Xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể

Trong một số trường hợp, dữ liệu cá nhân có thể được xử lý mà không cần sự đồng ý của chủ thể. Điều này đặt ra nhiều thách thức về trách nhiệm của các bên liên quan.

Trong phạm vi bài viết này, VDPC sẽ làm rõ vấn đề Xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể theo quy định mới nhất của pháp luật.

1. Khái niệm dữ liệu cá nhân:

Căn cứ: Khoản 1, 3, 4 Điều 2 Nghị định 13/2023/NĐ-CP

– Dữ liệu cá nhân: 

Là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự về một cá nhân hoặc liên quan đến việc xác định một cá nhân. 

– Dữ liệu cá nhân cơ bản: 

Bao gồm: họ tên, nơi sinh, quốc tịch, tình trạng hôn nhân, số điện thoại….

– Dữ liệu cá nhân nhạy cảm: 

+ Là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của cá nhân đó.

+ Bao gồm: tình trạng sức khỏe, nguồn gốc dân tộc, quan điểm chính trị…

2.Các trường hợp xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể:

Căn cứ: Điều 17 Nghị định 13/2023/NĐ-CP

a) Trường hợp khẩn cấp, bảo vệ tính mạng, sức khỏe:

– Khi có tình huống khẩn cấp đe dọa trực tiếp đến tính mạng hoặc sức khỏe của chủ thể dữ liệu hoặc người khác, việc xử lý dữ liệu cá nhân được cho phép để bảo vệ họ.

– Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba phải có trách nhiệm chứng minh rằng tình huống này thực sự là khẩn cấp.

b) Công khai dữ liệu theo quy định của pháp luật:

– Nếu pháp luật yêu cầu công khai một số loại dữ liệu cá nhân nhất định, thì việc công khai đó được phép mà không cần sự đồng ý của chủ thể dữ liệu.

– Ví dụ:

Căn cứ Khoản 1 Điều 29 Nghị định 126/2020/NĐ-CP

Phải công khai thông tin về người nộp thuế có hành vi trốn thuế.

c) Xử lý dữ liệu của cơ quan nhà nước trong các tình huống đặc biệt:

– Cơ quan nhà nước có thẩm quyền được phép xử lý dữ liệu cá nhân trong các trường hợp sau: 

+ Tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm.

+ Nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp.

+ Phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật.

– Việc xử lý này phải đảm bảo tuân thủ các quy định của pháp luật.

d) Thực hiện nghĩa vụ theo hợp đồng:

– Nếu việc xử lý dữ liệu cá nhân là cần thiết để thực hiện nghĩa vụ theo hợp đồng giữa chủ thể dữ liệu và các bên liên quan, thì không cần phải có sự đồng ý riêng biệt.

– Ví dụ: Trong hợp đồng dịch vụ pháp lý, việc sử dụng dữ liệu cá nhân cho mục đích thực hiện hợp đồng không yêu cầu sự đồng ý riêng biệt của khách hàng.

e) Phục vụ hoạt động của cơ quan nhà nước theo luật chuyên ngành:

– Các cơ quan nhà nước có thể xử lý dữ liệu cá nhân để phục vụ các hoạt động đã được quy định trong các luật chuyên ngành.

– Ví dụ:

Căn cứ Khoản 4 Điều 43 Luật Tổ chức cơ quan điều tra hình sự 2015

Cơ quan công an có quyền yêu cầu cung cấp thông tin trong cơ sở dữ liệu quốc gia về dân cư để phục vụ hoạt động điều tra hình sự.

3. Các biện pháp bảo vệ dữ liệu cá nhân:

Căn cứ: Điều 26 Nghị định 13/2023/NĐ-CP

a) Thời điểm:

Được áp dụng ngay từ khi bắt đầu và trong suốt quá trình xử lý dữ liệu cá nhân.

b) Các biện pháp bảo vệ dữ liệu cá nhân cần phải tuân thủ và áp dụng như sau:

– Biện pháp quản lý do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện:

• Xây dựng và thực thi chính sách bảo mật dữ liệu cá nhân.
• Phân công trách nhiệm rõ ràng cho từng cá nhân, bộ phận trong việc bảo vệ dữ liệu.
• Tổ chức đào tạo, nâng cao nhận thức cho nhân viên về bảo vệ dữ liệu cá nhân.
• Kiểm soát chặt chẽ việc truy cập và sử dụng dữ liệu cá nhân.

– Biện pháp kỹ thuật do tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân thực hiện:

• Mã hóa dữ liệu.
• Sử dụng phần mềm diệt virus.
• Kiểm soát truy cập hệ thống.
• Sao lưu và phục hồi dữ liệu định kỳ.
• Thực hiện kiểm định và kiểm tra bảo mật định kỳ, thường xuyên. 

– Biện pháp do cơ quan quản lý nhà nước có thẩm quyền thực hiện;

– Biện pháp điều tra, tố tụng do cơ quan nhà nước có thẩm quyền thực hiện;

– Các biện pháp khác theo quy định của pháp luật.

4. Xử lý vi phạm quy định bảo vệ dữ liệu cá nhân:

Căn cứ: Điều 4 Nghị định 13/2023/NĐ-CP

Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.

Kết luận:

Việc xử lý dữ liệu cá nhân không cần sự đồng ý chỉ hợp pháp trong những trường hợp cụ thể theo quy định. Tuy nhiên, cần đảm bảo minh bạch và bảo vệ dữ liệu để tránh lạm dụng.

Trên đây là nội dung tư vấn về Xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 098.159.5243

Xem thêm:

• Trẻ em có là chủ thể dữ liệu cá nhân không?
• Sự đồng ý của chủ thể dữ liệu cá nhân đối với việc xử lý dữ liệu
• Chủ thể dữ liệu cá nhân theo pháp luật Việt Nam và Quốc tế
• Đối tượng phải đánh giá tác động xử lý dữ liệu cá nhân
• Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân