English
RSS
- 1. 6 thủ tục hành chính mới trong lĩnh vực bảo vệ dữ liệu cá nhân
- 2. Những điều phải biết để bảo vệ dữ liệu cá nhân
- 2.1 Chủ thể dữ liệu cá nhân có quyền được đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân
- 2.2 Việc im lặng có được coi là đồng ý xử lý dữ liệu cá nhân?
- 2.3 Có thể chỉnh sửa, xóa, hủy, khử nhận dạng dữ liệu cá nhân không?
- 2.4 Dữ liệu cá nhân trong xử lý dữ liệu lớn có bắt buộc xác thực đa yếu tố hay không?
- 2.5 Có phải xóa, hủy thông tin của người dự tuyển khi không tuyển dụng không?
- 2.6 Người sử dụng lao động có buộc phải xóa dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng lao động không?
- 2.7 Dữ liệu cá nhân của trẻ em có phải được sự đồng ý của cha, mẹ hay không?
- 2.8 Chủ thể dữ liệu cá nhân có thể khiếu nại, tố cáo, khởi kiện khi bị xâm phạm?
- 2.9 Khi bị "lộ" thông tin dữ liệu cá nhân thì chủ thể dữ liệu cá nhân phải được thông báo?
- 2.10 Mạng xã hội có được yêu cầu xác thực bằng hình thức cung cấp hình ảnh, video chứa nội dung giấy tờ tùy thân không?
1. 6 thủ tục hành chính mới trong lĩnh vực bảo vệ dữ liệu cá nhân
Danh mục ban hành kèm theo Quyết định 778/QĐ-BCA-A05 gồm 06 thủ tục hành chính cấp trung ương, cụ thể:
2. Những điều phải biết để bảo vệ dữ liệu cá nhân
2.1 Chủ thể dữ liệu cá nhân có quyền được đồng ý hoặc không đồng ý, yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân
Căn cứ điểm b khoản 1 Điều 4, Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025, việc cho phép xử lý dữ liệu cá nhân hoàn toàn tự nguyện theo ý chí của chủ thể dữ liệu cá nhân mà không bị ép buộc. Việc xử lý phải được thực hiện bằng phương thức rõ ràng theo quy định tại khoản 1 Điều 6 Nghị định 356/2025/NĐ-CP.
Ngoài ra, chủ thể dữ liệu cá nhân hoàn toàn có thể rút lại sự đồng ý, yêu cầu hạn chế xử lý dữ liệu cá nhân khi có nghi ngờ về phạm vi, mục đích xử lý hoặc tính chính xác của dữ liệu cá nhân nhưng phải được thể hiện bằng văn bản và được thực hiện trong thời hạn 15 ngày (khoản 2 Điều 5, Điều 10 Nghị đinh 356/2025/NĐ-CP).
2.2 Việc im lặng có được coi là đồng ý xử lý dữ liệu cá nhân?
Việc im lặng, không phản đối, phản hồi không được xem là đồng ý xử lý, sử dụng dữ liệu cá nhân. Cơ quan, tổ chức, cá nhân không được phép tự ý sử dụng thông tin của chủ thể dữ liệu cá nhân vào bất kỳ mục đích nào khi chưa được sự đồng ý bằng văn bản của chủ thể dữ liệu cá nhân (điểm d khoản 4 Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025).
2.3 Có thể chỉnh sửa, xóa, hủy, khử nhận dạng dữ liệu cá nhân không?
Điều 13, 14 Luật Bảo vệ dữ liệu cá nhân 2025 quy định chủ thể dữ liệu cá nhân có thể đề nghị thực hiện các quyền chỉnh sửa, xóa, hủy, khử nhận dạng dữ liệu cá nhân đối với bên kiểm soát và xử lý dữ liệu cá nhân. Đặc biệt, cơ quan, tổ chức, cá nhân không được cố ý khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy.
2.4 Dữ liệu cá nhân trong xử lý dữ liệu lớn có bắt buộc xác thực đa yếu tố hay không?
Điều 9 Nghị định 356/2025/NĐ-CP Khi xử lý dữ liệu cá nhân ở quy mô lớn, dữ liệu lớn, cơ quan, tổ chức, cá nhân liên quan phải sử dụng phương thức xác thực mạnh, tối thiểu là xác thực đa yếu tố như mật khẩu, mã PIN kết hợp OTP, thiết bị ký số hoặc sinh trắc học.
Quy định này nhằm đảm bảo chỉ người có thẩm quyền mới được truy cập và giảm nguy cơ lộ, lọt dữ liệu cá nhân.
2.5 Có phải xóa, hủy thông tin của người dự tuyển khi không tuyển dụng không?
Theo điểm c khoản 1 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, cơ quan, tổ chức, cá nhân tuyển dụng lao động phải xóa, hủy thông tin đã cung cấp của người dự tuyển trong trường hợp không tuyển dụng bao gồm cả thông tin dữ liệu số (file, hình ảnh CV, thông tin qua email,...) và thông tin dưới dạng bản cứng, trừ trường hợp có thỏa thuận khác với người đã dự tuyển.
Tức không phải trong mọi trường hợp bắt buộc phải xóa, hủy thông tin của người dự tuyển khi không tuyển dụng. Nếu trong trường hợp hai bên có thống nhất thỏa thuận về việc sử dụng dữ liệu cá nhân thì bên tuyển dụng không buộc phải xóa, hủy.
2.6 Người sử dụng lao động có buộc phải xóa dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng lao động không?
Tương tự, theo điểm c khoản 2 Điều 25 Luật Bảo vệ dữ liệu cá nhân 2025, người sử dụng lao động phải xóa, hủy dữ liệu cá nhân của người lao động khi chấm dứt hợp đồng, trừ trường hợp theo thỏa thuận hoặc pháp luật có quy định khác.
Trường hợp người sử dụng lao động và người lao động có thỏa thuận riêng trong hợp đồng lao động để phục vụ giải quyết các công việc khác có liên quan hoặc pháp luật có quy định khác (ví dụ pháp luật về thuế, kế toán,...) thì người sử dụng lao động không bắt buộc phải xóa dữ liệu cá nhân của người lao động.
2.7 Dữ liệu cá nhân của trẻ em có phải được sự đồng ý của cha, mẹ hay không?
Điều 24 Luật Bảo vệ dữ liệu cá nhân 2025 quy định đối với trẻ em thì người đại diện theo pháp luật thay mặt thực hiện các quyền của chủ thể dữ liệu cá nhân. Đối với trẻ em từ đủ 7 tuổi trở lên thì phải có sự đồng ý của trẻ em và người đại diện theo pháp luật trong việc xử lý dữ liệu cá nhân của trẻ em nhằm công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân.
Ngoài trẻ em thì đối tượng là người bị mất hoặc hạn chế năng lực hành vi dân sự, người có khó khăn trong nhận thức, làm chủ hành vi cũng do người đại diện theo pháp luật thực hiện các quyền của chủ thể dữ liệu cá nhân.
2.8 Chủ thể dữ liệu cá nhân có thể khiếu nại, tố cáo, khởi kiện khi bị xâm phạm?
Khi chứng minh được cơ quan, tổ chức, cá nhân có hành vi xâm phạm dữ liệu cá nhân thì chủ thể dữ liệu cá nhân hoàn toàn có quyền khiếu nại, tố cáo, khởi kiện yêu cầu đòi bồi thường về vật chất, tinh thần và tùy theo tính chất, mức độ, hậu quả của hành vi. Chủ thể xâm phạm có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự, nếu gây thiệt hại thì phải bồi thường (điểm đ khoản 1 Điều 4, Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025).
2.9 Khi bị "lộ" thông tin dữ liệu cá nhân thì chủ thể dữ liệu cá nhân phải được thông báo?
Điều 23 Luật Bảo vệ dữ liệu cá nhân 2025; khoản 3 Điều 8 Nghị định 356/2025/NĐ-CP quy định khi phát hiện hành vi làm lộ, mất dữ liệu cá nhân nhạy cảm gây xâm phạm quyền, lợi ích vật chất hoặc tinh thần của chủ thể dữ liệu, bên kiểm soát và xử lý dữ liệu cá nhân hoặc bên thứ ba phát hiện vụ việc phải thông báo cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân và cho chính chủ thể dữ liệu trong thời hạn không quá 72 giờ. Đồng thời, các bên liên quan phải lập biên bản để xác minh, xử lý hành vi vi phạm theo quy định pháp luật.
2.10 Mạng xã hội có được yêu cầu xác thực bằng hình thức cung cấp hình ảnh, video chứa nội dung giấy tờ tùy thân không?
Từ 1/1/2026, các nền tảng mạng xã hội không được sử dụng hình ảnh, video chứa giấy tờ tùy thân làm hình thức xác thực tài khoản, trừ khi pháp luật có quy định khác. Việc yêu cầu người dùng cung cấp giấy tờ định danh để xác thực phải có căn cứ hợp pháp, mục đích rõ ràng và phù hợp, không tùy tiện.
Ngoài ra, nền tảng mạng xã hội cũng không được nghe lén, nghe trộm hoặc ghi âm cuộc gọi và đọc tin nhắn văn bản khi không có sự đồng ý của chủ thể dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác. Đồng thời, nền tảng còn có trách nhiệm bảo vệ quyền riêng tư người dùng, phải cung cấp lựa chọn "không theo dõi" và cho phép người dùng từ chối các hoạt động thu thập dữ liệu tương tự. Điều này nhằm hạn chế tình trạng thu thập dữ liệu quá mức, bảo vệ an toàn dữ liệu cá nhân và quyền tự quyết của người dùng trên môi trường số (Điều 29 Luật Bảo vệ dữ liệu cá nhân 2025).
