Quyền rút lại sự đồng ý của chủ thể dữ liệu cá nhân là gì?

Ngày đăng - 19/08/2025

Luật sư Nguyễn Lâm Sơn Tư vấn Nghị định 13/2023/NĐ-CP, Tư vấn Luật bảo vệ dữ liệu cá nhân

Quyền rút lại sự đồng ý của chủ thể dữ liệu cá nhân là một cơ chế pháp lý quan trọng, cho phép cá nhân thu hồi sự cho phép xử lý thông tin một cách dễ dàng và hiệu quả. Tại DPVN, chúng tôi sẽ phân tích rõ quyền này theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, giúp doanh nghiệp xây dựng quy trình tuân thủ, củng cố niềm tin với khách hàng. Hiểu rõ về thu hồi sự chấp thuận và cơ sở pháp lý sẽ giúp doanh nghiệp chủ động trong mọi tình huống.

Quyền rút lại sự đồng ý của chủ thể dữ liệu cá nhân là gì?

Quyền rút lại sự đồng ý là quyền cơ bản của chủ thể dữ liệu, cho phép họ đơn phương chấm dứt hiệu lực của sự đồng ý đã cấp trước đó cho việc xử lý dữ liệu cá nhân. Việc thu hồi sự chấp thuận này phải được thực hiện một cách dễ dàng và không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu trước thời điểm rút lại.

Quyền rút lại sự đồng ý là một trong những quyền cốt lõi, được quy định thống nhất tại Điều 10 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Điều 12 Nghị định 13/2023/NĐ-CP. Điều này trao cho mỗi cá nhân quyền năng kiểm soát thông tin của chính mình, khẳng định rằng sự đồng ý không phải là một cam kết vĩnh viễn mà là một sự cho phép có điều kiện và có thể thay đổi. Khi một cá nhân thực hiện quyền này, Bên kiểm soát dữ liệu và các bên liên quan phải ngay lập tức ngừng các hoạt động xử lý dữ liệu đang dựa trên sự đồng ý đó trong tương lai.

Hành lang pháp lý này tạo ra một sự cân bằng quyền lực, đảm bảo rằng cá nhân không bị ràng buộc vô thời hạn bởi quyết định của mình trong quá khứ. Việc rút lại sự đồng ý không làm cho việc xử lý dữ liệu trước đó trở thành bất hợp pháp, nhưng nó đặt ra một giới hạn rõ ràng cho các hoạt động xử lý trong tương lai, buộc doanh nghiệp phải tôn trọng quyết định mới nhất của chủ thể dữ liệu.

Tại sao việc tôn trọng quyền rút lại sự đồng ý lại quan trọng đối với doanh nghiệp?

Tôn trọng quyền rút lại sự đồng ý không chỉ là nghĩa vụ pháp lý bắt buộc mà còn là một chiến lược kinh doanh thông minh. Việc này giúp doanh nghiệp xây dựng lòng tin vững chắc với khách hàng, giảm thiểu rủi ro bị xử phạt nặng theo các quy định mới, và nâng cao uy tín, tạo lợi thế cạnh tranh bền vững trên thị trường.

Việc chủ động xây dựng và thực thi một quy trình minh bạch cho phép chủ thể dữ liệu thực hiện quyền này mang lại nhiều lợi ích chiến lược:

  • Xây dựng niềm tin và sự trung thành: Khi khách hàng nhận thấy họ có toàn quyền kiểm soát dữ liệu và có thể dễ dàng thay đổi quyết định, họ sẽ cảm thấy an tâm và tin tưởng hơn vào sự minh bạch của doanh nghiệp. Đây là nền tảng cho một mối quan hệ khách hàng lâu dài.
  • Giảm thiểu rủi ro pháp lý và tài chính: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã đưa ra các mức phạt rất nghiêm khắc. Ví dụ, vi phạm quy định chuyển dữ liệu xuyên biên giới có thể bị phạt tới 5% tổng doanh thu năm trước. Tuân thủ chặt chẽ giúp doanh nghiệp tránh được các khoản phạt khổng lồ và các vụ kiện tụng tốn kém.
  • Nâng cao uy tín và lợi thế cạnh tranh: Một doanh nghiệp tôn trọng quyền riêng tư sẽ được cộng đồng và đối tác đánh giá cao. Đây là yếu tố khác biệt quan trọng, giúp thu hút khách hàng và các nhà đầu tư, đặc biệt là các đối tác quốc tế vốn rất coi trọng các tiêu chuẩn bảo vệ dữ liệu.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Nhiều doanh nghiệp ban đầu xem việc xây dựng quy trình tuân thủ là một gánh nặng chi phí. Tuy nhiên, qua kinh nghiệm tư vấn thực tế cho hàng trăm doanh nghiệp, chúng tôi nhận thấy đây là một khoản đầu tư sinh lời. Chi phí để xây dựng một hệ thống tuân thủ ngay từ đầu luôn nhỏ hơn rất nhiều so với thiệt hại về tài chính và danh tiếng khi một sự cố dữ liệu xảy ra hoặc khi bị cơ quan chức năng xử phạt.”

Quy trình và thủ tục rút lại sự đồng ý được thực hiện như thế nào?

Quy trình rút lại sự đồng ý gồm hai phía: Chủ thể dữ liệu gửi yêu cầu bằng văn bản hoặc hình thức kiểm chứng được; sau đó, doanh nghiệp tiếp nhận, thông báo hậu quả (nếu có), rồi ngừng xử lý dữ liệu và yêu cầu các bên liên quan cùng thực hiện việc chấm dứt xử lý.

Để đảm bảo quy trình diễn ra minh bạch và tuân thủ pháp luật, cả chủ thể dữ liệu và doanh nghiệp cần nắm rõ vai trò và các bước thực hiện của mình.

Chủ thể dữ liệu cần làm gì để rút lại sự đồng ý?

Chủ thể dữ liệu cần lập yêu cầu rút lại sự đồng ý bằng một hình thức có thể kiểm chứng được như văn bản giấy, email, hoặc thông qua một biểu mẫu trực tuyến, trong đó nêu rõ phạm vi muốn thu hồi sự cho phép.

Theo Điều 10 của Luật 91/2025/QH15, yêu cầu phải được thể hiện bằng văn bản, bao gồm cả dạng điện tử hoặc định dạng kiểm chứng được. Các bước thực hiện:

  1. Bước 1: Xác định Bên kiểm soát dữ liệu: Cá nhân cần xác định đúng tổ chức, doanh nghiệp đang xử lý dữ liệu của mình để gửi yêu cầu.
  2. Bước 2: Soạn thảo yêu cầu: Yêu cầu cần nêu rõ thông tin của người yêu cầu và nội dung muốn rút lại sự đồng ý cho các mục đích xử lý dữ liệu cụ thể.
  3. Bước 3: Gửi yêu cầu: Gửi yêu cầu đến Bên kiểm soát dữ liệu qua các kênh liên lạc chính thức như email, địa chỉ bưu chính, hoặc cổng hỗ trợ khách hàng.
  4. Bước 4: Lưu lại bằng chứng: Giữ lại bản sao của yêu cầu và bằng chứng đã gửi để đối chứng khi cần.

Doanh nghiệp phải xử lý yêu cầu rút lại sự đồng ý ra sao?

Khi nhận được yêu cầu, doanh nghiệp phải tiếp nhận, thông báo cho chủ thể dữ liệu về hậu quả pháp lý hoặc thiệt hại có thể xảy ra, sau đó ngừng xử lý dữ liệu và thông báo cho các bên liên quan (Bên xử lý dữ liệu, Bên thứ ba) cùng ngừng xử lý.

Doanh nghiệp phải xây dựng một quy trình nội bộ rõ ràng để xử lý các yêu cầu này một cách kịp thời và tuân thủ:

  1. Bước 1: Tiếp nhận và xác minh: Thiết lập kênh tiếp nhận tập trung và xác minh danh tính của người yêu cầu.
  2. Bước 2: Thông báo về hậu quả (nếu có): Điều 12 Nghị định 13/2023/NĐ-CP quy định doanh nghiệp cần thông báo về hậu quả khi rút lại sự đồng ý (ví dụ: không thể tiếp tục sử dụng một số dịch vụ).
  3. Bước 3: Thực hiện ngừng xử lý: Ngừng ngay các hoạt động xử lý dữ liệu dựa trên sự đồng ý đã bị rút lại.
  4. Bước 4: Thông báo cho các bên liên quan: Yêu cầu các đối tác (Bên xử lý dữ liệu) cũng phải ngừng xử lý dữ liệu.
  5. Bước 5: Lưu trữ hồ sơ: Ghi nhận lại yêu cầu và quá trình xử lý để giải trình khi cần.

Những trường hợp nào chủ thể dữ liệu không thể rút lại sự đồng ý?

Quyền rút lại sự đồng ý không áp dụng đối với các trường hợp xử lý dữ liệu không dựa trên sự đồng ý, ví dụ như để bảo vệ tính mạng trong tình huống khẩn cấp, thực hiện nghĩa vụ theo hợp đồng đã ký kết, hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền được pháp luật cho phép.

Pháp luật cũng quy định một số ngoại lệ tại Điều 19 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Về cơ bản, nếu hoạt động xử lý dữ liệu được thực hiện dựa trên một cơ sở pháp lý khác ngoài sự đồng ý, thì việc rút lại sự đồng ý sẽ không làm chấm dứt hoạt động xử lý đó.

STT Trường hợp xử lý dữ liệu không cần sự đồng ý Căn cứ pháp lý (Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15)
1 Bảo vệ tính mạng, sức khỏe trong trường hợp cấp bách. Điều 19, Khoản 1, Điểm a
2 Giải quyết tình trạng khẩn cấp, an ninh quốc gia, phòng chống tội phạm. Điều 19, Khoản 1, Điểm b
3 Phục vụ hoạt động của cơ quan nhà nước. Điều 19, Khoản 1, Điểm c
4 Thực hiện nghĩa vụ theo hợp đồng. Điều 19, Khoản 1, Điểm d

Khi chủ thể dữ liệu thực hiện quyền này, doanh nghiệp có thể phải tiến hành yêu cầu xóa dữ liệu cá nhân tương ứng nếu không còn cơ sở pháp lý nào khác để lưu trữ.

DPVN: Đồng Hành Cùng Doanh Nghiệp Xây Dựng Quy Trình Tuân Thủ

Xây dựng một quy trình đáp ứng quyền rút lại sự đồng ý vừa tuân thủ pháp luật vừa hiệu quả vận hành là một yêu cầu cấp thiết. Một quy trình thiếu sót có thể đẩy doanh nghiệp vào các rủi ro pháp lý không đáng có.

Tại DPVN, với sự dẫn dắt của Luật sư Nguyễn Lâm Sơn, chúng tôi cung cấp dịch vụ tư vấn toàn diện, từ việc rà soát thỏa thuận, xây dựng chính sách, đến việc hoàn thiện hồ sơ đánh giá tác động xử lý dữ liệu cá nhân. Hãy liên hệ với chúng tôi để được hỗ trợ:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Câu hỏi thường gặp về Quyền rút lại sự đồng ý

1. Rút lại sự đồng ý có mất phí không?

Không. Việc thực hiện quyền rút lại sự đồng ý là hoàn toàn miễn phí. Doanh nghiệp không được phép thu bất kỳ khoản phí nào cho việc xử lý yêu cầu này.

2. Doanh nghiệp có bao nhiêu thời gian để xử lý yêu cầu?

Điều 4 Khoản 5 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định rằng Bên kiểm soát phải “kịp thời thực hiện” yêu cầu. Mặc dù chưa có con số chính xác, doanh nghiệp nên đặt mục tiêu xử lý trong thời gian ngắn nhất có thể, ví dụ như 72 giờ, để thể hiện sự tuân thủ tốt.

3. Tôi có thể rút lại sự đồng ý cho một phần các hoạt động xử lý không?

Có. Chủ thể dữ liệu hoàn toàn có quyền rút lại sự đồng ý cho một hoặc một vài mục đích xử lý cụ thể, trong khi vẫn duy trì sự đồng ý cho các mục đích khác.

4. Nếu doanh nghiệp không tuân thủ, tôi phải làm gì?

Bạn có quyền khiếu nại, tố cáo đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an, hoặc khởi kiện ra tòa án để bảo vệ quyền lợi hợp pháp của mình.

5. Sự im lặng của khách hàng có được coi là đồng ý không?

Không. Cả Nghị định 13 và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đều quy định rất rõ tại Điều 9 Khoản 4 Điểm d: Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.

Nguồn tham khảo:

  1. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15:
  2. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/
  3. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn/
  4. Information Commissioner’s Office (UK), Right to withdraw consent: https://ico.org.uk/
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486