Quyền rút lại sự đồng ý của chủ thể dữ liệu thực hiện như nào?

Quyền rút lại sự đồng ý của chủ thể dữ liệu là một quyền cơ bản, đảm bảo cá nhân kiểm soát thông tin của mình, đòi hỏi doanh nghiệp phải có quy trình xử lý minh bạch và tuân thủ chặt chẽ. Để thực hiện đúng và bảo vệ quyền lợi, việc nắm rõ quy trình và hệ quả pháp lý là giải pháp tối ưu được DPO.VN tư vấn. Hiểu rõ quy trình thu hồi chấp thuận và nghĩa vụ của doanh nghiệp giúp củng cố niềm tin và sự tuân thủ.

Quyền rút lại sự đồng ý của chủ thể dữ liệu được pháp luật quy định như thế nào?

Pháp luật Việt Nam, cụ thể tại Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, trao cho chủ thể dữ liệu quyền được rút lại sự đồng ý đã cho phép xử lý dữ liệu cá nhân của mình bất kỳ lúc nào, trừ các trường hợp ngoại lệ do luật định.

Quyền rút lại sự đồng ý là một trong những quyền năng cốt lõi của chủ thể dữ liệu cá nhân, được pháp luật Việt Nam công nhận và bảo vệ mạnh mẽ. Điều 9 Khoản 4 của Nghị định 13/2023/NĐ-CP và Điều 4 Khoản 1 Điểm b của Luật Bảo vệ dữ liệu cá nhân 2025 đều khẳng định quyền này. Đây là cơ chế cho phép cá nhân giành lại quyền kiểm soát đối với thông tin của mình sau khi đã đồng ý cho một tổ chức xử lý. Việc trao quyền này không chỉ nâng cao vị thế của cá nhân mà còn đặt ra trách nhiệm rõ ràng cho các doanh nghiệp trong việc tôn trọng quyền riêng tư và quản lý dữ liệu một cách minh bạch, có trách nhiệm.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Quyền rút lại sự đồng ý hoạt động như một công tắc an toàn cho chủ thể dữ liệu. Doanh nghiệp cần hiểu rằng sự đồng ý không phải là một sự cho phép vĩnh viễn, mà là một sự ủy thác có điều kiện và có thể bị thu hồi. Việc xây dựng một cơ chế tiếp nhận và xử lý yêu cầu này một cách hiệu quả không chỉ là nghĩa vụ pháp lý mà còn là một bước đi chiến lược trong việc xây dựng lòng tin với khách hàng.

Làm thế nào để chủ thể dữ liệu thực hiện quyền rút lại sự đồng ý một cách hợp lệ?

Chủ thể dữ liệu cần gửi một yêu cầu rõ ràng, bằng văn bản hoặc các định dạng có thể kiểm chứng được, đến Bên Kiểm soát hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân, nêu rõ nội dung sự đồng ý cần rút lại.

Để đảm bảo yêu cầu rút lại sự đồng ý có giá trị pháp lý và được xử lý kịp thời, cả chủ thể dữ liệu và doanh nghiệp cần tuân thủ một quy trình rõ ràng. Điều 12 Nghị định 13/2023/NĐ-CP và Điều 10 Luật Bảo vệ dữ liệu cá nhân 2025 đã đặt ra những nền tảng quan trọng cho thủ tục này.

Bước 1: Lập Yêu Cầu Rút Lại Sự Đồng Ý

Pháp luật yêu cầu việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được (Điều 12.2 Nghị định 13/2023/NĐ-CP). Điều này nhằm đảm bảo tính minh bạch và tạo ra bằng chứng pháp lý khi cần thiết.

• Hình thức: Yêu cầu có thể được lập dưới dạng văn bản giấy, email, hoặc thông qua một biểu mẫu trực tuyến trên website của doanh nghiệp.
• Nội dung: Yêu cầu cần nêu rõ thông tin của chủ thể dữ liệu (để xác thực), nội dung sự đồng ý muốn rút lại (ví dụ: rút lại sự đồng ý nhận email quảng cáo, rút lại sự đồng ý cho phép phân tích hành vi, v.v.), và ngày tháng lập yêu cầu.

Bước 2: Gửi Yêu Cầu Đến Đúng Địa Chỉ

Yêu cầu phải được gửi đến đúng chủ thể chịu trách nhiệm, đó là Bên Kiểm soát dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân. Doanh nghiệp có nghĩa vụ công khai thông tin liên lạc của bộ phận/cá nhân chịu trách nhiệm về bảo vệ dữ liệu để chủ thể dữ liệu dễ dàng thực hiện quyền của mình.

Bước 3: Lưu Giữ Bằng Chứng

Chủ thể dữ liệu nên lưu lại một bản sao của yêu cầu đã gửi và các bằng chứng xác nhận việc gửi thành công (ví dụ: biên nhận bưu điện, email xác nhận từ hệ thống). Việc này rất quan trọng để làm cơ sở khiếu nại nếu doanh nghiệp không thực hiện hoặc chậm trễ trong việc xử lý yêu cầu.

Doanh nghiệp có những nghĩa vụ gì khi nhận được yêu cầu rút lại sự đồng ý?

Doanh nghiệp phải tiếp nhận, thông báo cho chủ thể dữ liệu về các hậu quả có thể xảy ra, và ngừng xử lý dữ liệu ngay sau đó, đồng thời yêu cầu các bên liên quan cùng thực hiện.

Khi nhận được yêu cầu, doanh nghiệp phải hành động một cách có trách nhiệm và tuân thủ các nghĩa vụ pháp lý được quy định tại Điều 12 Nghị định 13/2023/NĐ-CP.

• Thông báo về Hậu quả (Điều 12.3 Nghị định 13/2023/NĐ-CP): Đây là một nghĩa vụ quan trọng. Doanh nghiệp phải thông báo cho chủ thể dữ liệu về những hậu quả hoặc thiệt hại có thể xảy ra khi họ rút lại sự đồng ý. Ví dụ, nếu khách hàng rút lại sự đồng ý cho phép xử lý địa chỉ giao hàng, doanh nghiệp có thể sẽ không thể cung cấp dịch vụ giao hàng tận nơi. Việc thông báo này phải khách quan, không nhằm mục đích ngăn cản chủ thể dữ liệu.
• Ngừng Xử lý Dữ liệu (Điều 12.4 Nghị định 13/2023/NĐ-CP): Sau khi đã thông báo, doanh nghiệp phải ngay lập tức ngừng xử lý dữ liệu cá nhân theo phạm vi đã bị rút lại sự đồng ý. Quan trọng hơn, doanh nghiệp phải yêu cầu các tổ chức, cá nhân có liên quan (Bên Xử lý dữ liệu, Bên thứ ba) cùng ngừng xử lý. Điều này đòi hỏi doanh nghiệp phải có một hệ thống quản lý dòng dữ liệu và các đối tác của mình một cách chặt chẽ.
• Xử lý dữ liệu sau khi rút lại sự đồng ý: Mặc dù không được xử lý tiếp, doanh nghiệp có thể cần xem xét liệu có phải xóa dữ liệu hay không. Theo Điều 16 Nghị định 13/2023/NĐ-CP, việc rút lại sự đồng ý là một trong những căn cứ để xóa dữ liệu. Tuy nhiên, doanh nghiệp cần đối chiếu với các nghĩa vụ pháp lý khác có yêu cầu lưu trữ dữ liệu (ví dụ, luật kế toán, luật lao động).

Việc rút lại sự đồng ý có ảnh hưởng đến các hoạt động xử lý dữ liệu trước đó không?

Không. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước thời điểm rút lại. Quy định này bảo vệ các hoạt động đã tuân thủ của doanh nghiệp trong quá khứ.

Đây là một điểm pháp lý cực kỳ quan trọng được quy định tại Điều 12.1 Nghị định 13/2023/NĐ-CP và được tái khẳng định tại Điều 10.4 Luật Bảo vệ dữ liệu cá nhân 2025. Quyền rút lại sự đồng ý không có hiệu lực hồi tố. Điều này có nghĩa là, tất cả các hoạt động xử lý dữ liệu được thực hiện dựa trên sự đồng ý của chủ thể dữ liệu trước khi yêu cầu rút lại được đưa ra vẫn được coi là hợp pháp.

Ví dụ, một khách hàng đã đồng ý nhận email quảng cáo trong 6 tháng. Sau 6 tháng, họ rút lại sự đồng ý. Doanh nghiệp không thể bị khiếu nại về việc đã gửi email trong 6 tháng đó, nhưng phải ngừng gửi ngay lập tức kể từ thời điểm nhận được yêu cầu. Quy định này tạo ra sự cân bằng hợp lý, bảo vệ cả quyền của cá nhân và sự ổn định trong hoạt động của doanh nghiệp đã tuân thủ pháp luật.

Khi nào yêu cầu rút lại sự đồng ý không được áp dụng?

Yêu cầu rút lại sự đồng ý không được áp dụng trong một số trường hợp đặc biệt do luật định, chẳng hạn như khi việc xử lý dữ liệu là cần thiết để bảo vệ an ninh quốc gia, trật tự an toàn xã hội, hoặc để thực hiện nghĩa vụ theo hợp đồng, hay tuân thủ các yêu cầu của pháp luật chuyên ngành.

Mặc dù quyền rút lại sự đồng ý là một quyền mạnh mẽ, pháp luật cũng dự liệu các trường hợp ngoại lệ để đảm bảo sự hài hòa với các lợi ích công cộng và nghĩa vụ pháp lý khác. Theo Nghị định 13 về bảo vệ dữ liệu cá nhân và Luật Bảo vệ dữ liệu cá nhân 2025, quyền rút lại sự đồng ý có thể bị giới hạn trong các trường hợp sau:

💡 DPO.VN lưu ý rằng, khi từ chối thực hiện yêu cầu rút lại sự đồng ý, doanh nghiệp phải có căn cứ pháp lý rõ ràng và phải thông báo cho chủ thể dữ liệu về lý do từ chối.

Khi có tranh chấp, trách nhiệm chứng minh sự đồng ý thuộc về ai?

Trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân. Doanh nghiệp phải có khả năng cung cấp bằng chứng về việc đã nhận được sự đồng ý hợp lệ.

Điều 11.10 của Nghị định 13/2023/NĐ-CP quy định rất rõ ràng về gánh nặng chứng minh. Đây là một nguyên tắc quan trọng trong trách nhiệm giải trình. Khi có bất kỳ tranh chấp hay khiếu nại nào về việc xử lý dữ liệu cá nhân, doanh nghiệp (với tư cách là Bên Kiểm soát hoặc Bên Kiểm soát và xử lý) phải là bên đưa ra bằng chứng chứng minh rằng họ đã thu thập được sự đồng ý hợp lệ từ chủ thể dữ liệu trước khi xử lý.

Do đó, việc xây dựng và duy trì một hệ thống quản lý sự đồng ý là vô cùng cần thiết. Hệ thống này cần có khả năng:

• Ghi lại thời điểm, phương thức và nội dung mà chủ thể dữ liệu đã đồng ý.
• Lưu trữ phiên bản của chính sách quyền riêng tư hoặc thông báo tại thời điểm chủ thể dữ liệu đồng ý.
• Quản lý và ghi nhận các yêu cầu rút lại sự đồng ý một cách có hệ thống.

Việc không thể chứng minh được sự đồng ý hợp lệ sẽ đặt doanh nghiệp vào tình thế bất lợi, đối mặt với nguy cơ bị xử phạt hành chính và bồi thường thiệt hại.

Các Câu Hỏi Thường Gặp Về Quyền Rút Lại Sự Đồng Ý

Tài liệu tham khảo

• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Luật An ninh mạng 2018.
• Cổng Dịch vụ công Bộ Công an.
• Tổng quan về GDPR: Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu.