Thực hiện quyền của chủ thể dữ liệu cá nhân như thế nào?

Thực hiện quyền của chủ thể dữ liệu cá nhân là một quy trình pháp lý rõ ràng, trao cho mỗi cá nhân quyền kiểm soát thông tin của chính mình. Tại DPVN, chúng tôi sẽ cung cấp hướng dẫn thực hiện quyền chi tiết, giúp bạn bảo vệ quyền lợi của mình và hỗ trợ doanh nghiệp xây dựng quy trình đáp ứng tuân thủ, minh bạch.

Chủ thể dữ liệu cá nhân có những quyền cơ bản nào theo quy định pháp luật?

Theo Điều 9 Nghị định 13/2023/NĐ-CP, chủ thể dữ liệu có 11 quyền cơ bản. Các quyền này bao trùm toàn bộ vòng đời của dữ liệu, từ quyền được biết trước khi thu thập, quyền đồng ý, truy cập, chỉnh sửa, cho đến quyền yêu cầu xóa, hạn chế xử lý, phản đối, khiếu nại và yêu cầu bồi thường thiệt hại.

Pháp luật Việt Nam đã thiết lập một hành lang pháp lý vững chắc để bảo vệ quyền lợi của cá nhân. Việc hiểu rõ 11 quyền này là bước đầu tiên để cả cá nhân và doanh nghiệp có thể hành động đúng. Các quyền này được xem là nền tảng của một xã hội số văn minh và an toàn, và sẽ tiếp tục được củng cố trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.

Dưới đây là tóm tắt 11 quyền mà mọi chủ thể dữ liệu cá nhân cần nắm vững:

  • Quyền được biết: Được thông báo về hoạt động xử lý dữ liệu của mình.
  • Quyền đồng ý: Cho phép hoặc không cho phép xử lý dữ liệu.
  • Quyền truy cập: Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu.
  • Quyền rút lại sự đồng ý: Thay đổi quyết định đã đồng ý trước đó.
  • Quyền xóa dữ liệu: Yêu cầu xóa bỏ dữ liệu của mình.
  • Quyền hạn chế xử lý dữ liệu: Yêu cầu tạm ngưng xử lý dữ liệu.
  • Quyền cung cấp dữ liệu: Yêu cầu cung cấp bản sao dữ liệu của mình.
  • Quyền phản đối xử lý dữ liệu: Phản đối việc xử lý cho các mục đích cụ thể như marketing.
  • Quyền khiếu nại, tố cáo, khởi kiện.
  • Quyền yêu cầu bồi thường thiệt hại.
  • Quyền tự bảo vệ.

Thủ tục chung để thực hiện các quyền của chủ thể dữ liệu cá nhân là gì?

Thủ tục chung bao gồm ba bước: (1) Chuẩn bị một văn bản yêu cầu chính thức, nêu rõ quyền muốn thực hiện và thông tin định danh; (2) Gửi yêu cầu đến Bên Kiểm soát dữ liệu qua các kênh liên lạc chính thức; (3) Doanh nghiệp có trách nhiệm phản hồi và thực hiện yêu cầu trong thời hạn 72 giờ, trừ trường hợp pháp luật có quy định khác.

Để đảm bảo yêu cầu của bạn được xử lý nhanh chóng và đúng quy định, việc tuân thủ một trình tự rõ ràng là rất cần thiết. Dưới đây là hướng dẫn chi tiết cho từng bước.

Bước 1: Soạn thảo văn bản yêu cầu

Đối với một số quyền như quyền cung cấp dữ liệu, pháp luật đã có mẫu phiếu chính thức. Đối với các quyền khác, bạn có thể soạn một văn bản với các nội dung tương tự.

  • Đối với Quyền Cung cấp dữ liệu: Bắt buộc sử dụng Mẫu phiếu yêu cầu cung cấp dữ liệu cá nhân (Mẫu số 01 cho cá nhân, Mẫu số 02 cho tổ chức) ban hành kèm Nghị định 13/2023/NĐ-CP.
  • Đối với các Quyền khác (Xóa, Rút lại sự đồng ý, Phản đối…): Soạn thảo một văn bản hoặc email có các nội dung chính sau:
    • Thông tin định danh của bạn (Họ tên, CCCD, thông tin liên lạc đã đăng ký).
    • Tên của tổ chức mà bạn gửi yêu cầu.
    • Nêu rõ quyền bạn muốn thực hiện (ví dụ: “Tôi yêu cầu rút lại sự đồng ý cho việc nhận email marketing”).
    • Căn cứ pháp lý (ví dụ: “Căn cứ theo Quyền rút lại sự đồng ý tại Khoản 4, Điều 9 Nghị định 13/2023/NĐ-CP”).

Bước 2: Gửi yêu cầu đến Bên Kiểm soát Dữ liệu

Sử dụng các kênh liên lạc chính thức mà doanh nghiệp đã công bố trong chính sách bảo vệ dữ liệu của họ.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Trong quá trình tư vấn cho các doanh nghiệp, chúng tôi luôn nhấn mạnh tầm quan trọng của việc thiết lập một kênh tiếp nhận yêu cầu tập trung, ví dụ như một địa chỉ email duy nhất như `privacy@tencongty.com`. Đối với người dùng, hãy ưu tiên sử dụng kênh này và lưu lại email đã gửi. Đây là bằng chứng không thể chối cãi về thời điểm bạn gửi yêu cầu, làm cơ sở để tính thời hạn 72 giờ mà doanh nghiệp phải phản hồi.”

Bước 3: Trách nhiệm xử lý của doanh nghiệp

Khi nhận được yêu cầu, trách nhiệm của bên kiểm soát dữ liệu cá nhân là phải xác minh danh tính người yêu cầu và thực hiện yêu cầu trong vòng 72 giờ. Thời hạn này thể hiện sự khẩn trương và tôn trọng của pháp luật đối với quyền của chủ thể dữ liệu.

Cá nhân có quyền từ chối cung cấp thông tin cá nhân trong trường hợp nào và hậu quả là gì?

Cá nhân có quyền từ chối cung cấp thông tin cá nhân trong hầu hết các trường hợp, đặc biệt là khi dữ liệu được yêu cầu cho các mục đích không thiết yếu. Hậu quả của việc từ chối không phải là chế tài pháp lý, mà là khả năng không thể tiếp cận hoặc sử dụng một dịch vụ/sản phẩm nếu thông tin đó là cần thiết để thực hiện hợp đồng.

Quyền từ chối là một phần quan trọng của quyền đồng ý. Bạn có quyền quyết định chia sẻ thông tin nào và với ai.

  • Khi nào nên từ chối: Khi việc thu thập dữ liệu chỉ phục vụ mục đích marketing, khảo sát, hoặc khi thông tin được yêu cầu không tương xứng với dịch vụ cung cấp. Chi tiết hơn, bạn có thể tham khảo bài viết: Chủ thể dữ liệu cá nhân có quyền từ chối cung cấp thông tin không?
  • Hậu quả thực tiễn: Nếu bạn từ chối cung cấp số CCCD cho ngân hàng, bạn sẽ không thể mở tài khoản. Nếu bạn từ chối cung cấp địa chỉ cho một trang thương mại điện tử, họ sẽ không thể giao hàng. Doanh nghiệp có nghĩa vụ phải giải thích rõ những hậu quả này.
  • Trường hợp không được từ chối: Khi pháp luật bắt buộc phải cung cấp (ví dụ: nghĩa vụ thuế, đăng ký BHXH, thủ tục KYC ngân hàng).

DPVN: Hỗ trợ Doanh nghiệp Xây dựng Quy trình Đáp ứng Quyền của Chủ thể dữ liệu

Xây dựng một quy trình nội bộ (SOP) để xử lý các yêu cầu của chủ thể dữ liệu một cách nhất quán và tuân thủ là một thách thức lớn. Một quy trình hiệu quả không chỉ giúp doanh nghiệp tránh được các rủi ro pháp lý mà còn nâng cao trải nghiệm và lòng tin của khách hàng.

Đội ngũ chuyên gia tại DPVN, với kinh nghiệm thực tiễn của Luật sư Nguyễn Lâm Sơn, chuyên cung cấp dịch vụ tư vấn và xây dựng trọn gói quy trình này. Hãy tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Câu hỏi thường gặp về việc thực hiện quyền của chủ thể dữ liệu

1. Doanh nghiệp có được thu phí khi tôi thực hiện các quyền của mình không?

Đối với hầu hết các quyền (xóa, chỉnh sửa, rút lại sự đồng ý), doanh nghiệp không được thu phí. Riêng với quyền cung cấp dữ liệu, doanh nghiệp được phép thu chi phí thực tế để in, sao, chụp, gửi thông tin qua bưu chính, fax (nếu có), nhưng phải thông báo trước cho bạn.

2. Thời hạn 72 giờ được tính như thế nào?

Thời hạn 72 giờ bắt đầu được tính từ thời điểm Bên Kiểm soát dữ liệu nhận được yêu cầu hợp lệ của bạn. Đây là thời gian làm việc, không bao gồm ngày nghỉ, ngày lễ theo quy định.

3. Làm thế nào để doanh nghiệp xác minh tôi là chủ thể dữ liệu?

Doanh nghiệp có quyền và nghĩa vụ áp dụng các biện pháp hợp lý để xác minh danh tính của bạn trước khi thực hiện yêu cầu. Họ có thể yêu cầu bạn cung cấp thông tin đã đăng ký (email, SĐT) hoặc bản sao giấy tờ tùy thân. Tuy nhiên, yêu cầu xác minh không được quá phức tạp và phải tương xứng với mức độ nhạy cảm của dữ liệu.

4. Nếu tôi thực hiện quyền của mình, doanh nghiệp có được phân biệt đối xử với tôi không?

Không. Doanh nghiệp không được từ chối cung cấp hàng hóa, dịch vụ, hoặc đưa ra mức giá hay chất lượng khác biệt chỉ vì bạn đã thực hiện các quyền của mình theo luật định. Đây là một hành vi vi phạm nguyên tắc công bằng trong xử lý dữ liệu.

5. Cần làm gì nếu doanh nghiệp không đáp ứng yêu cầu của tôi?

Nếu doanh nghiệp không phản hồi trong 72 giờ hoặc từ chối yêu cầu của bạn mà không có căn cứ pháp lý rõ ràng, bạn nên thực hiện các bước sau: (1) Gửi văn bản khiếu nại chính thức đến doanh nghiệp. (2) Nếu không được giải quyết, gửi khiếu nại đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05). (3) Khởi kiện ra Tòa án có thẩm quyền để bảo vệ quyền lợi.

Nguồn tham khảo:

  1. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  3. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/
  4. Individual rights under the GDPR – Information Commissioner’s Office (UK): https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/
  5. Bộ luật Dân sự 2015: https://thuvienphapluat.vn/van-ban/Quyen-dan-su/Bo-luat-dan-su-2015-296249.aspx
Liên hệ với DPVN để được tư vấn miễn phí