Trong bối cảnh hiện nay, bảo vệ dữ liệu cá nhân là một vấn đề cấp thiết, thu hút sự quan tâm rộng rãi của các tổ chức, doanh nghiệp. Việc xử lý dữ liệu cá nhân chỉ được thực hiện khi có sự đồng ý của chủ thể dữ liệu. Vậy, pháp luật Việt Nam quy định như thế nào về sự đồng ý của chủ thể dữ liệu trong việc bảo vệ dữ liệu cá nhân?

Trong phạm vi bài viết này, VDPC sẽ làm rõ vấn đề Sự đồng ý của chủ thể dữ liệu cá nhân đối với việc xử lý dữ liệu, dựa trên các quy định hiện hành của pháp luật.

1. Khái niệm

Căn cứ: Khoản 6, khoản 8 Điều 2 Nghị định 13/2023/NĐ-CP

Chủ thể dữ liệu được quy định như sau:

– Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.

– Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.

2. Quyền, nghĩa vụ của chủ thể dữ liệu cá nhân đối với việc xử lý dữ liệu

Căn cứ: Điều 9, Điều 10 Nghị định 13/2023/NĐ-CP

2.1. Quyền của chủ thể dữ liệu

Quyền được biết
Quyền đồng ý
Quyền truy cập
Quyền rút lại sự đồng ý
Quyền xóa dữ liệu
Quyền hạn chế xử lý dữ liệu
Quyền cung cấp dữ liệu
Quyền phản đối xử lý dữ liệu
Quyền khiếu nại, tố cáo, khởi kiện
Quyền yêu cầu bồi thường thiệt hại
Quyền tự bảo vệ

2.2. Nghĩa vụ của chủ thể dữ liệu

Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu tổ chức, cá nhân khác cũng phải bảo vệ.
Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.
Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu.
Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân.
Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân
Tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.

3. Quy định về sự đồng ý của chủ thể dữ liệu đối với việc xử lý dữ liệu

Căn cứ: Điều 11 Nghị định 13/2023/NĐ-CP

Sự đồng ý của chủ thể dữ liệu được quy định như sau:

– Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.

– Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:

+ Loại dữ liệu cá nhân được xử lý;

+ Mục đích xử lý dữ liệu cá nhân;

+ Tổ chức, cá nhân được xử lý dữ liệu cá nhân;

+ Các quyền, nghĩa vụ của chủ thể dữ liệu.

– Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

– Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.

– Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

– Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.

– Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.

– Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.

– Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.

– Trong trường hợp có tranh chấp:

Trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.

– Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác.

4. Các hình thức thể hiện sự đồng ý

Căn cứ: Khoản 3, Điều 11 Nghị định 13/2023/NĐ-CP

– Sự đồng ý có thể được thể hiện bằng văn bản, giọng nói, đánh dấu vào ô đồng ý.

– Thao tác lựa chọn các thiết lập đồng ý, hoặc qua các hành động khác phải thể hiện rõ.

– Sự đồng ý phải được thể hiện rõ ràng, cụ thể cho từng mục đích xử lý dữ liệu.

5. Điều kiện để sự đồng ý có hiệu lực

Căn cứ: Điều 11, Điều 12 Nghị định 13/2023/NĐ-CP

– Chủ thể dữ liệu phải được cung cấp đầy đủ thông tin về việc xử lý dữ liệu.

– Sự đồng ý phải được đưa ra một cách tự nguyện, không bị ép buộc, lừa dối.

– Chủ thể dữ liệu phải có khả năng rút lại sự đồng ý một cách dễ dàng.

6. Các trường hợp không cần sự đồng ý của chủ thể dữ liệu

Căn cứ: Điều 17 Nghị định 13/2023/NĐ-CP

Các trường hợp không cần sự đồng ý của chủ thể dữ liệu gồm:

– Trường hợp khẩn cấp.

– Công khai dữ liệu theo quy định của pháp luật.

– Xử lý dữ liệu của cơ quan nhà nước có thẩm quyền.

– Thực hiện nghĩa vụ theo hợp đồng.

– Phục vụ hoạt động của cơ quan nhà nước.

7. Trách nhiệm của Bên xử lý dữ liệu cá nhân

Căn cứ: Điều 39 Nghị định 13/2023/NĐ-CP

Trách nhiệm của Bên xử lý dữ liệu cá nhân bao gồm:

– Chỉ tiếp nhận dữ liệu cá nhân sau khi có hợp đồng hoặc thỏa thuận về xử lý dữ liệu với Bên Kiểm soát dữ liệu cá nhân.

– Xử lý dữ liệu cá nhân theo đúng hợp đồng hoặc thỏa thuận ký kết với Bên Kiểm soát dữ liệu cá nhân.

– Thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân quy định tại Nghị định này và các văn bản pháp luật khác có liên quan.

– Bên Xử lý dữ liệu cá nhân chịu trách nhiệm trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra.

– Xóa, trả lại toàn bộ dữ liệu cá nhân cho Bên Kiểm soát dữ liệu cá nhân sau khi kết thúc xử lý dữ liệu.

– Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân.

– Cung cấp thông tin phục vụ điều tra,

– Xử lý hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân.

8. Các trường hợp cần có sự đồng ý

Căn cứ: Điều 25, Khoản 3 Điều 28 Nghị định 13/2023/NĐ-CP

– Chuyển dữ liệu cá nhân ra nước ngoài:

Việc chuyển dữ liệu cá nhân ra nước ngoài cần được sự chấp thuận từ chủ thể dữ liệu.

– Xử lý dữ liệu cá nhân nhạy cảm:

Việc xử lý dữ liệu cá nhân nhạy cảm yêu cầu sự đồng ý của chủ thể dữ liệu.

9. Xử lý khi vi phạm quy định bảo vệ dữ liệu cá nhân

Căn cứ: Điều 4 Nghị định 13/2023/NĐ-CP

Vi phạm quy định bảo vệ dữ liệu cá nhân sẽ bị xử lý tùy theo mức độ như sau:

– Xử lý kỷ luật theo quy định nội bộ

– Xử phạt vi phạm hành chính với mức phạt tại dự thảo Nghị định xử phạt đang được trình Chính phủ thông qua là 5% doanh thu và tước giấy phép hoạt động/giấy phép kinh doanh

– Xử lý trách nhiệm hình sự theo quy định.

Kết luận:

Tóm lại, sự đồng ý của chủ thể dữ liệu không chỉ là một yêu cầu pháp lý, mà còn là một nguyên tắc đạo đức quan trọng trong việc xử lý dữ liệu cá nhân. Việc tôn trọng và bảo vệ quyền riêng tư của cá nhân là trách nhiệm chung của các tổ chức, doanh nghiệp và toàn xã hội. Chỉ khi đó, chúng ta mới có thể xây dựng một môi trường số an toàn và tin cậy, nơi dữ liệu cá nhân được sử dụng một cách có trách nhiệm và minh bạch.

Trên đây là nội dung tư vấn về Sự đồng ý của chủ thể dữ liệu cá nhân đối với việc xử lý dữ liệu. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm: