Để triển khai quyền của chủ thể dữ liệu theo Luật Bảo vệ dữ liệu cá nhân 2025, doanh nghiệp cần xây dựng quy trình tiếp nhận và xử lý yêu cầu rõ ràng, đảm bảo phản hồi trong vòng 72 giờ và tuân thủ các quy định về minh bạch thông tin. DPVN sẽ cung cấp hướng dẫn chi tiết từng bước, giúp doanh nghiệp tránh rủi ro pháp lý và xây dựng niềm tin vững chắc với khách hàng.
Nội dung chính: Hướng dẫn toàn diện về quy trình thực thi 11 quyền cơ bản của chủ thể dữ liệu, từ khâu tiếp nhận yêu cầu đến xử lý kỹ thuật và báo cáo tuân thủ.
Quyền của chủ thể dữ liệu bao gồm những gì theo Luật Bảo vệ dữ liệu cá nhân 2025?
Điều 9 Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân quy định 11 quyền cơ bản, bao gồm: Quyền được biết, Quyền đồng ý, Quyền truy cập, Quyền rút lại sự đồng ý, Quyền xóa dữ liệu, Quyền hạn chế xử lý dữ liệu, Quyền cung cấp dữ liệu, Quyền phản đối xử lý dữ liệu, Quyền khiếu nại tố cáo khởi kiện, Quyền yêu cầu bồi thường thiệt hại và Quyền tự bảo vệ.
Việc hiểu rõ từng quyền này là nền tảng để doanh nghiệp xây dựng hệ thống quản lý dữ liệu hiệu quả. Không chỉ là nghĩa vụ pháp lý, việc tôn trọng quyền của chủ thể dữ liệu còn thể hiện cam kết đạo đức kinh doanh của doanh nghiệp.
Trong quá trình tư vấn cho các tập đoàn đa quốc gia, DPVN nhận thấy sự nhầm lẫn thường gặp nhất nằm ở “Quyền được biết” và “Quyền truy cập”. Cụ thể:
- Quyền được biết: Khách hàng có quyền được thông báo về việc dữ liệu của họ đang được xử lý như thế nào, cho mục đích gì và chia sẻ với ai ngay từ thời điểm thu thập. Xem chi tiết tại Quyền được biết của chủ thể dữ liệu cá nhân theo Nghị định 13.
- Quyền truy cập: Khách hàng có thể yêu cầu xem, chỉnh sửa hoặc nhận bản sao dữ liệu của mình bất cứ lúc nào sau khi dữ liệu đã được thu thập.
Quy trình tiếp nhận và xử lý yêu cầu của chủ thể dữ liệu cần thực hiện như thế nào?
Doanh nghiệp cần thiết lập quy trình 5 bước: (1) Tiếp nhận yêu cầu qua các kênh chính thức; (2) Xác minh danh tính chủ thể; (3) Đánh giá tính hợp lệ của yêu cầu; (4) Thực hiện yêu cầu kỹ thuật (trích xuất/xóa/chỉnh sửa); (5) Phản hồi kết quả cho chủ thể dữ liệu trong thời hạn quy định (thường là 72 giờ).
Một quy trình chuẩn hóa không chỉ giúp doanh nghiệp tránh bị phạt mà còn giảm thiểu chi phí vận hành. Dưới đây là mô hình xử lý yêu cầu mẫu mà DPVN khuyến nghị:
| Bước | Hành động cụ thể | Lưu ý quan trọng |
|---|---|---|
| 1. Tiếp nhận | Thiết lập kênh tiếp nhận (Email DPO, Form trên Website, Hotline). | Sử dụng Mẫu phiếu yêu cầu cung cấp dữ liệu cá nhân chuẩn. |
| 2. Xác minh | Yêu cầu cung cấp giấy tờ tùy thân hoặc xác thực 2 lớp (2FA). | Tránh cung cấp dữ liệu cho kẻ mạo danh. |
| 3. Xử lý | Phối hợp với bộ phận IT để trích xuất hoặc xóa dữ liệu trên hệ thống. | Lưu ý các dữ liệu trong bản sao lưu (backup). |
| 4. Phản hồi | Gửi kết quả cho khách hàng qua kênh bảo mật. | Tuân thủ Thời gian thực hiện quyền của chủ thể dữ liệu. |
Làm thế nào để xử lý yêu cầu “Rút lại sự đồng ý” và “Xóa dữ liệu”?
Doanh nghiệp phải ngừng xử lý dữ liệu ngay lập tức khi nhận được yêu cầu rút lại sự đồng ý, trừ khi có cơ sở pháp lý khác (như thực hiện hợp đồng, nghĩa vụ thuế). Đối với yêu cầu xóa dữ liệu, doanh nghiệp cần xóa vĩnh viễn khỏi hệ thống lưu trữ và yêu cầu các bên thứ ba liên quan cùng thực hiện, trừ trường hợp pháp luật quy định phải lưu trữ.
Quyền rút lại sự đồng ý và quyền xóa dữ liệu (Right to be forgotten) là hai quyền “quyền lực” nhất của người dùng, nhưng cũng gây nhiều khó khăn nhất cho doanh nghiệp.
Thực tế triển khai: Một khách hàng yêu cầu xóa toàn bộ thông tin tài khoản sau khi mua hàng. Tuy nhiên, theo Luật Kế toán và Luật Giao dịch điện tử, hóa đơn chứng từ phải lưu trữ 10 năm. Trong trường hợp này, DPVN tư vấn doanh nghiệp chỉ xóa thông tin tiếp thị (email, số điện thoại quảng cáo) nhưng giữ lại thông tin giao dịch trong hệ thống kế toán và thông báo rõ lý do cho khách hàng.
Để hiểu rõ hơn về quy trình kỹ thuật, Quý vị có thể tham khảo bài viết Xóa dữ liệu cá nhân khác hủy dữ liệu cá nhân như thế nào?.
Doanh nghiệp có được từ chối thực hiện yêu cầu của chủ thể dữ liệu không?
Có, trong một số trường hợp cụ thể quy định tại Luật Bảo vệ dữ liệu cá nhân như: yêu cầu không thể thực hiện được vì lý do kỹ thuật, ảnh hưởng đến an ninh quốc gia, trật tự an toàn xã hội, hoặc trái với quy định của luật chuyên ngành khác. Tuy nhiên, doanh nghiệp phải thông báo lý do từ chối bằng văn bản trong vòng 72 giờ.
Không phải mọi yêu cầu đều phải được đáp ứng vô điều kiện. Ví dụ, một nhân viên cũ yêu cầu xóa hồ sơ kỷ luật lao động. Doanh nghiệp có quyền từ chối vì đây là dữ liệu phục vụ quản lý lao động và giải quyết tranh chấp pháp lý tiềm ẩn. Việc hiểu rõ giới hạn này giúp doanh nghiệp bảo vệ quyền lợi hợp pháp của mình.
Tham khảo thêm: Chủ thể dữ liệu có thể yêu cầu xóa dữ liệu cá nhân không?
Chế tài xử phạt khi doanh nghiệp vi phạm quyền của chủ thể dữ liệu là gì?
Theo Nghị định 13/2023/NĐ-CP, hành vi cản trở hoặc không thực hiện quyền của chủ thể dữ liệu có thể bị phạt tiền từ hàng chục đến hàng trăm triệu đồng. Đặc biệt, mức phạt có thể lên tới 5% tổng doanh thu năm tài chính liền kề đối với các vi phạm nghiêm trọng về dữ liệu cá nhân theo dự thảo Luật mới.
Ngoài phạt tiền, doanh nghiệp còn đối mặt với rủi ro bị đình chỉ hoạt động xử lý dữ liệu, buộc phải công khai xin lỗi và bồi thường thiệt hại cho người dùng. Quan trọng hơn, uy tín thương hiệu sẽ bị ảnh hưởng nghiêm trọng.
Bạn đang loay hoay xây dựng quy trình bảo vệ dữ liệu chuẩn chỉnh?
Đừng để rủi ro pháp lý cản trở sự phát triển của doanh nghiệp. Hãy để các chuyên gia của DPVN hỗ trợ bạn thiết lập hệ thống tuân thủ toàn diện ngay hôm nay.
DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân
Hotline: 0982976486
Email: info@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp (FAQ)
1. Thời hạn tối đa để doanh nghiệp phản hồi yêu cầu của khách hàng là bao lâu?
Theo quy định, doanh nghiệp phải phản hồi và xử lý các yêu cầu của chủ thể dữ liệu trong vòng 72 giờ kể từ khi nhận được yêu cầu hợp lệ.
2. Doanh nghiệp có được thu phí khi cung cấp bản sao dữ liệu cho khách hàng không?
Về nguyên tắc, việc cung cấp dữ liệu lần đầu là miễn phí. Tuy nhiên, nếu yêu cầu lặp lại nhiều lần hoặc quá mức cần thiết, doanh nghiệp có thể thu một khoản phí hợp lý để bù đắp chi phí hành chính.
3. Làm thế nào để xác minh danh tính người yêu cầu qua email/điện thoại?
Doanh nghiệp nên sử dụng quy trình xác thực đa yếu tố, yêu cầu cung cấp thông tin khớp với dữ liệu đã lưu (như số CMND/CCCD, ngày giao dịch gần nhất) hoặc gửi mã OTP về số điện thoại/email đã đăng ký.
4. Dữ liệu sao lưu (backup) có cần phải xóa ngay khi khách hàng yêu cầu không?
Về mặt kỹ thuật, việc xóa dữ liệu ngay lập tức trong các bản backup là rất khó. Doanh nghiệp có thể đưa dữ liệu này vào danh sách “chờ xóa” và đảm bảo nó sẽ được xóa trong chu kỳ ghi đè backup tiếp theo.
5. Ai là người chịu trách nhiệm chính trong việc xử lý yêu cầu của chủ thể dữ liệu?
Bộ phận Bảo vệ dữ liệu cá nhân (DPO) hoặc bộ phận Chăm sóc khách hàng phối hợp với bộ phận Pháp chế và IT là những người trực tiếp chịu trách nhiệm tiếp nhận và xử lý.
Nguồn tham khảo:
- Cổng thông tin điện tử Chính phủ: Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
- Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
- Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
- DPVN: Các bài viết chuyên sâu về tuân thủ pháp luật dữ liệu.
- GDPR.eu: Data Subject Rights.
