Quyền Đồng Ý và Những Trường Hợp Không Cần Đến Sự Đồng Ý của Chủ Thể Dữ Liệu
Cá nhân có quyền và được đảm bảo về quyền là yêu cầu trong thời đại 4.0. Việc ban hành Nghị định 13/2023 NĐ-CP về bảo vệ dữ liệu cá nhân đã thể hiện sự nỗ lực vượt bậc của các nhà lập pháp Việt Nam, đánh dấu bước chuyển mình của hành lang pháp lý, hoàn thiện hệ thống pháp luật, khắt khe hơn về nghĩa vụ bảo vệ dữ liệu, tạo lá chắn bảo hộ hợp pháp cho quyền lợi của chủ thể dữ liệu. Chủ thể dữ liệu có quyền trên thông tin cá nhân của chính mình. Được quyền quyết định, đồng ý cho phép xử lý những dữ liệu cá nhân của bản thân mình. Hành vi tự ý sử dụng thập dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó là vi phạm pháp luật. Quyền đồng ý của chủ thể dữ liệu đã được pháp luật đặt ra và tôn trọng!
Những quyền của chủ thể dữ liệu cá nhân theo quy định của pháp luật
Theo Khoản 6 Điều 2, Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh. Cá nhân chủ thể dữ liệu có quyền đối với thông tin của mình và được pháp luật công nhận tại Điều 9 Nghị định 13/2023 NĐ-CP. Khi quyền chủ thể dữ liệu bị xâm phạm thì chủ thể dữ liệu có quyền tự bảo vệ hoặc nhờ đến cơ quan, tổ chức có thẩm quyền bảo vệ theo quy định của Bộ luật Dân sự hoặc luật khác có liên quan. Những quyền chủ thể dữ liệu có là:
Quyền được biết. Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
Quyền đồng ý. Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định 13/2023 NĐ-CP.
Quyền truy cập. Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
Quyền rút lại sự đồng ý. Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
Quyền xóa dữ liệu. Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
Quyền hạn chế xử lý dữ liệu. Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
Quyền cung cấp dữ liệu. Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
Quyền phản đối xử lý dữ liệu. Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác. Bên Kiểm soát dữ liệu cá nhân, bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
Quyền khiếu nại, tố cáo, khởi kiện. Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật
Quyền yêu cầu bồi thường thiệt hại. Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
Quyền tự bảo vệ. Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan và Nghị định 13/2023 NĐ-CP, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ Luật Dân sự. Khi quyền dân sự của cá nhân, pháp nhân bị xâm phạm thì chủ thể đó có quyền tự bảo vệ theo quy định của Bộ Luật Dân sự, luật khác có liên quan hoặc yêu cầu cơ quan, tổ chức có thẩm quyền công nhận, tôn trọng, bảo vệ và bảo đảm quyền dân sự của mình, chấm dứt hành vi xâm phạm, buộc xin lỗi, cải chính công khai, thực hiện nghĩa vụ, bồi thường thiệt hại.
Vì sao quyền chủ thể dữ liệu cá nhân được pháp luật đặt ra và tôn trọng?
Hoạt động bảo vệ dữ liệu cá nhân là cực kỳ quan trọng trong thời đại số hóa hiện nay. Quyền dữ liệu cá nhân là yếu tố quan trọng để thúc đẩy và hoàn thiện hoạt động bảo vệ dữ liệu. Mục đích đặt ra và tôn trọng quyền của chủ thể dữ liệu nhằm:
Bảo vệ quyền riêng tư. Dữ liệu cá nhân bao gồm thông tin nhạy cảm về cá nhân như tên, địa chỉ, số điện thoại, thông tin tài chính và y tế. Quyền chủ thể dữ liệu cá nhân đảm bảo rằng những thông tin này không được sử dụng hoặc tiết lộ một cách trái phép. Điều này giúp bảo vệ quyền riêng tư và đảm bảo rằng cá nhân có quyền kiểm soát thông tin của mình.
Ngăn chặn việc lạm dụng dữ liệu. Quyền chủ thể dữ liệu cá nhân giúp ngăn chặn việc lạm dụng thông tin cá nhân. Khi dữ liệu cá nhân được thu thập và sử dụng một cách không đúng đắn, có thể dẫn đến việc tiếp cận trái phép, lừa đảo, xâm phạm quyền riêng tư hoặc phân biệt đối xử. Quyền chủ thể dữ liệu cá nhân đảm bảo rằng dữ liệu đã được xác định và chỉ được sử dụng trong phạm vi và mục đích.
Xây dựng lòng tin và an tâm của người dùng. Việc quan tâm đến quyền chủ thể dữ liệu cá nhân giúp xây dựng lòng tin và an tâm của người dùng. Khi người dùng biết rằng thông tin cá nhân của họ được bảo vệ và được sử dụng một cách đúng đắn, họ sẽ cảm thấy thoải mái hơn khi chia sẻ thông tin và tham gia vào các hoạt động trực tuyến.
Giúp tuân thủ pháp luật. Quyền chủ thể dữ liệu cá nhân là một phần quan trọng của hệ thống pháp luật. Việc tuân thủ quy định về quyền chủ thể dữ liệu cá nhân giúp đảm bảo rằng các tổ chức và cá nhân hoạt động theo đúng quy định và tránh những hậu quả pháp lý tiềm ẩn.
Thúc đẩy sự phát triển kinh tế số. Quyền chủ thể dữ liệu cá nhân là yếu tố quan trọng để thúc đẩy sự phát triển kinh tế số. Khi người dùng có niềm tin vào việc bảo vệ dữ liệu cá nhân, họ sẽ dễ dàng tham gia vào các hoạt động trực tuyến, giao dịch thương mại điện tử và chia sẻ thông tin cá nhân cho các dịch vụ kỹ thuật số. Điều này có thể tạo ra một môi trường thuận lợi cho sự phát triển của kinh tế số và tạo ra nhiều cơ hội kinh doanh mới.
Quyền đồng ý của chủ thể dữ liệu cá nhân
Quyền đồng ý của chủ thể dữ liệu được được đề cập tại Điều 11 của Nghị định 13/2023/NĐ-CP một lần nữa khẳng định sự tôn trọng của pháp luật dành cho chủ thể dữ liệu. Sự đồng ý của chủ thể dữ liệu cá nhân là việc thể hiện rõ ràng chính kiến của bản thân cho phép việc xử lý dữ liệu cá nhân. Chủ thể dữ liệu có quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp khác.
Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung: Loại dữ liệu cá nhân được xử lý. Mục đích xử lý dữ liệu cá nhân. Tổ chức, cá nhân được xử lý dữ liệu cá nhân. Các quyền, nghĩa vụ của chủ thể dữ liệu.
Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm. Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều 11 Nghị định 13/2023/NĐ-CP, trừ trường hợp luật có quy định khác.
Những trường hợp không cần sự đồng ý của chủ thể dữ liệu
Sự đồng ý ủa chủ thể dữ liệu cá nhân được pháp luật đề cao và tôn trọng. Tuy nhiên, pháp luật cũng quy định trong một số trường hợp, không cần đến sự cho phép, đồng ý của chủ thể dữ liệu, việc xử lý dữ liệu cá nhân vẫn được tiến hành. Theo Điều 17 Nghị định 13/2023 NĐ-CP, có 05 trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu:
- Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.
- Việc công khai dữ liệu cá nhân theo quy định của luật.
- Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
- Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
- Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Dữ liệu cá nhân đã được pháp luật bảo vệ thông qua các quyền của chủ thể dữ liệu cá nhân đối với dữ liệu. Quyền được đồng ý quyết định thông tin của cá nhân mình ngoại trừ trường hợp ngoại lệ theo quy định của pháp luật.