(KTSG) - Từ ngày 1-1-2026, khi Luật Bảo vệ dữ liệu cá nhân có hiệu lực, người dân lần đầu có quyền yêu cầu xóa dữ liệu của mình khỏi hệ thống của các tổ chức, doanh nghiệp. Tuy nhiên, vấn đề đặt ra là việc giám sát thực hiện ra sao để chắc chắn dữ liệu được xóa, ngoài ra còn một vấn đề mới phát sinh là nội dung thỏa thuận sử dụng dịch vụ của các doanh nghiệp có phù hợp với luật mới hay không?
- Zalo sẽ ứng xử ra sao với dữ liệu các cơ quan nhà nước?
- Thông báo về điều khoản mới của Zalo gây tranh cãi
Cùng thời điểm Luật Bảo vệ dữ liệu cá nhân có hiệu lực thì ứng dụng nhắn tin Zalo thông báo cập nhật thỏa thuận sử dụng dịch vụ khiến nhiều người dùng tỏ ra lo ngại vì điều khoản mới có liên quan đến quyền tự chủ đối với dữ liệu cá nhân. Thêm vào đó là họ không có sự lựa chọn vì nếu không bấm đồng ý với quy định mới, tài khoản Zalo sẽ bị xóa sau 45 ngày.
Sự lo ngại của người dùng Zalo đến từ một số điều khoản trong thỏa thuận như tại mục số 5 quy định khi đăng nhập tài khoản Zalo đồng nghĩa họ cho phép, chấp thuận để VNG (đơn vị phát hành ứng dụng) có quyền “sử dụng những biện pháp kỹ thuật cho mục đích thu thập và xử lý các dữ liệu liên quan đến tài khoản của người dùng”.
Các dữ liệu này có thể bao gồm số điện thoại, căn cước công dân, họ tên, tuổi, giới tính, mối quan hệ gia đình, thư điện tử (e-mail), hình ảnh cá nhân... Ngoài ra, tại mục số 8 về “Quyền của chủ thể dữ liệu”, VNG quy định người dùng có quyền rút lại sự đồng ý, hạn chế và phản đối xử lý dữ liệu cá nhân (đã đồng ý trước đó).
Tuy nhiên, VNG có quyền từ chối thực hiện yêu cầu trên nếu không đáp ứng điều kiện do VNG đưa ra, đồng thời việc rút lại sự đồng ý “không làm ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu cá nhân” đã thực hiện trước thời điểm hoàn tất việc chấm dứt hạn chế dữ liệu.
Theo quy định tại điều 9, chủ thể dữ liệu có quyền xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình và quyền này được quy định tại điều 16 của Luật Bảo vệ dữ liệu cá nhân. Theo đó, chủ thể dữ liệu có thể yêu cầu bên kiểm soát dữ liệu xóa dữ liệu cá nhân trong trường hợp dữ liệu không còn cần thiết cho mục đích thu thập ban đầu; khi chủ thể dữ liệu rút lại sự đồng ý hoặc khi chủ thể dữ liệu phản đối việc xử lý và bên kiểm soát, xử lý dữ liệu không có căn cứ pháp lý hợp pháp để tiếp tục.
Đây là bước tiến lớn về luật so với trước đây, khi việc xóa hay gỡ bỏ thông tin chủ yếu phụ thuộc vào chính sách nội bộ của doanh nghiệp hoặc thỏa thuận dân sự, Luật Bảo vệ dữ liệu cá nhân đã xác lập đây là một quyền của chủ thể dữ liệu, đồng thời đặt ra nghĩa vụ tương ứng đối với bên kiểm soát và xử lý dữ liệu.
Không ít trường hợp thông tin khách hàng thu thập được qua các chiến dịch khuyến mãi có thể tiếp tục bị doanh nghiệp lưu trữ, thậm chí cung cấp cho bên thứ ba dùng cho mục đích tiếp thị. Rất nhiều người dân bị “bỏ bom” cuộc gọi, e-mail, tin nhắn... sau khi cung cấp thông tin cho doanh nghiệp suốt nhiều năm sau khi lỡ cung cấp thông tin cá nhân.
Vấn đề quan trọng hơn là giám sát thực thi để bảo đảm doanh nghiệp xóa hết dữ liệu khi được yêu cầu, không còn lưu trữ và dùng trái phép.






