Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đặt nguyên tắc đồng ý của chủ thể làm trung tâm trong mọi hoạt động xử lý thông tin cá nhân. Tuy nhiên, có những trường hợp ngoại lệ cho phép xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu. Bài viết này, DPVN sẽ phân tích chi tiết các trường hợp ngoại lệ đó, giúp bạn hiểu rõ hơn về quyền và nghĩa vụ của mình trong việc bảo vệ dữ liệu cá nhân.
Sự đồng ý của chủ thể dữ liệu theo Nghị định 13
Nghị định 13/2023/NĐ-CP đặt sự đồng ý của chủ thể dữ liệu làm trung tâm trong mọi hoạt động xử lý thông tin cá nhân.
Vậy sự đồng ý của chủ thể dữ liệu cá nhân là gì? Theo Khoản 8 Điều 11 của Nghị định 13:
“Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.”
Ngoài ra, theo Điều 11 của Nghị định 13, sự đồng ý của chủ thể dữ liệu phải được thể hiện một cách rõ ràng, cụ thể và hoàn toàn tự nguyện từ phía chủ thể dữ liệu.
Điều này có nghĩa là trước khi thu thập, sử dụng hoặc chia sẻ bất kỳ thông tin cá nhân nào, tổ chức, cá nhân phải thông báo đầy đủ cho chủ thể dữ liệu về mục đích, phạm vi và phương thức xử lý thông tin, đồng thời phải nhận được sự chấp thuận rõ ràng từ họ.
Sự đồng ý của chủ thể dữ liệu có thể được thể hiện bằng nhiều hình thức như văn bản, lời nói, đánh dấu vào ô xác nhận hoặc các hành động tương tự khác.
Tuy nhiên, Nghị định cũng quy định rõ một số trường hợp ngoại lệ, khi đó việc xử lý dữ liệu cá nhân có thể được thực hiện mà không cần sự đồng ý của chủ thể. Hãy cùng DPVN tìm hiểu chi tiết hơn tại các phần phân tích tiếp theo.
Tìm hiểu thêm các quyền của chủ thể dữ liệu cá nhân khác theo Nghị định 13.
Khi nào xử lý dữ liệu cá nhân cần sự đồng ý của chủ thể dữ liệu?
Dựa vào Điều 11 của Nghị định 13/2023/NĐ-CP, ta có thể thấy rằng sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân.
Điều này có nghĩa là, bất kỳ khi nào một tổ chức, cá nhân (Bên kiểm soát dữ liệu hoặc Bên xử lý dữ liệu) muốn thu thập, sử dụng, lưu trữ, chia sẻ hoặc thực hiện bất kỳ hành động nào khác đối với dữ liệu cá nhân của một người, họ phải có được sự đồng ý rõ ràng từ người đó (chủ thể dữ liệu).
Tuy nhiên, có một số trường hợp ngoại lệ mà việc xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu, nếu luật có quy định khác. Ví dụ như trong trường hợp khẩn cấp, thực hiện hợp đồng, thực hiện nghĩa vụ pháp lý, vì lợi ích công cộng, hoặc để bảo vệ lợi ích sống còn của chủ thể dữ liệu hoặc người khác.
Các trường hợp ngoại lệ xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu
Điều 17 của Nghị định 13/2023/NĐ-CP quy định 5 trường hợp cụ thể mà việc xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu:
Trường hợp khẩn cấp:
- Cần xử lý ngay dữ liệu cá nhân để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác.
- Bên xử lý dữ liệu phải chứng minh được tính cấp bách của tình huống.
Ví dụ: Bệnh viện xử lý thông tin cá nhân của bệnh nhân trong tình huống cấp cứu mà không cần sự đồng ý trước của họ.
Việc công khai dữ liệu cá nhân theo quy định của luật: Việc công khai dữ liệu cá nhân phải tuân thủ quy định của pháp luật hiện hành.
Ví dụ: Công khai thông tin về người trúng cử trong cuộc bầu cử.
Xử lý dữ liệu trong tình trạng khẩn cấp về an ninh, quốc phòng: Cơ quan nhà nước có thẩm quyền xử lý dữ liệu trong tình huống khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm, hoặc khi có nguy cơ đe dọa an ninh, quốc phòng.
Ví dụ: Xử lý thông tin cá nhân để truy vết, khoanh vùng, dập dịch trong trường hợp dịch bệnh nguy hiểm.
Thực hiện nghĩa vụ theo hợp đồng: Xử lý dữ liệu cá nhân để thực hiện nghĩa vụ theo hợp đồng đã ký kết giữa chủ thể dữ liệu và bên kiểm soát dữ liệu.
Ví dụ: Ngân hàng xử lý thông tin cá nhân của khách hàng để thực hiện hợp đồng vay vốn.
Phục vụ hoạt động của cơ quan nhà nước: Việc xử lý dữ liệu cá nhân phải phục vụ hoạt động của cơ quan nhà nước và đã được quy định rõ trong luật chuyên ngành.
Ví dụ: Cơ quan thuế xử lý thông tin cá nhân của người nộp thuế để quản lý thuế theo quy định của Luật Quản lý thuế.
Lưu ý quan trọng:
- Ngay cả trong các trường hợp trên, bên kiểm soát dữ liệu vẫn phải thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân của họ, trừ khi việc thông báo gây ảnh hưởng đến mục đích xử lý hoặc theo quy định của pháp luật.
- Chủ thể dữ liệu có quyền khiếu nại nếu cho rằng việc xử lý dữ liệu cá nhân của họ không đúng với quy định của pháp luật.
Trường hợp khẩn cấp (Khoản 1, Điều 17)
Khoản 1, Điều 17 của Nghị định 13/2023/NĐ-CP quy định trường hợp ngoại lệ đầu tiên cho phép xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu là:
“Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ, Bên thứ ba có trách nhiệm chứng minh trường hợp này.”
Tình huống khẩn cấp là tình huống đe dọa trực tiếp và nghiêm trọng đến tính mạng, sức khỏe của con người, đòi hỏi phải có hành động xử lý ngay lập tức.
Mục đích trong trường hợp này là để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác có trách nhiệm chứng minh tính cấp bách của tình huống và việc xử lý dữ liệu là cần thiết để bảo vệ tính mạng, sức khỏe.
Ví dụ:
Một bệnh nhân được đưa vào bệnh viện cấp cứu trong tình trạng hôn mê. Bệnh viện có thể sử dụng thông tin cá nhân của bệnh nhân trong hồ sơ bệnh án (như tiền sử bệnh, dị ứng thuốc…) để đưa ra phương án điều trị khẩn cấp, ngay cả khi chưa có sự đồng ý của bệnh nhân hoặc người thân.
Tai nạn giao thông: Một người bị tai nạn giao thông và bất tỉnh. Người dân có thể kiểm tra điện thoại của nạn nhân để tìm thông tin liên lạc của người thân hoặc thông tin y tế quan trọng (như nhóm máu, bệnh mãn tính…) để thông báo cho gia đình và hỗ trợ cấp cứu.
Tìm kiếm người mất tích: Trong trường hợp một người bị mất tích, của người đó (như hình ảnh, thông tin liên lạc, lịch trình di chuyển trong trường hợp khẩn cấp phải được thực hiện một cách cẩn trọng, có trách nhiệm và tuân thủ các quy định pháp luật liên quan.
Sau khi tình huống khẩn cấp kết thúc, bên kiểm soát/xử lý dữ liệu cá nhân có trách nhiệm thông báo cho chủ thể dữ liệu về việc đã xử lý dữ liệu cá nhân của họ và lý do xử lý. Điều này thể hiện sự tôn trọng quyền của chủ thể dữ liệu và đảm bảo tính minh bạch trong hoạt động xử lý dữ liệu cá nhân, ngay cả trong trường hợp ngoại lệ.
Trường hợp Công khai dữ liệu cá nhân theo quy định của pháp luật
Điều 17, khoản 2 của Nghị định 13/2023/NĐ-CP quy định trường hợp ngoại lệ thứ hai cho phép xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu là:
“Việc công khai dữ liệu cá nhân theo quy định của luật.”
Điểm mấu chốt của trường hợp này là việc công khai dữ liệu cá nhân phải được quy định rõ ràng trong các văn bản pháp luật hiện hành. Nghị định 13 không tự ý cho phép công khai bất kỳ dữ liệu cá nhân nào, mà phải có căn cứ pháp lý rõ ràng.
Các quy định pháp luật cho phép công khai dữ liệu cá nhân thường nhằm mục đích minh bạch thông tin, đảm bảo quyền được biết của công chúng, hoặc phục vụ các mục đích quản lý nhà nước.
Thông thường, dữ liệu được phép công khai là những thông tin không quá nhạy cảm và việc công khai không gây ảnh hưởng nghiêm trọng đến quyền lợi của chủ thể dữ liệu.
Ví dụ:
Công khai thông tin về kết quả trúng tuyển công chức, viên chức: Việc này nhằm đảm bảo tính công bằng, minh bạch trong tuyển dụng, giúp công chúng giám sát và đánh giá quá trình tuyển dụng.
Công khai thông tin về tài sản, thu nhập của cán bộ, công chức: Việc này nhằm phòng chống tham nhũng, đảm bảo tính minh bạch trong hoạt động của cơ quan nhà nước.
Công khai danh sách nợ xấu: Việc này giúp các tổ chức tín dụng đánh giá rủi ro khi cho vay, đồng thời tạo áp lực lên người vay để trả nợ đúng hạn.
Lưu ý: Mặc dù được pháp luật cho phép, việc công khai dữ liệu cá nhân vẫn cần được thực hiện một cách cẩn trọng và có trách nhiệm. Các cơ quan, tổ chức công khai dữ liệu cá nhân cần đảm bảo các thông tin được công khai là chính xác, đầy đủ và không gây hiểu lầm. Cần có biện pháp bảo vệ để ngăn chặn việc dữ liệu cá nhân bị lạm dụng, sử dụng sai mục đích sau khi được công khai.
Ví dụ: Khi công khai danh sách nợ xấu, các tổ chức tín dụng cần ẩn một phần thông tin cá nhân của người vay (như số CMND, ngày sinh) để tránh việc thông tin này bị lợi dụng cho các mục đích xấu.
Trường hợp xử lý dữ liệu trong tình trạng khẩn cấp về an ninh, quốc phòng
Theo Khoản 3, Điều 17, Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân có thể được xử lý mà không cần sự đồng ý của chủ thể dữ liệu trong trường hợp khẩn cấp về an ninh, quốc phòng, cụ thể như sau:
- Cơ quan thực hiện là cơ quan nhà nước có thẩm quyền.
- Tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật.
Ví dụ: Trong trường hợp dịch bệnh nguy hiểm, cơ quan nhà nước có thẩm quyền được phép xử lý thông tin cá nhân của người dân nhằm truy vết, khoanh vùng, dập dịch mà không cần sự đồng ý của họ.
Quy định này nhằm tạo điều kiện cho các cơ quan nhà nước có thẩm quyền nhanh chóng xử lý thông tin trong các tình huống khẩn cấp, đảm bảo an ninh quốc gia, trật tự an toàn xã hội và sức khỏe cộng đồng. Việc xử lý dữ liệu cá nhân trong những trường hợp này được thực hiện theo quy định của pháp luật để đảm bảo tính hợp pháp và tránh lạm dụng.
Trường hợp thực hiện theo nghĩa vụ hợp đồng của chủ thể dữ liệu
Theo Khoản 4, Điều 17, Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân có thể được xử lý mà không cần sự đồng ý của chủ thể dữ liệu trong trường hợp để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
Điều này có nghĩa là nếu việc xử lý dữ liệu cá nhân là cần thiết để thực hiện một hợp đồng mà chủ thể dữ liệu là một bên tham gia, thì việc xử lý đó có thể được thực hiện mà không cần phải có sự đồng ý rõ ràng từ chủ thể dữ liệu.
Ví dụ: Một công ty bảo hiểm có thể xử lý dữ liệu cá nhân của khách hàng (như thông tin về sức khỏe, tuổi tác, nghề nghiệp,…) để đánh giá rủi ro và đưa ra mức phí bảo hiểm phù hợp, mà không cần phải xin phép khách hàng mỗi lần xử lý, vì việc này là cần thiết để thực hiện hợp đồng bảo hiểm đã ký kết giữa hai bên.
Trường hợp thực hiện theo nghĩa vụ hợp đồng của chủ thể dữ liệu
Theo Khoản 5, Điều 17, Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân có thể được xử lý mà không cần sự đồng ý của chủ thể dữ liệu trong trường hợp phục vụ hoạt động của cơ quan nhà nước.
- Mục đích xử lý dữ liệu phục vụ hoạt động của cơ quan nhà nước.
- Phạm vi xử lý dữ liệu cá nhân này phải được quy định rõ trong luật chuyên ngành.
Ví dụ: Cơ quan thuế được phép xử lý thông tin cá nhân của người nộp thuế (như thu nhập, các khoản khấu trừ, thông tin về tài sản,…) để quản lý thuế mà không cần phải xin phép họ mỗi lần xử lý, vì việc này đã được quy định rõ trong Luật Quản lý thuế.
Quy định này nhằm tạo điều kiện thuận lợi cho hoạt động của các cơ quan nhà nước, giúp họ thực hiện các chức năng, nhiệm vụ được giao một cách hiệu quả. Đồng thời, việc xử lý dữ liệu cá nhân trong trường hợp này vẫn phải tuân thủ các quy định của pháp luật chuyên ngành để đảm bảo quyền và lợi ích hợp pháp của chủ thể dữ liệu.
Nghị định 13/2023/NĐ-CP không chỉ đặt ra các quy định chặt chẽ về việc xử lý dữ liệu cá nhân mà còn cho phép một số trường hợp ngoại lệ để đảm bảo sự cân bằng giữa quyền riêng tư và các lợi ích khác của xã hội. Việc hiểu rõ các trường hợp ngoại lệ này là rất quan trọng để đảm bảo việc xử lý dữ liệu cá nhân được thực hiện một cách hợp pháp và hiệu quả. Nếu bạn có bất kỳ thắc mắc nào hoặc cần thêm thông tin chi tiết về Nghị định 13/2023/NĐ-CP, DPVN luôn sẵn sàng hỗ trợ bạn.