Cá nhân có được quyền thu thập dữ liệu cá nhân không?

Việc chủ thể dữ liệu có quyền đồng ý cho phép xử lý dữ liệu cá nhân của mình ngầm ý rằng cá nhân khác (không phải là bên kiểm soát dữ liệu cá nhân theo quy định của Nghị định) có quyền thu thập dữ liệu cá nhân nếu được sự đồng ý của chủ thể dữ liệu.

Ví dụ: Khi đăng ký tài khoản Facebook, bạn (chủ thể dữ liệu) đã đồng ý cho phép Facebook (bên kiểm soát dữ liệu cá nhân) thu thập và xử lý thông tin cá nhân của bạn như họ tên, ngày sinh, địa chỉ email, số điện thoại…

Sự đồng ý phải được thể hiện một cách rõ ràng, cụ thể và tự nguyện bằng văn bản, lời nói hoặc hành động cụ thể. Điều này cho thấy việc cá nhân thu thập dữ liệu cá nhân với sự đồng ý của chủ thể là hoàn toàn hợp pháp.

Ví dụ: Bạn tham gia một chương trình khuyến mãi của một cửa hàng và được yêu cầu cung cấp số điện thoại để nhận mã giảm giá. Bạn đồng ý cung cấp số điện thoại và đánh dấu vào ô “Tôi đồng ý nhận thông tin khuyến mãi qua SMS”. Đây là một hình thức thể hiện sự đồng ý của bạn cho phép cửa hàng thu thập và sử dụng số điện thoại của bạn cho mục đích gửi tin nhắn khuyến mãi.

• Điều 3 (Nguyên tắc bảo vệ dữ liệu cá nhân): Quy định về các nguyên tắc mà việc thu thập và xử lý dữ liệu cá nhân phải tuân thủ, bao gồm tính hợp pháp, minh bạch, chính xác, hạn chế về mục đích, bảo mật và trách nhiệm giải trình.

Ví dụ: Một người bạn của bạn muốn thu thập số điện thoại của bạn để mời bạn tham gia một buổi tiệc sinh nhật. Người bạn đó phải thông báo rõ ràng cho bạn về mục đích thu thập thông tin (mời bạn tham gia tiệc), phạm vi sử dụng (chỉ dùng để liên lạc với bạn về buổi tiệc) và đảm bảo không tiết lộ số điện thoại của bạn cho bất kỳ ai khác (tính bảo mật).

Xem thêm: Các nguyên tắc bảo vệ dữ liệu cá nhân theo Nghị định 13

• Điều 8 (Hành vi bị nghiêm cấm): Liệt kê các hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân, trong đó có việc thu thập, sử dụng dữ liệu cá nhân trái phép, không đúng mục đích hoặc vi phạm các nguyên tắc bảo vệ dữ liệu cá nhân.

Ví dụ: Một cá nhân không được phép thu thập thông tin cá nhân của người khác từ các nguồn không công khai (như tài khoản mạng xã hội bị khóa) hoặc sử dụng thông tin đó để đe dọa, tống tiền hoặc gây hại cho người khác.

• Trường hợp thu thập thông tin công khai: Mặc dù Nghị định không đề cập trực tiếp, nhưng thông tin công khai thường được hiểu là thông tin mà chủ thể dữ liệu đã tự nguyện chia sẻ rộng rãi, không giới hạn người tiếp cận (ví dụ: thông tin trên trang cá nhân mạng xã hội, bài báo…). Do đó, việc thu thập thông tin này thường được coi là hợp pháp, miễn là không vi phạm các quy định khác của pháp luật (ví dụ: không được sử dụng thông tin công khai để xúc phạm, bôi nhọ danh dự người khác).
• Trường hợp thu thập thông tin cần thiết để thực hiện hợp đồng: Nghị định 13/2023/NĐ-CP không cấm việc xử lý dữ liệu cá nhân khi cần thiết để thực hiện hợp đồng (Điều 17, khoản 4). Điều này ngầm ý cho phép thu thập thông tin cần thiết cho việc thực hiện hợp đồng, ví dụ như thông tin của khách hàng khi mua bán hàng hóa, dịch vụ.
• Trường hợp thu thập thông tin vì lợi ích chính đáng: Đây là một nguyên tắc chung trong bảo vệ dữ liệu cá nhân, cho phép xử lý dữ liệu cá nhân khi có lợi ích chính đáng của bên kiểm soát hoặc bên thứ ba, miễn là không xâm phạm đến quyền và lợi ích của chủ thể dữ liệu. Ví dụ, một công ty có thể thu thập thông tin liên lạc của khách hàng để gửi thông báo về các chương trình khuyến mãi, miễn là khách hàng có thể dễ dàng từ chối nhận thông tin này.
• Trường hợp thu thập thông tin đã được sự đồng ý của chủ thể dữ liệu: Đây là trường hợp phổ biến nhất và được quy định rõ trong Điều 11 của Nghị định 13/2023/NĐ-CP. Sự đồng ý phải được thể hiện rõ ràng, cụ thể và tự nguyện bằng văn bản, lời nói hoặc hành động cụ thể.

Tuy nhiên, cần lưu ý:

• Việc xác định một thông tin có phải là thông tin công khai hay không, hoặc việc thu thập thông tin có vì lợi ích chính đáng hay không, có thể cần được xem xét cụ thể trong từng trường hợp.
• Ngay cả khi đã có sự đồng ý của chủ thể dữ liệu, việc thu thập và sử dụng dữ liệu cá nhân vẫn phải tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân khác như tính minh bạch, chính xác, hạn chế về mục đích và bảo mật.

Để có thông tin chính xác và đầy đủ nhất, bạn nên tham khảo ý kiến của luật sư hoặc chuyên gia pháp lý về bảo vệ dữ liệu cá nhân. Liên hệ DPVN ngay tới Hotline 0982976486 để được tư vấn chi tiết.

• • Trường hợp thu thập dữ liệu cá nhân nhạy cảm mà không có sự đồng ý của chủ thể dữ liệu: Theo Điều 11 (Sự đồng ý của chủ thể dữ liệu) và Điều 28 (Bảo vệ dữ liệu cá nhân nhạy cảm) của Nghị định 13/2023/NĐ-CP quy định rằng việc xử lý dữ liệu cá nhân nhạy cảm phải có sự đồng ý của chủ thể dữ liệu, trừ các trường hợp ngoại lệ theo quy định tại khoản 4 Điều 13, Điều 17 và Điều 18.

Ví dụ: Một cá nhân không được phép thu thập thông tin về tình trạng sức khỏe, tôn giáo, chính trị của người khác mà không có sự đồng ý của họ, trừ khi việc thu thập này phục vụ mục đích y tế, an ninh quốc gia hoặc các mục đích khác được pháp luật cho phép.

• • Trường hợp thu thập dữ liệu cá nhân với mục đích trái pháp luật: Theo Điều 3 (Nguyên tắc bảo vệ dữ liệu cá nhân) và Điều 8 (Hành vi bị nghiêm cấm) của Nghị định 13/2023/NĐ-CP quy định rằng việc xử lý dữ liệu cá nhân phải tuân thủ pháp luật và nghiêm cấm các hành vi xâm phạm an ninh quốc gia, trật tự an toàn xã hội hoặc quyền, lợi ích hợp pháp của người khác.

Ví dụ: Một cá nhân không được phép thu thập dữ liệu cá nhân của người khác để sử dụng vào mục đích tống tiền, lừa đảo hoặc gây rối trật tự công cộng.

• • Trường hợp thu thập dữ liệu cá nhân vượt quá phạm vi cần thiết: Điều 3 (Nguyên tắc bảo vệ dữ liệu cá nhân) của Nghị định 13/2023/NĐ-CP quy định rằng dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý.

Ví dụ: Một nhà tuyển dụng chỉ được phép thu thập những thông tin cần thiết liên quan đến công việc của ứng viên (như trình độ học vấn, kinh nghiệm làm việc), không được thu thập các thông tin không liên quan (như tôn giáo, tình trạng hôn nhân).

• • Trường hợp sử dụng dữ liệu cá nhân thu thập được vào mục đích khác với mục đích đã được thông báo: Theo Điều 3 (Nguyên tắc bảo vệ dữ liệu cá nhân) của Nghị định 13/2023/NĐ-CP quy định rằng dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được thông báo cho chủ thể dữ liệu.

Ví dụ: Nếu một cửa hàng thu thập số điện thoại của khách hàng với mục đích gửi thông báo khuyến mãi, họ không được phép sử dụng số điện thoại đó để bán cho các công ty quảng cáo khác.