Doanh nghiệp cần triển khai quyền của chủ thể dữ liệu thông qua việc xây dựng quy trình nội bộ chặt chẽ, minh bạch và tuân thủ nghiêm ngặt các quy định pháp luật về bảo vệ dữ liệu cá nhân. Để tối ưu hóa quy trình này và giảm thiểu rủi ro pháp lý, giải pháp toàn diện từ DPO.VN sẽ cung cấp sự hỗ trợ chuyên sâu, giúp doanh nghiệp vận hành hệ thống bảo vệ dữ liệu hiệu quả và chuyên nghiệp.

Nội dung bài viết

Quy trình và thủ tục doanh nghiệp cần xây dựng để thực hiện quyền của chủ thể dữ liệu là gì?

Theo Điều 5 Nghị định 356/2025/NĐ-CP, doanh nghiệp phải xây dựng một quy trình rõ ràng bao gồm: tiếp nhận yêu cầu qua các biểu mẫu cụ thể, xác minh danh tính chủ thể, phản hồi trong vòng 02 ngày làm việc và thực hiện yêu cầu (như chỉnh sửa, xóa, cung cấp dữ liệu) trong thời hạn quy định (thường là 07-10 ngày).

Để đảm bảo tuân thủ pháp luật và tôn trọng quyền lợi khách hàng, doanh nghiệp không chỉ cần hiểu luật mà phải chuyển hóa thành hành động cụ thể. Quy trình triển khai quyền của chủ thể dữ liệu không nên là phản ứng thụ động khi có yêu cầu, mà cần được thiết lập chủ động và bài bản.

Dưới đây là các bước cơ bản mà DPO.VN khuyến nghị doanh nghiệp cần thực hiện:

Xây dựng biểu mẫu tiếp nhận yêu cầu: Doanh nghiệp cần có sẵn các mẫu phiếu yêu cầu (như Phiếu yêu cầu cung cấp dữ liệu, Phiếu yêu cầu chỉnh sửa/xóa dữ liệu…) để chủ thể dữ liệu điền thông tin. Các mẫu này nên được công khai trên website hoặc tại trụ sở.
Thiết lập kênh tiếp nhận: Cần có kênh tiếp nhận đa dạng (email, hotline, trực tiếp, cổng thông tin điện tử) và bộ phận chuyên trách (như bộ phận DPO hoặc CSKH được đào tạo) để xử lý.
Quy trình xác minh danh tính: Trước khi thực hiện bất kỳ yêu cầu nào liên quan đến truy cập hay thay đổi dữ liệu, doanh nghiệp bắt buộc phải xác minh người yêu cầu chính là chủ thể dữ liệu để tránh rò rỉ thông tin cho kẻ gian.
Quy trình xử lý nội bộ và phối hợp: Cần quy định rõ trách nhiệm của các phòng ban (IT để xóa/trích xuất dữ liệu, Pháp chế để thẩm định yêu cầu). Nếu có Bên xử lý dữ liệu thứ ba, cần có cơ chế thông báo và phối hợp để họ cùng thực hiện yêu cầu.

Thời hạn phản hồi và xử lý yêu cầu của chủ thể dữ liệu được quy định cụ thể ra sao?

Thời hạn phản hồi xác nhận yêu cầu là 02 ngày làm việc. Thời hạn thực hiện yêu cầu rút lại sự đồng ý/hạn chế xử lý là 07 ngày làm việc; yêu cầu xem/chỉnh sửa/cung cấp/xóa dữ liệu là 10 ngày làm việc. Trường hợp cần phối hợp với bên thứ ba, thời hạn có thể kéo dài đến 15 ngày làm việc.

Điều 5 Nghị định 326/2025/NĐ-CP đã quy định rất chi tiết về các mốc thời gian này, đặt ra áp lực không nhỏ về mặt vận hành cho doanh nghiệp. Việc chậm trễ không có lý do chính đáng sẽ bị coi là vi phạm.

Loại Yêu Cầu	Thời Hạn Phản Hồi	Thời Hạn Thực Hiện
Rút lại sự đồng ý, hạn chế, phản đối xử lý	02 ngày làm việc	15 ngày làm việc
Xem, chỉnh sửa dữ liệu	02 ngày làm việc	10 ngày làm việc
Cung cấp, xóa dữ liệu	02 ngày làm việc	20 ngày làm việc

Lưu ý quan trọng: Doanh nghiệp có thể gia hạn thời gian xử lý thêm tối đa 10 ngày làm việc (hoặc 15 ngày đối với yêu cầu về biện pháp bảo vệ) nếu tính chất yêu cầu phức tạp, nhưng phải thông báo lý do cho chủ thể dữ liệu và chịu trách nhiệm chứng minh sự cần thiết của việc gia hạn.

Danh sách các quyền cụ thể của chủ thể dữ liệu cá nhân mà doanh nghiệp phải đảm bảo là gì?

Theo Điều 9 Nghị định 13/2023/NĐ-CP và Điều 4 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, chủ thể dữ liệu có 11 quyền cơ bản, bao gồm quyền được biết, đồng ý, truy cập, rút lại sự đồng ý, xóa dữ liệu, hạn chế xử lý, cung cấp dữ liệu, phản đối xử lý, khiếu nại/tố cáo/khởi kiện, yêu cầu bồi thường thiệt hại và quyền tự bảo vệ.

Hiểu rõ từng quyền này giúp doanh nghiệp xây dựng hệ thống đáp ứng chính xác:

Quyền được biết & Quyền đồng ý: Doanh nghiệp phải thông báo rõ ràng mục đích xử lý trước khi thu thập và chỉ được xử lý khi có sự đồng ý của chủ thể dữ liệu hợp lệ.
Quyền truy cập & Chỉnh sửa: Khách hàng có quyền xem dữ liệu của mình đang được lưu trữ thế nào và yêu cầu sửa đổi nếu thông tin sai lệch.
Quyền rút lại sự đồng ý: Khách hàng có thể thay đổi ý định bất cứ lúc nào, và doanh nghiệp phải dừng xử lý dữ liệu tương ứng (trừ trường hợp luật định khác).
Quyền xóa dữ liệu: Đây là “quyền được lãng quên”. Doanh nghiệp phải xóa hủy dữ liệu cá nhân khi không còn cần thiết hoặc khi chủ thể yêu cầu.
Quyền cung cấp dữ liệu: Chủ thể có quyền yêu cầu doanh nghiệp cung cấp bản sao dữ liệu của họ để chuyển sang một bên khác.

Doanh nghiệp cần chuẩn bị mẫu biểu và tài liệu nội bộ nào?

Doanh nghiệp cần chuẩn bị bộ quy trình vận hành tiêu chuẩn (SOP) về xử lý yêu cầu chủ thể dữ liệu, các mẫu phiếu yêu cầu (cung cấp, chỉnh sửa, xóa), mẫu thông báo phản hồi, và biên bản ghi nhận việc thực hiện yêu cầu.

Việc chuẩn hóa tài liệu không chỉ giúp nhân viên thực hiện dễ dàng mà còn là bằng chứng quan trọng để chứng minh sự tuân thủ khi có thanh tra.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: “Một bộ hồ sơ quy trình chuẩn không chỉ giúp doanh nghiệp tránh bị phạt mà còn thể hiện sự chuyên nghiệp. Chúng tôi thường tư vấn khách hàng xây dựng ‘Kịch bản phản hồi’ cho từng loại yêu cầu, giúp nhân viên CSKH không bị lúng túng và trả lời đúng luật ngay từ đầu.”

Ngoài ra, doanh nghiệp cũng cần lưu ý đến các hồ sơ hành chính quan trọng khác như Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Mẫu Đ24-DLCN-01) và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (Mẫu Đ24-DLCN-04) nếu có hoạt động tương ứng.

Hậu quả pháp lý khi doanh nghiệp không đảm bảo quyền của chủ thể dữ liệu là gì?

Việc vi phạm quy định về đảm bảo quyền chủ thể dữ liệu có thể dẫn đến mức phạt hành chính lên tới 3 tỷ đồng (hoặc 5% doanh thu đối với vi phạm chuyển dữ liệu), buộc phải bồi thường thiệt hại dân sự, và tổn hại nghiêm trọng đến uy tín thương hiệu.

Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định chế tài rất nghiêm khắc. Ngoài phạt tiền, doanh nghiệp còn có thể bị áp dụng các hình phạt bổ sung như đình chỉ hoạt động xử lý dữ liệu, tước quyền sử dụng giấy phép kinh doanh dịch vụ dữ liệu.

Hơn nữa, nếu việc không đáp ứng yêu cầu dẫn đến lộ lọt dữ liệu hoặc thiệt hại cho khách hàng, doanh nghiệp sẽ phải đối mặt với các vụ kiện tụng kéo dài. Do đó, việc đầu tư vào quy trình tuân thủ ngay từ bây giờ là giải pháp tiết kiệm và an toàn nhất.

Các Câu Hỏi Thường Gặp Về Triển Khai Quyền Của Chủ Thể Dữ Liệu

1. Doanh nghiệp có được thu phí khi chủ thể dữ liệu yêu cầu cung cấp bản sao dữ liệu không?

Trả lời: Theo quy định hiện hành, việc thực hiện các quyền của chủ thể dữ liệu thường là miễn phí. Tuy nhiên, nếu yêu cầu là quá mức, lặp đi lặp lại hoặc không có căn cứ, doanh nghiệp có thể xem xét tính một khoản phí hợp lý dựa trên chi phí hành chính hoặc từ chối yêu cầu (cần chứng minh được tính chất quá mức này).

2. Nếu chủ thể dữ liệu yêu cầu xóa dữ liệu nhưng pháp luật yêu cầu lưu trữ (ví dụ hóa đơn kế toán), doanh nghiệp phải làm sao?

Trả lời: Trong trường hợp này, doanh nghiệp có quyền từ chối yêu cầu xóa dữ liệu đối với phần thông tin bắt buộc phải lưu trữ theo luật định (như Luật Kế toán, Luật Thuế). Doanh nghiệp cần phản hồi rõ ràng cho chủ thể dữ liệu biết lý do từ chối và chỉ lưu trữ dữ liệu đó cho mục đích tuân thủ pháp luật, không sử dụng cho mục đích khác (như marketing).

3. Doanh nghiệp nhỏ có cần bổ nhiệm DPO (Nhân sự bảo vệ dữ liệu) để xử lý các yêu cầu này không?

Trả lời: Có, nếu doanh nghiệp xử lý dữ liệu nhạy cảm hoặc thuộc trường hợp bắt buộc theo luật. Đối với doanh nghiệp siêu nhỏ/nhỏ không thuộc diện bắt buộc ngay lập tức, việc có một đầu mối phụ trách (có thể kiêm nhiệm) vẫn là cần thiết để đảm bảo phản hồi đúng hạn các yêu cầu của khách hàng, tránh rủi ro bị phạt.

4. Thời hạn 72 giờ thông báo vi phạm có tính ngày nghỉ, lễ không?

Trả lời: Quy định về thông báo vi phạm thường tính theo giờ liên tục kể từ thời điểm phát hiện. Tuy nhiên, đối với các thời hạn xử lý yêu cầu của chủ thể dữ liệu (như 02 ngày, 07 ngày…), luật quy định là “ngày làm việc”, tức là không tính ngày nghỉ, lễ theo quy định của Bộ luật Lao động.

5. Có cần cập nhật hồ sơ đánh giá tác động khi thay đổi quy trình xử lý yêu cầu của chủ thể dữ liệu không?

Trả lời: Có. Nếu sự thay đổi trong quy trình ảnh hưởng đến cách thức bảo vệ dữ liệu hoặc quyền lợi của chủ thể, doanh nghiệp cần cập nhật Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và thông báo cho cơ quan chức năng theo Mẫu số 03a/03b.

Đồng Hành Cùng Doanh Nghiệp Trong Kỷ Nguyên Số

Để xây dựng một hệ thống bảo vệ dữ liệu vững chắc và tuân thủ toàn diện, hãy liên hệ ngay với DPO.VN. Đội ngũ chuyên gia của Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia, dẫn đầu bởi Luật sư Nguyễn Tiến Hảo, sẵn sàng hỗ trợ bạn giải quyết mọi thách thức pháp lý.

Website: dpo.vn

Hotline: 0914.315.886

Email: info@dpo.vn

Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Yên Hoà, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam.

Tài liệu tham khảo

Quốc hội (2025). Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. Cổng Thông tin điện tử Quốc hội.
Chính phủ (2025). Nghị định số 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
Chính phủ (2023). Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Cổng Thông tin điện tử Chính phủ.
Bộ Công an. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân. Truy cập từ baovedulieu.gov.vn.
ICO (Information Commissioner’s Office). Individual rights.

Luật sư Nguyễn Tiến Hảo

Với kinh nghiệm tư vấn pháp lý về bảo vệ dữ liệu cá nhân cho gần 100 doanh nghiệp trong nước và quốc tế, Luật sư Nguyễn Tiến Hảo đã khẳng định vị thế là một trong những chuyên gia pháp lý hàng đầu tại Việt Nam về quản trị rủi ro và tuân thủ pháp lý trong lĩnh vực Bảo vệ dữ liệu cá nhân. Với chuyên môn sâu sắc trong việc diễn giải và áp dụng các quy định về Bảo vệ Dữ liệu Cá nhân, thể hiện qua năng lực xây dựng các Hồ sơ Đánh giá Tác động Xử Lý Dữ Liệu Cá Nhân đạt tiêu chuẩn và có tính ứng dụng cao. Các giải pháp cung cấp cho doanh nghiệp không chỉ đảm bảo sự tuân thủ nghiêm ngặt với pháp luật Việt Nam mà còn tương thích với các thông lệ quốc tế tốt nhất. Mang lại cho khách hàng sự bảo vệ pháp lý toàn diện và một lợi thế cạnh tranh rõ rệt. Tiểu sử tác giả