Trong bối cảnh chuyển đổi số mạnh mẽ, dữ liệu cá nhân đã trở thành một loại tài sản đặc biệt. Để bảo vệ quyền riêng tư của công dân, Luật Bảo vệ dữ liệu cá nhân 2025 (có hiệu lực từ ngày 01/01/2026) đã xác lập một hệ thống quyền hạn rõ ràng cho chủ thể dữ liệu – tức là mỗi chúng ta.
1. Nhóm quyền kiểm soát thông tin
Đây là nhóm quyền cốt lõi giúp cá nhân nắm giữ sự chủ động đối với thông tin của chính mình:
- Quyền được biết: Bạn có quyền được thông báo một cách minh bạch, rõ ràng về mục đích, phạm vi, phương thức xử lý dữ liệu và các bên liên quan trước khi việc thu thập diễn ra.
- Quyền đồng ý và rút lại sự đồng ý: Việc xử lý dữ liệu phải dựa trên sự tự nguyện. Bạn có quyền từ chối hoặc rút lại sự đồng ý bất cứ lúc nào và quy trình rút lại phải dễ dàng như khi bạn đồng ý. Luật mới quy định rõ: Sự im lặng không được coi là đồng ý.
2. Nhóm quyền can thiệp vào dữ liệu
Chủ thể dữ liệu có quyền yêu cầu các đơn vị đang nắm giữ dữ liệu phải thực hiện các hành động cụ thể:
- Quyền truy cập và cung cấp: Bạn có quyền yêu cầu doanh nghiệp cho xem, trích lục hoặc cung cấp bản sao dữ liệu cá nhân của mình.
- Quyền chỉnh sửa: Nếu dữ liệu bị sai lệch hoặc chưa đầy đủ, bạn có quyền tự mình chỉnh sửa hoặc yêu cầu đơn vị kiểm soát dữ liệu thực hiện việc chỉnh sửa.
- Quyền xóa dữ liệu: Bạn có quyền yêu cầu xóa bỏ dữ liệu trong các trường hợp như: mục đích xử lý đã hoàn thành, bạn rút lại sự đồng ý, hoặc việc xử lý là trái pháp luật.
3. Nhóm quyền phản đối và hạn chế rủi ro
- Quyền hạn chế và phản đối xử lý: Bạn có quyền yêu cầu tạm ngừng xử lý dữ liệu trong một số trường hợp (như khi đang tranh chấp về tính chính xác) hoặc phản đối việc dùng dữ liệu cho mục đích tiếp thị trực tiếp, quảng cáo.
- Quyền khiếu nại, tố cáo và khởi kiện: Khi phát hiện hành vi xâm phạm dữ liệu, bạn có quyền khiếu nại lên cơ quan chức năng (Cục An ninh mạng – A05) hoặc khởi kiện ra Tòa án để yêu cầu bồi thường thiệt hại.
4. Những điểm mới cần lưu ý từ năm 2026
Theo Nghị định 356/2025/NĐ-CP, quy trình thực hiện quyền của chủ thể dữ liệu đã được chuẩn hóa:
- Thời hạn phản hồi: Doanh nghiệp phải kịp thời xử lý yêu cầu của bạn. Trong các trường hợp phức tạp, thời hạn có thể được gia hạn thêm nhưng không quá 10 ngày làm việc và phải thông báo lý do cho bạn.
- Bảo vệ đối tượng yếu thế: Dữ liệu của trẻ em từ 7 tuổi trở lên khi xử lý bắt buộc phải có sự đồng ý của cả cha mẹ/người giám hộ và chính đứa trẻ đó.
- Quyền trong môi trường AI và Metaverse: Chủ thể dữ liệu có quyền được giải thích về nguyên tắc hoạt động của các thuật toán tự động và có quyền chỉnh sửa, xóa hồ sơ nhận dạng ngay cả trên các nền tảng thực tế ảo.
5. Nghĩa vụ đi kèm
Quyền lợi luôn đi đôi với trách nhiệm. Luật cũng quy định chủ thể dữ liệu có nghĩa vụ:
- Tự bảo vệ dữ liệu cá nhân của mình và tôn trọng dữ liệu của người khác.
- Cung cấp thông tin đầy đủ, chính xác khi đã đồng ý cho phép xử lý.
Việc hiểu rõ quyền của mình là bước đầu tiên để đảm bảo an toàn trong không gian mạng.
Lưu ý: Nội dung bài viết được xây dựng trên ý kiến tư vấn chuyên môn của Luật sư/Chuyên gia pháp lý thuộc Luật LT VINA, thông tin trong bài viết chỉ mang tính chất tham khảo và không thay thế cho ý kiến tư vấn pháp lý chính thức của Luật sư do mỗi vụ việc cụ thể có đặc thù riêng hoặc các quy định pháp luật được viện dẫn có thể đã được sửa đổi, bổ sung hoặc hết hiệu lực tại thời điểm Quý Khách hàng tiếp cận bài viết. Quý Khách hàng không nên tự ý áp dụng nội dung bài viết khi chưa có sự tư vấn chính thức của Luật sư.
Mọi thắc mắc và nhu cầu tư vấn, Quý Khách hàng vui lòng liên hệ trực tiếp với Luật sư qua số điện thoại: 0982.333.565 – 0373.424.646 hoặc Email: luatltvina@gmail.com để được tư vấn, hỗ trợ kịp thời.