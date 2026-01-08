10 điều phải biết để bảo vệ dữ liệu cá nhân

Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025 của Chính phủ có hiệu lực đã đặt ra một "lá chắn" pháp lý bảo vệ dữ liệu cá nhân mạnh mẽ cho người dùng.

Theo đó, từ ngày 1/1, người dùng sẽ có quyền kiểm soát, quyết định và yêu cầu các nền tảng số như: Zalo, Facebook, ngân hàng số, sàn thương mại điện tử... phải minh bạch trong việc thu thập, sử dụng và bảo vệ dữ liệu.

Trong đó, 10 điểm nhấn quan trọng mỗi công dân cần biết để kiểm soát dữ liệu cá nhân của chính mình.

1. Chủ thể dữ liệu cá nhân có quyền được đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân

Căn cứ điểm b khoản 1 Điều 4, Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025, việc cho phép xử lý dữ liệu cá nhân hoàn toàn tự nguyện theo ý chí của chủ thể dữ liệu cá nhân mà không bị ép buộc. Việc xử lý phải được thực hiện bằng phương thức rõ ràng theo quy định tại khoản 1 Điều 6 NĐ 356/2025/NĐ-CP.

Ngoài ra, chủ thể dữ liệu cá nhân hoàn toàn có thể rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân khi có nghi ngờ về phạm vi, mục đích xử lý hoặc tính chính xác của dữ liệu cá nhân nhưng phải được thể hiện bằng văn bản và được thực hiện trong thời hạn 15 ngày (khoản 2 Điều 5, Điều 10 NĐ 356/2025/NĐ-CP).

2. Việc im lặng có được coi là đồng ý xử lý dữ liệu cá nhân?

Việc im lặng, không phản đối, phản hồi không được xem là đồng ý xử lý, sử dụng dữ liệu cá nhân. Cơ quan, tổ chức, cá nhân không được phép tự ý sử dụng thông tin của chủ thể dữ liệu cá nhân vào bất kỳ mục đích nào khi chưa được sự đồng ý bằng văn bản của chủ thể dữ liệu cá nhân (điểm d khoản 4 Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025).

3. Có thể chỉnh sửa, xóa, hủy, khử nhận dạng dữ liệu cá nhân không?

Chủ thể dữ liệu cá nhân có thể đề nghị thực hiện các quyền chỉnh sửa, xóa, hủy, khử nhận dạng dữ liệu cá nhân đối với bên kiểm soát và xử lý dữ liệu cá nhân. Đặc biệt, cơ quan, tổ chức, cá nhân không được cố ý khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy (Điều 13, 14 Luật Bảo vệ dữ liệu cá nhân 2025).

4. Dữ liệu cá nhân trong xử lý dữ liệu lớn có bắt buộc xác thực đa yếu tố hay không?

Khi xử lý dữ liệu cá nhân ở quy mô lớn, dữ liệu lớn, cơ quan, tổ chức, cá nhân liên quan phải sử dụng phương thức xác thực mạnh, tối thiểu là xác thực đa yếu tố như mật khẩu, mã PIN kết hợp OTP, thiết bị ký số hoặc sinh trắc học.

Quy định này nhằm đảm bảo chỉ người có thẩm quyền mới được truy cập và giảm nguy cơ lộ, lọt dữ liệu cá nhân (Điều 9 NĐ 356/2025/NĐ-CP).

5. Có phải xóa, hủy thông tin của người dự tuyển khi không tuyển dụng không?

Theo điểm c khoản 1 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, cơ quan, tổ chức, cá nhân tuyển dụng lao động phải xóa, hủy thông tin đã cung cấp của người dự tuyển trong trường hợp không tuyển dụng bao gồm cả thông tin dữ liệu số (file, hình ảnh CV, thông tin qua email,...) và thông tin dưới dạng bản cứng, trừ trường hợp có thỏa thuận khác với người đã dự tuyển.

Tức không phải trong mọi trường hợp bắt buộc phải xóa, hủy thông tin của người dự tuyển khi không tuyển dụng. Nếu trong trường hợp hai bên có thống nhất thỏa thuận về việc sử dụng dữ liệu cá nhân thì bên tuyển dụng không buộc phải xóa, hủy.

6. Người sử dụng lao động có buộc phải xóa dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng lao động không?

Tương tự, theo điểm c khoản 2 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, người sử dụng lao động phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.

Trường hợp người sử dụng lao động và người lao động có thỏa thuận riêng trong hợp đồng lao động để phục vụ giải quyết các công việc khác có liên quan hoặc pháp luật có quy định khác (ví dụ pháp luật về thuế, kế toán,...) thì người sử dụng lao động không bắt buộc phải xóa dữ liệu cá nhân của người lao động.

7. Dữ liệu cá nhân của trẻ em có phải được sự đồng ý của cha, mẹ hay không?

Đối với trẻ em thì người đại diện theo pháp luật thay mặt thực hiện các quyền của chủ thể dữ liệu cá nhân. Đối với trẻ em từ đủ 7 tuổi trở lên thì phải có sự đồng ý của trẻ em và người đại diện theo pháp luật trong việc xử lý dữ liệu cá nhân của trẻ em nhằm công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân.

Ngoài trẻ em thì đối tượng là người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi cũng do người đại diện theo pháp luật thực hiện các quyền của chủ thể dữ liệu cá nhân (Điều 24 Luật Bảo vệ dữ liệu cá nhân 2025).

8. Chủ thể dữ liệu cá nhân có thể khiếu nại, tố cáo, khởi kiện khi bị xâm phạm?

Khi chứng minh được cơ quan, tổ chức, cá nhân có hành vi xâm phạm dữ liệu cá nhân thì chủ thể dữ liệu cá nhân hoàn toàn có quyền khiếu nại, tố cáo, khởi kiện yêu cầu đòi bồi thường về vật chất, tinh thần và tùy theo tính chất, mức độ, hậu quả của hành vi. Chủ thể xâm phạm có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự, nếu gây thiệt hại thì phải bồi thường (điểm đ khoản 1 Điều 4, Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025).

9. Khi bị "lộ" thông tin dữ liệu cá nhân thì chủ thể dữ liệu cá nhân phải được thông báo?

Khi phát hiện hành vi làm lộ, mất dữ liệu cá nhân nhạy cảm gây xâm phạm quyền, lợi ích vật chất hoặc tinh thần của chủ thể dữ liệu, bên kiểm soát và xử lý dữ liệu cá nhân hoặc bên thứ ba phát hiện vụ việc phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân và cho chính chủ thể dữ liệu trong thời hạn không quá 72 giờ. Đồng thời, các bên liên quan phải lập biên bản để xác minh, xử lý hành vi vi phạm theo quy định pháp luật (Điều 23 Luật Bảo vệ dữ liệu cá nhân 2025; khoản 3 Điều 8 Nghị định 356/2025/NĐ-CP).

10. Mạng xã hội có được yêu cầu xác thực bằng hình thức cung cấp hình ảnh, video chứa nội dung giấy tờ tùy thân không?

Từ 1/1/2026, các nền tảng mạng xã hội không được sử dụng hình ảnh, video chứa giấy tờ tùy thân làm hình thức xác thực tài khoản, trừ khi pháp luật có quy định khác. Việc yêu cầu người dùng cung cấp giấy tờ định danh để xác thực phải có căn cứ hợp pháp, mục đích rõ ràng và phù hợp, không tùy tiện.

Ngoài ra, nền tảng mạng xã hội cũng không được nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác. Đồng thời, nền tảng còn có trách nhiệm bảo vệ quyền riêng tư người dùng, phải cung cấp lựa chọn "không theo dõi" và cho phép người dùng từ chối các hoạt động thu thập dữ liệu tương tự. Điều này nhằm hạn chế tình trạng thu thập dữ liệu quá mức, bảo vệ an toàn dữ liệu cá nhân và quyền tự quyết của người dùng trên môi trường số (Điều 29 Luật Bảo vệ dữ liệu cá nhân 2025).

Luật Bảo vệ dữ liệu cá nhân 2025 và NĐ 356/2025/NĐ-CP đánh dấu bước tiến mạnh mẽ trong việc bảo vệ quyền và lợi ích hợp pháp của chủ thể dữ liệu cá nhân. Mọi hành vi thu thập, sử dụng, tiết lộ trái phép hoặc xâm phạm dữ liệu cá nhân đều bị xử lý nghiêm minh và buộc bồi thường thiệt hại nếu gây hậu quả. Trong bối cảnh môi trường số ngày càng phức tạp, mỗi người hãy trở thành người dùng thông minh và tỉnh táo, chủ động bảo vệ thông tin, hình ảnh và quyền riêng tư của chính mình.

Thạc sĩ, luật sư Đặng Thị Thúy Huyền

Công ty Luật HPL và cộng sự