Từ 1/1/2026, người dân có quyền yêu cầu các tổ chức, doanh nghiệp xóa bỏ dữ liệu cá nhân
(Thị trường tài chính) -Từ ngày 1/1/2026, khi Luật Bảo vệ dữ liệu cá nhân có hiệu lực, nhằm bảo vệ người dân trước vấn nạn rò rỉ thông tin cá nhân.
Luật gồm 5 chương, 39 điều cụ thể hóa quyền con người, quyền riêng tư và là khuôn khổ pháp lý thống nhất cho hoạt động thu thập, xử lý và bảo vệ dữ liệu cá nhân trong môi trường số.
Các nội dung nổi bật của Luật Bảo vệ dữ liệu cá nhân gồm:
Yêu cầu xóa dữ liệu cá nhân được luật hóa
Theo Điều 9, điểm l khoản 1 của Luật Bảo vệ dữ liệu cá nhân, chủ thể dữ liệu có quyền yêu cầu tổ chức, doanh nghiệp xóa hoặc loại bỏ dữ liệu cá nhân của mình trong các trường hợp sau:
Khi dữ liệu không còn cần thiết cho mục đích ban đầu;
Chủ thể rút lại sự đồng ý theo quy định tại Điều 12;
Chủ thể phản đối việc xử lý dữ liệu mà bên kiểm soát không còn cơ sở pháp lý để tiếp tục xử lý (khoản 1, Điều 16).
Trước đây, việc xóa hoặc gỡ bỏ thông tin cá nhân thường dựa trên chính sách nội bộ của doanh nghiệp hoặc các thỏa thuận dân sự. Chủ thể dữ liệu chỉ có thể đề nghị, còn quyết định cuối cùng phụ thuộc vào doanh nghiệp.
Tuy nhiên, từ ngày 1/1/2026, khi dữ liệu không còn cần thiết cho mục đích ban đầu hoặc người dùng rút lại sự đồng ý, cá nhân có quyền yêu cầu xóa dữ liệu. Tổ chức, doanh nghiệp có nghĩa vụ xem xét và thực hiện yêu cầu, trừ những trường hợp pháp luật cho phép tiếp tục lưu trữ.
Ngoài ra, Luật cũng quy định nguyên tắc liên quan đến sự đồng ý của chủ thể dữ liệu. Theo khoản 2 và khoản 3 Điều 11, sự đồng ý phải được thể hiện rõ ràng, cụ thể và bằng hình thức phù hợp; việc im lặng hoặc không phản hồi của cá nhân không được coi là sự đồng ý trong việc xử lý dữ liệu cá nhân.
Ngoài ra, Luật cũng quy định trường hợp cơ quan, tổ chức, cá nhân trong quản lý và sử dụng người lao động có trách nhiệm bảo vệ dữ liệu cá nhân của nhân viên là:
Tuân thủ đầy đủ các quy định của Luật Bảo vệ dữ liệu cá nhân, pháp luật về lao động, việc làm, pháp luật về dữ liệu và các quy định pháp luật liên quan khác;
Dữ liệu cá nhân của người lao động phải được lưu trữ trong thời hạn theo quy định của pháp luật hoặc theo thỏa thuận giữa các bên;
Khi hợp đồng lao động kết thúc, cơ quan, tổ chức, doanh nghiệp phải xóa hoặc hủy dữ liệu cá nhân của nhân viên, trừ những trường hợp pháp luật hoặc thỏa thuận cho phép tiếp tục lưu giữ.
Như vậy, từ 1/1/2026, khi nhân viên nghỉ việc, doanh nghiệp bắt buộc phải xóa hoặc hủy dữ liệu cá nhân của họ sau khi chấm dứt hợp đồng.
Khoản 3 Điều 25 cũng quy định rõ về việc xử lý dữ liệu cá nhân của người lao động được thu thập bằng các biện pháp công nghệ, kỹ thuật:
Chỉ được sử dụng các công cụ, phương tiện kỹ thuật phù hợp với pháp luật, đảm bảo quyền và lợi ích của chủ thể dữ liệu, đồng thời phải đảm bảo người lao động biết rõ về các biện pháp này;
Nghiêm cấm việc xử lý hoặc sử dụng dữ liệu cá nhân từ các biện pháp công nghệ, kỹ thuật nếu trái với quy định pháp luật.
Trong quá trình làm việc, nếu doanh nghiệp muốn xử lý dữ liệu cá nhân của nhân viên thu thập thông qua công nghệ hay kỹ thuật sẽ phải thông báo trước để người lao động nắm được.
Quyền xóa dữ liệu không phải là quyền tuyệt đối
Luật Bảo vệ dữ liệu cá nhân cũng quy định rõ những trường hợp mà bên kiểm soát dữ liệu có quyền từ chối yêu cầu xóa dữ liệu cá nhân.
Tại khoản 3 Điều 16 quy định, yêu cầu xóa dữ liệu có thể không được chấp nhận nếu: dữ liệu cần được lưu trữ để thực hiện nghĩa vụ theo quy định pháp luật khác; phục vụ các mục tiêu liên quan đến quốc phòng, an ninh quốc gia, trật tự và an toàn xã hội; dữ liệu đang được cơ quan nhà nước có thẩm quyền xử lý trong quá trình điều tra, truy tố, xét xử và thi hành án.
Các quy định này nhằm đảm bảo sự cân bằng giữa quyền riêng tư của cá nhân và yêu cầu quản lý nhà nước, đồng thời bảo vệ lợi ích công cộng và hỗ trợ việc thực thi pháp luật một cách hiệu quả.
Siết chặt quản lý, bảo vệ dữ liệu cá nhân
Luật Bảo vệ dữ liệu cá nhân còn thiết lập nhiều nguyên tắc quản lý mới đối với việc xử lý dữ liệu, trong đó nghiêm cấm hành vi mua, bán dữ liệu cá nhân trái phép.
Luật phân loại dữ liệu cá nhân thành dữ liệu cá nhân thông thường và dữ liệu cá nhân nhạy cảm. Dữ liệu nhạy cảm bao gồm các thông tin về sức khỏe, tài chính, dữ liệu sinh trắc học, đời sống riêng tư, quan điểm chính trị… Việc xử lý loại dữ liệu này phải tuân thủ các yêu cầu bảo vệ nghiêm ngặt hơn theo quy định của pháp luật.
Ngoài ra, dữ liệu cá nhân của trẻ em được xem là đối tượng cần được bảo vệ ở mức cao hơn. Việc xử lý dữ liệu trẻ em phải đáp ứng các điều kiện chặt chẽ về sự đồng ý và áp dụng các biện pháp bảo đảm an toàn phù hợp.
