Quyền Của Chủ Thể Dữ Liệu Cá Nhân: Tổng quan pháp lý 2025

Quyền của chủ thể dữ liệu cá nhân và các nghĩa vụ pháp lý tương ứng là nền tảng cốt lõi mà mọi doanh nghiệp phải nắm vững để đảm bảo tuân thủ và phát triển bền vững. Để giải quyết triệt để các thách thức này, DPO.VN cung cấp giải pháp toàn diện giúp doanh nghiệp bảo vệ quyền lợi khách hàng và tối ưu hóa quy trình tuân thủ. Nắm rõ các quy định về quyền truy cập, chỉnh sửa, xóa dữ liệu và nghĩa vụ của doanh nghiệp là vô cùng cần thiết.

Chủ thể dữ liệu có những quyền cơ bản nào theo quy định của pháp luật Việt Nam?

Chủ thể dữ liệu có 11 quyền cơ bản theo Điều 9 Nghị định 13/2023/NĐ-CP và 6 nhóm quyền chính theo Điều 4 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, bao gồm quyền được biết, đồng ý, truy cập, chỉnh sửa, xóa, rút lại sự đồng ý, hạn chế và phản đối xử lý, yêu cầu cung cấp dữ liệu, khiếu nại, và yêu cầu bồi thường thiệt hại.

chu-the-du-lieu-co-nhung-quyen-co-ban-nao-theo-quy-dinh-cua-phap-luat-viet-nam
Chủ thể dữ liệu có những quyền cơ bản nào theo quy định của pháp luật Việt Nam?

Pháp luật Việt Nam đã xây dựng một hành lang pháp lý vững chắc để bảo vệ quyền lợi của cá nhân đối với thông tin của chính mình. Việc hiểu rõ các quyền này không chỉ giúp cá nhân bảo vệ mình mà còn là kim chỉ nam cho doanh nghiệp trong việc xây dựng các quy trình xử lý dữ liệu hợp pháp và có trách nhiệm. Cả Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đều đặt quyền của chủ thể dữ liệu vào vị trí trung tâm.

11 Quyền của Chủ thể dữ liệu (Nghị định 13/2023/NĐ-CP, Điều 9) 6 Nhóm quyền của Chủ thể dữ liệu (Luật Bảo vệ dữ liệu cá nhân 2025, Điều 4)
1. Quyền được biết a) Được biết về hoạt động xử lý dữ liệu cá nhân
2. Quyền đồng ý
3. Quyền truy cập b) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý
4. Quyền rút lại sự đồng ý c) Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân
5. Quyền xóa dữ liệu d) Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân
6. Quyền hạn chế xử lý dữ liệu
7. Quyền cung cấp dữ liệu
8. Quyền phản đối xử lý dữ liệu đ) Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật
9. Quyền khiếu nại, tố cáo, khởi kiện
10. Quyền yêu cầu bồi thường thiệt hại e) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình
11. Quyền tự bảo vệ

Doanh nghiệp cần làm gì để đảm bảo Quyền được biết và Quyền đồng ý của khách hàng?

Doanh nghiệp phải thông báo rõ ràng, minh bạch cho chủ thể dữ liệu về mọi hoạt động xử lý trước khi tiến hành và nhận được sự đồng ý tự nguyện, cụ thể của họ cho từng mục đích.

Đây là hai quyền cơ bản và là điều kiện tiên quyết cho hầu hết các hoạt động xử lý dữ liệu. Để tuân thủ, doanh nghiệp phải thực hiện các bước sau:

  • Thông báo xử lý dữ liệu cá nhân (Điều 13 Nghị định 13/2023/NĐ-CP): Trước khi xử lý, doanh nghiệp phải thông báo một lần cho chủ thể dữ liệu về các nội dung: mục đích xử lý, loại dữ liệu sử dụng, cách thức xử lý, thông tin về các bên liên quan, hậu quả có thể xảy ra, và thời gian xử lý.
  • Lấy sự đồng ý của chủ thể dữ liệu hợp lệ (Điều 11 Nghị định 13/2023/NĐ-CP): Sự đồng ý chỉ hợp lệ khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung đã được thông báo. Quan trọng là, sự im lặng hoặc không phản hồi không được coi là đồng ý. Sự đồng ý phải được thể hiện rõ ràng qua văn bản, giọng nói, đánh dấu vào ô đồng ý, hoặc hành động cụ thể khác.

DPO.VN khuyến nghị doanh nghiệp nên tích hợp các thông báo và hộp kiểm (checkbox) đồng ý một cách minh bạch vào các biểu mẫu đăng ký, trang thanh toán, hoặc bất kỳ điểm thu thập dữ liệu nào. Nội dung cần được viết đơn giản, dễ hiểu, tách bạch từng mục đích xử lý để người dùng có thể lựa chọn đồng ý riêng lẻ.

Làm thế nào để chủ thể dữ liệu thực hiện Quyền truy cập và chỉnh sửa thông tin cá nhân?

Chủ thể dữ liệu có thể trực tiếp yêu cầu hoặc ủy quyền cho người khác yêu cầu Bên Kiểm soát dữ liệu cung cấp và cho phép chỉnh sửa dữ liệu cá nhân của mình thông qua các biểu mẫu chính thức.

Quyền truy cập và chỉnh sửa đảm bảo tính chính xác và minh bạch của dữ liệu. Doanh nghiệp có nghĩa vụ tạo điều kiện cho chủ thể dữ liệu thực hiện quyền này một cách thuận lợi.

  • Quyền truy cập để xem và chỉnh sửa (Điều 15 Nghị định 13/2023/NĐ-CP): Chủ thể dữ liệu có quyền xem, chỉnh sửa hoặc yêu cầu doanh nghiệp chỉnh sửa dữ liệu cá nhân của mình. Doanh nghiệp phải thực hiện yêu cầu ngay khi có thể hoặc thông báo lý do không thể thực hiện trong vòng 72 giờ.
  • Thủ tục yêu cầu cung cấp dữ liệu (Điều 14 Nghị định 13/2023/NĐ-CP): Chủ thể dữ liệu có thể yêu cầu bằng cách đến trực tiếp trụ sở doanh nghiệp hoặc gửi Phiếu yêu cầu qua mạng điện tử, bưu chính. Các mẫu phiếu chính thức được quy định tại Phụ lục của Nghị định 13/2023/NĐ-CP:
    • Mẫu số 01: Phiếu yêu cầu cung cấp dữ liệu cá nhân (dành cho cá nhân).
    • Mẫu số 02: Phiếu yêu cầu cung cấp dữ liệu cá nhân (dành cho tổ chức).

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Một sai lầm phổ biến là doanh nghiệp thiết kế quy trình quá phức tạp, gây khó khăn cho người dùng khi muốn truy cập dữ liệu. Cách làm đúng là xây dựng một cổng thông tin khách hàng (customer portal) nơi họ có thể tự xem và cập nhật thông tin cá nhân. Điều này không chỉ tuân thủ pháp luật mà còn nâng cao trải nghiệm khách hàng và giảm tải công việc hành chính cho doanh nghiệp.

Khi nào và làm thế nào để khách hàng yêu cầu xóa hoặc rút lại sự đồng ý xử lý dữ liệu?

Khách hàng có quyền rút lại sự đồng ý bất kỳ lúc nào hoặc yêu cầu xóa dữ liệu khi không còn cần thiết, khi rút lại sự đồng ý, hoặc khi dữ liệu bị xử lý sai mục đích. Yêu cầu phải được thực hiện bằng văn bản và doanh nghiệp phải ngừng xử lý dữ liệu ngay sau đó.

Đây là những quyền năng mạnh mẽ, trao cho cá nhân quyền kiểm soát cuối cùng đối với dữ liệu của họ.

  • Quyền rút lại sự đồng ý (Điều 12 Nghị định 13/2023/NĐ-CP): Chủ thể dữ liệu có quyền rút lại sự đồng ý của mình. Doanh nghiệp khi nhận được yêu cầu phải thông báo về hậu quả có thể xảy ra và sau đó phải ngừng xử lý dữ liệu. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã diễn ra trước đó.
  • Quyền xóa dữ liệu (Điều 16 Nghị định 13/2023/NĐ-CP): Chủ thể dữ liệu được yêu cầu xóa dữ liệu trong các trường hợp:
    • Không còn cần thiết cho mục đích thu thập ban đầu.
    • Rút lại sự đồng ý.
    • Phản đối việc xử lý và không có lý do chính đáng để tiếp tục.
    • Dữ liệu được xử lý trái pháp luật.
    • Phải xóa theo quy định của pháp luật.

Doanh nghiệp phải thực hiện việc xóa dữ liệu trong 72 giờ sau khi nhận yêu cầu, trừ các trường hợp ngoại lệ. Việc cung cấp một nút bấm hoặc đường link Rút lại sự đồng ý hoặc Xóa tài khoản rõ ràng trên website/ứng dụng là một thực tiễn tốt mà DPO.VN khuyến khích.

Doanh nghiệp có những trách nhiệm pháp lý nào để đảm bảo quyền của chủ thể dữ liệu?

Doanh nghiệp phải thực hiện các biện pháp tổ chức và kỹ thuật phù hợp, lập Hồ sơ đánh giá tác động, thông báo khi có vi phạm, và chứng minh sự tuân thủ của mình trước pháp luật và chủ thể dữ liệu. Đây là các nghĩa vụ cốt lõi của Bên Kiểm soát và Bên Xử lý dữ liệu.

Trách nhiệm của doanh nghiệp không chỉ dừng lại ở việc đáp ứng các yêu cầu của khách hàng. Pháp luật yêu cầu một cách tiếp cận chủ động và có hệ thống để bảo vệ dữ liệu cá nhân, được quy định cụ thể tại các Điều 38, 39, 40 của Nghị định 13/2023/NĐ-CP.

Trách nhiệm chứng minh sự tuân thủ đòi hỏi doanh nghiệp phải làm gì?

Doanh nghiệp phải lập, lưu trữ và nộp các hồ sơ pháp lý bắt buộc, ghi lại nhật ký hệ thống, và sẵn sàng cung cấp bằng chứng tuân thủ khi được cơ quan chức năng yêu cầu.

Đây là một trong những trách nhiệm quan trọng nhất. Doanh nghiệp không chỉ phải tuân thủ, mà còn phải chứng minh được sự tuân thủ đó. Các nghĩa vụ chính bao gồm:

  • Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Điều 24 Nghị định 13/2023/NĐ-CP): Mọi Bên Kiểm soát dữ liệu hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân phải lập hồ sơ này từ khi bắt đầu xử lý. Hồ sơ phải được gửi đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) trong vòng 60 ngày. Các biểu mẫu liên quan bao gồm Mẫu Đ24-DLCN-01, Mẫu Đ24-DLCN-02, Mẫu Đ24-DLCN-03 tùy thuộc vai trò của doanh nghiệp.
  • Lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (Điều 25 Nghị định 13/2023/NĐ-CP): Nếu có hoạt động này, doanh nghiệp phải lập hồ sơ theo Mẫu Đ25-DLCN-04 và nộp cho A05 trong vòng 60 ngày.
  • Áp dụng các biện pháp bảo vệ (Điều 26 Nghị định 13/2023/NĐ-CP): Thực hiện cả biện pháp quản lý (ban hành quy định nội bộ) và biện pháp kỹ thuật (mã hóa, tường lửa).
  • Lưu trữ nhật ký hệ thống (Điều 38 Nghị định 13/2023/NĐ-CP): Ghi lại quá trình xử lý dữ liệu cá nhân để phục vụ cho việc kiểm tra, giám sát.

Doanh nghiệp phải xử lý như thế nào khi quyền của chủ thể dữ liệu bị vi phạm?

Khi phát hiện vi phạm, doanh nghiệp phải ngay lập tức thực hiện các biện pháp khắc phục, đồng thời thông báo cho Cục A05 trong vòng 72 giờ và thông báo cho chủ thể dữ liệu nếu cần thiết.

Phản ứng nhanh chóng và minh bạch khi xảy ra sự cố là yếu tố then chốt để giảm thiểu thiệt hại và thể hiện trách nhiệm của doanh nghiệp.

  1. Phát hiện và đánh giá: Nhanh chóng xác định quy mô, tính chất của vi phạm, loại dữ liệu và số lượng chủ thể bị ảnh hưởng.
  2. Ngăn chặn và khắc phục: Áp dụng các biện pháp tức thời để ngăn chặn vi phạm tiếp diễn và giảm thiểu thiệt hại.
  3. Thông báo cho cơ quan chức năng (Điều 23 Nghị định 13/2023/NĐ-CP): Gửi thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân cho Cục A05 trong vòng 72 giờ kể từ khi phát hiện. Sử dụng Mẫu số 03a (cho tổ chức) hoặc Mẫu số 03b (cho cá nhân).
  4. Thông báo cho chủ thể dữ liệu: Mặc dù Nghị định 13/2023/NĐ-CP không quy định bắt buộc phải thông báo cho chủ thể dữ liệu trong mọi trường hợp, đây là một thực tiễn tốt được khuyến nghị để thể hiện sự minh bạch và giúp họ có biện pháp tự bảo vệ.
  5. Lập biên bản và phối hợp điều tra: Doanh nghiệp phải lập biên bản xác nhận vi phạm và phối hợp chặt chẽ với cơ quan chức năng để xử lý.

Có trường hợp ngoại lệ nào mà doanh nghiệp được từ chối yêu cầu của chủ thể dữ liệu không?

Có. Doanh nghiệp có thể từ chối thực hiện yêu cầu xóa dữ liệu của chủ thể trong một số trường hợp cụ thể do pháp luật quy định, như để phục vụ an ninh quốc gia, yêu cầu pháp lý, nghiên cứu khoa học, hoặc khi dữ liệu đã được công khai hợp pháp.

Mặc dù quyền của chủ thể dữ liệu rất quan trọng, chúng không phải là tuyệt đối. Pháp luật đã dự liệu các tình huống mà lợi ích công cộng hoặc các nghĩa vụ pháp lý khác được ưu tiên. Điều 16 khoản 2 của Nghị định 13/2023/NĐ-CP quy định rõ các trường hợp việc xóa dữ liệu sẽ không áp dụng, ngay cả khi có đề nghị của chủ thể dữ liệu:

  • Khi pháp luật chuyên ngành quy định không cho phép xóa dữ liệu.
  • Dữ liệu được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước.
  • Dữ liệu cá nhân đã được công khai theo quy định của pháp luật.
  • Dữ liệu được xử lý nhằm mục đích phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê.
  • Trong các tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm.
  • Để ứng phó với tình huống khẩn cấp đe dọa tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.

Tương tự, Điều 17 Nghị định 13/2023/NĐ-CP cũng liệt kê các trường hợp xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu, bao gồm các tình huống khẩn cấp, để thực hiện nghĩa vụ hợp đồng, hoặc phục vụ hoạt động của cơ quan nhà nước. Doanh nghiệp cần hiểu rõ các ngoại lệ này để có cơ sở pháp lý vững chắc khi từ chối yêu cầu của chủ thể dữ liệu.

Các Câu Hỏi Thường Gặp Về Quyền Của Chủ Thể Dữ Liệu

1. Doanh nghiệp có bao nhiêu thời gian để phản hồi yêu cầu của chủ thể dữ liệu?

Trả lời: Theo Nghị định 13/2023/NĐ-CP, thời gian phản hồi thay đổi tùy theo loại yêu cầu. Ví dụ, đối với yêu cầu hạn chế xử lý dữ liệu (Điều 9.6), cung cấp dữ liệu (Điều 14.3), hoặc xóa dữ liệu (Điều 16.5), doanh nghiệp có 72 giờ để thực hiện. Đối với yêu cầu chỉnh sửa dữ liệu, doanh nghiệp phải thực hiện ngay khi có thể hoặc thông báo trong vòng 72 giờ nếu không thể thực hiện (Điều 15.2).

2. Quyền phản đối xử lý dữ liệu được áp dụng trong trường hợp nào?

Trả lời: Theo Điều 9.8 Nghị định 13/2023/NĐ-CP, chủ thể dữ liệu có quyền phản đối việc xử lý dữ liệu của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu hoặc sử dụng cho mục đích quảng cáo, tiếp thị. Doanh nghiệp phải thực hiện yêu cầu này trong vòng 72 giờ.

3. Ai chịu trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu khi có tranh chấp?

Trả lời: Điều 11.10 Nghị định 13/2023/NĐ-CP quy định rõ: Trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân. Điều này đòi hỏi doanh nghiệp phải có hệ thống lưu trữ bằng chứng đồng ý một cách an toàn và có thể truy xuất được.

4. Doanh nghiệp cần làm gì với dữ liệu cá nhân của người đã chết hoặc mất tích?

Trả lời: Điều 19 Nghị định 13/2023/NĐ-CP quy định, việc xử lý dữ liệu của người bị tuyên bố mất tích hoặc đã chết phải được sự đồng ý của vợ, chồng hoặc con thành niên của người đó. Nếu không có những người này, phải được sự đồng ý của cha, mẹ, trừ các trường hợp ngoại lệ như vì lợi ích quốc gia, an ninh.

5. Việc thực hiện các quyền của chủ thể dữ liệu có tốn kém chi phí không?

Trả lời: Về nguyên tắc, việc thực hiện các quyền cơ bản (truy cập, chỉnh sửa, xóa) thường là miễn phí. Tuy nhiên, theo Điều 14.9 Nghị định 13/2023/NĐ-CP, khi cung cấp dữ liệu, doanh nghiệp có thể thu chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax (nếu có) và phải thông báo rõ về chi phí này cho người yêu cầu.

Tìm Hiểu Thêm Về Bảo Vệ Dữ Liệu Cá Nhân Cùng DPO.VN

Để xây dựng một chiến lược tuân thủ pháp luật về bảo vệ dữ liệu cá nhân hiệu quả, đảm bảo an toàn thông tin và uy tín cho doanh nghiệp, hãy liên hệ với chuyên gia của DPO.VN. Chúng tôi, Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia, với sự đồng hành của Luật sư Nguyễn Tiến Hảo, cam kết mang đến giải pháp toàn diện và chuyên nghiệp nhất.

Website: dpo.vn

Hotline: 0914.315.886

Email: info@dpo.vn

Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Yên Hoà, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam.

Tài liệu tham khảo

  • Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
  • Luật An ninh mạng 24/2018/QH14.
  • Cổng Dịch vụ công Bộ Công an.
  • Cổng Thông tin điện tử Chính phủ.
  • Tổng quan về GDPR – Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu.