6 quyền của chủ thể dữ liệu theo Luật Bảo vệ dữ liệu cá nhân từ 01/01/2026

Khoản 5 Điều 1 Luật Bảo vệ dữ liệu cá nhân 2025 quy định, chủ thể dữ liệu cá nhân là người được dữ liệu cá nhân phản án. Đồng thời, khoản 1 Điều 3 Luật Bảo vệ dữ liệu cá nhân 2025 cũng quy định:

“Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm: dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm. Dữ liệu cá nhân sau khi khử nhận dạng không còn là dữ liệu cá nhân.”

Như vậy, có thể hiểu chủ thể dữ liệu cá nhân là người được dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc thông tin định dạng một người phản ánh thông tin của người đó.

Căn cứ khoản 1 Điều 4 Luật Dữ liệu cá nhân 2025, từ ngày 01/01/2026, 6 quyền của chủ thể theo Luật Bảo vệ dữ liệu cá nhân 2025 sẽ có hiệu lực. Cụ thể như sau:

(1) Được biết về hoạt động xử lý dữ liệu cá nhân

(2) Đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân

(6) Yêu cầu cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo quy định của pháp luật.

2. Nghĩa vụ của chủ thể dữ liệu cá nhân

Theo khoản 2, Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025, chủ thể dữ liệu cá nhân cần thực hiện các nghĩa vụ:

"a) Tự bảo vệ dữ liệu cá nhân của mình;

b) Tôn trọng, bảo vệ dữ liệu cá nhân của người khác;

c) Cung cấp đầy đủ, chính xác dữ liệu cá nhân của mình theo quy định của pháp luật, theo hợp đồng hoặc khi đồng ý cho phép xử lý dữ liệu cá nhân của mình;

d) Chấp hành pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống hoạt động xâm phạm dữ liệu cá nhân."

Theo đó, chủ thể dữ liệu cá nhân trong hoạt động bảo vệ dữ liệu cá nhân cần thực hiện 4 nghĩa vụ từ ngày 01/01/2026.

Tuy nhiên, trước khi Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực thi hành thì nghĩa vụ của chủ thể vẫn được áp dụng theo Điều 10 Nghị định 13/2023/NĐ-CP cho đến khi có Nghị định mới hướng dẫn Luật Bảo vệ dữ liệu cá nhân 2025 được ban hành và quy định thay thế Nghị định 13.

Do đó, thời điểm hiện tại (ngày 28/8/2025) chủ thể dữ liệu cá nhân phải thực hiện đầy đủ nghĩa vụ theo quy định tại Nghị định 13. Cụ thể như sau:

- Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình.

- Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.

- Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân.

- Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân.

- Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.

3. Nguyên tắc khi thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân

Theo khoản 3 Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025 quy định, đối với chủ thể dữ liệu cá nhân khi thực hiện quyền và nghĩa vụ của mình cũng cần tuân thủ đầy đủ những nguyên tắc như sau:

- Thực hiện theo quy định của pháp luật; tuân thủ nghĩa vụ của chủ thể dữ liệu cá nhân theo hợp đồng. Việc thực hiện quyền và nghĩa vụ của chủ thể dữ liệu cá nhân phải nhằm mục đích bảo vệ quyền, lợi ích hợp pháp của chính chủ thể dữ liệu cá nhân đó.

- Không được gây khó khăn, cản trở việc thực hiện quyền, nghĩa vụ pháp lý của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân.

- Không được xâm phạm đến quyền, lợi ích hợp pháp của Nhà nước, cơ quan, tổ chức, cá nhân khác.