Kể từ ngày 01/01/2026, Luật bảo vệ dữ liệu cá nhân năm 2025 sẽ chính thức có hiệu lực pháp luật, theo đó quyền và nghĩa vụ của chủ thể dữ liệu cá nhân là một trong những nội dung quan trọng được quy định một cách cụ thể vào trong Luật này.
Vì lẽ đó, Hãng Luật Bạch Tuyết xin giới thiệu tới bạn đọc bài viết với chủ đề “Quyền và Nghĩa vụ của chủ thể dữ liệu cá nhân” theo quy định của Luật bảo vệ dữ liệu cá nhân năm 2025 và các văn bản pháp lý có liên quan nhằm cập nhật và giải đáp các vấn đề liên quan đến quyền và nghĩa vụ của chủ thể dữ liệu cá nhân theo quy định hiện hành.
1. Dữ liệu cá nhân và Chủ thể dữ liệu cá nhân
Căn cứ theo Điều 2 Luật dữ liệu cá nhân năm 2025 quy định, Chủ thể dữ liệu cá nhân là người được dữ liệu cá nhân phản ánh.
Theo đó, tại khoản 1 Điều 2 Luật này định nghĩa Dữ liệu cá nhân như sau:
“Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.”
Như vậy, Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể. Trường hợp Dữ liệu cá nhân bị khử nhận dạng thì sẽ không còn là dữ liệu cá nhân.
*Theo quy định khoản 11 Điều 2 Luật dữ liệu cá nhân năm 2025: Khử nhận dạng dữ liệu cá nhân là quá trình thay đổi hoặc xóa thông tin để tạo ra dữ liệu mới không thể xác định hoặc không thể giúp xác định được một con người cụ thể.
Dữ liệu cá nhân bao gồm hai loại: Dữ liệu cá nhân cơ bản và Dữ liệu cá nhân nhạy cảm.
*Dữ liệu cá nhân cơ bản là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành.
Căn cứ theo Điều 3 Nghị định 356/2025/NĐ-CP có hiệu lực từ ngày 01/01/2026 quy định về Danh mục dữ liệu cá nhân cơ bản như sau:
“Điều 3. Danh mục dữ liệu cá nhân cơ bản
Dữ liệu cá nhân cơ bản bao gồm:
1. Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
2. Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
3. Giới tính;
4. Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
5. Quốc tịch;
6. Hình ảnh của cá nhân;
7. Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe;
8. Tình trạng hôn nhân;
9. Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng);
10. Thông tin về tài khoản số của cá nhân;
11. Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại Điều 4 Nghị định này.”
*Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành.
Căn cứ Điều 4 Nghị định 356/2025/NĐ-CP có hiệu lực từ ngày 01/01/2026 quy định về Danh mục dữ liệu cá nhân nhạy cảm như sau:
“Điều 4. Danh mục dữ liệu cá nhân nhạy cảm
1. Dữ liệu cá nhân nhạy cảm bao gồm:
a) Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc;
b) Quan điểm về chính trị, tôn giáo, tín ngưỡng;
c) Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình;
d) Tình trạng sức khỏe;
đ) Dữ liệu sinh trắc học, đặc điểm di truyền;
e) Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân;
g) Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
h) Vị trí của cá nhân được xác định qua dịch vụ định vị;
i) Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân;
k) Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác;
l) Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng;
m) Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.
2. Trong quá trình xử lý dữ liệu cá nhân nhạy cảm, cơ quan, tổ chức phải thiết lập quy định phân quyền giới hạn truy cập, quy trình xử lý và các biện pháp bảo mật.”
2. Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân
Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân được quy định tại Điều 4 Luật dữ liệu cá nhân năm 2025, cụ thể như sau:
(1) Quyền của chủ thể dữ liệu cá nhân:
- Được biết về hoạt động xử lý dữ liệu cá nhân;
- Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân;
- Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;
- Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân;
- Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;
- Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.
(2) Nghĩa vụ của chủ thể dữ liệu cá nhân:
- Tự bảo vệ dữ liệu cá nhân của mình;
- Tôn trọng, bảo vệ dữ liệu cá nhân của người khác;
- Cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý dữ liệu cá nhân của mình;
- Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân.
3. Thực hiện quyền của chủ dữ liệu cá nhân
3.1. Nguyên tắc khi thực hiện quyền và nghĩa vụ của chủ dữ liệu cá nhân
Chủ thể dữ liệu cá nhân khi thực hiện quyền và nghĩa vụ của mình phải tuân thủ đầy đủ các nguyên tắc sau đây:
(1) Thực hiện theo quy định của pháp luật; tuân thủ nghĩa vụ của chủ thể dữ liệu cá nhân theo hợp đồng. Việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân phải nhằm mục đích bảo vệ quyền, lợi ích hợp pháp của chính chủ thể dữ liệu cá nhân đó;
(2) Không được gây khó khăn, cản trở việc thực hiện quyền, nghĩa vụ pháp lý của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân;
(3) Không được xâm phạm đến quyền, lợi ích hợp pháp của Nhà nước, cơ quan, tổ chức, cá nhân khác.
Các tổ chức, cơ quan, cá nhân có trách nhiệm tạo mọi điều kiện thuận lợi, không được gây khó khăn, cản trở việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân theo quy định của pháp luật.
3.2. Thực hiện quyền của chủ dữ liệu cá nhân
Khi nhận được yêu cầu của chủ thể dữ liệu cá nhân để thực hiện quyền của chủ thể dữ liệu cá nhân (quy định tại khoản 1 Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025), bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải kịp thời thực hiện trong thời hạn theo quy định của pháp luật.
Điều 5 Nghị định 356/2025/NĐ-CP có hiệu lực từ ngày 01/01/2026, quy định chi tiết về thực hiện quyền của chủ dữ liệu cá nhân như sau:
(1) Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải xây dựng quy trình, thủ tục, biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu cá nhân phù hợp với hoạt động xử lý dữ liệu cá nhân và trách nhiệm các bộ phận có liên quan; đảm bảo chủ thể dữ liệu cá nhân được biết về thủ tục thực hiện các quyền quy định tại khoản 1 Điều 4 của Luật Bảo vệ dữ liệu cá nhân.
(2) Khi nhận được yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, hạn chế xử lý dữ liệu cá nhân, phản đối xử lý dữ liệu cá nhân theo đúng thủ tục của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải phản hồi trong thời hạn 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục ngừng xử lý dữ liệu cá nhân và thực hiện trong thời hạn 15 ngày, trừ trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân theo quy định tại Điều 19 Luật Bảo vệ dữ liệu cá nhân. Trường hợp cần yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba ngừng xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân thì thực hiện trong thời hạn 20 ngày.
Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa 01 lần gia hạn trong thời hạn không quá 15 ngày, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn và chịu trách nhiệm chứng minh việc gia hạn là cần thiết, hợp lý.
(3) Khi nhận được yêu cầu xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân, cung cấp dữ liệu cá nhân theo đúng thủ tục của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải phản hồi trong thời hạn 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong thời hạn 10 ngày. Trường hợp cần yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu cá nhân thì thực hiện trong thời hạn 15 ngày.
Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa 01 lần gia hạn trong thời hạn không quá 10 ngày, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn và chịu trách nhiệm chứng minh việc gia hạn là cần thiết, hợp lý.
(4) Khi nhận được yêu cầu xóa dữ liệu cá nhân theo đúng thủ tục của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải phản hồi trong thời hạn 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong thời hạn 20 ngày. Trường hợp cần yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba cung cấp, xóa, hạn chế xử lý dữ liệu của chủ thể dữ liệu cá nhân thì thực hiện trong thời hạn 30 ngày.
Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa 01 lần gia hạn trong thời hạn không quá 20 ngày, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn và chịu trách nhiệm chứng minh việc gia hạn là cần thiết, hợp lý.
(5) Khi nhận được yêu cầu thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo đúng thủ tục của chủ thể dữ liệu cá nhân, cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân phải phản hồi trong thời hạn 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong thời hạn 15 ngày.
Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa 01 lần gia hạn trong thời hạn không quá 15 ngày, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn và chịu trách nhiệm chứng minh việc gia hạn là cần thiết, hợp lý.
Trên đây là bài viết của Hãng Luật Bạch Tuyết về chủ đề “Quyền và Nghĩa vụ của chủ thể dữ liệu cá nhân” dựa trên quy định pháp luật hiện hành. Nội dung không phải là ý kiến tư vấn pháp lý cho một trường hợp cụ thể. Các quy định pháp luật được trích dẫn có hiệu lực tại thời điểm đăng tải, tuy nhiên có thể đã được sửa đổi, bổ sung hoặc thay thế sau đó. Vì vậy, Quý khách hàng nên tham khảo ý kiến chuyên gia trước khi áp dụng vào tình huống thực tế.
Nếu Quý khách hàng có thắc mắc liên quan đến chủ đề trên hoặc cần tư vấn pháp lý trong các lĩnh vực khác, vui lòng liên hệ với Hãng Luật Bạch Tuyết theo thông tin sau:
THÔNG TIN LIÊN HỆ:
Trụ sở chính: 1132 Lê Đức Thọ, phường An Hội Đông, Thành phố Hồ Chí Minh.
Fanpage: Hãng Luật Bạch Tuyết
Tel: 0986 797 648
Chi nhánh 1: 529/122 Huỳnh Văn Bánh, phường Phú Nhuận, Thành phố Hồ Chí Minh.
Fanpage: Hãng Luật Bạch Tuyết – Chi nhánh Phú Nhuận
Tel: 0376 019 226
Chi nhánh 2: Tầng 3, 56 Bùi Thiện Ngộ, phường Nam Nha Trang, tỉnh Khánh Hòa.
Fanpage: Hãng Luật Bạch Tuyết – Chi nhánh Nha Trang
Tel: 0971 926 781
Mail: luatbachtuyet@gmail.com
Website: https://hangluatbachtuyet.com/
Tik.tok: Hãng Luật Bạch Tuyết (@hang.luat.bach.tuyet) | TikTok
________________________________________
BÀI VIẾT LIÊN QUAN: