Luật Bảo vệ dữ liệu cá nhân: Lần đầu người dân có quyền yêu cầu xóa dữ liệu của mình

Luật Bảo vệ dữ liệu cá nhân gồm 5 chương, 39 điều, được ban hành nhằm cụ thể hóa các quy định của Hiến pháp về quyền con người, quyền riêng tư, đồng thời thiết lập khuôn khổ pháp lý thống nhất cho hoạt động thu thập, xử lý và bảo vệ dữ liệu cá nhân trong bối cảnh chuyển đổi số ngày càng sâu rộng.

Quyền yêu cầu xóa dữ liệu cá nhân được luật hóa

Theo quy định tại điểm l khoản 1 Điều 9, chủ thể dữ liệu có quyền xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình. Quyền này được cụ thể hóa tại Điều 16 của Luật Bảo vệ dữ liệu cá nhân, tạo cơ sở pháp lý rõ ràng để người dân bảo vệ thông tin cá nhân trước các hoạt động thu thập, lưu trữ và sử dụng dữ liệu.

Cụ thể, cá nhân có quyền yêu cầu bên kiểm soát dữ liệu xóa dữ liệu trong các trường hợp: dữ liệu không còn cần thiết cho mục đích thu thập ban đầu; chủ thể dữ liệu rút lại sự đồng ý theo quy định tại Điều 12; hoặc khi chủ thể dữ liệu phản đối việc xử lý và bên kiểm soát, xử lý dữ liệu không có căn cứ pháp lý hợp pháp để tiếp tục xử lý (khoản 1 Điều 16).

So với trước đây, việc xóa hoặc gỡ bỏ dữ liệu cá nhân chủ yếu phụ thuộc vào chính sách nội bộ của doanh nghiệp hoặc các thỏa thuận dân sự. Luật mới đã xác lập rõ đây là một quyền pháp lý của cá nhân, đồng thời đặt ra nghĩa vụ tương ứng đối với các tổ chức, doanh nghiệp với tư cách là bên kiểm soát và xử lý dữ liệu.

Thực tế cho thấy, trong nhiều trường hợp người dùng đã ngừng sử dụng các ứng dụng vay tiền, mua sắm trực tuyến nhưng dữ liệu cá nhân như số điện thoại, địa chỉ, lịch sử giao dịch vẫn tiếp tục bị lưu trữ, thậm chí được sử dụng cho mục đích tiếp thị. Trước đây, người dùng chỉ có thể “đề nghị” xóa dữ liệu và phụ thuộc vào thiện chí của doanh nghiệp. Từ ngày 1/1/2026, quyền này được pháp luật bảo đảm, buộc doanh nghiệp phải xem xét và thực hiện yêu cầu, trừ các trường hợp luật cho phép tiếp tục lưu trữ.

Nguyên tắc về sự đồng ý được siết chặt

Luật Bảo vệ dữ liệu cá nhân cũng quy định chặt chẽ hơn về nguyên tắc đồng ý của chủ thể dữ liệu. Theo khoản 2 và khoản 3 Điều 11, sự đồng ý phải được thể hiện rõ ràng, cụ thể bằng hình thức phù hợp theo quy định của pháp luật; sự im lặng hoặc không phản hồi không được coi là sự đồng ý trong việc xử lý dữ liệu cá nhân.

Quy định này nhằm khắc phục tình trạng “đồng ý mặc nhiên”, bảo đảm cá nhân thực sự nhận thức và làm chủ quyết định đối với dữ liệu của mình.

Cùng với việc mở rộng quyền cho chủ thể dữ liệu, Luật Bảo vệ dữ liệu cá nhân cũng xác định rõ các trường hợp được phép từ chối yêu cầu xóa dữ liệu. Theo khoản 3 Điều 16, yêu cầu xóa dữ liệu có thể không được chấp nhận nếu việc lưu trữ là nghĩa vụ theo quy định của luật khác; nhằm phục vụ mục đích quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội; hoặc dữ liệu được xử lý bởi cơ quan nhà nước có thẩm quyền trong quá trình điều tra, truy tố, xét xử và thi hành án.

Các quy định này nhằm bảo đảm sự cân bằng giữa quyền riêng tư của cá nhân với lợi ích công cộng, yêu cầu quản lý nhà nước và hoạt động thực thi pháp luật.

Siết chặt quản lý, tăng cường bảo vệ dữ liệu cá nhân

Bên cạnh quyền yêu cầu xóa dữ liệu, Luật Bảo vệ dữ liệu cá nhân thiết lập nhiều nguyên tắc quản lý mới. Theo khoản 4 Điều 6, hành vi mua, bán dữ liệu cá nhân trái phép bị nghiêm cấm.

Luật cũng phân loại dữ liệu cá nhân thành dữ liệu cá nhân thông thường và dữ liệu cá nhân nhạy cảm. Theo khoản 4 Điều 2, dữ liệu cá nhân nhạy cảm bao gồm các thông tin liên quan đến sức khỏe, tài chính, dữ liệu sinh trắc học, đời sống riêng tư, quan điểm chính trị… và việc xử lý loại dữ liệu này phải tuân thủ các yêu cầu bảo vệ nghiêm ngặt hơn.

Đặc biệt, dữ liệu cá nhân của trẻ em được xác định là đối tượng cần được bảo vệ ở mức độ cao hơn. Theo Điều 20, việc xử lý dữ liệu cá nhân của trẻ em phải đáp ứng các điều kiện chặt chẽ về sự đồng ý và áp dụng các biện pháp bảo đảm an toàn phù hợp.

Với hiệu lực từ đầu năm 2026, Luật Bảo vệ dữ liệu cá nhân được kỳ vọng sẽ tạo hành lang pháp lý quan trọng, góp phần tăng cường bảo vệ quyền riêng tư của người dân, đồng thời xác định rõ trách nhiệm của các tổ chức, doanh nghiệp trong hoạt động thu thập, xử lý và bảo vệ dữ liệu cá nhân, hướng tới xây dựng môi trường số an toàn, minh bạch và bền vững.