm trễ hoặc không thực hiện quyền của chủ thể dữ liệu là hành vi vi phạm pháp luật, có thể dẫn đến xử phạt hành chính nặng, trách nhiệm bồi thường thiệt hại và ảnh hưởng nghiêm trọng đến uy tín thương hiệu.

Theo Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân, việc không đảm bảo quyền của chủ thể dữ liệu là một trong những vi phạm điển hình. Mức phạt tiền có thể lên tới hàng trăm triệu đồng tùy theo mức độ vi phạm. Đặc biệt, nếu việc chậm trễ (ví dụ: chậm xóa dữ liệu) dẫn đến lộ lọt thông tin và gây thiệt hại cho khách hàng, doanh nghiệp sẽ phải đối mặt với các vụ kiện dân sự đòi bồi thường.

Hơn nữa, trong kỷ nguyên số, niềm tin của khách hàng là tài sản vô giá. Một doanh nghiệp không tôn trọng quyền riêng tư và phớt lờ yêu cầu của khách hàng sẽ nhanh chóng bị thị trường đào thải. Do đó, tuân thủ đúng thời gian thực hiện quyền không chỉ là tuân thủ luật pháp mà còn là chiến lược kinh doanh bền vững.

Các Câu Hỏi Thường Gặp Về Thời Gian Thực Hiện Quyền

1. Thời gian 72 giờ quy định trong Nghị định 13 áp dụng cho trường hợp nào?

Trả lời: Theo Nghị định 13/2023/NĐ-CP, thời hạn 72 giờ được áp dụng cho việc thực hiện yêu cầu hạn chế xử lý dữ liệu (Điều 9.6.b), phản đối xử lý dữ liệu (Điều 9.8.b), cung cấp dữ liệu (Điều 14.3) và xóa dữ liệu (Điều 16.5). Tuy nhiên, các doanh nghiệp cần lưu ý cập nhật theo các hướng dẫn chi tiết hơn trong Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân sắp tới để đảm bảo tuân thủ chính xác nhất.

2. Nếu yêu cầu rơi vào ngày nghỉ, lễ tết thì tính thời gian như thế nào?

Trả lời: Quy định mới sử dụng thuật ngữ “ngày làm việc” (working days), nghĩa là không tính các ngày nghỉ cuối tuần và lễ tết theo quy định của Bộ luật Lao động. Điều này giúp doanh nghiệp có thêm thời gian thực tế để xử lý yêu cầu so với việc tính theo giờ hoặc ngày dương lịch liên tục.

3. Doanh nghiệp có thể từ chối thực hiện yêu cầu xóa dữ liệu không?

Trả lời: Có, trong một số trường hợp cụ thể quy định tại Điều 16.2 Nghị định 13/2023/NĐ-CP, ví dụ như: pháp luật quy định không cho phép xóa, dữ liệu phục vụ điều tra tội phạm, hoặc dữ liệu cần thiết cho việc thực hiện hợp đồng,… Khi từ chối, doanh nghiệp cần phản hồi và nêu rõ lý do cho chủ thể dữ liệu trong thời hạn quy định.

4. Làm thế nào để chứng minh doanh nghiệp đã thực hiện đúng thời hạn?

Trả lời: Doanh nghiệp cần lưu trữ toàn bộ nhật ký (log) hệ thống, email trao đổi, biên bản làm việc ghi nhận thời điểm nhận yêu cầu, thời điểm phản hồi và thời điểm hoàn tất xử lý. Đây là bằng chứng quan trọng để giải trình khi có thanh tra hoặc khiếu nại.

5. Bên xử lý dữ liệu (bên thứ ba) có trách nhiệm gì về thời gian?

Trả lời: Bên xử lý dữ liệu có trách nhiệm phối hợp với Bên kiểm soát dữ liệu để thực hiện yêu cầu. Thời gian để Bên xử lý hoàn thành nhiệm vụ cũng được tính trong tổng thời gian xử lý (thường là 15 ngày làm việc). Do đó, hợp đồng giữa hai bên cần quy định rõ ràng về SLA (cam kết mức độ dịch vụ) để đảm bảo không bị trễ hạn chung.

Tư Vấn Chuyên Sâu Về Bảo Vệ Dữ Liệu Cùng DPO.VN

Để đảm bảo doanh nghiệp của bạn luôn tuân thủ đúng và đủ các quy định pháp luật về thời gian và quy trình xử lý dữ liệu, hãy liên hệ ngay với DPO.VN. Chúng tôi, Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia, dưới sự dẫn dắt của Luật sư Nguyễn Tiến Hảo, cam kết cung cấp các giải pháp tư vấn toàn diện, giúp bạn an tâm phát triển kinh doanh.

Website: dpo.vn

Hotline: 0914.315.886

Email: info@dpo.vn

Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Yên Hoà, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam.

Tài liệu tham khảo

Chính phủ (2023), Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. [Trực tuyến]. Có tại: https://vanban.chinhphu.vn/
Bộ Công an (2025), Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều của Luật Bảo vệ dữ liệu cá nhân.
Quốc hội (2018), Luật An ninh mạng 24/2018/QH14. [Trực tuyến].
DPO.VN (2025), Quyền của chủ thể dữ liệu cá nhân. [Trực tuyến]. Có tại: https://dpo.vn/quyen-cua-chu-the-du-lieu-ca-nhan/
DPO.VN (2025), Hướng dẫn lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. [Trực tuyến]. Có tại: https://dpo.vn/huong-dan-lap-ho-so-danh-gia-tac-dong-xu-ly-du-lieu-ca-nhan/

Luật sư Nguyễn Tiến Hảo

Với kinh nghiệm tư vấn pháp lý về bảo vệ dữ liệu cá nhân cho gần 100 doanh nghiệp trong nước và quốc tế, Luật sư Nguyễn Tiến Hảo đã khẳng định vị thế là một trong những chuyên gia pháp lý hàng đầu tại Việt Nam về quản trị rủi ro và tuân thủ pháp lý trong lĩnh vực Bảo vệ dữ liệu cá nhân. Với chuyên môn sâu sắc trong việc diễn giải và áp dụng các quy định về Bảo vệ Dữ liệu Cá nhân, thể hiện qua năng lực xây dựng các Hồ sơ Đánh giá Tác động Xử Lý Dữ Liệu Cá Nhân đạt tiêu chuẩn và có tính ứng dụng cao. Các giải pháp cung cấp cho doanh nghiệp không chỉ đảm bảo sự tuân thủ nghiêm ngặt với pháp luật Việt Nam mà còn tương thích với các thông lệ quốc tế tốt nhất. Mang lại cho khách hàng sự bảo vệ pháp lý toàn diện và một lợi thế cạnh tranh rõ rệt. Tiểu sử tác giả