Cá nhân có được quyền thu thập dữ liệu cá nhân không?

Ngày đăng - 27/05/2024

Luật sư Nguyễn Lâm Sơn Tư vấn Nghị định 13/2023/NĐ-CP, Tư vấn Luật bảo vệ dữ liệu cá nhân

Việc cá nhân thu thập dữ liệu cá nhân của người khác phải tuân thủ nghiêm ngặt các quy định của pháp luật, trừ một số trường hợp ngoại lệ hẹp. Tại DPVN, chúng tôi sẽ phân tích sâu các quy định về việc cá nhân thu thập dữ liệu, giúp bạn hiểu rõ giới hạn và thực hiện đúng cách, đảm bảo tính hợp pháp và tôn trọng quyền riêng tư.

Tính hợp pháp của việc cá nhân thu thập dữ liệu cá nhân được quy định như thế nào?

Pháp luật Việt Nam, cụ thể là Nghị định 13/2023/NĐ-CP, áp dụng các quy định về bảo vệ dữ liệu cá nhân đối với cả “tổ chức” và “cá nhân”. Điều này có nghĩa là một cá nhân, khi tiến hành thu thập và xử lý dữ liệu cá nhân của người khác, về cơ bản phải tuân thủ đầy đủ các nghĩa vụ như một doanh nghiệp, trừ khi hoạt động đó rơi vào các trường hợp ngoại lệ.

Nghị định 13 không có sự phân biệt lớn trong việc áp đặt nghĩa vụ dựa trên tư cách pháp nhân. Điều 1 của Nghị định quy định rõ phạm vi áp dụng là “cơ quan, tổ chức, cá nhân có liên quan”. Điều này có nghĩa là, khi một cá nhân quyết định mục đích và phương tiện xử lý dữ liệu (Ví dụ: một blogger thu thập email để gửi bản tin, một nhà nghiên cứu độc lập thu thập dữ liệu cho công trình của mình), họ sẽ đóng vai trò là Bên Kiểm soát Dữ liệu cá nhân và phải gánh vác các trách nhiệm tương ứng.

Về chuyên môn sâu, cách tiếp cận này đảm bảo không có “vùng xám” pháp lý. Bất kỳ ai, dù là một tập đoàn lớn hay một cá nhân, một khi đã tác động đến quyền riêng tư của người khác thông qua việc xử lý dữ liệu, đều phải chịu sự điều chỉnh của pháp luật. Tuy nhiên, các nhà làm luật cũng nhận thấy sự khác biệt về quy mô và bản chất, do đó đã có những quy định miễn trừ hoặc linh hoạt hơn cho các hoạt động mang tính cá nhân, phi thương mại, điều này sẽ được làm rõ hơn trong các phần sau.

Khi nào một cá nhân thu thập dữ liệu phải tuân thủ đầy đủ các quy định như một tổ chức?

Một cá nhân phải tuân thủ đầy đủ các quy định khi hoạt động thu thập và xử lý dữ liệu của họ vượt ra ngoài phạm vi mục đích cá nhân, hộ gia đình và mang tính chất có tổ chức, thương mại hoặc có quy mô lớn. Trong những trường hợp này, cá nhân đó sẽ được coi là một Bên Kiểm soát dữ liệu thực thụ.

Việc xác định ranh giới giữa hoạt động cá nhân đơn thuần và hoạt động mang tính thương mại/có tổ chức là rất quan trọng. Dưới đây là các ví dụ thực tế giúp làm rõ khi nào một cá nhân phải tuân thủ nghiêm ngặt:

Tình huống Lý do phải tuân thủ
Một Freelancer/Influencer thu thập danh sách email của hàng ngàn người theo dõi để gửi bản tin và quảng bá sản phẩm. Hoạt động này mang tính thương mại, có quy mô lớn và có hệ thống. Cá nhân này phải có chính sách bảo vệ dữ liệu, lấy sự đồng ý rõ ràng và đáp ứng các quyền của người đăng ký.
Một chủ nhà trọ thu thập bản sao CCCD và thông tin cá nhân của nhiều người thuê trọ. Đây là hoạt động kinh doanh. Chủ nhà trọ phải bảo mật các thông tin này, không được chia sẻ tùy tiện và phải hủy dữ liệu cá nhân khi người thuê chấm dứt hợp đồng.
Một nhà nghiên cứu độc lập thực hiện một cuộc khảo sát trên diện rộng, thu thập các thông tin nhạy cảm về sức khỏe hoặc quan điểm chính trị. Do tính chất nhạy cảm và quy mô của dữ liệu, nhà nghiên cứu phải tuân thủ các nguyên tắc đạo đức và pháp lý, bao gồm việc khử nhận dạng dữ liệu cá nhân để bảo vệ người tham gia.

Trong những trường hợp này, cá nhân thu thập dữ liệu cũng phải thực hiện các thủ tục hành chính như lập và nộp Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

Hướng dẫn quy trình thu thập dữ liệu cá nhân hợp pháp dành cho cá nhân là gì?

Để thu thập dữ liệu một cách hợp pháp, một cá nhân cần tuân thủ một quy trình 4 bước tương tự như một tổ chức: (1) Xác định mục đích rõ ràng; (2) Thông báo cho chủ thể dữ liệu; (3) Có được sự đồng ý hợp lệ; và (4) Áp dụng các biện pháp bảo vệ phù hợp với dữ liệu đã thu thập.

Dù bạn là một cá nhân, việc áp dụng một quy trình chuyên nghiệp sẽ giúp bạn tránh được các rủi ro pháp lý và xây dựng được lòng tin với những người đã chia sẻ thông tin cho bạn.

  1. Bước 1: Xác định rõ mục đích: Trước khi thu thập, hãy tự trả lời: “Tôi cần thông tin này để làm gì một cách cụ thể?”. Mục đích phải hợp pháp và được xác định rõ ràng.
  2. Bước 2: Thông báo minh bạch: Bạn phải thông báo cho người mà bạn định thu thập dữ liệu về ít nhất 4 điểm: (1) Mục đích thu thập; (2) Loại dữ liệu sẽ thu thập; (3) Cách thức xử lý; (4) Quyền và nghĩa vụ của họ.
  3. Bước 3: Lấy sự đồng ý hợp lệ: Sự đồng ý phải được thể hiện bằng một hành động khẳng định rõ ràng (ví dụ: đánh dấu vào ô checkbox, gửi email xác nhận). Sự im lặng không được coi là đồng ý.
  4. Bước 4: Bảo vệ dữ liệu đã thu thập: Sau khi thu thập, bạn có trách nhiệm bảo vệ dữ liệu đó. Các biện pháp có thể đơn giản nhưng cần thiết, như đặt mật khẩu mạnh cho tệp tin, không lưu trữ trên các thiết bị công cộng, và xóa đi khi không còn cần thiết.

Có trường hợp ngoại lệ hoặc miễn trừ nào cho việc cá nhân thu thập dữ liệu không?

Có. Mặc dù luật Việt Nam chưa quy định rõ ràng về “miễn trừ cho mục đích cá nhân, hộ gia đình” như GDPR, nhưng có thể hiểu rằng các hoạt động xử lý dữ liệu thuần túy cá nhân, không có tính thương mại và không phổ biến ra công chúng sẽ không phải tuân thủ các nghĩa vụ nghiêm ngặt như một tổ chức.

Đây là một khía cạnh cần được các văn bản dưới luật hướng dẫn chi tiết hơn trong tương lai. Tuy nhiên, dựa trên thông lệ quốc tế và tinh thần của luật, có thể xác định một số trường hợp ngoại lệ:

  • Hoạt động cá nhân hoặc gia đình: Bạn lưu danh bạ điện thoại của bạn bè, người thân trong điện thoại của mình. Bạn tạo một album ảnh gia đình trên máy tính. Đây là các hoạt động xử lý dữ liệu cho mục đích cá nhân và không phải tuân thủ các quy định của Nghị định 13.
  • Giao tiếp xã hội thông thường: Bạn trao đổi danh thiếp với một đối tác trong một sự kiện. Việc này được ngầm hiểu là có sự đồng ý cho mục đích liên lạc.

Lưu ý quan trọng: Ngay khi các hoạt động này vượt ra ngoài phạm vi cá nhân (ví dụ: bạn lấy danh bạ đó để gửi quảng cáo cho công việc kinh doanh của mình, hoặc bạn đăng album ảnh gia đình lên một trang web công khai), các quy định của pháp luật sẽ được áp dụng.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Ranh giới giữa ‘cá nhân’ và ‘thương mại’ đôi khi rất mong manh, đặc biệt là với sự phát triển của các mô hình kinh doanh nhỏ lẻ trên mạng xã hội. Lời khuyên của chúng tôi là: nếu bạn có bất kỳ mục đích nào liên quan đến việc kiếm tiền hoặc xây dựng thương hiệu từ dữ liệu thu thập được, hãy hành động một cách thận trọng và tuân thủ các quy định như một tổ chức. Sự chủ động này sẽ giúp bạn tránh được các rủi ro không đáng có.”

DPVN: Tư Vấn Pháp Lý Về Hoạt Động Xử Lý Dữ Liệu

Việc xác định các nghĩa vụ pháp lý khi thu thập và xử lý dữ liệu cá nhân, dù với tư cách cá nhân hay tổ chức, là một việc phức tạp. Để đảm bảo mọi hoạt động của bạn đều tuân thủ pháp luật, việc có được sự tư vấn từ các chuyên gia là rất quan trọng.

Hãy tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp với Luật sư Nguyễn Lâm Sơn để được tư vấn:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Câu hỏi thường gặp về việc cá nhân thu thập dữ liệu cá nhân

1. Tôi có được phép ghi âm cuộc gọi với người khác không?

Việc ghi âm cuộc gọi mà không có sự đồng ý của tất cả các bên tham gia là hành vi xâm phạm quyền riêng tư và có thể là bất hợp pháp, trừ khi được thực hiện bởi cơ quan chức năng theo luật định. Thực hành tốt nhất là luôn thông báo cho đối phương rằng cuộc gọi đang được ghi âm.

2. Là một giáo viên, tôi thu thập thông tin của học sinh và phụ huynh. Tôi có phải tuân thủ Nghị định 13 không?

Trong trường hợp này, nhà trường là Bên Kiểm soát Dữ liệu. Bạn, với tư cách là giáo viên, đang thực hiện việc xử lý dữ liệu thay mặt cho nhà trường. Do đó, bạn phải tuân thủ các chính sách và quy định về bảo vệ dữ liệu do nhà trường ban hành, vốn phải được xây dựng dựa trên Nghị định 13.

3. Hậu quả pháp lý khi một cá nhân thu thập dữ liệu trái phép là gì?

Cá nhân vi phạm cũng phải đối mặt với các chế tài như một tổ chức, bao gồm xử phạt vi phạm hành chính, trách nhiệm bồi thường thiệt hại cho nạn nhân, và có thể bị truy cứu trách nhiệm hình sự nếu hành vi đủ yếu tố cấu thành tội phạm (ví dụ: tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác).

4. Tôi chụp ảnh một sự kiện công cộng và đăng lên blog cá nhân, điều này có vi phạm không?

Thông thường, việc chụp ảnh tổng quan tại nơi công cộng không bị xem là vi phạm. Tuy nhiên, nếu bức ảnh tập trung vào một cá nhân cụ thể, đặc biệt là trong một tình huống nhạy cảm và bạn sử dụng hình ảnh đó mà không có sự cho phép của họ, bạn có thể đang vi phạm quyền về hình ảnh và quyền riêng tư của họ.

5. Một cá nhân kinh doanh online nhỏ có phải lập Hồ sơ ĐGTĐ không?

Theo Nghị định 13, có. Cá nhân kinh doanh online là Bên Kiểm soát dữ liệu và có nghĩa vụ này. Tuy nhiên, từ 01/01/2026, nếu cá nhân đó đăng ký dưới dạng hộ kinh doanh, họ có thể thuộc trường hợp được miễn trừ theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, miễn là không xử lý dữ liệu nhạy cảm hoặc quy mô lớn.

Nguồn tham khảo:

  1. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  3. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/
  4. Bộ luật Dân sự 2015: https://thuvienphapluat.vn/van-ban/Quyen-dan-su/Bo-luat-dan-su-2015-296249.aspx
  5. What is the ‘personal or household’ exemption? – Information Commissioner’s Office (UK): https://ico.org.uk/for-the-public/personal-information/what-is-the-personal-or-household-exemption/
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486