Quyền yêu cầu cung cấp dữ liệu cá nhân của Chủ thể dữ liệu

Quyền yêu cầu cung cấp dữ liệu cá nhân là một quyền cơ bản, giúp chủ thể dữ liệu kiểm soát thông tin của mình và yêu cầu các tổ chức cung cấp bản sao dữ liệu họ đang nắm giữ. Để quy trình này diễn ra minh bạch và đúng pháp luật, DPO.VN cung cấp hướng dẫn chi tiết về thủ tục và biểu mẫu cần thiết, giúp doanh nghiệp đáp ứng nghĩa vụ pháp lý một cách hiệu quả. Thủ tục yêu cầu, biểu mẫu cung cấp, thời hạn phản hồi.

Quy trình thực hiện quyền yêu cầu cung cấp dữ liệu cá nhân gồm những bước nào?

Quy trình yêu cầu cung cấp dữ liệu cá nhân gồm 3 bước chính: (1) Chủ thể dữ liệu gửi Phiếu yêu cầu theo Mẫu số 01 (cá nhân) hoặc Mẫu số 02 (tổ chức); (2) Bên Kiểm soát/Xử lý dữ liệu tiếp nhận và xác thực yêu cầu; (3) Bên Kiểm soát/Xử lý dữ liệu cung cấp dữ liệu trong thời hạn 72 giờ.

Việc thực hiện quyền yêu cầu cung cấp dữ liệu cá nhân được quy định chặt chẽ tại Điều 9 và Điều 14 của Nghị định 13/2023/NĐ-CP. Cả chủ thể dữ liệu và doanh nghiệp (với vai trò là Bên Kiểm soát hoặc Bên Kiểm soát và xử lý dữ liệu) cần nắm vững các bước để đảm bảo quy trình diễn ra suôn sẻ, đúng pháp luật và bảo vệ quyền lợi hợp pháp của các bên.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Để quy trình này hiệu quả, doanh nghiệp nên thiết lập một kênh tiếp nhận yêu cầu tập trung, ví dụ như một địa chỉ email hoặc một biểu mẫu trực tuyến chuyên dụng. Điều này không chỉ giúp quản lý yêu cầu một cách khoa học mà còn là bằng chứng cho thấy doanh nghiệp có cơ chế rõ ràng để đáp ứng quyền của chủ thể dữ liệu, một yếu tố quan trọng trong việc chứng minh sự tuân thủ.

Bước 1: Chủ thể dữ liệu chuẩn bị và gửi Phiếu yêu cầu như thế nào?

Chủ thể dữ liệu cần điền đầy đủ thông tin vào Phiếu yêu cầu cung cấp dữ liệu cá nhân theo Mẫu số 01 (dành cho cá nhân) hoặc Mẫu số 02 (dành cho tổ chức) ban hành kèm theo Nghị định 13/2023/NĐ-CP và gửi đến Bên Kiểm soát dữ liệu qua các hình thức như trực tiếp, bưu chính, email hoặc fax.

Theo khoản 5, Điều 14 Nghị định 13/2023/NĐ-CP, việc yêu cầu cung cấp dữ liệu cá nhân phải được thực hiện thông qua Phiếu yêu cầu. Đây là bước khởi đầu quan trọng, đảm bảo yêu cầu được chính thức hóa và có đầy đủ thông tin để xử lý.

Các hình thức gửi yêu cầu hợp lệ:

• Trực tiếp: Chủ thể dữ liệu hoặc người được ủy quyền đến trụ sở của Bên Kiểm soát dữ liệu. Người tiếp nhận sẽ hướng dẫn điền vào Phiếu yêu cầu.
• Từ xa: Gửi Phiếu yêu cầu đã điền đầy đủ thông tin qua mạng điện tử (email), dịch vụ bưu chính, hoặc fax.

Nội dung chính của Phiếu yêu cầu (khoản 6, Điều 14 Nghị định 13/2023/NĐ-CP):

Đặc biệt, nếu yêu cầu cung cấp dữ liệu của một người cho một tổ chức, cá nhân khác, phải kèm theo văn bản đồng ý của người đó (khoản 7, Điều 14 Nghị định 13/2023/NĐ-CP).

Bước 2: Bên tiếp nhận xử lý yêu cầu ra sao?

Doanh nghiệp phải tiếp nhận yêu cầu, kiểm tra tính hợp lệ, theo dõi quá trình xử lý. Nếu yêu cầu hợp lệ, doanh nghiệp thông báo về thời hạn, hình thức cung cấp và chi phí (nếu có) cho người yêu cầu.

Trách nhiệm của Bên Kiểm soát dữ liệu, Bên Kiểm soát và xử lý dữ liệu cá nhân được quy định tại khoản 8 và khoản 9, Điều 14 Nghị định 13/2023/NĐ-CP.

Quy trình xử lý nội bộ của doanh nghiệp:

• Tiếp nhận và ghi nhận: Có trách nhiệm tiếp nhận và theo dõi yêu cầu. Nếu dữ liệu không thuộc thẩm quyền, phải thông báo và hướng dẫn người yêu cầu đến đúng cơ quan có thẩm quyền.
• Xác minh và phản hồi: Khi nhận được yêu cầu hợp lệ, doanh nghiệp phải thông báo cho người yêu cầu về:
  • Thời hạn, địa điểm, hình thức cung cấp dữ liệu.
  • Chi phí thực tế để in, sao, chụp, gửi thông tin (nếu có) và phương thức thanh toán.
• Thực hiện cung cấp: Tiến hành cung cấp dữ liệu theo trình tự, thủ tục đã thông báo.

Bước 3: Doanh nghiệp cung cấp dữ liệu trong thời hạn bao lâu?

Theo khoản 3, Điều 14 Nghị định 13/2023/NĐ-CP, việc cung cấp dữ liệu cá nhân phải được thực hiện trong vòng 72 giờ sau khi có yêu cầu hợp lệ của chủ thể dữ liệu, trừ trường hợp luật chuyên ngành có quy định khác.

Thời hạn 72 giờ là một yêu cầu rất nghiêm ngặt, đòi hỏi doanh nghiệp cần có quy trình xử lý hiệu quả. Thời gian này được tính từ khi doanh nghiệp nhận được yêu cầu hợp lệ và đầy đủ thông tin. Việc tuân thủ đúng thời hạn không chỉ là nghĩa vụ pháp lý mà còn thể hiện sự tôn trọng của doanh nghiệp đối với quyền của khách hàng.

Doanh nghiệp được từ chối yêu cầu cung cấp dữ liệu cá nhân trong những trường hợp nào?

Doanh nghiệp được phép từ chối cung cấp dữ liệu nếu việc đó gây tổn hại đến quốc phòng, an ninh quốc gia; ảnh hưởng đến an toàn, sức khỏe của người khác; hoặc chủ thể dữ liệu không đồng ý cung cấp/ủy quyền.

Pháp luật cũng quy định rõ các giới hạn đối với quyền yêu cầu cung cấp dữ liệu nhằm cân bằng lợi ích giữa cá nhân, cộng đồng và nhà nước. Khoản 4, Điều 14 Nghị định 13/2023/NĐ-CP nêu rõ các trường hợp Bên Kiểm soát dữ liệu được phép không cung cấp dữ liệu:

• Khi việc cung cấp dữ liệu có thể gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội. Đây là lý do quan trọng nhất, ưu tiên bảo vệ lợi ích chung của quốc gia.
• Khi việc cung cấp dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người khác. Quyền riêng tư của một người không thể xâm phạm đến sự an toàn của người khác.
• Khi chủ thể dữ liệu không đồng ý cung cấp, hoặc không cho phép đại diện, ủy quyền nhận dữ liệu cá nhân (áp dụng trong trường hợp bên thứ ba yêu cầu).

DPO.VN lưu ý rằng khi từ chối, doanh nghiệp phải thông báo rõ ràng lý do cho người yêu cầu. Việc từ chối mà không có căn cứ pháp lý rõ ràng có thể bị coi là hành vi vi phạm quyền của chủ thể dữ liệu.

Phạm vi và hình thức cung cấp dữ liệu được quy định ra sao?

Chủ thể dữ liệu có quyền yêu cầu cung cấp toàn bộ dữ liệu cá nhân của mình mà doanh nghiệp đang nắm giữ. Dữ liệu có thể được cung cấp dưới nhiều hình thức như bản in, sao, chụp, tệp điện tử, hoặc các hình thức khác theo yêu cầu và thỏa thuận.

Quyền yêu cầu cung cấp dữ liệu không bị giới hạn ở một phần thông tin. Khoản 1, Điều 14 Nghị định 13/2023/NĐ-CP và Điều 9.7 Nghị định 13/2023/NĐ-CP khẳng định chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân toàn bộ dữ liệu cá nhân của mình.

Về hình thức cung cấp:

Người yêu cầu có quyền lựa chọn hình thức nhận dữ liệu phù hợp nhất, được liệt kê trong Phiếu yêu cầu. Doanh nghiệp có trách nhiệm đáp ứng hình thức này nếu có khả năng kỹ thuật.

Về chi phí:

Khoản 9, Điều 14 Nghị định 13/2023/NĐ-CP quy định doanh nghiệp có thể thu chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax. Điều này có nghĩa là việc truy cập dữ liệu về cơ bản là miễn phí, nhưng các chi phí vật lý phát sinh để tạo ra bản sao có thể được tính cho người yêu cầu. Doanh nghiệp phải thông báo rõ ràng về các khoản phí này trước khi thực hiện.

Trách nhiệm của các bên liên quan trong việc cung cấp dữ liệu cá nhân là gì?

Bên Kiểm soát dữ liệu và Bên Kiểm soát và xử lý dữ liệu có trách nhiệm chính trong việc tiếp nhận, xử lý và đáp ứng yêu cầu cung cấp dữ liệu. Bên Xử lý dữ liệu phải hợp tác và cung cấp thông tin cần thiết cho Bên Kiểm soát để hoàn thành nghĩa vụ này.

Pháp luật phân định rõ vai trò và trách nhiệm của từng bên trong hệ sinh thái xử lý dữ liệu cá nhân.

Quyền yêu cầu cung cấp dữ liệu cá nhân là một công cụ mạnh mẽ để cá nhân bảo vệ quyền riêng tư của mình. Đối với doanh nghiệp, việc thiết lập một quy trình rõ ràng, minh bạch và hiệu quả để đáp ứng quyền này không chỉ là một nghĩa vụ pháp lý bắt buộc mà còn là cơ hội để xây dựng niềm tin và củng cố mối quan hệ bền vững với khách hàng.

Các Câu Hỏi Thường Gặp Về Quyền Yêu Cầu Cung Cấp Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 về Bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Bộ luật Dân sự số 91/2015/QH13.
• Thông tin về các thủ tục hành chính liên quan đến bảo vệ dữ liệu cá nhân.
• Hiệp hội An toàn thông tin Việt Nam (VNISA): Các khuyến nghị về an toàn dữ liệu cho doanh nghiệp.