Chủ thể dữ liệu cá nhân có những quyền gì?

Trong quá trình hoạt động, doanh nghiệp thường xuyên thu thập và xử lý dữ liệu cá nhân của khách hàng, người lao động, ứng viên, đối tác, nhà cung cấp hoặc người dùng website, ứng dụng, nền tảng. Khi dữ liệu cá nhân được xử lý, cá nhân có dữ liệu đó không chỉ là “người cung cấp thông tin”, mà còn là chủ thể dữ liệu cá nhân với các quyền được pháp luật bảo vệ.

Việc hiểu đúng chủ thể dữ liệu cá nhân có những quyền gì giúp doanh nghiệp xây dựng chính sách, biểu mẫu, quy trình và cơ chế phản hồi phù hợp, tránh tình trạng thu thập hoặc sử dụng dữ liệu cá nhân nhưng không có cơ sở tuân thủ rõ ràng.

Chủ thể dữ liệu cá nhân là ai?

Chủ thể dữ liệu cá nhân là cá nhân mà dữ liệu cá nhân phản ánh về họ. Trong doanh nghiệp, chủ thể dữ liệu cá nhân có thể là:

Khách hàng cá nhân;
Người dùng website, ứng dụng, nền tảng;
Người lao động;
Ứng viên tuyển dụng;
Cộng tác viên;
Người đại diện, nhân sự của đối tác;
Nhà cung cấp là cá nhân;
Người tham gia sự kiện, chương trình khuyến mại, khảo sát;
Cá nhân có thông tin được doanh nghiệp thu thập hoặc xử lý trong quá trình vận hành.

Ví dụ, khi khách hàng điền form “Đăng ký tư vấn” trên website và cung cấp họ tên, số điện thoại, email, khách hàng đó là chủ thể dữ liệu cá nhân. Khi doanh nghiệp lưu căn cước công dân, hợp đồng lao động, mã số thuế, tài khoản ngân hàng của nhân viên, người lao động cũng là chủ thể dữ liệu cá nhân.

Căn cứ pháp lý về quyền của chủ thể dữ liệu cá nhân

Căn cứ chính hiện nay là Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, có hiệu lực từ ngày 01/01/2026, và Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân. Luật Bảo vệ dữ liệu cá nhân quy định nguyên tắc chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng và bảo đảm tuân thủ pháp luật.

Theo Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025, chủ thể dữ liệu cá nhân có các quyền như: được biết về hoạt động xử lý dữ liệu cá nhân; đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý; xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu; yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu; phản đối xử lý dữ liệu; khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại; và yêu cầu thực hiện biện pháp bảo vệ dữ liệu cá nhân.

Chủ thể dữ liệu cá nhân có những quyền gì?

1. Quyền được biết về hoạt động xử lý dữ liệu cá nhân

Chủ thể dữ liệu cá nhân có quyền được biết về việc dữ liệu cá nhân của mình đang được xử lý. Đây là quyền nền tảng, bởi nếu cá nhân không biết doanh nghiệp đang thu thập, lưu trữ, sử dụng hoặc chia sẻ dữ liệu của mình thì rất khó để thực hiện các quyền khác.

Trong thực tế, doanh nghiệp nên bảo đảm quyền được biết thông qua:

Chính sách quyền riêng tư trên website;
Thông báo xử lý dữ liệu cá nhân;
Điều khoản trong hợp đồng, form đăng ký, form tư vấn;
Thông báo dành cho người lao động, ứng viên;
Thông báo về cookie, pixel, analytics hoặc công cụ theo dõi hành vi người dùng nếu có.

Thông báo nên làm rõ doanh nghiệp thu thập dữ liệu gì, xử lý để làm gì, lưu trữ trong bao lâu, chia sẻ cho bên nào và chủ thể dữ liệu có thể liên hệ qua đâu để thực hiện quyền của mình.

2. Quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân

Chủ thể dữ liệu cá nhân có quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân. Sự đồng ý chỉ có hiệu lực khi chủ thể dữ liệu biết rõ các thông tin như loại dữ liệu được xử lý, mục đích xử lý, bên kiểm soát dữ liệu và các quyền, nghĩa vụ của mình. Sự đồng ý cũng phải được thể hiện rõ ràng, cụ thể; sự im lặng hoặc không phản hồi không được coi là sự đồng ý.

Đối với doanh nghiệp, điều này có nghĩa là không nên sử dụng các câu đồng ý quá chung chung như: “Tôi đồng ý cho công ty sử dụng mọi thông tin của tôi cho mọi mục đích”. Thay vào đó, cần tách rõ mục đích xử lý, ví dụ:

Đồng ý để được tư vấn dịch vụ;
Đồng ý nhận thông tin marketing;
Đồng ý chia sẻ dữ liệu cho bên thứ ba phục vụ việc cung cấp dịch vụ;
Đồng ý xử lý dữ liệu cá nhân nhạy cảm, nếu có;
Đồng ý chuyển dữ liệu ra nước ngoài, nếu phát sinh.

3. Quyền rút lại sự đồng ý

Chủ thể dữ liệu cá nhân có quyền yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân. Yêu cầu rút lại sự đồng ý phải được thể hiện bằng văn bản, bao gồm cả dạng điện tử hoặc định dạng kiểm chứng được, và gửi cho bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân.

Doanh nghiệp cần lưu ý rằng việc rút lại sự đồng ý không làm mất hiệu lực của hoạt động xử lý dữ liệu đã được thực hiện trước thời điểm rút lại, trừ trường hợp pháp luật có quy định khác hoặc các bên có thỏa thuận khác. Tuy nhiên, sau khi nhận được yêu cầu hợp lệ, doanh nghiệp cần có quy trình đánh giá và thực hiện việc dừng xử lý dữ liệu trong phạm vi phù hợp.

Ví dụ, khách hàng có thể rút lại sự đồng ý nhận email marketing. Khi đó, doanh nghiệp cần đưa khách hàng ra khỏi danh sách nhận email quảng cáo, nhưng vẫn có thể lưu một số dữ liệu cần thiết để thực hiện hợp đồng, nghĩa vụ kế toán, thuế hoặc giải quyết tranh chấp nếu có căn cứ phù hợp.

4. Quyền xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân

Chủ thể dữ liệu cá nhân có quyền xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình. Luật cũng quy định việc chỉnh sửa dữ liệu cá nhân phải bảo đảm tính chính xác; nếu không thể chỉnh sửa vì lý do chính đáng, bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân phải thông báo cho cơ quan, tổ chức, cá nhân yêu cầu biết.

Trong doanh nghiệp, quyền này thường phát sinh khi:

Khách hàng muốn cập nhật số điện thoại, email, địa chỉ;
Người lao động muốn điều chỉnh thông tin tài khoản ngân hàng, mã số thuế, người phụ thuộc;
Ứng viên muốn chỉnh sửa hồ sơ tuyển dụng;
Người dùng muốn cập nhật thông tin tài khoản trên website hoặc ứng dụng.

Doanh nghiệp nên có đầu mối tiếp nhận và quy trình xác minh người yêu cầu để tránh việc một người khác giả mạo yêu cầu chỉnh sửa dữ liệu.

5. Quyền yêu cầu cung cấp dữ liệu cá nhân

Chủ thể dữ liệu cá nhân có quyền yêu cầu cung cấp dữ liệu cá nhân của mình trong phạm vi phù hợp với pháp luật và thỏa thuận với doanh nghiệp. Luật quy định bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân cung cấp dữ liệu cá nhân cho chủ thể dữ liệu theo yêu cầu, trừ trường hợp việc cung cấp có thể gây tổn hại đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc xâm phạm đến tính mạng, sức khỏe, tài sản của người khác.

Đối với doanh nghiệp, cần xây dựng quy trình trả lời các yêu cầu như:

“Công ty đang lưu những dữ liệu nào của tôi?”;
“Tôi muốn nhận bản sao thông tin cá nhân mà tôi đã cung cấp”;
“Tôi muốn biết dữ liệu của tôi đã được chia sẻ cho bên nào”.

Doanh nghiệp không nên cung cấp dữ liệu ngay khi nhận yêu cầu nếu chưa xác minh danh tính và phạm vi hợp lệ của yêu cầu.

6. Quyền yêu cầu xóa, hủy dữ liệu cá nhân

Chủ thể dữ liệu cá nhân có quyền yêu cầu xóa, hủy dữ liệu cá nhân trong một số trường hợp. Luật Bảo vệ dữ liệu cá nhân 2025 quy định việc xóa, hủy dữ liệu cá nhân được thực hiện khi chủ thể dữ liệu có yêu cầu và chấp nhận các rủi ro, thiệt hại có thể xảy ra; khi đã hoàn thành mục đích xử lý; hết thời hạn lưu trữ; theo quyết định của cơ quan nhà nước có thẩm quyền; theo thỏa thuận; hoặc trường hợp khác theo quy định pháp luật.

Tuy nhiên, quyền yêu cầu xóa dữ liệu không phải là quyền tuyệt đối trong mọi trường hợp. Doanh nghiệp có thể cần tiếp tục lưu trữ một số dữ liệu nếu pháp luật yêu cầu, ví dụ chứng từ kế toán, hồ sơ hợp đồng, tài liệu lao động, hồ sơ giải quyết khiếu nại, tranh chấp hoặc nghĩa vụ pháp lý khác.

Vì vậy, doanh nghiệp cần có quy trình phân loại yêu cầu xóa dữ liệu thành các nhóm:

Có thể xóa ngay;
Có thể ẩn danh hóa hoặc hạn chế xử lý;
Cần tiếp tục lưu trữ do nghĩa vụ pháp lý;
Không thể xóa vì lý do chính đáng và phải thông báo lại cho chủ thể dữ liệu.

7. Quyền yêu cầu hạn chế xử lý dữ liệu cá nhân

Chủ thể dữ liệu cá nhân có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân khi có nghi ngờ về phạm vi, mục đích xử lý hoặc tính chính xác của dữ liệu cá nhân, trừ một số trường hợp pháp luật có quy định khác.

Ví dụ, khách hàng có thể yêu cầu doanh nghiệp tạm dừng sử dụng dữ liệu để gửi quảng cáo trong khi đang kiểm tra nguồn dữ liệu. Người lao động có thể yêu cầu hạn chế chia sẻ dữ liệu cá nhân cho một bên thứ ba nếu cho rằng việc chia sẻ vượt quá mục đích đã thông báo.

Doanh nghiệp nên có cơ chế đánh dấu trạng thái dữ liệu, ví dụ “hạn chế xử lý”, “không dùng cho marketing”, “đang chờ xác minh”, để tránh việc dữ liệu tiếp tục bị sử dụng tự động bởi bộ phận khác hoặc phần mềm marketing.

8. Quyền phản đối xử lý dữ liệu cá nhân

Chủ thể dữ liệu cá nhân có quyền gửi yêu cầu phản đối xử lý dữ liệu cá nhân. Quyền này đặc biệt quan trọng trong các hoạt động như quảng cáo, marketing, phân tích hành vi, cá nhân hóa nội dung, remarketing hoặc xử lý dữ liệu ngoài phạm vi chủ thể dữ liệu mong muốn.

Trong thực tế, doanh nghiệp nên chuẩn bị:

Cơ chế unsubscribe khỏi email marketing;
Cơ chế từ chối nhận cuộc gọi/tin nhắn quảng cáo;
Quy trình tiếp nhận phản đối xử lý dữ liệu;
Danh sách loại trừ khỏi chiến dịch marketing;
Cơ chế ghi nhận và lưu vết yêu cầu phản đối.

9. Quyền khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại

Chủ thể dữ liệu cá nhân có quyền khiếu nại, tố cáo, khởi kiện và yêu cầu bồi thường thiệt hại theo quy định pháp luật nếu cho rằng quyền, lợi ích hợp pháp của mình bị xâm phạm trong quá trình xử lý dữ liệu cá nhân.

Đây là lý do doanh nghiệp cần lưu giữ hồ sơ chứng minh tuân thủ, bao gồm:

Thông báo xử lý dữ liệu cá nhân;
Bằng chứng về sự đồng ý;
Chính sách quyền riêng tư;
Chính sách bảo vệ dữ liệu cá nhân nội bộ;
Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;
Hợp đồng hoặc thỏa thuận xử lý dữ liệu với bên thứ ba;
Biên bản xử lý yêu cầu của chủ thể dữ liệu;
Biên bản xử lý sự cố dữ liệu cá nhân nếu có.

10. Quyền yêu cầu áp dụng biện pháp bảo vệ dữ liệu cá nhân

Chủ thể dữ liệu cá nhân có quyền yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định pháp luật.

Ví dụ, cá nhân có thể yêu cầu doanh nghiệp bảo mật tốt hơn dữ liệu của mình, hạn chế người truy cập, không công khai thông tin, không tiếp tục chia sẻ dữ liệu cho bên thứ ba hoặc áp dụng biện pháp khắc phục khi phát hiện dữ liệu bị lộ.

Quyền của chủ thể dữ liệu cá nhân có phải là tuyệt đối không?

Không phải trong mọi trường hợp, doanh nghiệp đều phải thực hiện ngay và đầy đủ mọi yêu cầu của chủ thể dữ liệu cá nhân. Luật Bảo vệ dữ liệu cá nhân 2025 quy định việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu phải tuân thủ pháp luật, tuân thủ nghĩa vụ theo hợp đồng, không gây khó khăn, cản trở quyền và nghĩa vụ pháp lý của bên kiểm soát dữ liệu, bên xử lý dữ liệu, đồng thời không xâm phạm quyền, lợi ích hợp pháp của Nhà nước, cơ quan, tổ chức, cá nhân khác.

Vì vậy, khi nhận được yêu cầu của chủ thể dữ liệu, doanh nghiệp cần đánh giá:

Người yêu cầu có đúng là chủ thể dữ liệu hoặc người được ủy quyền hợp lệ không;
Yêu cầu thuộc nhóm quyền nào;
Yêu cầu có phù hợp với hợp đồng, pháp luật và mục đích xử lý không;
Dữ liệu có đang cần được lưu trữ theo nghĩa vụ pháp lý không;
Việc thực hiện yêu cầu có ảnh hưởng đến quyền, lợi ích hợp pháp của người khác không;
Có cần phản hồi, từ chối hoặc thực hiện một phần yêu cầu không.

Doanh nghiệp cần làm gì để đáp ứng quyền của chủ thể dữ liệu?

Để đáp ứng quyền của chủ thể dữ liệu cá nhân, doanh nghiệp nên chuẩn hóa một hệ thống xử lý yêu cầu thay vì xử lý thủ công từng trường hợp.

1. Xây dựng thông báo xử lý dữ liệu cá nhân

Doanh nghiệp cần có thông báo rõ ràng cho từng nhóm chủ thể dữ liệu: khách hàng, người lao động, ứng viên, người dùng website, đối tác. Thông báo nên nêu rõ loại dữ liệu, mục đích xử lý, bên xử lý, thời hạn lưu trữ, quyền của chủ thể dữ liệu và đầu mối liên hệ.

2. Có chính sách quyền riêng tư và chính sách nội bộ

Website, ứng dụng, nền tảng nên có Chính sách quyền riêng tư/Privacy Policy. Nội bộ doanh nghiệp nên có Chính sách bảo vệ dữ liệu cá nhân áp dụng cho nhân sự, phòng ban, cộng tác viên và bên được quyền tiếp cận dữ liệu.

3. Thiết lập quy trình tiếp nhận yêu cầu

Doanh nghiệp nên có quy trình tiếp nhận, xác minh, phân loại và xử lý yêu cầu của chủ thể dữ liệu. Quy trình này cần quy định rõ:

Đầu mối tiếp nhận;
Cách xác minh danh tính;
Nhóm yêu cầu được tiếp nhận;
Thời hạn xử lý nội bộ;
Bộ phận phối hợp;
Mẫu phản hồi;
Cách lưu hồ sơ xử lý yêu cầu.

4. Chuẩn hóa biểu mẫu yêu cầu

Doanh nghiệp nên có mẫu yêu cầu để chủ thể dữ liệu thực hiện các quyền như truy cập, chỉnh sửa, xóa, rút lại đồng ý, hạn chế xử lý hoặc phản đối xử lý dữ liệu. Mẫu có thể ở dạng giấy, email, form website hoặc biểu mẫu điện tử.

5. Phân quyền và kiểm soát dữ liệu nội bộ

Nếu dữ liệu cá nhân được lưu rải rác ở nhiều phòng ban, doanh nghiệp sẽ rất khó phản hồi yêu cầu của chủ thể dữ liệu. Vì vậy, cần có bản đồ dữ liệu, phân quyền truy cập, danh mục dữ liệu và cơ chế ghi nhận nơi lưu trữ dữ liệu.

6. Kiểm soát bên thứ ba

Nếu dữ liệu cá nhân được chia sẻ cho nhà cung cấp phần mềm, agency marketing, kế toán, nhân sự, logistics, cổng thanh toán hoặc cloud, doanh nghiệp cần có điều khoản yêu cầu bên thứ ba phối hợp khi chủ thể dữ liệu thực hiện quyền của mình.

7. Lưu hồ sơ xử lý yêu cầu

Mỗi yêu cầu của chủ thể dữ liệu nên được ghi nhận và lưu hồ sơ, bao gồm ngày tiếp nhận, nội dung yêu cầu, người xử lý, kết quả xử lý, lý do từ chối nếu có và tài liệu chứng minh đã phản hồi.

Một số tình huống thực tế doanh nghiệp dễ gặp

Tình huống 1: Khách hàng yêu cầu xóa số điện thoại khỏi danh sách marketing

Doanh nghiệp cần kiểm tra dữ liệu đang nằm ở đâu: CRM, email marketing, file Excel, Zalo, danh sách telesales. Sau đó cập nhật trạng thái “không tiếp thị” hoặc xóa khỏi danh sách marketing, đồng thời lưu lại bằng chứng đã xử lý yêu cầu.

Tình huống 2: Ứng viên yêu cầu xóa hồ sơ tuyển dụng

Doanh nghiệp cần xem xét hồ sơ đã hết mục đích tuyển dụng chưa. Nếu chưa có nghĩa vụ lưu trữ hoặc tranh chấp liên quan, doanh nghiệp có thể xóa hoặc ẩn danh hóa hồ sơ. Nếu cần lưu một phần để chứng minh quá trình tuyển dụng, cần thông báo rõ phạm vi tiếp tục lưu trữ.

Tình huống 3: Người lao động yêu cầu chỉnh sửa thông tin tài khoản ngân hàng

Bộ phận nhân sự/kế toán cần có quy trình xác minh yêu cầu để tránh chuyển lương sai tài khoản hoặc bị giả mạo. Sau khi cập nhật, cần ghi nhận thời điểm, người yêu cầu và người phê duyệt.

Tình huống 4: Người dùng website yêu cầu biết dữ liệu nào đang được lưu

Doanh nghiệp cần có khả năng truy xuất dữ liệu từ các nguồn như form website, CRM, email marketing, chatbot, hệ thống tài khoản, cookie hoặc công cụ phân tích để phản hồi trong phạm vi phù hợp.

Justeps hỗ trợ doanh nghiệp xây dựng quy trình bảo vệ quyền của chủ thể dữ liệu

Justeps hỗ trợ doanh nghiệp rà soát và xây dựng hệ thống tuân thủ bảo vệ dữ liệu cá nhân, bao gồm:

Rà soát hoạt động xử lý dữ liệu cá nhân;
Xây dựng Chính sách quyền riêng tư website;
Xây dựng chính sách bảo vệ dữ liệu cá nhân nội bộ;
Soạn thông báo xử lý dữ liệu cá nhân;
Soạn biểu mẫu chấp thuận xử lý dữ liệu cá nhân;
Soạn mẫu yêu cầu thực hiện quyền của chủ thể dữ liệu;
Xây dựng quy trình tiếp nhận và xử lý yêu cầu của chủ thể dữ liệu;
Rà soát hợp đồng với bên thứ ba;
Soạn thỏa thuận xử lý dữ liệu cá nhân;
Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân;
Xây dựng quy trình xử lý sự cố dữ liệu cá nhân.

Chủ thể dữ liệu cá nhân có nhiều quyền quan trọng đối với dữ liệu của mình, bao gồm quyền được biết, quyền đồng ý hoặc không đồng ý, quyền rút lại sự đồng ý, quyền xem và chỉnh sửa, quyền yêu cầu cung cấp, xóa, hạn chế xử lý, phản đối xử lý, khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường và yêu cầu áp dụng biện pháp bảo vệ dữ liệu cá nhân.

Đối với doanh nghiệp, việc tôn trọng và bảo đảm các quyền này không chỉ là yêu cầu pháp lý, mà còn là yếu tố quan trọng để xây dựng sự tin cậy với khách hàng, người lao động, đối tác và người dùng.

Justeps cung cấp dịch vụ tư vấn bảo vệ dữ liệu cá nhân cho doanh nghiệp, giúp rà soát hiện trạng, xây dựng chính sách, biểu mẫu, quy trình xử lý yêu cầu của chủ thể dữ liệu và hệ thống tài liệu tuân thủ phù hợp với quy định pháp luật Việt Nam.

Email: info@justepslegal.com