Bài viết pháp lý

MỘT SỐ QUY ĐỊNH VỀ XỬ LÝ DỮ LIỆU CÁ NHÂN

Một số quy định về xử lý dữ liệu cá nhân
02
Mar

Trong thời đại kinh tế số phát triển mạnh mẽ như hiện nay, việc khai thác và sử dụng dữ liệu cá nhân đã trở thành nhu cầu phổ biến của nhiều tổ chức, doanh nghiệp. Tuy nhiên, trên thực tế không ít chủ thể thu thập và xử lý dữ liệu cá nhân của khách hàng chưa đảm bảo tuân thủ quy định pháp luật, thể hiện qua việc không xác định rõ các luồng xử lý dữ liệu chỉnh sửa, cung cấp, công khai dữ liệu cá nhân hoặc việc chuyển giao dữ liệu cho bên thứ ba. Do đó, việc tìm hiểu các quy định pháp luật về xử lý dữ liệu cá nhân là cần thiết nhằm bảo vệ quyền và lợi ích hợp pháp của cá nhân, đồng thời đảm bảo trách nhiệm tuân thủ pháp luật của các tổ chức, doanh nghiệp.

Mời Quý bạn đọc cùng Hãng Luật Bạch Tuyết tìm hiểu thông qua bài viết với chủ đề “Một số quy định về xử lý dữ liệu cá nhân” dưới đây.

*Bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân được quy định từ Điều 9 đến Điều 23 Luật Bảo vệ dữ liệu cá nhân 2025. Trong bài viết này, tác giả tập trung trình bày các quy định liên quan đến các hoạt động chỉnh sửa, xóa, hủy, khử nhận dạng, cung cấp, công khai, chuyển giao và các hoạt động khác trong xử lý dữ liệu cá nhân.

1. Chỉnh sửa dữ liệu cá nhân

– Chủ thể dữ liệu cá nhân được tự mình chỉnh sửa dữ liệu cá nhân của mình đối với một số loại dữ liệu cá nhân theo thỏa thuận với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân; đề nghị bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình.

– Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân sau khi chủ thể dữ liệu cá nhân yêu cầu hoặc chỉnh sửa dữ liệu cá nhân theo quy định của pháp luật; yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu cá nhân.

– Việc chỉnh sửa dữ liệu cá nhân phải bảo đảm tính chính xác. Trường hợp không thể chỉnh sửa dữ liệu cá nhân vì lý do chính đáng, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải thông báo để cơ quan, tổ chức, cá nhân yêu cầu biết.

2. Xóa, hủy, khử nhận dạng dữ liệu cá nhân

(1) Việc xóa, hủy dữ liệu cá nhân được thực hiện trong các trường hợp sau đây:

  • Chủ thể dữ liệu cá nhân có yêu cầu và chấp nhận các rủi ro, thiệt hại có thể xảy ra đối với mình. Yêu cầu của chủ thể dữ liệu cá nhân trong trường hợp này phải tuân thủ đầy đủ các nguyên tắc quy định tại khoản 3 Điều 4 của Luật Bảo vệ dữ liệu cá nhân 2025;
  • Đã hoàn thành mục đích xử lý dữ liệu cá nhân;
  • Hết thời hạn lưu trữ theo quy định của pháp luật;
  • Thực hiện theo quyết định của cơ quan nhà nước có thẩm quyền;
  • Thực hiện theo thỏa thuận;
  • Trường hợp khác theo quy định của pháp luật.

(2) Không thực hiện yêu cầu của chủ thể dữ liệu cá nhân về việc xóa, hủy dữ liệu cá nhân trong các trường hợp quy định tại Điều 19 Luật Bảo vệ dữ liệu cá nhân 2025 (Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu cá nhân) hoặc việc xóa, hủy dữ liệu cá nhân vi phạm quy định tại khoản 3 Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025.

(tham khảo bài viết ….)

(3) Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân xóa, hủy dữ liệu cá nhân trong các trường hợp quy định tại mục (1) phần 2 này hoặc yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba xóa, hủy dữ liệu cá nhân của chủ thể dữ liệu cá nhân. Việc xóa, hủy dữ liệu cá nhân phải được thực hiện bằng các biện pháp an toàn; ngăn chặn hoạt động xâm nhập và khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy.

(4) Cơ quan, tổ chức, cá nhân không được cố ý khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy.

(5) Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân có trách nhiệm tuân thủ quy định của Luật này. Trường hợp không thể xóa, hủy dữ liệu cá nhân vì lý do chính đáng sau khi nhận được yêu cầu của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải thông báo để chủ thể dữ liệu cá nhân biết.

(6) Việc khử nhận dạng dữ liệu cá nhân được quy định như sau:

  • Cơ quan, tổ chức, cá nhân khử nhận dạng dữ liệu cá nhân có trách nhiệm kiểm soát và giám sát chặt chẽ quá trình khử nhận dạng dữ liệu cá nhân; ngăn chặn việc truy cập trái phép, sao chép, chiếm đoạt, làm lộ, làm mất dữ liệu cá nhân trong quá trình khử nhận dạng;
  • Không được tái nhận dạng dữ liệu cá nhân sau khi đã được khử nhận dạng, trừ trường hợp pháp luật có quy định khác;
  • Việc khử nhận dạng dữ liệu cá nhân tuân thủ quy định của Luật Bảo vệ dữ liệu cá nhân và quy định khác của pháp luật có liên quan.

3. Cung cấp dữ liệu cá nhân

Điều 15 Luật Bảo vệ dữ liệu cá nhân 2025 quy định về việc cung cấp dữ liệu cá nhân như sau:

(1) Chủ thể dữ liệu cá nhân cung cấp dữ liệu cá nhân cho cơ quan, tổ chức, cá nhân theo quy định của pháp luật hoặc theo thỏa thuận với cơ quan, tổ chức, cá nhân đó.

(2) Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân cung cấp dữ liệu cá nhân trong các trường hợp sau đây:

  • Cung cấp cho chủ thể dữ liệu cá nhân theo yêu cầu của chủ thể dữ liệu cá nhân phù hợp quy định của pháp luật, thỏa thuận với chủ thể dữ liệu, trừ trường hợp việc cung cấp đó có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, tài sản của người khác;
  • Cung cấp cho cơ quan, tổ chức, cá nhân khác khi được chủ thể dữ liệu cá nhân đồng ý, trừ trường hợp pháp luật có quy định khác.

4. Công khai dữ liệu cá nhân

Điều 16 Luật Bảo vệ dữ liệu cá nhân 2025 quy định về việc công khai dữ liệu cá nhân như sau:

(1) Dữ liệu cá nhân chỉ được công khai với mục đích cụ thể. Phạm vi công khai, loại dữ liệu cá nhân được công khai phải phù hợp với mục đích công khai. Việc công khai dữ liệu cá nhân không được xâm phạm đến quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.

(2) Dữ liệu cá nhân chỉ được công khai trong các trường hợp sau đây:

  • Khi có sự đồng ý của chủ thể dữ liệu cá nhân;
  • Thực hiện theo quy định của pháp luật;
  • Trường hợp quy định tại điểm b khoản 1 Điều 19 Luật Bảo vệ dữ liệu cá nhân 2025 (Để giải quyết tình trạng khẩn cấp; nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật);
  • Thực hiện nghĩa vụ theo hợp đồng.

(3) Dữ liệu cá nhân công khai phải bảo đảm phản ánh đúng dữ liệu cá nhân từ nguồn dữ liệu gốc và tạo thuận lợi cho cơ quan, tổ chức, cá nhân trong việc tiếp cận, khai thác, sử dụng.

(4) Hình thức công khai dữ liệu cá nhân, bao gồm: đăng tải dữ liệu trên trang thông tin điện tử, cổng thông tin điện tử, phương tiện thông tin đại chúng và các hình thức khác theo quy định của pháp luật.

(5) Cơ quan, tổ chức, cá nhân công khai dữ liệu cá nhân phải kiểm soát và giám sát chặt chẽ việc công khai dữ liệu cá nhân để bảo đảm tuân thủ đúng mục đích, phạm vi và quy định của pháp luật; ngăn chặn việc truy cập, sử dụng, tiết lộ, sao chép, sửa đổi, xóa, hủy hoặc các hành vi xử lý trái phép khác đối với dữ liệu cá nhân đã công khai trong khả năng, điều kiện của mình.

5. Chuyển giao dữ liệu cá nhân

Điều 17 Luật Bảo vệ dữ liệu cá nhân 2025 quy định về việc chuyển giao dữ liệu cá nhân như sau:

(1) Việc chuyển giao dữ liệu cá nhân được thực hiện trong các trường hợp sau đây:

  • Chuyển giao dữ liệu cá nhân khi có sự đồng ý của chủ thể dữ liệu cá nhân;
  • Chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập;
  • Chuyển giao dữ liệu cá nhân để tiếp tục xử lý dữ liệu cá nhân trong trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính và tổ chức lại, chuyển đổi hình thức sở hữu doanh nghiệp nhà nước; chia, tách, sáp nhập, hợp nhất, kết thúc hoạt động đơn vị, tổ chức; đơn vị, tổ chức được thành lập trên cơ sở kết thúc hoạt động của đơn vị, tổ chức khác;
  • Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao dữ liệu cá nhân cho bên xử lý dữ liệu cá nhân, bên thứ ba để xử lý dữ liệu cá nhân theo quy định;
  • Chuyển giao dữ liệu cá nhân theo yêu cầu của cơ quan nhà nước có thẩm quyền;
  • Chuyển giao dữ liệu cá nhân trong các trường hợp quy định tại khoản 1 Điều 19 Luật Bảo vệ dữ liệu cá nhân 2025.

“Điều 19. Xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu cá nhân

1. Các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân bao gồm:

a) Để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác trong trường hợp cấp bách; bảo vệ quyền hoặc lợi ích chính đáng của mình, của người khác hoặc lợi ích của Nhà nước, của cơ quan tổ chức một cách cần thiết trước hành vi xâm phạm lợi ích nói trên. Bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba có trách nhiệm chứng minh trường hợp này;

b) Để giải quyết tình trạng khẩn cấp; nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;

c) Phục vụ hoạt động của cơ quan nhà nước, hoạt động quản lý nhà nước theo quy định của pháp luật;

d) Thực hiện thỏa thuận của chủ thể dữ liệu cá nhân với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật;

đ) Trường hợp khác theo quy định của pháp luật.”

(2) Việc chuyển giao dữ liệu cá nhân trong các trường hợp quy định tại mục (1) phần 5 này có thu phí hoặc không thu phí thì không được xác định là mua, bán dữ liệu cá nhân.

(3) Việc chuyển giao dữ liệu cá nhân được hướng dẫn cụ thể tại Điều 7 Nghị định 356/2025/NĐ-CP

Điều 7. Chuyển giao dữ liệu cá nhân

1. Tổ chức, cá nhân chuyển giao dữ liệu cá nhân theo điểm a, điểm c, điểm d khoản 1 Điều 17 của Luật Bảo vệ dữ liệu cá nhân phải xác lập thỏa thuận về việc chuyển giao dữ liệu cá nhân với bên nhận dữ liệu cá nhân, trong đó nêu rõ các nội dung sau:

a) Mục đích chuyển giao dữ liệu cá nhân;

b) Đối tượng chủ thể dữ liệu cá nhân và loại dữ liệu cá nhân được chuyển giao phù hợp với mục đích chuyển giao;

c) Thời hạn xử lý dữ liệu cá nhân, yêu cầu về xóa, hủy dữ liệu cá nhân sau khi hoàn thành mục đích chuyển giao;

d) Cơ sở pháp lý của việc chuyển giao dữ liệu cá nhân;

đ) Trách nhiệm bảo vệ dữ liệu cá nhân trong quá trình chuyển giao, xử lý dữ liệu cá nhân;

e) Trách nhiệm thực hiện các quyền của chủ thể dữ liệu cá nhân;

g) Trách nhiệm phối hợp và tuân thủ của các bên trong trường hợp phát hiện vi phạm quy định bảo vệ dữ liệu cá nhân.

2. Việc chuyển giao dữ liệu cá nhân nhạy cảm phải có biện pháp bảo mật vật lý đối với thiết bị lưu trữ và truyền tải, biện pháp mã hóa, ẩn danh dữ liệu cá nhân và các biện pháp bảo mật khác trong quá trình chuyển giao.

3. Trường hợp chuyển giao dữ liệu cá nhân theo điểm a, điểm d khoản 1 Điều 17 của Luật Bảo vệ dữ liệu cá nhân có thu phí để cung cấp dịch vụ cho chủ thể dữ liệu cá nhân hoặc để phục vụ lợi ích hợp pháp của chủ thể dữ liệu cá nhân, tổ chức, cá nhân tuân thủ các quy định như sau:

a) Phải thiết lập hệ thống kỹ thuật, cơ chế minh bạch để chủ thể dữ liệu cá nhân đồng ý chính xác, rõ ràng theo từng lần chuyển giao, trên cơ sở được biết chính xác mục đích chuyển giao, tổ chức, cá nhân tiếp nhận và xử lý dữ liệu cá nhân;

b) Chỉ được xử lý dữ liệu cá nhân đúng cho mục đích chuyển giao được chủ thể dữ liệu cá nhân đồng ý, phù hợp với ngành, nghề đăng ký kinh doanh;

c) Loại dữ liệu cá nhân chuyển giao phải giới hạn trong phạm vi mục đích chuyển giao;

d) Không được thu thập, lưu trữ, hình thành kho dữ liệu cá nhân từ hoạt động chuyển giao dữ liệu cá nhân để sử dụng cho các mục đích khác ngoài các mục đích đã được chủ thể dữ liệu cá nhân đồng ý;

đ) Xác định rõ vai trò bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba trong hoạt động chuyển giao dữ liệu cá nhân;

e) Phải có thỏa thuận chuyển giao, xử lý dữ liệu cá nhân trước khi chuyển và cam kết trách nhiệm, nghĩa vụ với chủ thể dữ liệu cá nhân.

3. Trường hợp chia sẻ dữ liệu cá nhân giữa các bộ phận trong cùng một cơ quan, tổ chức để xử lý dữ liệu cá nhân phù hợp với mục đích xử lý đã xác lập, cơ quan, tổ chức phải xây dựng quy trình kiểm soát việc chia sẻ, sử dụng dữ liệu cá nhân đúng quy định; có biện pháp phòng, chống việc nhân sự nội bộ cơ quan, tổ chức chia sẻ trái phép dữ liệu cá nhân với bên thứ ba.

4. Dữ liệu cá nhân phải được khử nhận dạng trước khi giao dịch trên sàn dữ liệu.

5. Cơ quan, tổ chức, cá nhân thực hiện cung cấp dữ liệu cá nhân theo khoản 2 Điều 15 của Luật Bảo vệ dữ liệu cá nhân dựa trên từng yêu cầu cụ thể của chủ thể dữ liệu thì không được coi là chuyển giao dữ liệu và không phải thực hiện theo quy định tại Điều này.”.

6. Các hoạt động khác trong xử lý dữ liệu cá nhân

Điều 18 Luật Bảo vệ dữ liệu cá nhân 2025 quy định về các hoạt động khác trong xử lý dữ liệu cá nhân như sau:

– Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và có biện pháp bảo vệ dữ liệu cá nhân trong quá trình lưu trữ theo quy định của pháp luật.

– Việc lưu trữ, truy cập, truy xuất, kết nối, điều phối, xác nhận, xác thực dữ liệu cá nhân, hoạt động khác tác động đến dữ liệu cá nhân thực hiện theo quy định của Luật này, pháp luật về dữ liệu, các quy định khác của pháp luật có liên quan và theo thỏa thuận giữa các bên.

– Ưu tiên khai thác, sử dụng dữ liệu cá nhân vào hoạt động phục vụ quản lý nhà nước, hoạt động của các đơn vị sự nghiệp công lập để phục vụ thí điểm một số cơ chế, chính sách đặc biệt tạo đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia.

Bài viết trên được Hãng Luật Bạch Tuyết biên soạn nhằm cung cấp thông tin tham khảo về chủ đề “Một số quy định về xử lý dữ liệu cá nhân”. Nội dung không phải là ý kiến tư vấn pháp lý cho một trường hợp cụ thể. Các quy định pháp luật được trích dẫn có hiệu lực tại thời điểm đăng tải, tuy nhiên có thể đã được sửa đổi, bổ sung hoặc thay thế sau đó. Vì vậy, Quý khách hàng nên tham khảo ý kiến chuyên gia trước khi áp dụng vào tình huống thực tế.

Nếu Quý khách hàng có thắc mắc liên quan đến chủ đề trên hoặc cần tư vấn pháp lý trong các lĩnh vực khác, vui lòng liên hệ với Hãng Luật Bạch Tuyết theo thông tin sau:

THÔNG TIN LIÊN HỆ:

Trụ sở chính: 1132 Lê Đức Thọ, phường An Hội Đông, Thành phố Hồ Chí Minh

Fanpage: Hãng Luật Bạch Tuyết

Tel: 0986 797 648

Chi nhánh 1: 529/122 Huỳnh Văn Bánh, phường Phú Nhuận, Thành phố Hồ Chí Minh

Fanpage: Hãng Luật Bạch Tuyết – Chi nhánh Phú Nhuận

Tel: 0376 019 226

Chi nhánh 2: Tầng 3, 56 Bùi Thiện Ngộ, phường Nam Nha Trang, tỉnh Khánh Hòa

Fanpage: Hãng Luật Bạch Tuyết – CN Nha Trang

Tel: 0971 926 781

Email: luatbachtuyet@gmail.com

Website: Hãng Luật Bạch Tuyết

Tik tok: Luật sư Nha Trang

BÀI VIẾT LIÊN QUAN:

Leave a Reply

Your email address will not be published. Required fields are marked *