Thời gian thực hiện quyền của chủ thể dữ liệu là bao lâu? Đây là câu hỏi cốt lõi mà mọi doanh nghiệp cần nắm rõ để thiết lập quy trình vận hành tuân thủ Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. DPVN sẽ cung cấp hướng dẫn chi tiết về các mốc thời gian bắt buộc cho từng loại yêu cầu (xóa, chỉnh sửa, cung cấp dữ liệu…), giúp Quý doanh nghiệp tránh các rủi ro pháp lý do chậm trễ.
Cập nhật quan trọng 2026: Bài viết này dựa trên các quy định mới nhất của Nghị định 356/2025/NĐ-CP, thay thế hoàn toàn các hướng dẫn cũ theo Nghị định 13/2023/NĐ-CP. Doanh nghiệp cần đặc biệt lưu ý sự thay đổi về thời hạn xử lý.
Doanh nghiệp phải phản hồi xác nhận yêu cầu của chủ thể dữ liệu trong bao lâu?
Theo quy định tại Điều 5 Nghị định 356/2025/NĐ-CP, Bên Kiểm soát dữ liệu hoặc Bên Kiểm soát và xử lý dữ liệu phải phản hồi xác nhận đã nhận yêu cầu của chủ thể dữ liệu trong thời hạn 02 ngày làm việc kể từ khi nhận được yêu cầu hợp lệ.
Việc phản hồi nhanh chóng không chỉ là nghĩa vụ pháp lý mà còn thể hiện sự tôn trọng của doanh nghiệp đối với quyền được biết của chủ thể dữ liệu. Trong phản hồi này, doanh nghiệp cần thông báo rõ ràng về quy trình xử lý tiếp theo và thời gian dự kiến hoàn thành. DPVN khuyến nghị các doanh nghiệp nên thiết lập hệ thống phản hồi tự động (Auto-reply) để đảm bảo tuân thủ mốc thời gian 48 giờ làm việc này, tránh sai sót do con người.
Thời hạn cụ thể để hoàn thành việc thực hiện từng quyền là bao nhiêu ngày?
Thời hạn xử lý khác nhau tùy thuộc vào loại yêu cầu: 10 ngày đối với quyền xem, chỉnh sửa, cung cấp dữ liệu; 15 ngày đối với quyền rút lại sự đồng ý, hạn chế xử lý, phản đối xử lý; và 20 ngày đối với quyền xóa dữ liệu. (Căn cứ Điều 5 Nghị định 356/2025/NĐ-CP).
Để giúp Quý doanh nghiệp dễ dàng theo dõi và thiết lập SLA (Service Level Agreement) nội bộ, DPVN tổng hợp bảng thời hạn chi tiết dưới đây:
| Loại Quyền Của Chủ Thể Dữ Liệu | Thời Hạn Xử Lý (Ngày) | Ghi Chú |
|---|---|---|
| Quyền Xem, Chỉnh sửa, Cung cấp dữ liệu | 10 ngày | Tính từ ngày nhận yêu cầu hợp lệ. |
| Quyền Rút lại sự đồng ý, Hạn chế xử lý, Phản đối xử lý | 15 ngày | Cần lưu ý các ngoại lệ theo Điều 19 Luật 91/2025. |
| Quyền Xóa dữ liệu | 20 ngày | Thời hạn dài hơn do tính chất phức tạp và không thể đảo ngược. |
Việc triển khai quyền của chủ thể dữ liệu cần được tích hợp sâu vào hệ thống quản lý dữ liệu của doanh nghiệp. Ví dụ, khi nhận được yêu cầu xóa dữ liệu, hệ thống cần tự động kích hoạt quy trình rà soát trên toàn bộ cơ sở dữ liệu để đảm bảo xóa triệt để trong vòng 20 ngày.
Thời gian xử lý thay đổi thế nào khi có sự tham gia của Bên thứ ba?
Khi yêu cầu liên quan đến Bên xử lý dữ liệu hoặc Bên thứ ba, thời hạn được kéo dài thêm để đảm bảo sự phối hợp: 15 ngày đối với quyền chỉnh sửa; 20 ngày đối với quyền rút lại sự đồng ý, hạn chế xử lý; và 30 ngày đối với quyền xóa, cung cấp dữ liệu.
Trong mô hình kinh doanh hiện đại, việc chia sẻ dữ liệu với đối tác (ví dụ: đơn vị vận chuyển, cổng thanh toán, đơn vị marketing) là rất phổ biến. Bên thứ ba trong hoạt động xử lý dữ liệu cá nhân là ai? Họ là các mắt xích quan trọng mà Bên Kiểm soát phải có trách nhiệm thông báo và yêu cầu thực hiện đồng bộ.
Luật pháp cho phép thêm thời gian (thường là cộng thêm 5-10 ngày so với quy trình nội bộ) để Bên Kiểm soát có thể làm việc với các bên liên quan. Tuy nhiên, trách nhiệm cuối cùng vẫn thuộc về Bên Kiểm soát. Do đó, trong hợp đồng hợp tác, doanh nghiệp cần quy định rõ ràng về SLA phản hồi của đối tác để không bị vỡ tiến độ chung.
Doanh nghiệp có được gia hạn thời gian xử lý không?
Có. Tùy theo tính chất phức tạp của yêu cầu, doanh nghiệp được phép gia hạn tối đa 01 lần. Thời gian gia hạn không quá 10 ngày (đối với quyền xem, chỉnh sửa), 15 ngày (đối với quyền rút lại sự đồng ý) hoặc 20 ngày (đối với quyền xóa).
Tuy nhiên, quyền gia hạn này không phải là “tấm vé miễn trừ” để trì hoãn. Doanh nghiệp bắt buộc phải:
- Thông báo cho chủ thể dữ liệu biết về việc gia hạn và lý do cụ thể trước khi hết hạn xử lý ban đầu.
- Chịu trách nhiệm chứng minh rằng việc gia hạn là cần thiết và hợp lý (ví dụ: khối lượng dữ liệu quá lớn, yêu cầu kỹ thuật phức tạp…).
Nếu doanh nghiệp không thông báo hoặc lý do gia hạn không thuyết phục, việc chậm trễ sẽ bị coi là vi phạm pháp luật.
Hậu quả pháp lý khi chậm trễ thực hiện quyền là gì?
Việc không thực hiện hoặc thực hiện chậm trễ yêu cầu của chủ thể dữ liệu mà không có lý do chính đáng sẽ bị coi là hành vi vi phạm hành chính, có thể bị phạt tiền lên đến 3 tỷ đồng (đối với vi phạm về quyền xóa dữ liệu nhạy cảm) hoặc bị truy cứu trách nhiệm hình sự tùy theo mức độ nghiêm trọng.
Theo quy định xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân, sự chậm trễ không chỉ gây thiệt hại về tài chính mà còn ảnh hưởng nghiêm trọng đến uy tín thương hiệu. Hơn nữa, chủ thể dữ liệu có quyền khiếu nại lên Bộ Công an hoặc khởi kiện ra tòa án để yêu cầu bồi thường thiệt hại.
Doanh nghiệp của bạn đã sẵn sàng đáp ứng các mốc thời gian này chưa?
Đừng để sự chậm trễ trong quy trình xử lý biến thành rủi ro pháp lý. Hãy để các chuyên gia của DPVN hỗ trợ bạn xây dựng quy trình phản hồi tự động và tuân thủ tối ưu.
DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân
Hotline: 0982976486
Email: info@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp (FAQ)
1. Thời gian 10 ngày hay 20 ngày được tính theo ngày làm việc hay ngày lịch?
Theo thông lệ và cách hiểu luật, nếu văn bản ghi là “ngày” thì thường được hiểu là ngày lịch (bao gồm cả cuối tuần). Tuy nhiên, nếu thời hạn rơi vào ngày nghỉ thì sẽ tính sang ngày làm việc tiếp theo. Nghị định 356 ghi rõ “02 ngày làm việc” cho phản hồi ban đầu, còn các thời hạn xử lý (10, 15, 20 ngày) ghi là “ngày”.
2. Nếu chủ thể dữ liệu rút lại sự đồng ý, tôi có phải xóa dữ liệu ngay lập tức không?
Không nhất thiết phải “ngay lập tức” theo nghĩa đen, nhưng phải thực hiện trong vòng 15 ngày (hoặc 20 ngày nếu liên quan bên thứ 3). Quyền rút lại sự đồng ý không áp dụng hồi tố cho các hoạt động xử lý trước đó.
3. Có trường hợp nào doanh nghiệp được từ chối thực hiện quyền không?
Có. Doanh nghiệp có thể từ chối nếu yêu cầu trái pháp luật, ảnh hưởng đến an ninh quốc gia, hoặc thuộc các trường hợp ngoại lệ theo Điều 19 Luật 91/2025. Tuy nhiên, doanh nghiệp phải thông báo lý do từ chối cho chủ thể dữ liệu.
4. Tôi cần dùng mẫu nào để thông báo cho chủ thể dữ liệu?
Hiện tại pháp luật không quy định mẫu cứng cho việc phản hồi này, nhưng doanh nghiệp cần xây dựng biểu mẫu phản hồi chuẩn hóa nội bộ, đảm bảo đầy đủ thông tin cần thiết và lưu vết bằng chứng.
5. Chi phí thực hiện quyền do ai chịu?
Về nguyên tắc, việc thực hiện quyền của chủ thể dữ liệu là miễn phí. Trừ trường hợp yêu cầu cung cấp dữ liệu lặp lại nhiều lần hoặc quá mức, doanh nghiệp có thể xem xét thu một khoản phí hợp lý để bù đắp chi phí hành chính (in ấn, sao chép…).
Nguồn tham khảo:
- Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
- Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
- Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
- DPVN: Hướng dẫn tuân thủ pháp luật về bảo vệ dữ liệu cá nhân.
- GDPR.eu: Data Subject Rights timelines.
