Thực hiện quyền của chủ thể dữ liệu cá nhân như thế nào?

Thực hiện quyền của chủ thể dữ liệu cá nhân là một quy trình pháp lý rõ ràng, trao cho mỗi cá nhân quyền kiểm soát thông tin của chính mình. Tại DPVN, chúng tôi sẽ cung cấp hướng dẫn thực hiện quyền chi tiết, giúp bạn bảo vệ quyền lợi của mình và hỗ trợ doanh nghiệp xây dựng quy trình đáp ứng tuân thủ, minh bạch.

Pháp luật Việt Nam đã thiết lập một hành lang pháp lý vững chắc để bảo vệ quyền lợi của cá nhân. Việc hiểu rõ 11 quyền này là bước đầu tiên để cả cá nhân và doanh nghiệp có thể hành động đúng. Các quyền này được xem là nền tảng của một xã hội số văn minh và an toàn, và sẽ tiếp tục được củng cố trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.

Dưới đây là tóm tắt 11 quyền mà mọi chủ thể dữ liệu cá nhân cần nắm vững:

• Quyền được biết: Được thông báo về hoạt động xử lý dữ liệu của mình.
• Quyền đồng ý: Cho phép hoặc không cho phép xử lý dữ liệu.
• Quyền truy cập: Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu.
• Quyền rút lại sự đồng ý: Thay đổi quyết định đã đồng ý trước đó.
• Quyền xóa dữ liệu: Yêu cầu xóa bỏ dữ liệu của mình.
• Quyền hạn chế xử lý dữ liệu: Yêu cầu tạm ngưng xử lý dữ liệu.
• Quyền cung cấp dữ liệu: Yêu cầu cung cấp bản sao dữ liệu của mình.
• Quyền phản đối xử lý dữ liệu: Phản đối việc xử lý cho các mục đích cụ thể như marketing.
• Quyền khiếu nại, tố cáo, khởi kiện.
• Quyền yêu cầu bồi thường thiệt hại.
• Quyền tự bảo vệ.

Để đảm bảo yêu cầu của bạn được xử lý nhanh chóng và đúng quy định, việc tuân thủ một trình tự rõ ràng là rất cần thiết. Dưới đây là hướng dẫn chi tiết cho từng bước.

Bước 1: Soạn thảo văn bản yêu cầu

Đối với một số quyền như quyền cung cấp dữ liệu, pháp luật đã có mẫu phiếu chính thức. Đối với các quyền khác, bạn có thể soạn một văn bản với các nội dung tương tự.

• Đối với Quyền Cung cấp dữ liệu: Bắt buộc sử dụng Mẫu phiếu yêu cầu cung cấp dữ liệu cá nhân (Mẫu số 01 cho cá nhân, Mẫu số 02 cho tổ chức) ban hành kèm Nghị định 13/2023/NĐ-CP.
• Đối với các Quyền khác (Xóa, Rút lại sự đồng ý, Phản đối…): Soạn thảo một văn bản hoặc email có các nội dung chính sau:
  • Thông tin định danh của bạn (Họ tên, CCCD, thông tin liên lạc đã đăng ký).
  • Tên của tổ chức mà bạn gửi yêu cầu.
  • Nêu rõ quyền bạn muốn thực hiện (ví dụ: “Tôi yêu cầu rút lại sự đồng ý cho việc nhận email marketing”).
  • Căn cứ pháp lý (ví dụ: “Căn cứ theo Quyền rút lại sự đồng ý tại Khoản 4, Điều 9 Nghị định 13/2023/NĐ-CP”).

Bước 2: Gửi yêu cầu đến Bên Kiểm soát Dữ liệu

Sử dụng các kênh liên lạc chính thức mà doanh nghiệp đã công bố trong chính sách bảo vệ dữ liệu của họ.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Trong quá trình tư vấn cho các doanh nghiệp, chúng tôi luôn nhấn mạnh tầm quan trọng của việc thiết lập một kênh tiếp nhận yêu cầu tập trung, ví dụ như một địa chỉ email duy nhất như `privacy@tencongty.com`. Đối với người dùng, hãy ưu tiên sử dụng kênh này và lưu lại email đã gửi. Đây là bằng chứng không thể chối cãi về thời điểm bạn gửi yêu cầu, làm cơ sở để tính thời hạn 72 giờ mà doanh nghiệp phải phản hồi.”

Bước 3: Trách nhiệm xử lý của doanh nghiệp

Khi nhận được yêu cầu, trách nhiệm của bên kiểm soát dữ liệu cá nhân là phải xác minh danh tính người yêu cầu và thực hiện yêu cầu trong vòng 72 giờ. Thời hạn này thể hiện sự khẩn trương và tôn trọng của pháp luật đối với quyền của chủ thể dữ liệu.

Quyền từ chối là một phần quan trọng của quyền đồng ý. Bạn có quyền quyết định chia sẻ thông tin nào và với ai.

• Khi nào nên từ chối: Khi việc thu thập dữ liệu chỉ phục vụ mục đích marketing, khảo sát, hoặc khi thông tin được yêu cầu không tương xứng với dịch vụ cung cấp. Chi tiết hơn, bạn có thể tham khảo bài viết: Chủ thể dữ liệu cá nhân có quyền từ chối cung cấp thông tin không?
• Hậu quả thực tiễn: Nếu bạn từ chối cung cấp số CCCD cho ngân hàng, bạn sẽ không thể mở tài khoản. Nếu bạn từ chối cung cấp địa chỉ cho một trang thương mại điện tử, họ sẽ không thể giao hàng. Doanh nghiệp có nghĩa vụ phải giải thích rõ những hậu quả này.
• Trường hợp không được từ chối: Khi pháp luật bắt buộc phải cung cấp (ví dụ: nghĩa vụ thuế, đăng ký BHXH, thủ tục KYC ngân hàng).

DPVN: Hỗ trợ Doanh nghiệp Xây dựng Quy trình Đáp ứng Quyền của Chủ thể dữ liệu

Xây dựng một quy trình nội bộ (SOP) để xử lý các yêu cầu của chủ thể dữ liệu một cách nhất quán và tuân thủ là một thách thức lớn. Một quy trình hiệu quả không chỉ giúp doanh nghiệp tránh được các rủi ro pháp lý mà còn nâng cao trải nghiệm và lòng tin của khách hàng.

Đội ngũ chuyên gia tại DPVN, với kinh nghiệm thực tiễn của Luật sư Nguyễn Lâm Sơn, chuyên cung cấp dịch vụ tư vấn và xây dựng trọn gói quy trình này. Hãy tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Nguồn tham khảo:

1. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
3. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/
4. Individual rights under the GDPR – Information Commissioner’s Office (UK): https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/
5. Bộ luật Dân sự 2015: https://thuvienphapluat.vn/van-ban/Quyen-dan-su/Bo-luat-dan-su-2015-296249.aspx