Trong thời đại công nghệ số, khi thông tin cá nhân ngày càng trở nên có giá trị, việc bảo vệ quyền của chủ thể dữ liệu cá nhân trở thành một vấn đề cấp thiết. Nghị định 13/2023/NĐ-CP ra đời là một bước tiến quan trọng trong quá trình xây dựng khuôn khổ pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam. Vậy chủ thể dữ liệu cá nhân là gì? Họ có những quyền và nghĩa vụ gì trong việc bảo vệ thông tin cá nhân của mình? Bài viết này, DPVN sẽ cung cấp một cái nhìn toàn diện về các vấn đề này, dựa trên những quy định của Nghị định 13/2023/NĐ-CP.
Chủ thể dữ liệu cá nhân là gì?
Theo Điều 2 của Nghị định 13/2023/NĐ-CP, chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh. Theo đó, có thể hiểu chủ thể dữ liệu cá nhân là cá nhân được xác định hoặc xác định được danh tính thông qua một hoặc nhiều thông tin về đặc điểm thể chất, sinh lý, tâm lý, kinh tế, văn hóa, xã hội hoặc các thông tin khác.
Đặc điểm của chủ thể dữ liệu cá nhân
- Tính khách quan: Chủ thể dữ liệu cá nhân là một thực thể tồn tại thực tế, có thể là công dân Việt Nam, người nước ngoài hoặc người không quốc tịch. Tuy nhiên, cần nhấn mạnh rằng sự tồn tại này không chỉ giới hạn ở thế giới thực mà còn mở rộng sang môi trường trực tuyến. Ví dụ, một người dùng mạng xã hội với thông tin cá nhân đầy đủ cũng được coi là chủ thể dữ liệu cá nhân.
- Tính cụ thể: Chủ thể dữ liệu cá nhân phải là một cá nhân riêng biệt, không thể là một tập thể chung chung như “nhân viên công ty xuất khẩu lao động A” hay “cư dân chung cư B”. Mỗi cá nhân có quyền kiểm soát dữ liệu cá nhân của riêng mình.
- Tính xác định: Đây là đặc điểm quan trọng nhất. Dữ liệu cá nhân phải chứa ít nhất một thông tin giúp nhận diện chủ thể đó, ví dụ như: Họ tên, số CMND/CCCD, ngày tháng năm sinh, địa chỉ, số điện thoại, email, vân tay, hình ảnh khuôn mặt, v.v. Nếu không có thông tin nào giúp xác định danh tính, thì đó không phải là dữ liệu cá nhân.
- Tính thay đổi: Dữ liệu cá nhân của một người có thể thay đổi theo thời gian, ví dụ như họ thay đổi địa chỉ, số điện thoại, hoặc thậm chí là tên họ.
- Tính nhạy cảm: Một số loại dữ liệu cá nhân được coi là nhạy cảm hơn những loại khác, ví dụ như thông tin về sức khỏe, tôn giáo, chính trị, v.v. Những loại dữ liệu này cần được bảo vệ đặc biệt cẩn thận.
Chủ thể dữ liệu cá nhân là một cá nhân cụ thể, có thật, có thể xác định được thông qua các thông tin cá nhân của họ. Việc hiểu rõ các đặc điểm này giúp chúng ta nhận thức rõ hơn về quyền và lợi ích của mình đối với dữ liệu cá nhân, từ đó có những biện pháp bảo vệ phù hợp.
Quyền và nghĩa vụ của chủ thể dữ liệu cá nhân
Theo Điều 9, Nghị định 13/2023/NĐ-CP, chủ thể dữ liệu cá nhân có tổng cộng 11 quyền bao gồm: Quyền được biết; Quyền đồng ý; Quyền truy cập; Quyền rút lại sự đồng ý; Quyền xóa dữ liệu; Quyền hạn chế xử lý dữ liệu; Quyền cung cấp dữ liệu; Quyền phản đối xử lý dữ liệu; Quyền khiếu nại, tố cáo, khởi kiện; Quyền yêu cầu bồi thường thiệt hại; Quyền tự bảo vệ;
Nội dung chi tiết của từng quyền như sau:
1. Quyền được biết
Ví dụ: Anh A đăng ký sử dụng dịch vụ của một ứng dụng mua sắm trực tuyến. Anh A có quyền yêu cầu ứng dụng này cung cấp thông tin về việc họ thu thập những dữ liệu cá nhân nào của anh, mục đích sử dụng dữ liệu đó là gì, và họ sẽ lưu trữ dữ liệu trong bao lâu.
2. Quyền đồng ý
Ví dụ: Khi bạn đăng ký tài khoản trên một mạng xã hội, bạn thường sẽ được yêu cầu cung cấp một số thông tin cá nhân như họ tên, địa chỉ email, số điện thoại. Mạng xã hội sẽ hiển thị một biểu mẫu yêu cầu sự đồng ý của bạn để xử lý những dữ liệu này cho các mục đích cụ thể, chẳng hạn như tạo và quản lý tài khoản, kết nối bạn với bạn bè, hiển thị quảng cáo phù hợp với sở thích của bạn. Bạn có quyền đồng ý hoặc không đồng ý với từng mục đích xử lý hoặc toàn bộ yêu cầu. Nếu bạn không đồng ý, mạng xã hội có thể sẽ không cho phép bạn tạo tài khoản hoặc sử dụng một số tính năng nhất định.
3. Quyền truy cập
Ví dụ: Anh C phát hiện thông tin cá nhân của mình trên một website không chính xác. Anh C có quyền yêu cầu website đó chỉnh sửa lại thông tin cho đúng.
4. Quyền rút lại sự đồng ý
Ví dụ: Chị D đã đồng ý cho một ứng dụng nhắn tin truy cập vào danh bạ điện thoại của mình. Sau đó, chị D đổi ý và muốn rút lại sự đồng ý này. Chị D có quyền yêu cầu ứng dụng ngừng truy cập vào danh bạ của mình.
5. Quyền xóa dữ liệu
Ví dụ: Anh E không còn sử dụng một ứng dụng mạng xã hội nữa và muốn xóa tài khoản của mình. Anh E có quyền yêu cầu ứng dụng xóa toàn bộ dữ liệu cá nhân của anh.
6. Quyền hạn chế xử lý dữ liệu
Ví dụ: Chị F phát hiện một ngân hàng đang sử dụng thông tin cá nhân của chị cho mục đích tiếp thị mà chị không đồng ý. Chị F có quyền yêu cầu ngân hàng ngừng sử dụng thông tin của chị cho mục đích này.
7. Quyền cung cấp dữ liệu
Ví dụ: Anh G muốn chuyển đổi nhà cung cấp dịch vụ viễn thông. Anh G có quyền yêu cầu nhà cung cấp cũ cung cấp cho anh một bản sao dữ liệu cá nhân của anh để chuyển sang nhà cung cấp mới.
8. Quyền phản đối xử lý dữ liệu
Ví dụ: Chị H liên tục nhận được tin nhắn quảng cáo từ một cửa hàng mà chị chưa từng mua hàng. Chị H có quyền yêu cầu cửa hàng ngừng gửi tin nhắn quảng cáo cho chị.
9. Quyền khiếu nại, tố cáo, khởi kiện
Ví dụ: Anh K phát hiện thông tin cá nhân của mình bị rò rỉ và sử dụng trái phép. Anh K có quyền khiếu nại lên cơ quan chức năng để yêu cầu xử lý.
10. Quyền yêu cầu bồi thường thiệt hại
Ví dụ: Doanh nghiệp của anh L bị tấn công mạng, dẫn đến việc dữ liệu cá nhân của khách hàng bị đánh cắp. Khách hàng có quyền yêu cầu doanh nghiệp bồi thường thiệt hại nếu họ bị ảnh hưởng từ vụ việc này.
11. Quyền tự bảo vệ
Ví dụ: Chị M thấy thông tin cá nhân của mình bị sử dụng sai mục đích trên mạng xã hội. Chị M có thể tự mình yêu cầu người đăng tải gỡ bỏ thông tin hoặc báo cáo với quản trị viên mạng xã hội để xử lý.
Nghĩa vụ của chủ thể dữ liệu cá nhân
Bên cạnh các quyền được trao theo Nghị định 13, chủ thể dữ liệu cá nhân cũng có những nghĩa vụ cần tuân thủ để bảo vệ thông tin cá nhân của mình bao gồm: Tự bảo vệ thông tin cá nhân; Tôn trọng dữ liệu của người khác; Cung cấp thông tin trung thực; Nâng cao nhận thức; Tuân thủ pháp luật;
Hãy cùng DPVN làm rõ các nghĩa vụ chủ thể dữ liệu cá nhân cần tuân thủ:
Tự bảo vệ thông tin cá nhân: Chủ động bảo vệ dữ liệu của bản thân và yêu cầu các tổ chức, cá nhân liên quan thực hiện việc bảo vệ này.
Ví dụ: Sử dụng mật khẩu mạnh cho các tài khoản trực tuyến, không chia sẻ mật khẩu với người khác, cài đặt phần mềm diệt virus và cập nhật thường xuyên.
Tôn trọng dữ liệu của người khác: Không xâm phạm, sử dụng trái phép hoặc tiết lộ thông tin cá nhân của người khác.
Ví dụ: Không chia sẻ thông tin cá nhân của bạn bè, người thân lên mạng xã hội mà chưa có sự đồng ý của họ. Không đăng tải hình ảnh của người khác mà không được phép.
Cung cấp thông tin trung thực: Đảm bảo cung cấp thông tin cá nhân đầy đủ và chính xác khi đồng ý cho phép xử lý.
Ví dụ: Khi đăng ký tài khoản ngân hàng trực tuyến, cung cấp đầy đủ và chính xác các thông tin cá nhân như họ tên, số CMND/CCCD, địa chỉ, số điện thoại.
Nâng cao nhận thức: Tích cực tham gia các hoạt động tuyên truyền, phổ biến kiến thức về bảo vệ dữ liệu cá nhân.
Ví dụ: Tìm hiểu về các quy định pháp luật về bảo vệ dữ liệu cá nhân, tham gia các buổi chia sẻ, hội thảo về chủ đề này, chia sẻ kiến thức với bạn bè, người thân.
Tuân thủ pháp luật: Tuân thủ các quy định về bảo vệ dữ liệu cá nhân và tham gia phòng chống các hành vi vi phạm liên quan.
Ví dụ: Không mua bán, trao đổi dữ liệu cá nhân trái phép, báo cáo với cơ quan chức năng nếu phát hiện hành vi vi phạm dữ liệu cá nhân.
Mối liên hệ giữa chủ thể dữ liệu và bên kiểm soát, bên xử lý dữ liệu cá nhân
- Chủ thể dữ liệu cá nhân là người cung cấp dữ liệu cá nhân cho bên kiểm soát dữ liệu cá nhân.
- Bên kiểm soát dữ liệu cá nhân sử dụng dữ liệu cá nhân của chủ thể dữ liệu cá nhân để phục vụ cho các mục đích cụ thể (Ví dụ: Cung cấp dịch vụ, tiếp thị, nghiên cứu, v.v.).
- Bên kiểm soát dữ liệu cá nhân có thể thuê bên xử lý dữ liệu cá nhân để thực hiện một số công việc xử lý dữ liệu cá nhân thay cho mình.
- Chủ thể dữ liệu cá nhân có quyền yêu cầu bên kiểm soát dữ liệu cá nhân cung cấp thông tin về việc xử lý dữ liệu cá nhân của mình, cũng như yêu cầu chỉnh sửa, xóa hoặc hạn chế xử lý dữ liệu cá nhân của mình.
Ví dụ:
- Khi bạn đăng ký tài khoản Facebook, bạn là chủ thể dữ liệu cá nhân, Facebook là bên kiểm soát dữ liệu cá nhân, và các công ty quảng cáo mà Facebook hợp tác có thể là bên xử lý dữ liệu cá nhân.
- Khi bạn mua hàng trên một trang thương mại điện tử, bạn là chủ thể dữ liệu cá nhân, trang thương mại điện tử là bên kiểm soát dữ liệu cá nhân, và công ty vận chuyển hàng hóa có thể là bên xử lý dữ liệu cá nhân.
Mối quan hệ giữa chủ thể dữ liệu cá nhân và bên kiểm soát, xử lý dữ liệu cá nhân là mối quan hệ giữa người sở hữu dữ liệu và người sử dụng dữ liệu. Chủ thể dữ liệu cá nhân có quyền kiểm soát dữ liệu cá nhân của mình, trong khi bên kiểm soát và xử lý dữ liệu cá nhân có trách nhiệm bảo vệ dữ liệu cá nhân đó.
Vậy bên kiểm soát dữ liệu cá nhân là gì? Bên xử lý dữ liệu cá nhân là gì? Chúng ta cùng tìm hiểu chi tiết thông qua bài viết 6 tiêu chí phân biệt giữa bên kiểm soát và bên xử lý dữ liệu cá nhân
Trong bối cảnh công nghệ số đang phát triển mạnh mẽ, việc bảo vệ dữ liệu cá nhân là vô cùng quan trọng. Chủ thể dữ liệu cá nhân có quyền và nghĩa vụ được bảo vệ thông tin cá nhân của mình theo quy định của pháp luật. Các tổ chức và cá nhân cũng có trách nhiệm tuân thủ các quy định về bảo vệ dữ liệu cá nhân và đảm bảo tính bảo mật và an toàn của thông tin cá nhân. Việc bảo vệ dữ liệu cá nhân trong thời đại công nghệ số đòi hỏi sự hợp tác và nỗ lực từ tất cả các bên để đảm bảo quyền lợi và an toàn cho chủ thể dữ liệu cá nhân.