Mục lục bài viết
1. Khái niệm quyền truy cập dữ liệu cá nhân
Căn cứ theo quy định tại Điều 9 Nghị định 13/2023/NĐ-CP thì quyền truy cập dữ liệu cá nhân là quyền của cá nhân được biết về dữ liệu cá nhân của mình được thu thập, lưu trữ và xử lý bởi tổ chức, cá nhân khác.
- Quyền này bao gồm các nội dung sau:
+ Được biết về việc thu thập dữ liệu cá nhân: Cá nhân có quyền biết được thông tin về việc thu thập dữ liệu cá nhân của mình, bao gồm mục đích, phạm vi, thời gian thu thập, phương pháp thu thập, và thông tin về tổ chức, cá nhân thu thập dữ liệu.
+ Được truy cập dữ liệu cá nhân: Cá nhân có quyền truy cập dữ liệu cá nhân của mình được thu thập, lưu trữ và xử lý. Việc truy cập này bao gồm việc xem, sao chép, in ấn dữ liệu cá nhân.
+ Được chỉnh sửa dữ liệu cá nhân: Cá nhân có quyền yêu cầu chỉnh sửa dữ liệu cá nhân của mình khi dữ liệu đó không chính xác, không đầy đủ, không cập nhật hoặc không phù hợp với mục đích thu thập.
+ Được xóa dữ liệu cá nhân: Cá nhân có quyền yêu cầu xóa dữ liệu cá nhân của mình trong một số trường hợp, ví dụ như: dữ liệu cá nhân thu thập trái phép, không còn cần thiết cho mục đích thu thập, dữ liệu cá nhân bị xử lý sai mục đích hoặc sai phương pháp.
Quyền truy cập dữ liệu cá nhân là một quyền cơ bản của cá nhân, góp phần bảo vệ quyền riêng tư và quyền tự quyết định thông tin của cá nhân. Việc thực hiện quyền truy cập dữ liệu cá nhân giúp cá nhân kiểm soát thông tin của mình, bảo vệ bản thân khỏi những hành vi xâm hại quyền riêng tư và quyền tự quyết định thông tin. Ngoài ra, quyền truy cập dữ liệu cá nhân còn có ý nghĩa:
- Thúc đẩy tính minh bạch trong việc thu thập, lưu trữ và xử lý dữ liệu cá nhân: Khi cá nhân có quyền truy cập dữ liệu cá nhân của mình, họ có thể biết được thông tin của mình được sử dụng như thế nào, từ đó có thể yêu cầu tổ chức, cá nhân thu thập dữ liệu giải trình về việc sử dụng dữ liệu.
- Tăng cường niềm tin của cá nhân đối với các tổ chức, cá nhân thu thập, lưu trữ và xử lý dữ liệu cá nhân: Khi cá nhân được tôn trọng quyền truy cập dữ liệu cá nhân, họ sẽ tin tưởng hơn vào các tổ chức, cá nhân này và có nhiều khả năng cung cấp dữ liệu cá nhân của mình hơn.
2. Quy trình thực hiện quyền truy cập dữ liệu cá nhân
Hiện nay, pháp luật không có quy định cụ thể về quy trình thực hiện quyền truy cập dữ liệu cá nhân. Vì vậy, khách hàng có thể tham khảo quy trình chung như sau:
* Bước 1: Gửi yêu cầu truy cập dữ liệu cá nhân:
- Hình thức:
+ Trực tiếp: Cá nhân có thể đến trụ sở của tổ chức, cá nhân thu thập, lưu trữ và xử lý dữ liệu cá nhân để nộp yêu cầu.
+ Bằng văn bản: Cá nhân có thể gửi yêu cầu qua bưu điện, dịch vụ chuyển phát nhanh hoặc nộp trực tiếp tại trụ sở.
+ Qua hệ thống thông tin: Một số tổ chức cho phép cá nhân gửi yêu cầu truy cập dữ liệu cá nhân qua hệ thống thông tin trên website hoặc ứng dụng di động của tổ chức.
- Nội dung yêu cầu:
+ Thông tin về cá nhân yêu cầu truy cập dữ liệu cá nhân (họ tên, địa chỉ, số điện thoại, email).
+ Mục đích truy cập dữ liệu cá nhân.
+ Dữ liệu cá nhân cụ thể mà cá nhân muốn truy cập.
- Cán cứ xác minh danh tính:
+ Chứng minh nhân dân/Căn cước công dân.
+ Hộ chiếu.
+ Giấy phép lái xe.
+ Thẻ căn cước công dân hoặc thẻ căn cước công dân gắn chip.
+ Các giấy tờ tùy thân khác có giá trị pháp lý.
* Bước 2. Tiếp nhận và giải quyết yêu cầu:
- Tổ chức, cá nhân thu thập, lưu trữ và xử lý dữ liệu cá nhân có trách nhiệm:
+ Tiếp nhận yêu cầu của cá nhân trong thời hạn 03 ngày làm việc kể từ ngày nhận được yêu cầu.
+ Xem xét, đánh giá yêu cầu của cá nhân và thông báo cho cá nhân về việc chấp thuận hoặc từ chối yêu cầu trong thời hạn 10 ngày làm việc kể từ ngày nhận được yêu cầu.
+ Cung cấp dữ liệu cá nhân cho cá nhân trong thời hạn 05 ngày làm việc kể từ ngày thông báo cho cá nhân về việc chấp thuận yêu cầu.
- Trường hợp từ chối yêu cầu:
+ Tổ chức, cá nhân thu thập, lưu trữ và xử lý dữ liệu cá nhân phải thông báo bằng văn bản cho cá nhân biết lý do từ chối yêu cầu.
+ Cá nhân có quyền khiếu nại về việc từ chối yêu cầu truy cập dữ liệu cá nhân theo quy định của pháp luật.
* Chi phí: Cá nhân không phải trả bất kỳ khoản phí nào khi thực hiện quyền truy cập dữ liệu cá nhân.
- Lưu ý:
+ Quy trình thực hiện quyền truy cập dữ liệu cá nhân có thể khác nhau tùy theo quy định của từng tổ chức, cá nhân thu thập, lưu trữ và xử lý dữ liệu cá nhân.
+ Cá nhân cần cung cấp thông tin chính xác, đầy đủ để tổ chức, cá nhân thu thập, lưu trữ và xử lý dữ liệu cá nhân xác minh danh tính và giải quyết yêu cầu.
3. Trường hợp được phép và không được phép hạn chế quyền truy cập dữ liệu cá nhân
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có những quy định quan trọng về sự đồng ý của chủ thể dữ liệu, được thể hiện trong Điều 11:
* Phạm vi áp dụng:
- Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, bao gồm:
+ Thu thập dữ liệu cá nhân
+ Lưu trữ dữ liệu cá nhân
+ Sử dụng dữ liệu cá nhân
+ Tiết lộ dữ liệu cá nhân
+ Chỉnh sửa dữ liệu cá nhân
+ Xóa dữ liệu cá nhân
+ Chuyển giao dữ liệu cá nhân
+ Hủy dữ liệu cá nhân
- Trừ trường hợp luật có quy định khác. Ví dụ, một số trường hợp thu thập dữ liệu cá nhân bắt buộc theo quy định của pháp luật như: thông tin về nhân thân, lai lịch, quá trình học tập, công tác để phục vụ công tác tổ chức cán bộ, thi tuyển, bổ nhiệm,...
* Yêu cầu về sự đồng ý:
- Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:
+ Loại dữ liệu cá nhân được xử lý: Ví dụ, họ tên, số điện thoại, email, địa chỉ, tình trạng sức khỏe, thông tin tài chính,...
+ Mục đích xử lý dữ liệu cá nhân: Ví dụ, cung cấp dịch vụ, quảng cáo sản phẩm, đánh giá tín dụng, nghiên cứu thị trường,...
+ Tổ chức, cá nhân được xử lý dữ liệu cá nhân: Ví dụ, công ty, doanh nghiệp, cơ quan nhà nước,...
+ Các quyền, nghĩa vụ của chủ thể dữ liệu: Ví dụ, quyền truy cập, chỉnh sửa, xóa dữ liệu cá nhân, quyền hạn chế xử lý dữ liệu cá nhân,...
- Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể:
+ Bằng văn bản: Ví dụ, hợp đồng, văn bản ủy quyền, bản cam kết,...
+ Bằng giọng nói: Ví dụ, ghi âm cuộc gọi thoại, ghi hình cuộc trò chuyện video,...
+ Đánh dấu vào ô đồng ý: Ví dụ, trên website, ứng dụng di động,...
+ Cú pháp đồng ý qua tin nhắn: Ví dụ, gửi tin nhắn "Đồng ý" đến số điện thoại của tổ chức thu thập dữ liệu cá nhân.
+ Chọn các thiết lập kỹ thuật đồng ý: Ví dụ, bật/tắt tính năng định vị, bật/tắt tính năng theo dõi hành vi trên website,...
+ Hoặc qua một hành động khác thể hiện được điều này: Ví dụ, cung cấp dữ liệu cá nhân trực tiếp cho tổ chức, sử dụng dịch vụ của tổ chức,...
* Ví dụ minh họa:
- Công ty A thu thập dữ liệu cá nhân của khách hàng để cung cấp dịch vụ bán hàng trực tuyến. Khách hàng phải đồng ý với việc công ty A thu thập, lưu trữ và sử dụng dữ liệu cá nhân của họ, bao gồm họ tên, số điện thoại, địa chỉ, email, thông tin thanh toán,... trước khi thực hiện giao dịch mua hàng.
- Website B sử dụng cookie để theo dõi hành vi truy cập của người dùng. Người dùng phải đồng ý với việc website B sử dụng cookie bằng cách nhấp vào nút "Đồng ý" hoặc chọn cài đặt cho phép sử dụng cookie trong trình duyệt web của họ.
- Lưu ý:
+ Tổ chức, cá nhân thu thập, lưu trữ và xử lý dữ liệu cá nhân có trách nhiệm thông tin đầy đủ, chính xác về các nội dung liên quan đến sự đồng ý của chủ thể dữ liệu cho chủ thể dữ liệu biết.
+ Chủ thể dữ liệu có quyền rút lại sự đồng ý của mình bất kỳ lúc nào. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu cá nhân đã thực hiện trước khi có yêu cầu rút lại sự đồng ý.
4. Những thách thức trong việc thực hiện quyền truy cập dữ liệu cá nhân
Việc thực hiện quyền truy cập dữ liệu cá nhân mang lại nhiều lợi ích cho cá nhân và xã hội, tuy nhiên cũng tiềm ẩn một số thách thức sau:
- Thiếu nhận thức về quyền truy cập dữ liệu cá nhân:
+ Nhiều cá nhân chưa biết về quyền truy cập dữ liệu cá nhân của mình hoặc không hiểu rõ nội dung của quyền này.
+ Do đó, cá nhân không chủ động yêu cầu truy cập dữ liệu cá nhân, dẫn đến việc tổ chức, cá nhân thu thập, lưu trữ và xử lý dữ liệu cá nhân có thể lơ là nghĩa vụ cung cấp thông tin và dữ liệu cá nhân cho cá nhân.
- Khó khăn trong việc xác minh danh tính:
+ Để đảm bảo an ninh, bảo mật dữ liệu cá nhân, tổ chức, cá nhân thu thập, lưu trữ và xử lý dữ liệu cá nhân cần xác minh danh tính của cá nhân yêu cầu truy cập dữ liệu cá nhân.
+ Tuy nhiên, việc xác minh danh tính có thể gặp khó khăn do một số lý do như: Thiếu phương thức xác minh danh tính phù hợp, an toàn và tiện lợi. Cá nhân không cung cấp đầy đủ thông tin hoặc giấy tờ cần thiết để xác minh danh tính.
- Chi phí thực hiện:
+ Việc cung cấp dữ liệu cá nhân cho cá nhân có thể phát sinh chi phí cho tổ chức, cá nhân thu thập, lưu trữ và xử lý dữ liệu cá nhân, bao gồm chi phí nhân công, chi phí hệ thống, chi phí bảo mật,...
+ Chi phí này có thể cao, đặc biệt đối với các tổ chức, cá nhân có khối lượng dữ liệu cá nhân lớn và phức tạp.
- Rủi ro vi phạm dữ liệu cá nhân:
+ Việc cung cấp dữ liệu cá nhân cho cá nhân tiềm ẩn rủi ro vi phạm dữ liệu cá nhân, nếu tổ chức, cá nhân thu thập, lưu trữ và xử lý dữ liệu cá nhân không đảm bảo an ninh, bảo mật dữ liệu.
+ Hậu quả của vi phạm dữ liệu cá nhân có thể rất nghiêm trọng, ảnh hưởng đến quyền riêng tư, uy tín và lợi ích của cá nhân.
- Khó khăn trong việc xử lý các yêu cầu truy cập phức tạp:
+ Một số cá nhân có thể yêu cầu truy cập dữ liệu cá nhân phức tạp, ví dụ như dữ liệu được lưu trữ trong nhiều hệ thống khác nhau, dữ liệu được xử lý bởi nhiều tổ chức, cá nhân khác nhau.
+ Việc xử lý các yêu cầu truy cập phức tạp có thể tốn nhiều thời gian, công sức và nguồn lực của tổ chức, cá nhân thu thập, lưu trữ và xử lý dữ liệu cá nhân.
- Thiếu các quy định cụ thể: Nghị định số 13/2023/NĐ-CP quy định chung về quyền truy cập dữ liệu cá nhân, tuy nhiên vẫn còn thiếu các quy định cụ thể về một số nội dung liên quan đến việc thực hiện quyền này, ví dụ như:
+ Tiêu chuẩn về thời gian đáp ứng yêu cầu truy cập dữ liệu cá nhân.
+ Phương thức cung cấp dữ liệu cá nhân cho cá nhân.
+ Quy trình giải quyết tranh chấp liên quan đến việc thực hiện quyền truy cập dữ liệu cá nhân.
- Thiếu sự phối hợp giữa các tổ chức, cá nhân: Trong một số trường hợp, dữ liệu cá nhân của cá nhân được thu thập, lưu trữ và xử lý bởi nhiều tổ chức, cá nhân khác nhau. Việc phối hợp giữa các tổ chức, cá nhân này để cung cấp dữ liệu cá nhân cho cá nhân có thể gặp khó khăn, do thiếu cơ chế phối hợp hiệu quả và các quy định về chia sẻ dữ liệu cá nhân.
- Để khắc phục những thách thức trên, cần có sự nỗ lực của các bên liên quan, bao gồm:
+ Chính phủ: Hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân, ban hành các quy định cụ thể về việc thực hiện quyền truy cập dữ liệu cá nhân.
+ Tổ chức, cá nhân thu thập, lưu trữ và xử lý dữ liệu cá nhân: Nâng cao nhận thức về quyền truy cập dữ liệu cá nhân, xây dựng và áp dụng các chính sách, quy trình phù hợp để đảm bảo thực hiện quyền truy cập dữ liệu cá nhân một cách hiệu quả và an toàn.
+ Cá nhân: Tìm hiểu về quyền truy cập dữ liệu cá nhân của mình và chủ động yêu cầu truy cập dữ liệu cá nhân khi cần thiết.
Ngoài ra, có thể tham khảo: Trường hợp xử lý dữ liệu cá nhân nhạy cảm có phải thông báo cho chủ thể dữ liệu. Còn khúc mắc, liên hệ 1900.6162 hoặc gửi email tới: lienhe@luatminhkhue.vn để được hỗ trợ. Xin cảm ơn.