Điều 14 Luật Bảo vệ dữ liệu cá nhân 2025 quy định về việc xóa, hủy, khử nhận dạng dữ liệu cá nhân như sau:

(1) Việc xóa, hủy dữ liệu cá nhân được thực hiện trong các trường hợp sau đây:

a) Chủ thể dữ liệu cá nhân có yêu cầu và chấp nhận các rủi ro, thiệt hại có thể xảy ra đối với mình. Yêu cầu của chủ thể dữ liệu cá nhân trong trường hợp này phải tuân thủ đầy đủ các nguyên tắc quy định tại khoản 3 Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025;

b) Đã hoàn thành mục đích xử lý dữ liệu cá nhân;

c) Hết thời hạn lưu trữ theo quy định của pháp luật;

d) Thực hiện theo quyết định của cơ quan nhà nước có thẩm quyền;

đ) Thực hiện theo thỏa thuận;

e) Trường hợp khác theo quy định của pháp luật.

(2) Không thực hiện yêu cầu của chủ thể dữ liệu cá nhân về việc xóa, hủy dữ liệu cá nhân trong các trường hợp quy định tại Điều 19 Luật Bảo vệ dữ liệu cá nhân 2025 hoặc việc xóa, hủy dữ liệu cá nhân vi phạm quy định tại khoản 3 Điều 4 Luật Bảo vệ dữ liệu cá nhân 2025.

(3) Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân xóa, hủy dữ liệu cá nhân trong các trường hợp quy định tại khoản (1) hoặc yêu cầu bên xử lý dữ liệu cá nhân, bên thứ ba xóa, hủy dữ liệu cá nhân của chủ thể dữ liệu cá nhân. Việc xóa, hủy dữ liệu cá nhân phải được thực hiện bằng các biện pháp an toàn; ngăn chặn hoạt động xâm nhập và khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy.

Xóa, hủy, khử nhận dạng dữ liệu cá nhân từ 1/1/2026
Ảnh minh họa - Nguồn: Internet

(4) Cơ quan, tổ chức, cá nhân không được cố ý khôi phục trái phép dữ liệu cá nhân đã bị xóa, hủy.

(5) Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân có trách nhiệm tuân thủ quy định của Luật Bảo vệ dữ liệu cá nhân 2025. Trường hợp không thể xóa, hủy dữ liệu cá nhân vì lý do chính đáng sau khi nhận được yêu cầu của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân phải thông báo để chủ thể dữ liệu cá nhân biết.

(6) Việc khử nhận dạng dữ liệu cá nhân được quy định như sau:

a) Cơ quan, tổ chức, cá nhân khử nhận dạng dữ liệu cá nhân có trách nhiệm kiểm soát và giám sát chặt chẽ quá trình khử nhận dạng dữ liệu cá nhân; ngăn chặn việc truy cập trái phép, sao chép, chiếm đoạt, làm lộ, làm mất dữ liệu cá nhân trong quá trình khử nhận dạng;

b) Không được tái nhận dạng dữ liệu cá nhân sau khi đã được khử nhận dạng, trừ trường hợp pháp luật có quy định khác;

c) Việc khử nhận dạng dữ liệu cá nhân tuân thủ quy định của Luật Bảo vệ dữ liệu cá nhân 2025 và quy định khác của pháp luật có liên quan.