Cá nhân có được quyền thu thập dữ liệu cá nhân không?

Cá nhân có được quyền thu thập dữ liệu cá nhân không?

Trong thời đại số, dữ liệu cá nhân ngày càng trở thành một loại tài sản giá trị, dẫn đến nhiều câu hỏi về quyền thu thập và sử dụng thông tin này. Vậy cá nhân có được quyền thu thập dữ liệu cá nhân không? Theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, câu trả lời là có, nhưng với những điều kiện và giới hạn nhất định. Bài viết này, DPVN sẽ phân tích chi tiết về vấn đề này, giúp bạn hiểu rõ hơn về quyền và trách nhiệm của mình khi thu thập dữ liệu cá nhân của người khác.

Dữ liệu cá nhân là gì?

Trước tiên, để trả lời cho câu hỏi: “Cá nhân có quyền thu thập dữ liệu cá nhân của người khác không?”, ta cần phải hiểu được dữ liệu cá nhân là gì?

Theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có định nghĩa:

Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

Tìm hiểu chi tiết hơn các quy định về dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân

Dữ liệu cá nhân là gì?
Dữ liệu cá nhân là gì?

Cá nhân có được quyền thu thập dữ liệu cá nhân không?

Để làm rõ cá nhân có được quyền thu thập dữ liệu cá nhân hay không, trước tiên chúng ta cần phải dựa vào cơ sở pháp lý để nhận định.

Tìm hiểu cơ sở pháp lý về việc cho phép cá nhân thu thập dữ liệu cá nhân

Nghị định 13/2023/NĐ-CP không trực tiếp quy định về quyền thu thập dữ liệu cá nhân của cá nhân, nhưng có thể suy ra quyền này từ các quy định liên quan sau:

Nghị định này công nhận quyền của chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình (trừ những trường hợp ngoại lệ được quy định tại Điều 17).

Việc chủ thể dữ liệu có quyền đồng ý cho phép xử lý dữ liệu cá nhân của mình ngầm ý rằng cá nhân khác (không phải là bên kiểm soát dữ liệu cá nhân theo quy định của Nghị định) có quyền thu thập dữ liệu cá nhân nếu được sự đồng ý của chủ thể dữ liệu.

Ví dụ: Khi đăng ký tài khoản Facebook, bạn (chủ thể dữ liệu) đã đồng ý cho phép Facebook (bên kiểm soát dữ liệu cá nhân) thu thập và xử lý thông tin cá nhân của bạn như họ tên, ngày sinh, địa chỉ email, số điện thoại…

Điều này quy định chi tiết về sự đồng ý của chủ thể dữ liệu, bao gồm các điều kiện và hình thức thể hiện sự đồng ý.

Sự đồng ý phải được thể hiện một cách rõ ràng, cụ thể và tự nguyện bằng văn bản, lời nói hoặc hành động cụ thể. Điều này cho thấy việc cá nhân thu thập dữ liệu cá nhân với sự đồng ý của chủ thể là hoàn toàn hợp pháp.

Ví dụ: Bạn tham gia một chương trình khuyến mãi của một cửa hàng và được yêu cầu cung cấp số điện thoại để nhận mã giảm giá. Bạn đồng ý cung cấp số điện thoại và đánh dấu vào ô “Tôi đồng ý nhận thông tin khuyến mãi qua SMS”. Đây là một hình thức thể hiện sự đồng ý của bạn cho phép cửa hàng thu thập và sử dụng số điện thoại của bạn cho mục đích gửi tin nhắn khuyến mãi.

Ngoài ra, một số điều khoản khác trong Nghị định 13/2023/NĐ-CP cũng liên quan đến việc thu thập dữ liệu cá nhân của cá nhân, ví dụ:

  • Điều 3 (Nguyên tắc bảo vệ dữ liệu cá nhân): Quy định về các nguyên tắc mà việc thu thập và xử lý dữ liệu cá nhân phải tuân thủ, bao gồm tính hợp pháp, minh bạch, chính xác, hạn chế về mục đích, bảo mật và trách nhiệm giải trình.

Ví dụ: Một người bạn của bạn muốn thu thập số điện thoại của bạn để mời bạn tham gia một buổi tiệc sinh nhật. Người bạn đó phải thông báo rõ ràng cho bạn về mục đích thu thập thông tin (mời bạn tham gia tiệc), phạm vi sử dụng (chỉ dùng để liên lạc với bạn về buổi tiệc) và đảm bảo không tiết lộ số điện thoại của bạn cho bất kỳ ai khác (tính bảo mật).

  • Điều 8 (Hành vi bị nghiêm cấm): Liệt kê các hành vi bị nghiêm cấm liên quan đến dữ liệu cá nhân, trong đó có việc thu thập, sử dụng dữ liệu cá nhân trái phép, không đúng mục đích hoặc vi phạm các nguyên tắc bảo vệ dữ liệu cá nhân.

Ví dụ: Một cá nhân không được phép thu thập thông tin cá nhân của người khác từ các nguồn không công khai (như tài khoản mạng xã hội bị khóa) hoặc sử dụng thông tin đó để đe dọa, tống tiền hoặc gây hại cho người khác.

Lưu ý: Các ví dụ trên chỉ mang tính chất minh họa. Trong thực tế, có nhiều tình huống khác nhau liên quan đến việc thu thập dữ liệu cá nhân của cá nhân, và việc xác định tính hợp pháp của hoạt động này cần dựa trên việc đánh giá cụ thể từng trường hợp theo các quy định của pháp luật.

Như vậy, có thể thấy rằng Nghị định 13/2023/NĐ-CP không cấm cá nhân thu thập dữ liệu cá nhân, nhưng việc thu thập này phải tuân thủ các nguyên tắc và quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Các trường hợp về thu thập dữ liệu cá nhân

Nghị định 13/2023/NĐ-CP không nêu cụ thể các trường hợp này. Thông tin DPVN cung cấp dựa trên phân tích, suy luận từ các quy định của Nghị định 13 và các nguyên tắc chung về bảo vệ dữ liệu cá nhân được áp dụng trên thế giới.

  • Trường hợp thu thập thông tin công khai: Mặc dù Nghị định không đề cập trực tiếp, nhưng thông tin công khai thường được hiểu là thông tin mà chủ thể dữ liệu đã tự nguyện chia sẻ rộng rãi, không giới hạn người tiếp cận (ví dụ: thông tin trên trang cá nhân mạng xã hội, bài báo…). Do đó, việc thu thập thông tin này thường được coi là hợp pháp, miễn là không vi phạm các quy định khác của pháp luật (ví dụ: không được sử dụng thông tin công khai để xúc phạm, bôi nhọ danh dự người khác).
  • Trường hợp thu thập thông tin cần thiết để thực hiện hợp đồng: Nghị định 13/2023/NĐ-CP không cấm việc xử lý dữ liệu cá nhân khi cần thiết để thực hiện hợp đồng (Điều 17, khoản 4). Điều này ngầm ý cho phép thu thập thông tin cần thiết cho việc thực hiện hợp đồng, ví dụ như thông tin của khách hàng khi mua bán hàng hóa, dịch vụ.
  • Trường hợp thu thập thông tin vì lợi ích chính đáng: Đây là một nguyên tắc chung trong bảo vệ dữ liệu cá nhân, cho phép xử lý dữ liệu cá nhân khi có lợi ích chính đáng của bên kiểm soát hoặc bên thứ ba, miễn là không xâm phạm đến quyền và lợi ích của chủ thể dữ liệu. Ví dụ, một công ty có thể thu thập thông tin liên lạc của khách hàng để gửi thông báo về các chương trình khuyến mãi, miễn là khách hàng có thể dễ dàng từ chối nhận thông tin này.
  • Trường hợp thu thập thông tin đã được sự đồng ý của chủ thể dữ liệu: Đây là trường hợp phổ biến nhất và được quy định rõ trong Điều 11 của Nghị định 13/2023/NĐ-CP. Sự đồng ý phải được thể hiện rõ ràng, cụ thể và tự nguyện bằng văn bản, lời nói hoặc hành động cụ thể.

Tuy nhiên, cần lưu ý:

  • Việc xác định một thông tin có phải là thông tin công khai hay không, hoặc việc thu thập thông tin có vì lợi ích chính đáng hay không, có thể cần được xem xét cụ thể trong từng trường hợp.
  • Ngay cả khi đã có sự đồng ý của chủ thể dữ liệu, việc thu thập và sử dụng dữ liệu cá nhân vẫn phải tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân khác như tính minh bạch, chính xác, hạn chế về mục đích và bảo mật.

Để có thông tin chính xác và đầy đủ nhất, bạn nên tham khảo ý kiến của luật sư hoặc chuyên gia pháp lý về bảo vệ dữ liệu cá nhân. Liên hệ DPVN ngay tới Hotline 0982976486 để được tư vấn chi tiết.

Nghị định 13/2023/NĐ-CP không nêu cụ thể các trường hợp này. Tuy nhiên, theo phân tích của DPVN theo quy định trong Nghị định 13 và các nguyên tắc chung về bảo vệ dữ liệu cá nhân, có thể đề cập đến một số trường hợp như sau:

    • Trường hợp thu thập dữ liệu cá nhân nhạy cảm mà không có sự đồng ý của chủ thể dữ liệu: Theo Điều 11 (Sự đồng ý của chủ thể dữ liệu) và Điều 28 (Bảo vệ dữ liệu cá nhân nhạy cảm) của Nghị định 13/2023/NĐ-CP quy định rằng việc xử lý dữ liệu cá nhân nhạy cảm phải có sự đồng ý của chủ thể dữ liệu, trừ các trường hợp ngoại lệ theo quy định tại khoản 4 Điều 13, Điều 17 và Điều 18.

Ví dụ: Một cá nhân không được phép thu thập thông tin về tình trạng sức khỏe, tôn giáo, chính trị của người khác mà không có sự đồng ý của họ, trừ khi việc thu thập này phục vụ mục đích y tế, an ninh quốc gia hoặc các mục đích khác được pháp luật cho phép.

    • Trường hợp thu thập dữ liệu cá nhân với mục đích trái pháp luật: Theo Điều 3 (Nguyên tắc bảo vệ dữ liệu cá nhân) và Điều 8 (Hành vi bị nghiêm cấm) của Nghị định 13/2023/NĐ-CP quy định rằng việc xử lý dữ liệu cá nhân phải tuân thủ pháp luật và nghiêm cấm các hành vi xâm phạm an ninh quốc gia, trật tự an toàn xã hội hoặc quyền, lợi ích hợp pháp của người khác.

Ví dụ: Một cá nhân không được phép thu thập dữ liệu cá nhân của người khác để sử dụng vào mục đích tống tiền, lừa đảo hoặc gây rối trật tự công cộng.

    • Trường hợp thu thập dữ liệu cá nhân vượt quá phạm vi cần thiết: Điều 3 (Nguyên tắc bảo vệ dữ liệu cá nhân) của Nghị định 13/2023/NĐ-CP quy định rằng dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý.

Ví dụ: Một nhà tuyển dụng chỉ được phép thu thập những thông tin cần thiết liên quan đến công việc của ứng viên (như trình độ học vấn, kinh nghiệm làm việc), không được thu thập các thông tin không liên quan (như tôn giáo, tình trạng hôn nhân).

    • Trường hợp sử dụng dữ liệu cá nhân thu thập được vào mục đích khác với mục đích đã được thông báo: Theo Điều 3 (Nguyên tắc bảo vệ dữ liệu cá nhân) của Nghị định 13/2023/NĐ-CP quy định rằng dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được thông báo cho chủ thể dữ liệu.

Ví dụ: Nếu một cửa hàng thu thập số điện thoại của khách hàng với mục đích gửi thông báo khuyến mãi, họ không được phép sử dụng số điện thoại đó để bán cho các công ty quảng cáo khác.

Các trường hợp về thu thập dữ liệu cá nhân
Các trường hợp về thu thập dữ liệu cá nhân

Hậu quả của việc vi phạm quy định về thu thập dữ liệu cá nhân

Hậu quả của việc vi phạm quy định về thu thập dữ liệu cá nhân có thể rất nghiêm trọng, ảnh hưởng đến cả cá nhân thu thập thông tin và chủ thể dữ liệu.

Xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự: Theo Điều 4, Nghị định 13/2023/NĐ-CP quy định rõ việc xử lý vi phạm trong lĩnh vực bảo vệ dữ liệu cá nhân có thể bị xử lý theo nhiều hình thức khác nhau, tùy theo tính chất và mức độ vi phạm.

  • Xử phạt vi phạm hành chính: Áp dụng đối với các hành vi vi phạm không đủ yếu tố cấu thành tội phạm. Các hình phạt có thể bao gồm phạt tiền, tịch thu tang vật, đình chỉ hoạt động kinh doanh… Mức phạt tiền có thể lên đến hàng trăm triệu đồng, thậm chí hàng tỷ đồng đối với các vi phạm nghiêm trọng.
  • Truy cứu trách nhiệm hình sự: Áp dụng đối với các hành vi vi phạm đủ yếu tố cấu thành tội phạm theo quy định của Bộ luật Hình sự. Tội danh liên quan đến vi phạm thu thập dữ liệu cá nhân có thể kể đến như tội “Thu thập, tàng trữ, sử dụng, trao đổi, mua bán, công khai hóa trái phép thông tin về đời sống riêng tư, bí mật cá nhân” (Điều 159 Bộ Luật hình sự)…

Bị yêu cầu bồi thường thiệt hại cho chủ thể dữ liệu: Ngoài việc bị xử phạt hành chính hoặc hình sự, bên vi phạm còn có thể bị chủ thể dữ liệu yêu cầu bồi thường thiệt hại nếu hành vi vi phạm gây ra thiệt hại về vật chất hoặc tinh thần cho họ.

Ảnh hưởng đến uy tín và danh dự của cá nhân: Vi phạm quy định về bảo vệ dữ liệu cá nhân có thể gây ra những hậu quả nghiêm trọng cho uy tín và danh dự của cá nhân vi phạm.

Ví dụ: Một doanh nghiệp có thể bị mất khách hàng và đối tác nếu để xảy ra sự cố rò rỉ dữ liệu cá nhân nghiêm trọng.

Tóm lại, việc vi phạm quy định về thu thập dữ liệu cá nhân có thể dẫn đến những hậu quả rất nghiêm trọng, không chỉ về mặt pháp lý mà còn ảnh hưởng đến uy tín, danh dự và lợi ích kinh tế của cá nhân và tổ chức. Do đó, việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân là rất quan trọng.

Tìm hiểu thêm về (Dự thảo) Quy định xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân

Cá nhân có quyền thu thập dữ liệu cá nhân của chủ thể dữ liệu khác, nhưng quyền này không tuyệt đối mà phải được thực hiện trong khuôn khổ pháp luật, đặc biệt là Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Việc tôn trọng và bảo vệ thông tin cá nhân của người khác không chỉ là trách nhiệm pháp lý mà còn là đạo đức xã hội. Mỗi cá nhân cần nâng cao nhận thức về quyền và nghĩa vụ của mình trong việc thu thập và sử dụng dữ liệu cá nhân, từ đó góp phần xây dựng một môi trường số an toàn và lành mạnh hơn.

Liên hệ với DPVN để được tư vấn miễn phí