Chủ thể dữ liệu có thể yêu cầu xóa dữ liệu cá nhân, đây là một quyền pháp định quan trọng nhằm trao lại quyền kiểm soát thông tin cho mỗi cá nhân. Tại DPVN, chúng tôi sẽ hướng dẫn chi tiết thủ tục thực hiện quyền được lãng quên này, giúp bạn bảo vệ quyền lợi và giúp doanh nghiệp xây dựng quy trình tuân thủ hiệu quả.
Quyền yêu cầu xóa dữ liệu cá nhân được quy định như thế nào trong pháp luật Việt Nam?
Quyền yêu cầu xóa dữ liệu cá nhân là một trong 11 quyền cơ bản của chủ thể dữ liệu, được quy định rõ tại Khoản 5, Điều 9 Nghị định 13/2023/NĐ-CP. Quyền này cho phép một cá nhân yêu cầu tổ chức đang xử lý dữ liệu của mình phải xóa bỏ thông tin đó trong các trường hợp luật định, thường được biết đến với tên gọi “quyền được lãng quên”.
Đây là một trong những quyền mạnh mẽ nhất mà pháp luật trao cho cá nhân để bảo vệ quyền riêng tư của mình trong kỷ nguyên số. Về bản chất, quyền này thừa nhận rằng, trong một số tình huống, lợi ích của việc xóa bỏ thông tin cá nhân sẽ vượt trội hơn lợi ích của việc tiếp tục lưu trữ và xử lý nó. Quy định này không chỉ tương đồng mà còn thể hiện sự hội nhập của pháp luật Việt Nam với các tiêu chuẩn quốc tế, điển hình là “Right to erasure” (‘right to be forgotten’) tại Điều 17 của Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu.
Việc pháp luật hóa quyền yêu cầu xóa dữ liệu đặt ra một nghĩa vụ rõ ràng cho các doanh nghiệp: phải xây dựng cơ chế và quy trình kỹ thuật để có thể thực hiện việc xóa dữ liệu một cách an toàn và kịp thời khi nhận được yêu cầu hợp lệ. Quyền này sẽ tiếp tục là một trụ cột trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, nhấn mạnh cam kết của Việt Nam trong việc bảo vệ quyền con người trên không gian mạng.
Trong những trường hợp cụ thể nào chủ thể dữ liệu được quyền yêu cầu xóa dữ liệu?
Chủ thể dữ liệu được quyền yêu cầu xóa dữ liệu trong 5 trường hợp chính: (1) Dữ liệu không còn cần thiết cho mục đích thu thập ban đầu; (2) Chủ thể dữ liệu rút lại sự đồng ý; (3) Chủ thể dữ liệu phản đối việc xử lý và không có lý do chính đáng để tiếp tục; (4) Dữ liệu được xử lý trái pháp luật; (5) Dữ liệu phải được xóa theo quy định của pháp luật.
Điều 16 Nghị định 13/2023/NĐ-CP đã liệt kê chi tiết các cơ sở pháp lý để một cá nhân có thể thực hiện quyền yêu cầu xóa dữ liệu của mình. Doanh nghiệp cần hiểu rõ những trường hợp này để có thể xử lý yêu cầu một cách chính xác.
| Trường hợp yêu cầu xóa | Ví dụ thực tế |
|---|---|
| Không còn cần thiết cho mục đích ban đầu | Một công ty lưu trữ hồ sơ của ứng viên không trúng tuyển. Sau khi đợt tuyển dụng kết thúc, mục đích ban đầu đã hoàn thành, ứng viên có quyền yêu cầu xóa hồ sơ của mình. |
| Rút lại sự đồng ý | Bạn đăng ký nhận bản tin marketing qua email. Sau đó, bạn rút lại sự đồng ý và có quyền yêu cầu công ty xóa địa chỉ email của bạn khỏi danh sách đó. |
| Phản đối việc xử lý dữ liệu | Một nền tảng mạng xã hội sử dụng dữ liệu hoạt động của bạn để hiển thị quảng cáo nhắm mục tiêu. Bạn có quyền phản đối việc xử lý này và yêu cầu xóa các dữ liệu liên quan. |
| Xử lý dữ liệu trái pháp luật | Bạn phát hiện một ứng dụng thu thập dữ liệu vị trí của bạn mà không hề thông báo hay có được sự đồng ý. Bạn có quyền yêu cầu xóa toàn bộ dữ liệu vị trí đã bị thu thập trái phép. |
| Phải xóa theo quy định của pháp luật | Một bản án của Tòa án yêu cầu một tờ báo gỡ bỏ bài viết chứa thông tin cá nhân sai sự thật. Tổ chức đó phải tuân thủ và xóa bỏ dữ liệu theo yêu cầu. |
Thủ tục yêu cầu xóa dữ liệu cá nhân bao gồm những bước nào?
Quy trình yêu cầu xóa dữ liệu cá nhân gồm 3 bước đơn giản: (1) Soạn thảo một văn bản yêu cầu chính thức, nêu rõ thông tin và căn cứ; (2) Gửi văn bản này đến Bên Kiểm soát dữ liệu qua các kênh liên lạc được công bố; và (3) Theo dõi phản hồi trong thời hạn 72 giờ theo luật định.
Để đảm bảo yêu cầu của bạn được xử lý một cách hiệu quả, việc tuân thủ một quy trình rõ ràng là rất quan trọng.
Bước 1: Soạn thảo văn bản yêu cầu (Mẫu đơn tham khảo)
Một văn bản yêu cầu xóa dữ liệu chuyên nghiệp sẽ giúp yêu cầu của bạn được xem xét nghiêm túc. Dù chưa có mẫu chính thức từ Chính phủ, DPVN xin cung cấp một mẫu tham khảo mà bạn có thể sử dụng:
ĐƠN YÊU CẦU XÓA DỮ LIỆU CÁ NHÂN
Kính gửi: [Tên đầy đủ của Tổ chức/Doanh nghiệp]
Địa chỉ: [Địa chỉ của Tổ chức/Doanh nghiệp]
Tôi tên là: [Họ và tên của bạn], sinh ngày: [Ngày/Tháng/Năm]
Số CCCD/Hộ chiếu: [Số giấy tờ tùy thân]
Thông tin liên hệ: Email: [Email của bạn] – Số điện thoại: [SĐT của bạn]
Căn cứ theo Khoản 5, Điều 9 và Điều 16 Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, tôi viết đơn này để chính thức yêu cầu Quý Công ty tiến hành xóa toàn bộ dữ liệu cá nhân của tôi mà Quý Công ty đang nắm giữ và xử lý.
Lý do yêu cầu: [Nêu ngắn gọn lý do, ví dụ: Tôi đã chấm dứt sử dụng dịch vụ và rút lại sự đồng ý cho việc xử lý dữ liệu].
Đề nghị Quý Công ty thực hiện yêu cầu này trong thời hạn 72 giờ và gửi văn bản xác nhận cho tôi qua địa chỉ email nêu trên sau khi hoàn tất.
Trân trọng cảm ơn.
[Nơi viết], ngày [dd] tháng [mm] năm [yyyy]
Người yêu cầu
[Ký và ghi rõ họ tên]
Bước 2: Gửi yêu cầu đến đúng địa chỉ
Hãy tìm thông tin liên hệ của bộ phận phụ trách bảo vệ dữ liệu (thường được công bố trong Chính sách quyền riêng tư trên website của công ty) và gửi yêu cầu của bạn qua email hoặc bưu điện bảo đảm.
Bước 3: Trách nhiệm của doanh nghiệp khi nhận được yêu cầu
Khi nhận được yêu cầu, bên kiểm soát dữ liệu cá nhân có trách nhiệm phải thực hiện việc xóa dữ liệu trong vòng 72 giờ. Quá trình này bao gồm cả việc yêu cầu các Bên Xử lý dữ liệu và Bên thứ ba liên quan cũng phải xóa dữ liệu tương ứng.
Doanh nghiệp có thể từ chối yêu cầu xóa dữ liệu trong những trường hợp nào?
Có, doanh nghiệp được phép từ chối yêu cầu xóa dữ liệu trong 6 trường hợp ngoại lệ được quy định tại Khoản 2, Điều 16 Nghị định 13. Các trường hợp này chủ yếu liên quan đến nghĩa vụ pháp lý, an ninh quốc gia, sức khỏe cộng đồng và các mục đích công quan trọng khác.
Quyền yêu cầu xóa dữ liệu không phải là một quyền tuyệt đối. Doanh nghiệp cần nắm rõ các trường hợp ngoại lệ để từ chối yêu cầu một cách hợp pháp và có căn cứ.
- Pháp luật chuyên ngành không cho phép xóa: Ví dụ: Luật Kế toán yêu cầu doanh nghiệp phải lưu trữ chứng từ kế toán, bao gồm cả bảng lương, trong tối thiểu 10 năm. Doanh nghiệp không thể xóa dữ liệu này theo yêu cầu của nhân viên cũ trước thời hạn đó.
- Dữ liệu do cơ quan nhà nước xử lý: Phục vụ cho các mục đích an ninh quốc gia, phòng chống tội phạm.
- Dữ liệu đã được công khai hợp pháp: Nếu dữ liệu đã được công khai theo đúng quy định của pháp luật.
- Phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê.
- Trong các tình trạng khẩn cấp về quốc phòng, an ninh, thảm họa, dịch bệnh.
- Ứng phó với tình huống khẩn cấp đe dọa tính mạng, sức khỏe của người khác.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “”””Khi từ chối một yêu cầu xóa dữ liệu, doanh nghiệp không thể chỉ im lặng. Một thực hành tốt nhất là phải có văn bản phản hồi cho chủ thể dữ liệu, trong đó nêu rõ lý do từ chối và trích dẫn căn cứ pháp lý cụ thể. Sự minh bạch này không chỉ thể hiện sự chuyên nghiệp mà còn giúp giảm thiểu nguy cơ khiếu nại, kiện tụng về sau.””””
DPVN: Dịch Vụ Tư Vấn và Xây Dựng Quy Trình Xóa Dữ Liệu
Việc đáp ứng quyền xóa dữ liệu đòi hỏi một quy trình được thiết kế tốt, kết hợp giữa yếu tố pháp lý, nghiệp vụ và kỹ thuật. Một quy trình thiếu sót có thể dẫn đến vi phạm và làm tổn hại lòng tin của khách hàng.
Đội ngũ chuyên gia của DPVN sẵn sàng hỗ trợ doanh nghiệp xây dựng quy trình từ đầu đến cuối, đảm bảo tuân thủ và hiệu quả. Hãy tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp:
Hotline: 0982976486 (Luật sư Nguyễn Lâm Sơn)
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về yêu cầu xóa dữ liệu cá nhân
1. Quyền xóa dữ liệu và quyền được lãng quên có giống nhau không?
Về cơ bản là giống nhau. “”Quyền được lãng quên”” (Right to be forgotten) là một thuật ngữ nổi tiếng từ 판결 của Tòa án Công lý Châu Âu và được thể hiện trong GDPR. Tại Việt Nam, “”quyền xóa dữ liệu”” trong Nghị định 13 chính là sự cụ thể hóa của khái niệm này, cho phép cá nhân yêu cầu loại bỏ thông tin của mình khỏi các hệ thống.
2. Nếu tôi yêu cầu xóa dữ liệu, doanh nghiệp có phải xóa cả trong các bản sao lưu (backup) không?
Đây là một điểm phức tạp về kỹ thuật. Thực tiễn tốt nhất là doanh nghiệp phải xóa và hủy dữ liệu cá nhân trên hệ thống đang hoạt động. Đối với các bản sao lưu, việc xóa ngay lập tức có thể phá vỡ tính toàn vẹn của bản sao lưu. Doanh nghiệp cần có chính sách để đảm bảo dữ liệu đó không được khôi phục lại và sẽ bị xóa vĩnh viễn theo chu kỳ ghi đè của các bản sao lưu tiếp theo.
3. Doanh nghiệp có được thu phí khi tôi thực hiện quyền yêu cầu xóa dữ liệu không?
Không. Pháp luật Việt Nam hiện hành không có quy định cho phép doanh nghiệp thu phí đối với việc thực hiện yêu cầu xóa dữ liệu của chủ thể dữ liệu. Đây là một quyền cơ bản và phải được đáp ứng miễn phí.
4. Tôi có thể ủy quyền cho người khác yêu cầu xóa dữ liệu hộ mình không?
Có. Bạn có thể ủy quyền cho người khác (ví dụ: luật sư) thực hiện quyền này, nhưng phải có văn bản ủy quyền được lập hợp lệ theo quy định của Bộ luật Dân sự. Doanh nghiệp có quyền yêu cầu xem văn bản ủy quyền này để xác minh.
5. Phải làm gì nếu tôi đã yêu cầu nhưng doanh nghiệp không thực hiện hoặc phản hồi chậm?
Nếu doanh nghiệp không thực hiện yêu cầu xóa dữ liệu của bạn trong 72 giờ mà không có lý do chính đáng, họ đã vi phạm pháp luật. Bạn có thể tiến hành các bước tiếp theo như khiếu nại lên Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) hoặc khởi kiện ra tòa án để bảo vệ quyền lợi của mình.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: Thư Viện Pháp Luật (Dự kiến cập nhật khi ban hành)
- Right to erasure – Information Commissioner’s Office (UK): https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/
- European Data Protection Board (EDPB) Guidelines: https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en
