Theo quy định tại điểm l khoản 1 Điều 9, chủ thể dữ liệu có quyền xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình. Quyền này được cụ thể hóa tại Điều 16 của Luật Bảo vệ dữ liệu cá nhân.

Cụ thể, chủ thể dữ liệu có thể yêu cầu bên kiểm soát dữ liệu xóa dữ liệu cá nhân trong trường hợp dữ liệu không còn cần thiết cho mục đích thu thập ban đầu; khi chủ thể dữ liệu rút lại sự đồng ý theo quy định tại Điều 12; hoặc khi chủ thể dữ liệu phản đối việc xử lý và bên kiểm soát, xử lý dữ liệu không có căn cứ pháp lý hợp pháp để tiếp tục (khoản 1 Điều 16).

So với trước đây, khi việc xóa hay gỡ bỏ thông tin chủ yếu phụ thuộc vào chính sách nội bộ của doanh nghiệp hoặc thỏa thuận dân sự, Luật Bảo vệ dữ liệu cá nhân đã xác lập đây là một quyền của chủ thể dữ liệu, đồng thời đặt ra nghĩa vụ tương ứng đối với bên kiểm soát và xử lý dữ liệu.

Tuy nhiên, người dùng cũng cần chú ý trong một số trường hợp, các tổ chức, doanh nghiệp được xử lý dữ liệu cá nhân mà không cần sự đồng ý của người dùng. Đó là trường hợp xử lý để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác trong trường hợp cấp bách; bảo vệ quyền hoặc lợi ích chính đáng của mình, của người khác hoặc lợi ích của Nhà nước, của cơ quan tổ chức một cách cần thiết trước hành vi xâm phạm lợi ích nói trên. Hoặc trường hợp để giải quyết tình trạng khẩn cấp; nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật...

Ngoài ra, luật Bảo vệ dữ liệu cá nhân cũng quy định hành vi mua bán dữ liệu cá nhân trái phép là một trong 7 hành vi bị nghiêm cấm, bên cạnh một số hoạt động khác như lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; xử lý dữ liệu cá nhân trái quy định của pháp luật; sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật...

TH