1. Dữ liệu cá nhân là gì?
Theo quy định tại điều 2, khoản 1 của Nghị định số 13/2023/NĐ-CP, dữ liệu cá nhân được định nghĩa là thông tin được biểu diễn dưới các hình thức như ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc các dạng tương tự trên môi trường điện tử, liên quan đến một con người cụ thể hoặc có khả năng xác định được một con người cụ thể. Dữ liệu cá nhân bao gồm cả dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.
Quá trình xử lý dữ liệu cá nhân đề cập đến một hoặc nhiều hoạt động ảnh hưởng đến dữ liệu cá nhân, bao gồm thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác liên quan.
Sự đồng ý của chủ thể dữ liệu được hiểu là sự thể hiện rõ ràng, tự nguyện và khẳng định của chủ thể dữ liệu về việc cho phép xử lý dữ liệu cá nhân của mình.
2. Trường hợp xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ dữ liệu?
Theo quy định tại Điều 17 của Nghị định số 13/2023/NĐ-CP, các trường hợp xử lý dữ liệu cá nhân không yêu cầu sự đồng ý của chủ thể dữ liệu bao gồm:
(1) Trong trường hợp khẩn cấp, khi cần xử lý ngay dữ liệu cá nhân liên quan để bảo vệ tính mạng và sức khỏe của chủ thể dữ liệu hoặc người khác, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, và Bên thứ ba có trách nhiệm chứng minh rõ ràng trường hợp này.
(2) Việc công khai dữ liệu cá nhân theo quy định của pháp luật.
(3) Xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp khẩn cấp liên quan đến quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm, hoặc khi có nguy cơ đe dọa an ninh, quốc phòng mà chưa đến mức tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm, và vi phạm pháp luật theo quy định của luật.
(4) Thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật.
(5) Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
3. Chủ thể dữ liệu cá nhân có quyền gì?
Dựa trên quy định của Điều 9 trong Nghị định 13/2023/NĐ-CP, chủ thể dữ liệu cá nhân được đặc quyền các quyền sau đây:
- Quyền Thông tin:
Chủ thể dữ liệu có quyền biết về việc xử lý dữ liệu cá nhân của mình, trừ khi có quy định khác theo luật.
- Quyền Đồng ý:
Chủ thể dữ liệu được quyền đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ khi xử lý không yêu cầu sự đồng ý theo quy định của pháp luật.
- Quyền Truy cập:
Chủ thể dữ liệu được cung cấp quyền truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, ngoại trừ các trường hợp có quy định khác theo luật.
- Quyền Rút lại Sự đồng ý:
Chủ thể dữ liệu được phép rút lại sự đồng ý của mình, trừ khi có quy định khác theo luật.
- Quyền Xóa Dữ liệu:
Chủ thể dữ liệu có quyền yêu cầu xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ khi có quy định khác theo luật.
- Quyền Hạn chế xử lý dữ liệu:
+ Chủ thể dữ liệu có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ khi có quy định khác theo luật.
+ Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ khi có quy định khác theo luật.
- Quyền Cung cấp dữ liệu:
Chủ thể dữ liệu có quyền yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ khi có quy định khác theo luật.
- Quyền Phản đối xử lý dữ liệu:
+ Chủ thể dữ liệu có quyền phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ khi có quy định khác theo luật.
+ Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ khi có quy định khác theo luật.
- Quyền khiếu nại, tố cáo, khởi kiện:
Chủ thể dữ liệu được ủy quyền quyền khiếu nại, tố cáo, hoặc khởi kiện theo quy định của pháp luật.
- Quyền yêu cầu bồi thường thiệt hại:
Chủ thể dữ liệu có quyền đòi hỏi bồi thường thiệt hại theo quy định của pháp luật khi phát sinh vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ khi có thoả thuận khác giữa các bên hoặc luật có quy định khác.
- Quyền tự bảo vệ:
Chủ thể dữ liệu được quyền tự bảo vệ theo quy định của Bộ luật Dân sự, các luật liên quan và Nghị định này, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các biện pháp bảo vệ quyền dân sự.
4. Quy định về lưu trữ, xóa, hủy dữ liệu cá nhân
Quy định về lưu trữ, xóa, và hủy dữ liệu cá nhân theo Điều 16 của Nghị định 13/2023/NĐ-CP được mô tả như sau:
- Chủ thể dữ liệu có quyền yêu cầu Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân xóa dữ liệu cá nhân của mình trong các tình huống sau đây:
+ Khi nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận rủi ro có thể xảy ra khi yêu cầu xóa dữ liệu;
+ Khi rút lại sự đồng ý;
+ Khi phản đối việc xử lý dữ liệu và không có lý do chính đáng để tiếp tục xử lý từ Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;
+ Khi dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc là vi phạm quy định của pháp luật;
+ Khi dữ liệu cá nhân phải được xóa theo quy định của pháp luật.
- Tuy nhiên, việc xóa dữ liệu không áp dụng trong các trường hợp sau khi chủ thể dữ liệu đã đề nghị:
+ Khi pháp luật không cho phép xóa dữ liệu;
+ Khi dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền để phục vụ hoạt động của cơ quan theo quy định của pháp luật;
+ Khi dữ liệu cá nhân đã được công khai theo quy định của pháp luật;
+ Khi dữ liệu cá nhân được xử lý để đáp ứng yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;
+ Trong tình huống khẩn cấp liên quan đến quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức báo động tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;
+ Đối mặt với tình huống khẩn cấp đe dọa tính mạng, sức khỏe hoặc an toàn của chủ thể dữ liệu hoặc cá nhân khác.
- Trong trường hợp doanh nghiệp thực hiện quy trình chia, tách, sáp nhập, hợp nhất, hoặc giải thể, dữ liệu cá nhân sẽ được chuyển giao theo quy định của pháp luật.
- Đối với trường hợp chia, tách, sáp nhập cơ quan, tổ chức, đơn vị hành chính, và tổ chức lại, cũng như chuyển đổi hình thức sở hữu doanh nghiệp nhà nước, dữ liệu cá nhân sẽ được chuyển giao theo quy định của pháp luật.
- Quy định việc xóa dữ liệu được thực hiện trong vòng 72 giờ sau khi chủ thể dữ liệu yêu cầu, bao gồm toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đã thu thập, trừ khi có quy định khác từ pháp luật.
- Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, và Bên thứ ba phải lưu trữ dữ liệu cá nhân theo hình thức phù hợp với hoạt động của mình và áp dụng biện pháp bảo vệ dữ liệu cá nhân theo quy định của pháp luật.
- Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, và Bên thứ ba sẽ thực hiện xóa dữ liệu không thể khôi phục trong các trường hợp sau:
+ Xử lý dữ liệu không đúng mục đích hoặc đã hoàn thành mục đích được chủ thể dữ liệu đồng ý;
+ Việc lưu trữ dữ liệu cá nhân không còn cần thiết cho hoạt động của họ;
+ Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, hoặc Bên thứ ba bị giải thể, không hoạt động, tuyên bố phá sản, hoặc chấm dứt hoạt động kinh doanh theo quy định của pháp luật.
Bài viết liên quan: Hành vi vi phạm về dữ liệu cá nhân thì có bị xử lý hình sự không?
Luật Minh Khuê xin tiếp nhận yêu cầu tư vấn của quý khách hàng thông qua số hotline: 1900.6162 hoặc email: lienhe@luatminhkhue.vn. Xin trân trọng cảm ơn!
