CẨM NANG PHÁP LUẬT, TIN PHÁP LUẬT

Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân

09
Feb

Trong kỷ nguyên kinh tế số, dữ liệu cá nhân không còn là những con số vô hồn mà đã trở thành tài sản quý giá nhất của mỗi cá nhân. Tuy nhiên, đi kèm với quyền lợi luôn là những trách nhiệm tương xứng. Việc hiểu rõ quyền và nghĩa vụ của chủ thể dữ liệu cá nhân không chỉ giúp bạn bảo vệ quyền riêng tư mà còn là cách để bạn trở thành một công dân số thông thái.

Bài viết này, VDPC sẽ tập trung tổng hợp và phân tích về các quyền và nghĩa vụ của chủ thể dữ liệu cá nhân theo các quy định mới nhất.

1. Dữ liệu cá nhân có thể bị xử lý

Căn cứ pháp lý: Điều 3, 4 Nghị định 356/2025/NĐ-CP

  • Dữ liệu cá nhân cơ bản bao gồm: thông tin họ tên, địa chỉ, số điện thoại, thông tin đặt hàng, email, thông tin thanh toán (số tài khoản, ví điện tử,…).
  • Dữ liệu nhạy cảm bao gồm: dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng (lịch sử đặt mua hàng hóa, hoạt động xem, tham khảo hàng hóa trên các nền tảng,..)
  • Chị A nhận được cuộc gọi từ một người bảo kiện hàng được chị đặt qua shop X trên nền tảng Z được giao bởi đơn vị vận chuyển Y đã đến bưu cục và yêu cầu chị chuyển khoản đặt cọc trước khi thực hiện giao hàng. Các thông tin đơn hàng như chị A đặt trên shop X qua nền tảng Z. Chị A cảnh giác không thực hiện theo. Đến sáng hôm sau, một người khác là nhân viên vận chuyển của đơn vị vận chuyển Y gọi chị xuống lấy kiện hàng được giao. Chị A đã xuống nhà và nhận được kiện hàng như mình đã đặt. Chị A nghi ngờ thông tin của mình bị tiết lộ và quan ngại sự việc này.
  • Qua những thông tin trên có thể xác định chị A có thể đã bị xâm phạm đến dữ liệu cá nhân cơ bản (số điện thoại, địa chỉ) và dữ liệu cá nhân nhạy cảm (thông tin mua sắm hàng hóa trên không gian mạng).

2. Vai trò của các bên

Căn cứ pháp lý: Điều 2, 11, 13, 14, 17 Luật Bảo vệ dữ liệu cá nhân 2025

Vai trò của Shop X

  • Với vị trí là bên tiếp nhận thông tin cá nhân của khách hàng bao gồm: địa chỉ, thông tin liên lạc, thông tin hàng hóa. Shop X trực tiếp nhận thông tin đơn hàng để đóng gói và có quyền quyết định sử dụng dữ liệu khách hàng để chăm sóc hoặc chuyển cho đơn vị vận chuyển. Vì vậy có thể xác định shop X giữ vai trò là bên kiểm soát và xử lý dữ liệu cá nhân.
  • Bên kiểm soát và xử lý dữ liệu cá nhân là cơ quan, tổ chức, cá nhân quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.

Vai trò của nền tảng Z

  • Nền tảng Z giữ vai trò là đơn vị thiết lập hệ thống, thu thập dữ liệu khách hàng và quyết định mục đích chia sẻ dữ liệu khách hàng đến shop X và đơn vị vận chuyển Y. Vì vậy nền tảng Z có thể đóng vai trò là bên kiểm soát và xử lý dữ liệu cá nhân.
  • Bên kiểm soát và xử lý dữ liệu cá nhân là cơ quan, tổ chức, cá nhân quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân.

Đơn vị vận chuyển Y

Đơn vị vận chuyển Y có thể được thực hiện những hoạt động sau: 

  • Thu thập, phân tích dữ liệu cá nhân cơ bản của chị A (họ tên, địa chỉ, số điện thoại) để phục vụ mục đích giao hàng dưới sự đồng ý của chủ thể dữ liệu.
  • Chỉnh sửa dữ liệu cá nhân sau khi được bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân và chủ thể dữ liệu yêu cầu.
  • Thực hiện chuyển giao dữ liệu cá nhân cho nhân viên giao hàng của đơn vị để thực hiện hoạt động giao hàng.
  • Thực hiện xóa, hủy dữ liệu cá nhân của chủ thể dữ liệu khi được bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân yêu cầu.

Bên xử lý dữ liệu cá nhân là cơ quan, tổ chức, cá nhân thực hiện việc xử lý dữ liệu cá nhân theo yêu cầu của bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân thông qua hợp đồng.

3. Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân

Căn cứ pháp lý: Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025

Quyền của chủ thể dữ liệu cá nhân

Quyền của chủ thể dữ liệu cá nhân bao gồm:

  • Được biết về hoạt động xử lý dữ liệu cá nhân;
  • Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân;
  • Xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân;
  • Yêu cầu cung cấp, xóa, hạn chế xử lý dữ liệu cá nhân; gửi yêu cầu phản đối xử lý dữ liệu cá nhân;
  • Khiếu nại, tố cáo, khởi kiện, yêu cầu bồi thường thiệt hại theo quy định của pháp luật;
  • Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.

Nghĩa vụ của chủ thể dữ liệu cá nhân

Nghĩa vụ của chủ thể dữ liệu cá nhân bao gồm:

  • Tự bảo vệ dữ liệu cá nhân của mình;
  • Tôn trọng, bảo vệ dữ liệu cá nhân của người khác;
  • Cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý dữ liệu cá nhân của mình;
  • Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân.

Thực hiện quyền của chủ thể dữ liệu 

Khi phát hiện dữ liệu cá nhân bị lộ lọt và bị sử dụng vào mục đích trái pháp luật, chị A có thể thực hiện các việc sau:

  • Yêu cầu thông tin và giải trình: chị A có thể yêu cầu nền tảng Z, shop X, đơn vị vận chuyển Y giải trình về việc dữ liệu cá nhân của mình bị lộ và đã bị kẻ xấu lợi dụng. Đây là thực hiện quyền được biết của chủ thể dữ liệu.
  • Yêu cầu hạn chế xử lý dữ liệu: chị A có thể yêu cầu nền tảng Z, shop X hủy bỏ DLCN khi phát hiện dữ liệu bị lộ.
  • Gửi phản ánh đến cơ quan chức năng: chị A có thể gửi phản ánh trực tuyến (email đính kèm hình ảnh, bằng chứng chứng minh dữ liệu cá nhân bị xâm phạm) đến cơ quan có thẩm quyền hoặc gửi đơn tố cáo trực tiếp đến Cục an ninh mạng và phòng chống tội phạm sử dụng công nghệ cao Bộ Công an.
  • Gửi đơn khởi kiện tại Tòa án khu vực chủ dữ liệu cá nhân hoặc trụ sở của bên xử lý dữ liệu cá nhân có trách nhiệm.
  • Lưu trữ bằng chứng.

4. Trách nhiệm pháp lý của các bên xử lý dữ liệu cá nhân

Căn cứ pháp lý: Điều 37 Luật Bảo vệ dữ liệu cá nhân 2025

Trách nhiệm pháp lý của shop X

Với vai trò là bên kiểm soát và xử lý dữ liệu cá nhân shop X có những trách nhiệm của bên kiểm soát dữ liệu cá nhân và bên xử lý dữ liệu cá nhân như sau:

Trách nhiệm của bên kiểm soát dữ liệu cá nhân như sau:

  • Nêu rõ trách nhiệm, quyền và nghĩa vụ phải tuân thủ của các bên trong thỏa thuận, hợp đồng có liên quan đến xử lý dữ liệu cá nhân theo quy định của Luật này và quy định khác của pháp luật có liên quan;
  • Quyết định mục đích và phương tiện xử lý dữ liệu cá nhân tại các văn bản, thỏa thuận với chủ thể dữ liệu cá nhân, bảo đảm đúng nguyên tắc và nội dung theo quy định của Luật Bảo vệ dữ liệu cá nhân 2025;
  • Thực hiện biện pháp quản lý, kỹ thuật phù hợp để bảo vệ dữ liệu cá nhân theo quy định của pháp luật, rà soát và cập nhật các biện pháp này khi cần thiết;
  • Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân;
  • Lựa chọn bên xử lý dữ liệu cá nhân phù hợp để xử lý dữ liệu cá nhân;
  • Bảo đảm các quyền của chủ thể dữ liệu cá nhân;
  • Chịu trách nhiệm trước chủ thể dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra;
  • Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình;
  • Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

Trách nhiệm của bên xử lý dữ liệu cá nhân như sau:

  • Chỉ được tiếp nhận dữ liệu cá nhân sau khi có thỏa thuận, hợp đồng về xử lý dữ liệu cá nhân với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân;
  • Xử lý dữ liệu cá nhân theo đúng thỏa thuận, hợp đồng ký kết với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân;
  • Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định của Luật này và các quy định khác của pháp luật có liên quan;
  • Chịu trách nhiệm trước bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân về thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra;
  • Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình;
  • Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

Trách nhiệm pháp lý của nền tảng Z

Với vai trò là bên kiểm soát và xử lý dữ liệu cá nhân shop X có những trách nhiệm của bên kiểm soát dữ liệu cá nhân và bên xử lý dữ liệu cá nhân như sau:

Trách nhiệm của bên kiểm soát dữ liệu cá nhân như sau:

  • Nêu rõ trách nhiệm, quyền và nghĩa vụ phải tuân thủ của các bên trong thỏa thuận, hợp đồng có liên quan đến xử lý dữ liệu cá nhân theo quy định của Luật này và quy định khác của pháp luật có liên quan;
  • Quyết định mục đích và phương tiện xử lý dữ liệu cá nhân tại các văn bản, thỏa thuận với chủ thể dữ liệu cá nhân, bảo đảm đúng nguyên tắc và nội dung theo quy định của Luật Bảo vệ dữ liệu cá nhân 2025;
  • Thực hiện biện pháp quản lý, kỹ thuật phù hợp để bảo vệ dữ liệu cá nhân theo quy định của pháp luật, rà soát và cập nhật các biện pháp này khi cần thiết;
  • Thông báo hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân;
  • Lựa chọn bên xử lý dữ liệu cá nhân phù hợp để xử lý dữ liệu cá nhân;
  • Bảo đảm các quyền của chủ thể dữ liệu cá nhân;
  • Chịu trách nhiệm trước chủ thể dữ liệu cá nhân về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra;
  • Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình;
  • Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

Trách nhiệm của bên xử lý dữ liệu cá nhân như sau:

  • Chỉ được tiếp nhận dữ liệu cá nhân sau khi có thỏa thuận, hợp đồng về xử lý dữ liệu cá nhân với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân;
  • Xử lý dữ liệu cá nhân theo đúng thỏa thuận, hợp đồng ký kết với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân;
  • Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định của Luật này và các quy định khác của pháp luật có liên quan;
  • Chịu trách nhiệm trước bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân về thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra;
  • Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình;
  • Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

Trách nhiệm pháp lý của đơn vị vận chuyển Y

Với vai trò là đơn vị tiếp nhận dữ liệu cá nhân, đơn vị vận chuyển Y giữ vai trò là bên xử lý dữ liệu cá nhân. Vì vậy đơn vị vận chuyển Y sẽ có trách nhiệm sau:

Trách nhiệm của bên xử lý dữ liệu cá nhân như sau:

  • Chỉ được tiếp nhận dữ liệu cá nhân sau khi có thỏa thuận, hợp đồng về xử lý dữ liệu cá nhân với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân;
  • Xử lý dữ liệu cá nhân theo đúng thỏa thuận, hợp đồng ký kết với bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân;
  • Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định của Luật này và các quy định khác của pháp luật có liên quan;
  • Chịu trách nhiệm trước bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân về thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra;
  • Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình;
  • Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

5. Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân

  • Tổ chức, cá nhân có hành vi vi phạm quy định của Luật Bảo vệ dữ liệu cá nhân 2025 và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.
  • Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 là 03 tỷ đồng thì áp dụng mức phạt tiền theo quy định là 03 tỷ đồng.

Ngoài ra còn có các mức phạt khác như:

  • Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều 8 Luật Bảo vệ dữ liệu cá nhân là 03 tỷ đồng thì áp dụng mức phạt tiền theo quy định là 03 tỷ đồng.
  • Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.
  • Mức phạt tiền tối đa quy định tại các khoản 3, 4 và 5 Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.

KẾT LUẬN

Hiểu rõ quyền và nghĩa vụ của chủ thể dữ liệu cá nhân chính là bước đầu tiên để xây dựng một xã hội số an toàn và văn minh. Khi các cá nhân, cơ quan và tổ chức tuân thủ quy định của pháp luật thì rủi ro về rò rỉ dữ liệu sẽ được giảm thiểu tối đa.

Trên đây là Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân. Nếu bạn còn thắc mắc liên quan đến vấn đề này. Hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm: