Khi nào doanh nghiệp phải xoá huỷ dữ liệu cá nhân của khách hàng?

Xoá huỷ dữ liệu cá nhân của khách hàng là một nghĩa vụ pháp lý quan trọng, đòi hỏi doanh nghiệp phải hành động kịp thời khi có yêu cầu hợp lệ hoặc khi mục đích lưu trữ không còn. Để đảm bảo tuân thủ, DPO.VN cung cấp giải pháp toàn diện giúp doanh nghiệp thực hiện đúng quy trình xóa dữ liệu an toàn. Việc nắm rõ các quy định về lưu trữ và tiêu hủy dữ liệu là chìa khóa để bảo vệ quyền riêng tư và củng cố uy tín.

Doanh nghiệp bắt buộc phải xóa hoặc hủy dữ liệu cá nhân trong những trường hợp nào?

Doanh nghiệp phải xóa dữ liệu cá nhân khi nhận được yêu cầu hợp lệ từ chủ thể dữ liệu, khi đã hoàn thành mục đích thu thập, khi khách hàng rút lại sự đồng ý, hoặc khi pháp luật yêu cầu, chẳng hạn như khi dữ liệu được xử lý trái phép.

Việc xác định đúng thời điểm cần xóa dữ liệu là yếu tố then chốt để doanh nghiệp tuân thủ pháp luật, tránh các rủi ro pháp lý và xây dựng niềm tin với khách hàng. Theo quy định tại Điều 16 Nghị định 13/2023/NĐ-CP và Điều 14 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, có 5 trường hợp chính mà doanh nghiệp bắt buộc phải tiến hành xóa, hủy dữ liệu cá nhân:

• Khi có yêu cầu từ chủ thể dữ liệu: Đây là trường hợp phổ biến nhất. Chủ thể dữ liệu có quyền yêu cầu doanh nghiệp xóa dữ liệu của mình. Doanh nghiệp phải thực hiện yêu cầu này, miễn là chủ thể dữ liệu chấp nhận các rủi ro có thể phát sinh và yêu cầu đó không vi phạm các nghĩa vụ pháp lý khác.
• Khi chủ thể dữ liệu rút lại sự đồng ý: Nếu việc xử lý dữ liệu dựa trên sự đồng ý của khách hàng, khi họ rút lại sự đồng ý đó, doanh nghiệp không còn cơ sở pháp lý để tiếp tục lưu trữ và phải tiến hành xóa dữ liệu.
• Khi mục đích xử lý đã hoàn thành: Dữ liệu cá nhân chỉ được thu thập và lưu trữ cho một mục đích cụ thể đã được thông báo. Khi mục đích đó đã đạt được (ví dụ: hoàn thành giao hàng, kết thúc hợp đồng dịch vụ), doanh nghiệp phải xóa dữ liệu nếu không có lý do hợp pháp nào khác để giữ lại.
• Khi việc xử lý dữ liệu là vi phạm pháp luật: Nếu doanh nghiệp nhận thấy dữ liệu cá nhân đang được xử lý không đúng với mục đích đã đồng ý hoặc vi phạm các quy định khác của pháp luật về bảo vệ dữ liệu cá nhân, họ có nghĩa vụ phải tự động xóa bỏ.
• Theo yêu cầu của cơ quan nhà nước có thẩm quyền: Trong một số trường hợp, cơ quan chức năng có thể yêu cầu doanh nghiệp xóa dữ liệu cá nhân để bảo vệ an ninh quốc gia hoặc quyền lợi của các bên liên quan.

Ngoài ra, khi doanh nghiệp giải thể hoặc phá sản, dữ liệu cá nhân cũng phải được xử lý theo quy định của pháp luật, thường là chuyển giao cho đơn vị kế thừa (nếu có) hoặc xóa, hủy an toàn.

Quy trình xử lý yêu cầu xóa dữ liệu từ khách hàng diễn ra như thế nào?

Quy trình bao gồm 4 bước chính: Tiếp nhận yêu cầu, xác minh danh tính chủ thể dữ liệu, thực hiện xóa dữ liệu trong vòng 72 giờ theo quy định của Nghị định 13, và thông báo kết quả cho người yêu cầu sau khi hoàn tất.

Để đảm bảo xử lý yêu cầu của khách hàng một cách chuyên nghiệp và tuân thủ pháp luật, doanh nghiệp cần xây dựng một quy trình nội bộ rõ ràng. DPO.VN khuyến nghị một quy trình 4 bước chuẩn hóa như sau:

1. Bước 1: Tiếp nhận và ghi nhận yêu cầuDoanh nghiệp cần thiết lập các kênh chính thức để khách hàng gửi yêu cầu xóa dữ liệu, chẳng hạn như qua email, biểu mẫu trên website, hoặc tổng đài. Mọi yêu cầu phải được ghi nhận vào hệ thống quản lý, bao gồm thời gian nhận, thông tin người yêu cầu và nội dung chi tiết. Việc này giúp theo dõi và đảm bảo không bỏ sót yêu cầu nào.
2. Bước 2: Xác minh danh tính của chủ thể dữ liệuĐây là bước cực kỳ quan trọng để tránh xóa nhầm dữ liệu hoặc bị lừa đảo. Doanh nghiệp cần có biện pháp xác minh người gửi yêu cầu chính là chủ thể của dữ liệu đó. Các phương pháp có thể bao gồm: yêu cầu đăng nhập vào tài khoản, xác thực qua email/số điện thoại đã đăng ký, hoặc cung cấp các thông tin định danh khác đã được thu thập trước đó một cách hợp pháp.
3. Bước 3: Thực hiện xóa hoặc hủy dữ liệuSau khi xác minh thành công, bộ phận phụ trách (thường là IT hoặc bộ phận bảo vệ dữ liệu) sẽ tiến hành xóa dữ liệu trên tất cả các hệ thống lưu trữ (cơ sở dữ liệu chính, hệ thống sao lưu, các ứng dụng của bên thứ ba). Theo Khoản 5, Điều 16 Nghị định 13/2023/NĐ-CP, việc xóa dữ liệu phải được thực hiện trong vòng 72 giờ kể từ khi có yêu cầu của chủ thể dữ liệu.
4. Bước 4: Thông báo kết quả và lưu hồ sơSau khi hoàn tất việc xóa, doanh nghiệp nên gửi thông báo xác nhận cho khách hàng. Đồng thời, cần lưu lại hồ sơ về việc xử lý yêu cầu (yêu cầu ban đầu, quá trình xác minh, biên bản xóa dữ liệu, thời gian hoàn thành) để phục vụ cho mục đích giải trình và kiểm tra của cơ quan chức năng sau này.

Khi nào doanh nghiệp được phép từ chối yêu cầu xóa dữ liệu cá nhân?

Doanh nghiệp được từ chối yêu cầu xóa dữ liệu khi pháp luật chuyên ngành yêu cầu lưu trữ (ví dụ: luật kế toán, thuế), khi dữ liệu đang phục vụ mục đích quốc phòng, an ninh, điều tra tội phạm, hoặc để ứng phó với tình huống khẩn cấp.

Mặc dù quyền được xóa là một quyền cơ bản của chủ thể dữ liệu, pháp luật cũng quy định các trường hợp ngoại lệ để cân bằng với các lợi ích công cộng và nghĩa vụ pháp lý khác của doanh nghiệp. Theo Khoản 2, Điều 16 Nghị định 13/2023/NĐ-CP, việc xóa dữ liệu sẽ không được áp dụng trong các trường hợp sau:

• Pháp luật quy định không cho phép xóa dữ liệu: Nhiều luật chuyên ngành yêu cầu doanh nghiệp phải lưu trữ hồ sơ, chứng từ trong một khoảng thời gian nhất định. Ví dụ, Luật Kế toán yêu cầu lưu trữ chứng từ kế toán từ 5 đến 10 năm, hoặc vĩnh viễn tùy loại. Trong trường hợp này, doanh nghiệp có quyền từ chối yêu cầu xóa và phải giải thích rõ lý do pháp lý cho khách hàng.
• Dữ liệu được xử lý bởi cơ quan nhà nước có thẩm quyền: Dữ liệu phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật sẽ không bị xóa theo yêu cầu cá nhân.
• Dữ liệu đã được công khai theo quy định của pháp luật: Nếu dữ liệu đã được công khai hợp pháp, việc yêu cầu xóa có thể không được áp dụng.
• Dữ liệu được xử lý nhằm mục đích quốc phòng, an ninh quốc gia, trật tự an toàn xã hội: Đây là một trong những ngoại lệ quan trọng nhất để bảo vệ lợi ích công cộng.
• Phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê: Dữ liệu có thể được giữ lại để phục vụ các mục đích này theo quy định của pháp luật.
• Trong tình trạng khẩn cấp hoặc ứng phó với tình huống khẩn cấp: Dữ liệu có thể được giữ lại để ứng phó với các tình huống đe dọa đến tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác.

Khi từ chối một yêu cầu, doanh nghiệp phải thông báo lại cho khách hàng và nêu rõ căn cứ pháp lý cho việc từ chối của mình.

Các yêu cầu kỹ thuật và biện pháp xóa, hủy dữ liệu an toàn là gì?

Biện pháp xóa, hủy phải đảm bảo dữ liệu không thể khôi phục được. Các phương pháp kỹ thuật được công nhận bao gồm ghi đè dữ liệu (data overwriting), khử từ (degaussing) đối với thiết bị lưu trữ từ tính, và hủy vật lý (physical destruction) như nghiền, băm nhỏ thiết bị.

Pháp luật yêu cầu việc xóa, hủy dữ liệu phải được thực hiện một cách an toàn và không thể khôi phục. Điều này có nghĩa là việc chỉ nhấn nút “Delete” hoặc di chuyển tệp vào “Thùng rác” là chưa đủ, vì dữ liệu vẫn có thể được phục hồi bằng các công cụ chuyên dụng. Doanh nghiệp cần áp dụng các biện pháp bảo vệ dữ liệu cá nhân và kỹ thuật phù hợp:

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Để đảm bảo tuân thủ, doanh nghiệp nên lập biên bản cho mỗi lần hủy dữ liệu quan trọng, ghi rõ phương pháp, thời gian, người thực hiện và người giám sát. Biên bản này là bằng chứng quan trọng thể hiện trách nhiệm giải trình của doanh nghiệp trước pháp luật.

Doanh nghiệp cần xử lý dữ liệu cá nhân như thế nào khi giải thể, sáp nhập hoặc phá sản?

Khi doanh nghiệp chia, tách, sáp nhập, dữ liệu cá nhân sẽ được chuyển giao cho pháp nhân kế thừa theo quy định của pháp luật. Khi giải thể hoặc phá sản mà không có đơn vị kế thừa, dữ liệu phải được xóa, hủy một cách an toàn và không thể khôi phục.

Các sự kiện tái cấu trúc hoặc chấm dứt hoạt động của doanh nghiệp đặt ra những yêu cầu đặc biệt về xử lý dữ liệu cá nhân. Điều 16 Nghị định 13/2023/NĐ-CP đã quy định rõ về các tình huống này:

• Trường hợp chia, tách, sáp nhập, hợp nhất: Dữ liệu cá nhân được coi là một phần tài sản của doanh nghiệp và sẽ được chuyển giao cho pháp nhân mới hoặc pháp nhân kế thừa. Quá trình chuyển giao này phải được thực hiện theo quy định của pháp luật doanh nghiệp và pháp luật về bảo vệ dữ liệu cá nhân. Pháp nhân kế thừa sẽ tiếp nhận vai trò của Bên Kiểm soát dữ liệu cá nhân và phải tiếp tục tuân thủ các nghĩa vụ bảo vệ dữ liệu.
• Trường hợp giải thể, phá sản: Khi doanh nghiệp chấm dứt hoạt động mà không có đơn vị kế thừa, Khoản 7, Điều 16 Nghị định 13/2023/NĐ-CP yêu cầu phải xóa không thể khôi phục dữ liệu cá nhân. Trách nhiệm này thuộc về người quản lý, chủ sở hữu doanh nghiệp hoặc quản tài viên được chỉ định trong quá trình phá sản. Việc này nhằm đảm bảo dữ liệu của khách hàng không bị bỏ rơi, rò rỉ hoặc bị mua bán trái phép sau khi doanh nghiệp ngừng hoạt động.

Việc hiểu rõ và thực hiện đúng các quy định về xóa, hủy dữ liệu không chỉ giúp doanh nghiệp tránh được các khoản phạt nặng mà còn là cách thể hiện sự tôn trọng đối với quyền riêng tư của khách hàng, từ đó xây dựng uy tín và thương hiệu bền vững trên thị trường.

Các Câu Hỏi Thường Gặp Về Xóa Hủy Dữ Liệu Cá Nhân

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Thủ tục về bảo vệ dữ liệu cá nhân.
• Tiêu chuẩn về kỹ thuật hủy dữ liệu an toàn (NIST Special Publication 800-88).