1. Ai được quyền yêu cầu xóa dữ liệu cá nhân?
Chủ thể dữ liệu phải tuân thủ các quy định về xóa dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Theo khoản 1 Điều 16 của Nghị định này, có các trường hợp cụ thể mà chủ thể dữ liệu được yêu cầu xóa dữ liệu cá nhân của mình.
Đầu tiên, nếu chủ thể dữ liệu nhận thấy rằng việc lưu trữ dữ liệu cá nhân không còn cần thiết cho mục đích thu thập đã đồng ý, và họ chấp nhận rủi ro có thể xảy ra khi yêu cầu xóa dữ liệu, thì Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân sẽ phải thực hiện yêu cầu này.
Thứ hai, nếu chủ thể dữ liệu rút lại sự đồng ý của mình về việc xử lý dữ liệu cá nhân, họ cũng có quyền yêu cầu xóa dữ liệu tương ứng từ Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
Thứ ba, trong trường hợp chủ thể dữ liệu phản đối việc xử lý dữ liệu và không có lý do chính đáng để tiếp tục xử lý, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cũng phải thực hiện yêu cầu xóa dữ liệu.
Thứ tư, nếu dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý là vi phạm quy định của pháp luật, chủ thể dữ liệu có quyền yêu cầu xóa dữ liệu từ Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
Cuối cùng, trong trường hợp dữ liệu cá nhân phải được xóa theo quy định của pháp luật, chủ thể dữ liệu cũng có quyền yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện việc xóa dữ liệu theo đúng quy định. Tổng cộng, nếu chủ thể dữ liệu thuộc một trong năm trường hợp nêu trên, họ có quyền yêu cầu xóa dữ liệu cá nhân của mình từ các đơn vị liên quan
2. Xóa dữ liệu cá nhân thực hiện trong bao lâu?
Quy trình xóa dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP được chi tiết trong khoản 5 Điều 16 của văn bản quy phạm này. Theo quy định đó, việc xóa dữ liệu cá nhân sẽ được thực hiện nhanh chóng và hiệu quả, đảm bảo tính minh bạch và an toàn cho chủ thể dữ liệu.
Theo đó, quá trình xóa dữ liệu cá nhân sẽ bắt đầu ngay sau khi có yêu cầu của chủ thể dữ liệu. Thời gian thực hiện được cụ thể hóa là trong vòng 72 giờ kể từ khi nhận được yêu cầu. Trong khoảng thời gian này, toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đã thu thập được sẽ được loại bỏ và xóa khỏi hệ thống lưu trữ.
Quy định này đặt ra một hạn chế thời gian cụ thể để đảm bảo rằng quá trình xóa dữ liệu diễn ra nhanh chóng và không gây trì hoãn không cần thiết. Điều này làm tăng cường tính linh hoạt và tính hiệu quả của quy trình xóa dữ liệu, đồng thời giảm thiểu rủi ro liên quan đến việc lưu trữ dữ liệu cá nhân sau khi không còn cần thiết.
Tuy nhiên, quy định cũng nhấn mạnh rằng việc xóa dữ liệu sẽ tuân thủ theo quy định của pháp luật. Nếu có quy định khác về thời gian xóa dữ liệu trong các điều luật khác của pháp luật, thì quy định cụ thể đó sẽ được ưu tiên áp dụng.
Tổng cộng, việc xóa dữ liệu cá nhân được thực hiện trong 72 giờ là một biện pháp quan trọng nhằm bảo vệ quyền riêng tư và an toàn dữ liệu cá nhân, đồng thời đảm bảo tuân thủ theo các quy định pháp luật hiện hành
3. Trường hợp nào xóa và không thể khôi phục dữ liệu cá nhân?
Theo quy định tại khoản 7 Điều 16 của Nghị định 13/2023/NĐ-CP, Bên Xử lý dữ liệu cá nhân có trách nhiệm thực hiện việc xóa dữ liệu cá nhân một cách vĩnh viễn và không thể khôi phục trong các tình huống sau:
Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích: Nếu dữ liệu cá nhân được xử lý không đúng mục đích ban đầu hoặc đã hoàn thành mục đích xử lý mà chủ thể dữ liệu đã đồng ý, Bên Xử lý dữ liệu cá nhân phải thực hiện xóa dữ liệu này.
Việc lưu trữ dữ liệu cá nhân không còn cần thiết: Trong trường hợp lưu trữ dữ liệu cá nhân không còn cần thiết đối với hoạt động của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Thứ ba, Bên Xử lý dữ liệu cá nhân phải thực hiện xóa dữ liệu một cách không thể khôi phục.
Giải thể hoặc không còn hoạt động: Trong trường hợp Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Thứ ba bị giải thể hoặc không còn hoạt động, hoặc tuyên bố phá sản, hoặc bị chấm dứt hoạt động kinh doanh theo quy định của pháp luật, Bên Xử lý dữ liệu cá nhân phải thực hiện xóa dữ liệu cá nhân một cách vĩnh viễn và không thể khôi phục.
Những biện pháp xóa này nhằm đảm bảo tính an toàn và bảo mật của dữ liệu cá nhân, đồng thời tuân thủ nghiêm túc theo quy định của Nghị định và bảo vệ quyền riêng tư của chủ thể dữ liệu. Việc thực hiện xóa dữ liệu không thể khôi phục giúp ngăn chặn việc sử dụng thông tin cá nhân một cách trái phép và bảo vệ quyền lợi của những người liên quan
4. Trường hợp nào không thực hiện xóa dữ liệu cá nhân theo yêu cầu?
Quy định về trường hợp không áp dụng việc xóa dữ liệu cá nhân của chủ thể dữ liệu được miêu tả chi tiết tại khoản 2 Điều 16 của Nghị định 13/2023/NĐ-CP. Theo quy định này, yêu cầu xóa dữ liệu sẽ không được thực hiện trong các tình huống sau đây:
Pháp luật quy định không cho phép xóa dữ liệu: Trong trường hợp có quy định cụ thể trong pháp luật không cho phép xóa dữ liệu, yêu cầu của chủ thể dữ liệu sẽ không được thực hiện.
Dữ liệu cá nhân đã được công khai: Nếu dữ liệu cá nhân đã được công khai theo quy định của pháp luật, việc xóa dữ liệu không áp dụng.
Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê: Việc xử lý dữ liệu cá nhân nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật sẽ không chịu ảnh hưởng từ yêu cầu xóa.
Dữ liệu cá nhân được xử lý với mục đích phục vụ hoạt động của cơ quan nhà nước: Nếu dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền để phục vụ hoạt động của cơ quan nhà nước, yêu cầu xóa dữ liệu không có hiệu lực.
Trong tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật: Trong các tình huống khẩn cấp liên quan đến quốc phòng, an ninh, và các tác động xấu lớn, yêu cầu xóa dữ liệu có thể không được thực hiện để đảm bảo an ninh quốc gia và trật tự an toàn xã hội.
Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác: Trong trường hợp có tình huống khẩn cấp đe dọa tính mạng, sức khỏe hoặc an toàn của chủ thể dữ liệu hoặc người khác, yêu cầu xóa dữ liệu cũng có thể không được thực hiện để ứng phó với tình hình nguy cấp
5. Xóa dữ liệu cá nhân được thực hiện không cần sự đồng ý của chủ thể dữ liệu
Theo quy định tại Điều 17 Nghị định 13/2023/NĐ-CP, việc xử lý dữ liệu cá nhân có thể được thực hiện mà không cần sự đồng ý của chủ thể dữ liệu trong các tình huống sau:
Trong trường hợp khẩn cấp để bảo vệ tính mạng, sức khỏe: Khi có tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác, việc xử lý ngay dữ liệu cá nhân có liên quan là hợp lệ. Tuy nhiên, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh rằng việc xử lý là cần thiết và tỷ lệ.
Việc công khai dữ liệu cá nhân theo quy định của luật: Trong trường hợp có quy định của pháp luật cho phép công khai dữ liệu cá nhân, quy định này có thể được áp dụng mà không cần sự đồng ý của chủ thể dữ liệu.
Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong tình trạng khẩn cấp: Việc xử lý dữ liệu cá nhân để đáp ứng tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật được xem xét hợp lý.
Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu: Xử lý dữ liệu cá nhân có thể được thực hiện để thực hiện nghĩa vụ theo hợp đồng mà chủ thể dữ liệu đã ký với cơ quan, tổ chức, hoặc cá nhân liên quan theo quy định của luật.
Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành: Nếu việc xử lý dữ liệu cá nhân phục vụ hoạt động của cơ quan nhà nước được quy định trong luật chuyên ngành, thì việc này có thể thực hiện mà không cần sự đồng ý của chủ thể dữ liệu.
Như vậy, việc xử lý dữ liệu cá nhân mà không yêu cầu sự đồng ý của chủ thể dữ liệu có thể diễn ra trong các tình huống đặc biệt được quy định và chứng minh là cần thiết theo quy định của Nghị định
Bài viết liên quan: Phát hiện vi phạm về dữ liệu cá nhân thì báo cho cơ quan nào?
Trên đây là toàn bộ nội dung thông tin mà Luật Minh Khuê cung cấp tới quý khách hàng tham khảo. Ngoài ra quý khách hàng có thể tham khảo thêm bài viết về chủ đề quyền đối với dữ liệu cá nhân là gì, pháp luật quốc tế về bảo vệ quyền đối với dữ liệu cá nhân của Luật Minh Khuê. Còn điều gì vướng mắc, quy khách vui lòng liên hệ 1900.6162 hoặc gửi email tới: lienhe@luatminhkhue.vn để được hỗ trợ. Trân trọng cảm ơn./.
