Bảo vệ dữ liệu cá nhân: 10 điều người dùng cần nắm rõ

Người dùng được trao quyền kiểm soát, quyết định và yêu cầu các nền tảng số như Zalo, Facebook, ngân hàng số, sàn thương mại điện tử… minh bạch trong việc thu thập, sử dụng và bảo vệ dữ liệu cá nhân. Trong đó, có 10 điểm nhấn quan trọng mà mỗi công dân cần biết để làm chủ dữ liệu của chính mình.

1.Chủ thể dữ liệu cá nhân có quyền được đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân

Cho phép xử lý dữ liệu cá nhân phải dựa trên sự tự nguyện của chủ thể dữ liệu, không bị ép buộc dưới bất kỳ hình thức nào theo điểm b khoản 1 Điều 4 và Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025. Việc xử lý dữ liệu phải được thực hiện bằng phương thức rõ ràng, minh bạch theo quy định tại khoản 1 Điều 6 Nghị định 356/2025/NĐ-CP.

Đáng chú ý, chủ thể dữ liệu có quyền rút lại sự đồng ý hoặc yêu cầu hạn chế việc xử lý dữ liệu cá nhân khi có nghi ngờ về phạm vi, mục đích xử lý hoặc tính chính xác của dữ liệu. Việc này phải được thể hiện bằng văn bản và được thực hiện trong thời hạn 15 ngày, theo khoản 2 Điều 5 và Điều 10 Nghị định 356/2025/NĐ-CP.

2. Việc im lặng không được coi là đồng ý xử lý dữ liệu cá nhân

Theo điểm d khoản 4 Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025 cơ quan, tổ chức, cá nhân chỉ được phép sử dụng dữ liệu cá nhân khi có sự đồng ý rõ ràng bằng văn bản của chủ thể dữ liệu và không được tự ý sử dụng thông tin vào bất kỳ mục đích nào khi chưa được chấp thuận.

3. Chủ thể dữ liệu cá nhân có thể đề nghị thực hiện các quyền chỉnh sửa, xóa, hủy, khử nhận dạng dữ liệu cá nhân

Chủ thể dữ liệu cá nhân có thể đề nghị thực hiện các quyền chỉnh sửa, xóa, hủy, khử nhận dạng dữ liệu cá nhân đối với bên kiểm soát và xử lý dữ liệu cá nhân. Đặc biệt không ai được phép cố ý khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy (Điều 13, 14 Luật Bảo vệ dữ liệu cá nhân 2025)

4. Dữ liệu cá nhân trong xử lý dữ liệu lớn bắt buộc xác thực đa yếu tố

Khi xử lý dữ liệu cá nhân ở quy mô lớn, dữ liệu lớn, cơ quan, tổ chức, cá nhân liên quan phải sử dụng phương thức xác thực mạnh (ví dụ: PIN, mã OTP)

Quy định này nhằm đảm bảo chỉ người có thẩm quyền mới được truy cập và giảm nguy cơ lộ, lọt dữ liệu cá nhân (Điều 9 NĐ 356/2025/NĐ-CP).

5. Phải xóa, hủy thông tin của người dự tuyển khi không tuyển dụng 

Theo điểm c khoản 1 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, bên tuyển dụng phải xóa, hủy toàn bộ thông tin của người dự tuyển khi không tuyển dụng, kể cả dữ liệu số và bản cứng.

Quy định này áp dụng đối với CV, file điện tử, hình ảnh, email và các thông tin liên quan khác.

Trường hợp hai bên có thỏa thuận khác về việc sử dụng dữ liệu cá nhân thì bên tuyển dụng không bắt buộc phải xóa, hủy.

6. Người sử dụng lao động phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng

Theo điểm c khoản 2 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, người sử dụng lao động phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.

Trường hợp người sử dụng lao động và người lao động có thỏa thuận riêng trong hợp đồng lao động để phục vụ giải quyết các công việc khác có liên quan hoặc pháp luật có quy định khác (ví dụ pháp luật về thuế, kế toán,...) thì người sử dụng lao động không bắt buộc phải xóa dữ liệu cá nhân của người lao động.

7. Dữ liệu cá nhân của trẻ em phải được sự đồng ý của người đại diện theo pháp luật

Đối với trẻ em thì người đại diện theo pháp luật thay mặt thực hiện các quyền của chủ thể dữ liệu cá nhân. Đối với trẻ em từ đủ 7 tuổi trở lên thì phải có sự đồng ý của trẻ em và người đại diện theo pháp luật trong việc xử lý dữ liệu cá nhân của trẻ em nhằm công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân.

Ngoài trẻ em thì đối tượng là người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi cũng do người đại diện theo pháp luật thực hiện các quyền của chủ thể dữ liệu cá nhân (Điều 24 Luật Bảo vệ dữ liệu cá nhân 2025).

8. Chủ thể dữ liệu cá nhân có quyền khiếu nại, tố cáo, khởi kiện khi bị xâm phạm

Nếu chứng minh được cơ quan, tổ chức, cá nhân có hành vi xâm phạm dữ liệu cá nhân thì chủ thể dữ liệu cá nhân hoàn toàn có quyền khiếu nại, tố cáo, khởi kiện yêu cầu đòi bồi thường về vật chất, tinh thần và tùy theo tính chất, mức độ, hậu quả của hành vi (Theo điểm đ khoản 1 Điều 4, Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025).

9. Khi bị "lộ" thông tin dữ liệu cá nhân thì chủ thể dữ liệu cá nhân phải được thông báo

Khi phát hiện làm lộ, mất dữ liệu cá nhân nhạy cảm, bên xử lý hoặc bên thứ ba phải thông báo. Thông báo gửi cơ quan chuyên trách và chính chủ thể dữ liệu. Thời gian thực hiện không quá 72 giờ.

Đồng thời, các bên liên quan phải lập biên bản để xác minh, xử lý hành vi vi phạm theo quy định pháp luật (Điều 23 Luật Bảo vệ dữ liệu cá nhân 2025; khoản 3 Điều 8 Nghị định 356/2025/NĐ-CP).

10. Mạng xã hội không được yêu cầu xác thực bằng hình thức cung cấp hình ảnh, video chứa nội dung giấy tờ tùy thân

Từ 1/1, các nền tảng mạng xã hội không được sử dụng hình ảnh, video chứa giấy tờ tùy thân làm hình thức xác thực tài khoản, trừ khi pháp luật có quy định khác. Việc yêu cầu người dùng cung cấp giấy tờ định danh để xác thực phải có căn cứ hợp pháp, mục đích rõ ràng và phù hợp, không tùy tiện.

Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP đánh dấu bước tiến mạnh trong bảo vệ quyền lợi của chủ thể dữ liệu. Mọi hành vi thu thập, sử dụng hoặc tiết lộ trái phép đều bị xử lý nghiêm và có thể phải bồi thường thiệt hại. Trong môi trường số ngày càng phức tạp, mỗi người hãy trở thành người dùng thông minh, chủ động bảo vệ thông tin, hình ảnh và quyền riêng tư của chính mình.