Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân bắt đầu có hiệu lực từ 01/7/2023. Theo đó, chủ thể có dữ liệu cá nhân được xử lý bởi một bên khác có các quyền và nghĩa vụ chi tiết để bảo vệ dữ liệu của mình. Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu. Tuy nhiên có phải mọi trường hợp đều bắt buộc phải có sự đồng ý của chủ thể dữ liệu?
1. Dữ liệu cá nhân bao gồm những thông tin nào?
Theo Khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP dữ liệu cá nhân cơ bản bao gồm:
- Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
- Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
- Giới tính;
- Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
- Quốc tịch;
- Hình ảnh của cá nhân;
- Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
- Tình trạng hôn nhân;
- Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
- Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
- Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không phải là dữ liệu cá nhân nhạy cảm.
2. Quyền của chủ thể dữ liệu
Theo quy định tại Điều 9 Nghị định 13/2023/NĐ-CP, quyền của chủ thể dữ liệu gồm:
- Quyền được biết
Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Quyền đồng ý
Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP.
- Quyền truy cập
Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Quyền rút lại sự đồng ý
Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
- Quyền xóa dữ liệu
Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Quyền hạn chế xử lý dữ liệu
+ Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác;
+ Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
- Quyền cung cấp dữ liệu
Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
- Quyền phản đối xử lý dữ liệu
+ Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác;
+ Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.
- Quyền khiếu nại, tố cáo, khởi kiện
Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.
- Quyền yêu cầu bồi thường thiệt hại
Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
- Quyền tự bảo vệ
Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật dân sự 2015, luật khác có liên quan và Nghị định 13/2023/NĐ-CP, hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật dân sự 2015.
=> Theo đó, chủ thể dữ liệu có các quyền đối với dữ liệu cá nhân của mình như trên. Trong đó có chủ thể dữ liệu có quyền được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình.
3. Trường hợp không cần sự đồng ý
Tại Điều 17 Nghị định 13/2023/NĐ-CP quy định về việc xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu:
- Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.
- Việc công khai dữ liệu cá nhân theo quy định của luật.
- Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
- Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
- Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Như vậy, khi xử lý dữ liệu cá nhân cần phải có sự đồng ý cho phép từ chủ thể dữ liệu. Tuy nhiên, không phải trường hợp nào xử lý dữ liệu cũng đều cần phải có sự đồng ý của chủ thể dữ liệu. Đối với 05 trường hợp ngoại lệ quy định Điều 17 Nghị định 13/2023/NĐ-CP nêu trên thì sẽ không cần phải có sự đồng ý.