1. Thế nào là xử lý dữ liệu cá nhân?
Theo Điều 2 của Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân được định nghĩa là các thông tin được biểu diễn dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc các dạng tương tự trên môi trường điện tử, có liên quan đến một con người cụ thể hoặc có khả năng xác định một con người cụ thể. Trong phạm vi này, dữ liệu cá nhân được phân thành hai loại chính là dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Dữ liệu cá nhân cơ bản, theo quy định tại khoản 3 của Điều 2, bao gồm nhiều thông tin quan trọng về cá nhân như: họ và tên, ngày, tháng, năm sinh (hoặc thông tin về ngày mất hoặc mất tích), giới tính, nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ, quốc tịch, hình ảnh của cá nhân, số điện thoại, số CMND, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế, tình trạng hôn nhân, thông tin về mối quan hệ gia đình (bao gồm cha mẹ và con cái), thông tin về tài khoản số của cá nhân, dữ liệu cá nhân phản ánh hoạt động và lịch sử hoạt động trên không gian mạng, cùng các thông tin khác liên quan đến một con người cụ thể hoặc có khả năng giúp xác định một con người cụ thể.
Dữ liệu cá nhân nhạy cảm là những thông tin chặt chẽ liên quan đến quyền riêng tư của cá nhân, và khi bị xâm phạm, có thể gây tác động trực tiếp đến quyền và lợi ích hợp pháp của cá nhân. Dữ liệu cá nhân nhạy cảm bao gồm một loạt các thông tin quan trọng, như quan điểm chính trị, quan điểm tôn giáo, tình trạng sức khỏe và đời tư ghi trong hồ sơ bệnh án (không bao gồm thông tin về nhóm máu), thông tin liên quan đến nguồn gốc chủng tộc và dân tộc, đặc điểm di truyền, thuộc tính vật lý và đặc điểm sinh học riêng của cá nhân, thông tin về đời sống tình dục và xu hướng tình dục, dữ liệu về tội phạm và hành vi phạm tội được thu thập và lưu trữ bởi các cơ quan thực thi pháp luật, thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, thông tin về vị trí của cá nhân được xác định qua dịch vụ định vị, và các dữ liệu cá nhân khác được pháp luật quy định là đặc thù và yêu cầu biện pháp bảo mật cần thiết.
Theo quy định tại khoản 7 của Điều 2 trong Nghị định 13/2023/NĐ-CP, xử lý dữ liệu cá nhân bao gồm một hoặc nhiều hoạt động ảnh hưởng đến dữ liệu cá nhân, như: thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân, hoặc bất kỳ hành động nào khác liên quan đến dữ liệu cá nhân.
2. Có phải xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân không?
Dựa trên Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, quy định rõ về trách nhiệm và biện pháp bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, và cá nhân liên quan. Trong Điều 20 của Nghị định nêu rõ các điều sau:
- Xử lý dữ liệu cá nhân của trẻ em phải luôn tuân thủ nguyên tắc bảo vệ quyền lợi và lợi ích tốt nhất cho trẻ em.
- Việc xử lý dữ liệu cá nhân của trẻ em yêu cầu sự đồng ý của trẻ em từ 7 tuổi trở lên, cùng với sự đồng ý của cha, mẹ, hoặc người giám hộ theo quy định, trừ khi có quy định khác tại Điều 17 của Nghị định. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba phải xác nhận tuổi của trẻ em trước khi tiến hành xử lý dữ liệu cá nhân của họ.
- Ngừng xử lý dữ liệu cá nhân của trẻ em và xóa dữ liệu cá nhân mà không thể khôi phục hoặc hủy trong các trường hợp sau:
+ Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích mà chủ thể dữ liệu đã đồng ý, trừ khi có quy định pháp luật khác.
+ Cha, mẹ, hoặc người giám hộ của trẻ em rút lại sự đồng ý, trừ khi có quy định pháp luật khác.
+ Theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ chứng cứ chứng minh rằng việc xử lý dữ liệu cá nhân đã gây ảnh hưởng đến quyền lợi và lợi ích hợp pháp của trẻ em, trừ khi có quy định pháp luật khác.
Theo quy định, trước khi tiến hành xử lý thông tin cá nhân của trẻ em, có nghĩa là cần thực hiện quy trình xác minh độ tuổi của họ. Nhiệm vụ của việc xác minh tuổi này được đặt ra cho các bên sau đây:
- Bên kiểm soát dữ liệu cá nhân;
- Bên xử lý dữ liệu cá nhân;
- Bên kiểm soát và xử lý dữ liệu cá nhân;
- Bên thứ ba.
3. Trường hợp nào được quyền xử lý dữ liệu cá nhân của trẻ em mà không cần sự đồng ý?
Dựa theo quy định tại khoản 2 Điều 20 của Nghị định 13/2023/NĐ-CP, quy định về xử lý dữ liệu cá nhân của trẻ em đặt ra điều kiện cần có sự đồng ý từ trẻ em khi họ đủ 7 tuổi trở lên, và đồng thời phải có sự đồng ý từ phụ huynh hoặc người giám hộ theo quy định, trừ khi được quy định khác tại Điều 17 của Nghị định nêu trên. Các bên liên quan như Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, cùng Bên thứ ba đều phải thực hiện việc xác minh tuổi của trẻ em trước khi tiến hành xử lý dữ liệu cá nhân của họ.
Do đó, theo quy định này, có những trường hợp cụ thể khi dữ liệu cá nhân của trẻ em có thể được xử lý mà không cần sự đồng ý chính thức, bao gồm:
- Công khai dữ liệu cá nhân theo quy định;
- Trong tình trạng khẩn cấp, khi cần xử lý ngay dữ liệu cá nhân liên quan để bảo vệ tính mạng và sức khỏe của chủ thể dữ liệu hoặc người khác;
- Trong các tình trạng khẩn cấp liên quan đến quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm, nguy cơ đe dọa an ninh, quốc phòng mà chưa đến mức ban bố tình trạng khẩn cấp, cũng như phòng, chống bạo loạn, khủng bố, và phòng, chống tội phạm và vi phạm pháp luật;
- Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, hoặc cá nhân liên quan;
- Phục vụ hoạt động của cơ quan nhà nước theo luật chuyên ngành.
4. Nội dung thông báo xử lý dữ liệu cá nhân của trẻ em
Thông báo đối với chủ thể dữ liệu về việc xử lý thông tin cá nhân bao gồm các nội dung sau đây:
(i) Mục đích xử lý dữ liệu, rõ ràng và chi tiết về lý do sử dụng thông tin cá nhân;
(ii) Loại dữ liệu cá nhân được sử dụng, đặc tả cụ thể về thông tin liên quan đến mục đích xử lý được nêu ở (i);
(iii) Phương pháp và quy trình xử lý, bao gồm mọi quá trình liên quan đến thu thập, lưu trữ, và truyền tải dữ liệu cá nhân;
(iv) Thông tin về các tổ chức và cá nhân khác mà dữ liệu cá nhân có liên quan tới mục đích xử lý nêu ở (i);
(v) Hậu quả và thiệt hại không mong muốn có thể xảy ra từ quá trình xử lý dữ liệu, với sự minh bạch về mức độ và phạm vi của chúng;
(vi) Thời gian bắt đầu và thời gian kết thúc của quá trình xử lý dữ liệu cá nhân.
Lưu ý rằng:
- Thông báo phải được thực hiện một lần trước khi bắt đầu mọi hoạt động liên quan đến xử lý dữ liệu cá nhân.
- Thông báo cần được trình bày ở định dạng có thể in, sao chép bằng văn bản, kể cả dưới dạng điện tử hoặc định dạng có thể kiểm chứng được.
(Điều 13, Khoản 1, 2, 3, Nghị định 13/2023/NĐ-CP)
Lưu ý rằng Nghị định 13/2023/NĐ-CP sẽ có hiệu lực từ ngày 01/7/2023.
Bài viết liên quan: Hành vi bị nghiêm cấm trong việc xử lý dữ liệu cá nhân được quy định như thế nào ?
Luật Minh Khuê xin tiếp nhận yêu cầu tư vấn của quý khách hàng thông qua số hotline: 1900.6162 hoặc email: lienhe@luatminhkhue.vn. Xin trân trọng cảm ơn!
