Quyền và phương thức Xác lập Sự đồng ý của Chủ thể Dữ liệu cá nhân theo nghị định 356/2025/NĐ-CP

Theo Nghị định 356/2025/NĐ-CP, trách nhiệm của tổ chức xử lý dữ liệu được nâng cao với các mốc thời gian nghiêm ngặt: (1) Phản hồi quyền chủ thể: Phải phản hồi trong vòng 02 ngày làm việc và hoàn tất thực hiện quyền trong 10 – 20 ngày; (2) Sự đồng ý hợp lệ: Phải qua phương thức có thể kiểm chứng (văn bản, ghi âm, xác nhận số), nghiêm cấm mặc định “đồng ý”. Đặc biệt, Nghị định 356 nhấn mạnh trách nhiệm của Bên kiểm soát dữ liệu trong việc lưu trữ bằng chứng xác thực và chứng minh tính minh bạch khi xử lý dữ liệu cá nhân nhạy cảm.

1. Quyền của chủ thể dữ liệu cá nhân theo Nghị định 356/2025/NĐ – CP được quy định như thế nào?

Chủ thể được quyền yêu cầu bên kiểm soát, xử lý dữ liệu cá nhân phản hồi trong vòng 02 ngày làm việc đối với yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, hạn chế xử lý dữ liệu cá nhân, phản đối xử lý dữ liệu cá nhân theo đúng thủ tục. Đồng thời bên kiểm soát, bên xử lý dữ liệu cá nhân còn phải cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục ngừng xử lý dữ liệu cá nhân và thực hiện trong thời hạn 15 ngày, trừ trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân theo quy định tại Điều 19 Luật Bảo vệ dữ liệu cá nhân. Trường hợp cần yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba ngừng xử lý dữ liệu cá nhân của chủ thể dữ liệu cá nhân thì thực hiện trong thời hạn 20 ngày.

Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa 01 lần gia hạn trong thời hạn không quá 15 ngày, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn và chịu trách nhiệm chứng minh việc gia hạn là cần thiết, hợp lý.

Chủ thể dữ liệu cá nhân được quyền yêu cầu bên kiểm soát- xử lý dữ liệu cá nhân phải cho chủ thể dữ liệu được xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân, cung cấp dữ liệu cá nhân theo đúng thủ tục của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải phản hồi trong thời hạn 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong thời hạn 10 ngày. Trường hợp cần yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu cá nhân thì thực hiện trong thời hạn 15 ngày.

Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa 01 lần gia hạn trong thời hạn không quá 10 ngày, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn và chịu trách nhiệm chứng minh việc gia hạn là cần thiết, hợp lý.

Chủ thể dữ liệu cá nhân được quyền yêu cầu bên kiểm soát, xử lý dữ liệu cá nhân xóa dữ liệu cá nhân theo đúng thủ tục của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải phản hồi trong thời hạn 02 ngày làm việc, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong thời hạn 20 ngày. Trường hợp cần yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba cung cấp, xóa, hạn chế xử lý dữ liệu của chủ thể dữ liệu cá nhân thì thực hiện trong thời hạn 30 ngày.

Tùy theo tính chất, mức độ phức tạp của yêu cầu, trường hợp cần gia hạn thời gian xử lý thì kéo dài thêm tối đa 01 lần gia hạn trong thời hạn không quá 20 ngày, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu cá nhân lý do cần gia hạn và chịu trách nhiệm chứng minh việc gia hạn là cần thiết, hợp lý.

2. Phương thức thể hiện sự đồng ý của chủ thể dữ liệu cá nhân

Các phương thức xin sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm khả năng kiểm chứng được về việc xác định chủ thể dữ liệu cá nhân đã thực hiện sự đồng ý, thời điểm và nội dung được đồng ý, bao gồm:

• Bằng văn bản;
• Bằng cuộc gọi ghi âm;
• Cú pháp đồng ý qua tin nhắn điện thoại;
• Qua thư điện tử, trên trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý;
• Bằng các phương thức khác phù hợp có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

Bên kiểm soát dữ liệu, bên kiểm soát và xử lý dữ liệu cá nhân phải lưu trữ sự đồng ý của chủ thể dữ liệu. Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân. Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không được thiết lập phương thức mặc định đồng ý hoặc tạo ra các chỉ dẫn không rõ ràng, gây hiểu lầm giữa đồng ý và không đồng ý cho chủ thể dữ liệu. Các thiết lập mặc định sẵn có phải đảm bảo nguyên tắc bảo vệ dữ liệu cá nhân, tôn trọng các quyền của chủ thể dữ liệu cá nhân.

Đối với việc xin sự đồng ý xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.

3. Lời khuyên từ CDLAF dành cho các doanh nghiệp

Với kinh nghiệm thực hiện tư vấn và xây dựng các quy chế nội bộ cho hoạt động bảo vệ dữ liệu cá nhân cũng như thực hiện các thủ tục về dữ liệu cá nhân từ giai đoạn Nghị định 13/2023/NĐ-CP cho đến hiện tại, chúng tôi nhận thấy:

Tuân thủ dữ liệu cá nhân không còn là đối phó, Nghị định 356/2025/NĐ-CP đã quy định thời hạn phản hồi của doanh nghiệp cho chủ thể dữ liệu cá nhân  chỉ có 02 ngày làm việc, trừ một số trường hợp đặc biệt. Đây thực sự là một ‘bẫy thời gian’ đối với các doanh nghiệp vẫn đang quản lý dữ liệu thủ công. Nếu không có bộ phận pháp chế phối hợp chặt chẽ với IT để xây dựng quy trình tiếp nhận yêu cầu tự động, quy trình xử lý yêu cầu của chủ thể dữ liệu, quy trình về ứng phó sự cố… khả năng vi phạm thời hạn là cực kỳ cao, đặc biệt là các doanh nghiệp có số lượng nhân sự lớn. Doanh nghiệp đừng để một sơ suất hành chính dẫn đến cuộc thanh tra diện rộng về bảo vệ dữ liệu.

Lời khuyên về “Bằng chứng số” (Audit Trail)

Điểm mới của Nghị định 356 là việc siết chặt trách nhiệm chứng minh sự đồng ý. Mặc dù chúng ta hiểu rằng bất kỳ trao đổi xác nhận nào giữa các bên đều cần có lưu lại bằng chứng, tuy nhiên Nghị định 356/2025/NĐ-CP không ghi nhận chung chung hay mặc định cho các bên tự hiểu về điều đó, Nghị định 356/2025/NĐ-CP đã ghi nhận chi tiết về các bằng chứng nào được xem là cơ sở để ghi nhận sự đồng ý của chủ thể dữ liệu. Tôi luôn khuyên khách hàng: ‘Đừng chỉ lấy sự đồng ý, hãy lưu trữ bằng chứng về sự đồng ý đó’. Doanh nghiệp cần xây dựng hệ thống Log data minh bạch, ghi nhận chính xác thời điểm, địa chỉ IP và phiên bản chính sách bảo mật mà chủ thể đã chấp thuận. Trong kỷ nguyên số, bằng chứng không nằm ở lời nói, mà nằm ở dữ liệu hệ thống.

Hợp đồng với bên thứ ba, nhiều doanh nghiệp tập trung vào quan hệ với khách hàng mà quên mất các đối tác xử lý dữ liệu (Vendor). Hãy cập nhật ngay các điều khoản về thời hạn phản hồi 02 ngày vào Thỏa thuận xử lý dữ liệu (DPA) với tất cả các bên thứ ba. Nếu đối tác của bạn chậm trễ, doanh nghiệp bạn chính là bên phải chịu trách nhiệm trước pháp luật theo tinh thần của 356/2025/NĐ-CP.

CDLAF – Đơn vị tư vấn chuyên sâu và thực hiện thủ tục tuân thủ về Bảo vệ dữ liệu cá nhân tại Việt Nam.

• Email tư vấn: info@cdlaf.vn

• Hotline: (+84) 909 668 216

Thời gian viết bài: 02/01/2026

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Bạn có thể tham thảo thêm:

• Phân biệt Giấy phép ATTTM và Giấy phép Mật mã dân sự: Những nhầm lẫn cần loại bỏ
• Giao kết hợp đồng lao động điện tử diều kiện tuân thủ và Quy trình thực thi
• Tác động của Nghị định 337/2025/NĐ-CP liên quan đến Hợp đồng lao động điện tử
• Thuế áp dụng cho các cá nhân nước ngoài làm việc tự do tại Việt Nam
• Hướng dẫn lập Phương án kinh doanh – Giấy phép kinh doanh dịch vụ, sản phẩm an toàn thông tin mạng (Phần 2)