Chủ thể dữ liệu cá nhân là trung tâm của mọi quy định, được pháp luật trao cho các quyền hạn và vai trò của cá nhân để kiểm soát thông tin của chính mình. Tại DPVN, chúng tôi sẽ phân tích chi tiết quyền của chủ thể dữ liệu và nghĩa vụ của chủ thể dữ liệu, giúp bạn hiểu rõ và thực thi quyền lợi một cách hiệu quả.
Chủ thể dữ liệu cá nhân là ai theo các văn bản pháp luật quy định?
Theo Khoản 6, Điều 2 Nghị định 13/2023/NĐ-CP, chủ thể dữ liệu cá nhân là “cá nhân được dữ liệu cá nhân phản ánh”. Nói một cách đơn giản, bất kỳ ai có thông tin cá nhân đang được một tổ chức hoặc cá nhân khác thu thập, lưu trữ hay xử lý, thì người đó chính là chủ thể dữ liệu.
Đây là một khái niệm pháp lý nền tảng, đặt cá nhân vào vị trí trung tâm của mọi hoạt động bảo vệ dữ liệu. Bất kể bạn là khách hàng của một ngân hàng, nhân viên của một công ty, bệnh nhân tại một bệnh viện, hay đơn giản là người dùng lướt web, bạn đều là một chủ thể dữ liệu.
Về chuyên môn sâu, việc xác định một người là chủ thể dữ liệu sẽ tự động kích hoạt một loạt các quyền pháp định dành cho họ và các nghĩa vụ tương ứng đối với tổ chức đang xử lý dữ liệu. Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đã xây dựng một cơ chế toàn diện để đảm bảo mối quan hệ này được vận hành một cách công bằng và minh bạch, trao lại quyền kiểm soát thông tin cho chính các cá nhân.
11 quyền của chủ thể dữ liệu cá nhân theo pháp luật Việt Nam là gì?
Điều 9 Nghị định 13/2023/NĐ-CP đã trao cho chủ thể dữ liệu một bộ công cụ pháp lý mạnh mẽ với 11 quyền cụ thể. Các quyền này bao trùm toàn bộ vòng đời của dữ liệu, từ quyền được biết trước khi thu thập, quyền đồng ý, truy cập, chỉnh sửa, cho đến quyền yêu cầu xóa, hạn chế xử lý, phản đối, khiếu nại và yêu cầu bồi thường thiệt hại.
Việc hiểu rõ 11 quyền này là bước đầu tiên để cả cá nhân có thể tự bảo vệ mình và doanh nghiệp có thể xây dựng các quy trình tuân thủ.
| Quyền | Nội dung |
|---|---|
| 1. Quyền được biết | Được thông báo về hoạt động xử lý dữ liệu của mình. |
| 2. Quyền đồng ý | Cho phép hoặc không cho phép xử lý dữ liệu. |
| 3. Quyền truy cập | Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu. |
| 4. Quyền rút lại sự đồng ý | Thay đổi quyết định đã đồng ý trước đó. |
| 5. Quyền xóa dữ liệu | Yêu cầu xóa bỏ dữ liệu của mình. |
| 6. Quyền hạn chế xử lý | Yêu cầu tạm ngưng xử lý dữ liệu. |
| 7. Quyền cung cấp dữ liệu | Yêu cầu cung cấp bản sao dữ liệu của mình. |
| 8. Quyền phản đối xử lý | Phản đối việc xử lý cho các mục đích cụ thể. |
| 9. Quyền khiếu nại, tố cáo, khởi kiện | Thực hiện các biện pháp pháp lý khi quyền lợi bị vi phạm. |
| 10. Quyền yêu cầu bồi thường thiệt hại | Yêu cầu bồi thường khi có thiệt hại thực tế xảy ra. |
| 11. Quyền tự bảo vệ | Tự mình thực hiện các biện pháp bảo vệ theo quy định của pháp luật. |
Nghĩa vụ của tổ chức, cá nhân xử lý dữ liệu đối với chủ thể dữ liệu là gì?
Các quyền của chủ thể dữ liệu tạo ra một bộ nghĩa vụ tương ứng và trực tiếp cho các tổ chức, doanh nghiệp. Nghĩa vụ cốt lõi là phải xây dựng các quy trình và công cụ để đáp ứng các yêu cầu của chủ thể dữ liệu một cách kịp thời (trong vòng 72 giờ), minh bạch và hiệu quả, đồng thời phải chịu trách nhiệm pháp lý cao nhất về mọi hoạt động xử lý dữ liệu.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Trong thực tế, nhiều doanh nghiệp chỉ tập trung vào việc bảo mật dữ liệu khỏi hacker mà quên mất một nửa còn lại của việc tuân thủ: đó là đáp ứng các quyền của chủ thể dữ liệu. Một hệ thống dù an toàn đến đâu nhưng không cho phép người dùng xóa tài khoản, hoặc phớt lờ các yêu cầu chỉnh sửa thông tin, thì vẫn là một hệ thống không tuân thủ. Việc xây dựng các quy trình này không chỉ là nghĩa vụ pháp lý, mà còn là một điểm chạm quan trọng để nâng cao trải nghiệm và giữ chân khách hàng.”
Hướng dẫn thực hiện quyền của chủ thể dữ liệu cá nhân như thế nào?
Để thực hiện các quyền của mình, chủ thể dữ liệu cần thực hiện một quy trình 3 bước: (1) Chuẩn bị một văn bản yêu cầu chính thức, nêu rõ quyền muốn thực hiện và thông tin định danh; (2) Gửi yêu cầu đến Bên Kiểm soát dữ liệu qua các kênh liên lạc được công bố; và (3) Lưu lại bằng chứng đã gửi yêu cầu để theo dõi.
Để có một hướng dẫn chi tiết về cách thực hiện cho từng quyền, bạn có thể tham khảo bài viết đầy đủ của chúng tôi: Thực hiện quyền của chủ thể dữ liệu cá nhân như thế nào?
DPVN: Dịch Vụ Tư Vấn và Hỗ Trợ Doanh nghiệp Tuân Thủ
Việc xây dựng một hệ thống quy trình để đáp ứng đầy đủ và kịp thời 11 quyền của chủ thể dữ liệu là một thách thức lớn về mặt vận hành và pháp lý.
Đội ngũ chuyên gia của DPVN sẽ giúp bạn xây dựng các quy trình, biểu mẫu và kịch bản phản hồi chuyên nghiệp. Hãy liên hệ với Luật sư Nguyễn Lâm Sơn để được tư vấn:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về Chủ thể dữ liệu cá nhân
1. Nếu quyền của tôi bị vi phạm, tôi nên làm gì?
Đầu tiên, bạn nên liên hệ và khiếu nại trực tiếp đến tổ chức đã vi phạm. Nếu không được giải quyết thỏa đáng, bạn có quyền khiếu nại, tố cáo đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) hoặc khởi kiện ra Tòa án để yêu cầu bồi thường thiệt hại.
2. Người lao động trong công ty có phải là chủ thể dữ liệu không?
Chắc chắn CÓ. Người lao động là một trong những nhóm chủ thể dữ liệu quan trọng nhất. Công ty (người sử dụng lao động) có nghĩa vụ phải bảo vệ dữ liệu của họ và đáp ứng các quyền của họ theo quy định. Xem thêm: Chính sách bảo vệ dữ liệu cá nhân cho người lao động.
3. Quyền của chủ thể dữ liệu có áp dụng cho dữ liệu của người đã chết không?
Các quyền này không còn áp dụng trực tiếp. Tuy nhiên, pháp luật có quy định riêng về việc xử lý dữ liệu cá nhân của người đã chết hoặc mất tích, đòi hỏi phải có sự đồng ý của người thân theo thứ tự ưu tiên.
4. Trẻ em có phải là chủ thể dữ liệu không?
Có, và trẻ em được xem là nhóm chủ thể dữ liệu cần được bảo vệ đặc biệt. Việc xử lý dữ liệu của trẻ em phải tuân thủ các quy định rất nghiêm ngặt, bao gồm cả việc phải có sự đồng ý của cha, mẹ hoặc người giám hộ. Xem thêm: Quy định về bảo vệ dữ liệu cá nhân của trẻ em.
5. Doanh nghiệp có thể từ chối đáp ứng quyền của tôi không?
Có, nhưng chỉ trong các trường hợp ngoại lệ rất hẹp do pháp luật quy định. Ví dụ, họ có thể từ chối yêu cầu xóa dữ liệu nếu luật kế toán yêu cầu họ phải lưu trữ hồ sơ đó. Khi từ chối, họ phải có nghĩa vụ giải thích rõ lý do và căn cứ pháp lý cho bạn.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- Bộ luật Dân sự 2015: https://thuvienphapluat.vn/van-ban/Quyen-dan-su/Bo-luat-dan-su-2015-296249.aspx
- GDPR – Chapter 3: Rights of the data subject: https://gdpr-info.eu/chapter-3/
