Khi nào xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu

Khi nào xử lý dữ liệu cá nhân không cần sự đồng ý?

Ngày đăng - 24/05/2024

Luật sư Nguyễn Lâm Sơn Tư vấn Nghị định 13/2023/NĐ-CP, Tư vấn Luật bảo vệ dữ liệu cá nhân

Việc xử lý dữ liệu cá nhân không cần sự đồng ý chỉ được phép trong các trường hợp ngoại lệ hẹp do pháp luật quy định để bảo vệ lợi ích công cộng và các quyền cơ bản. Tại DPVN, chúng tôi sẽ phân tích chi tiết 5 trường hợp không cần sự đồng ý, giúp doanh nghiệp xác định đúng cơ sở pháp lý khác và tuân thủ chặt chẽ.

Quy định pháp luật nào cho phép xử lý dữ liệu cá nhân mà không cần sự đồng ý?

Cơ sở pháp lý chính là Điều 17 của Nghị định 13/2023/NĐ-CP và được kế thừa tại Điều 19 Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. Các điều khoản này liệt kê các trường hợp ngoại lệ, nơi việc xử lý dữ liệu được phép dựa trên các cơ sở pháp lý khác thay vì sự đồng ý của chủ thể dữ liệu.

Trong khung pháp lý về bảo vệ dữ liệu cá nhân, sự đồng ý của chủ thể dữ liệu được xem là cơ sở pháp lý mặc định và quan trọng nhất. Tuy nhiên, nhà làm luật nhận thấy có những tình huống mà việc yêu cầu sự đồng ý là không thực tế hoặc có thể đi ngược lại các lợi ích công cộng quan trọng khác. Do đó, các trường hợp ngoại lệ này đã được tạo ra.

Về chuyên môn sâu, việc áp dụng các trường hợp miễn trừ này đòi hỏi sự cẩn trọng và có trách nhiệm giải trình cao. Doanh nghiệp không thể tùy tiện viện dẫn các lý do này. Mỗi trường hợp đều có những điều kiện chặt chẽ và bên xử lý dữ liệu phải có nghĩa vụ chứng minh rằng hành động của mình là cần thiết và tương xứng với hoàn cảnh. Việc lạm dụng các cơ sở pháp lý này có thể dẫn đến hậu quả nghiêm trọng.

5 trường hợp được phép xử lý dữ liệu cá nhân không cần sự đồng ý theo Nghị định 13 là gì?

Điều 17 Nghị định 13/2023/NĐ-CP quy định 5 trường hợp cụ thể, bao gồm: (1) Trong tình trạng khẩn cấp để bảo vệ tính mạng, sức khỏe; (2) Công khai dữ liệu theo luật định; (3) Xử lý bởi cơ quan nhà nước vì lý do an ninh, quốc phòng; (4) Để thực hiện nghĩa vụ theo hợp đồng; và (5) Phục vụ hoạt động của cơ quan nhà nước theo luật chuyên ngành.

Việc hiểu rõ phạm vi và điều kiện của từng trường hợp là rất quan trọng để doanh nghiệp áp dụng đúng và tránh các rủi ro pháp lý khi xử lý dữ liệu cá nhân.

Trường hợp 1: Trong tình trạng khẩn cấp để bảo vệ tính mạng, sức khỏe

Đây là trường hợp ngoại lệ nhằm ưu tiên bảo vệ giá trị cao nhất là tính mạng và sức khỏe con người.

  • Điều kiện áp dụng: Phải là tình huống khẩn cấp, đòi hỏi phải xử lý ngay dữ liệu để bảo vệ tính mạng, sức khỏe của chính chủ thể dữ liệu hoặc một người khác.
  • Nghĩa vụ chứng minh: Bên xử lý dữ liệu phải có trách nhiệm chứng minh được tính cấp bách và sự cần thiết của hành động này.

Ví dụ thực tế: Một bệnh nhân được đưa vào phòng cấp cứu trong tình trạng bất tỉnh và không có người thân đi cùng. Bệnh viện có quyền truy cập vào hồ sơ y tế điện tử của bệnh nhân (nếu có) để tìm hiểu về nhóm máu, tiền sử dị ứng thuốc mà không cần chờ sự đồng ý, nhằm mục đích cứu chữa kịp thời.

Trường hợp 2: Việc công khai dữ liệu cá nhân theo quy định của luật

Trường hợp này chỉ áp dụng khi một văn bản có hiệu lực pháp lý ngang luật (Luật, Bộ luật, Nghị quyết của Quốc hội) yêu cầu bắt buộc phải công khai dữ liệu cá nhân.

  • Ví dụ thực tế: Luật Doanh nghiệp yêu cầu công khai thông tin của người đại diện theo pháp luật trên Cổng thông tin quốc gia về đăng ký doanh nghiệp. Trong trường hợp này, việc công khai không cần sự đồng ý của cá nhân đó.

Trường hợp 3: Xử lý bởi cơ quan nhà nước có thẩm quyền

Đây là ngoại lệ dành riêng cho các cơ quan nhà nước khi thực hiện nhiệm vụ vì lợi ích công cộng quan trọng.

  • Điều kiện áp dụng: Phải thuộc các trường hợp như tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; hoặc để phòng, chống bạo loạn, khủng bố, tội phạm.
  • Ví dụ thực tế: Cơ quan công an thu thập và xử lý dữ liệu từ camera an ninh công cộng để điều tra một vụ án hình sự.

Trường hợp 4: Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu

Đây là cơ sở pháp lý rất phổ biến và quan trọng đối với các doanh nghiệp, nhưng cũng thường bị áp dụng sai.

  • Điều kiện áp dụng: Việc xử lý dữ liệu phải thực sự **cần thiết** để thực hiện một hợp đồng mà chủ thể dữ liệu là một bên.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Chìa khóa ở đây là từ ‘cần thiết’. Trong các buổi tư vấn, chúng tôi luôn nhấn mạnh rằng doanh nghiệp không thể lạm dụng điều khoản này để xử lý dữ liệu cho các mục đích không cốt lõi. Một ví dụ điển hình:

  • Hợp lệ: Một trang thương mại điện tử xử lý địa chỉ của bạn để giao hàng. Việc này là ‘cần thiết’ để thực hiện hợp đồng mua bán.
  • Không hợp lệ: Trang thương mại điện tử đó sau đó xử lý lịch sử mua hàng của bạn để gửi quảng cáo nhắm mục tiêu và cho rằng đây là ‘một phần của hợp đồng’. Việc này không ‘cần thiết’ cho việc thực hiện giao dịch mua bán, do đó phải có sự đồng ý riêng.

Việc phân biệt rõ ràng hai mục đích này là rất quan trọng để tuân thủ đúng.”

Trường hợp 5: Phục vụ hoạt động của cơ quan nhà nước theo luật chuyên ngành

Tương tự trường hợp 3, nhưng áp dụng cho các hoạt động thường xuyên của cơ quan nhà nước được luật chuyên ngành quy định.

  • Ví dụ thực tế: Cơ quan Bảo hiểm xã hội xử lý dữ liệu cá nhân của người lao động để quản lý và chi trả các chế độ BHXH theo quy định của Luật Bảo hiểm xã hội.

Doanh nghiệp có những trách nhiệm pháp lý gì khi xử lý dữ liệu không cần sự đồng ý?

Việc không cần sự đồng ý không có nghĩa là doanh nghiệp được miễn trừ mọi trách nhiệm khác. Ngược lại, doanh nghiệp phải tuân thủ tất cả các nguyên tắc bảo vệ dữ liệu còn lại, có nghĩa vụ chứng minh cơ sở pháp lý của mình, và phải áp dụng các biện pháp bảo vệ phù hợp.

Khi viện dẫn một trong 5 trường hợp trên, gánh nặng chứng minh sẽ thuộc về doanh nghiệp. Các trách nhiệm chính bao gồm:

  • Tuân thủ các nguyên tắc khác: Vẫn phải đảm bảo tuân thủ các nguyên tắc về giới hạn mục đích, tối thiểu hóa dữ liệu, bảo mật…
  • Lập hồ sơ và Ghi nhận: Doanh nghiệp nên ghi lại trong các tài liệu nội bộ về quyết định áp dụng một cơ sở pháp lý khác ngoài sự đồng ý, kèm theo các luận giải và căn cứ.
  • Thông báo cho chủ thể dữ liệu: Trừ khi việc thông báo có thể cản trở mục đích (như trong điều tra tội phạm), doanh nghiệp vẫn nên minh bạch với chủ thể dữ liệu về việc xử lý thông tin của họ dựa trên cơ sở pháp lý nào.

DPVN: Tư Vấn Xác Định Cơ Sở Pháp Lý Cho Hoạt Động Xử Lý Dữ Liệu

Việc xác định đúng đắn cơ sở pháp lý cho mỗi hoạt động xử lý dữ liệu là nền tảng của một chương trình tuân thủ vững chắc. Áp dụng sai các trường hợp miễn trừ có thể dẫn đến những vi phạm nghiêm trọng.

Đội ngũ chuyên gia của DPVN, với sự dẫn dắt của Luật sư Nguyễn Lâm Sơn, có kinh nghiệm sâu sắc trong việc tư vấn và giúp doanh nghiệp xác định các cơ sở pháp lý phù hợp nhất. Hãy tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Câu hỏi thường gặp về xử lý dữ liệu không cần sự đồng ý

1. “Lợi ích chính đáng” có phải là một cơ sở pháp lý ở Việt Nam không?

Không. Khác với GDPR của Châu Âu, pháp luật Việt Nam không có cơ sở pháp lý chung là “lợi ích chính đáng”. Thay vào đó, Nghị định 13 liệt kê 5 trường hợp ngoại lệ cụ thể và doanh nghiệp chỉ được dựa vào các trường hợp này.

2. Việc xử lý dữ liệu để thực hiện hợp đồng có áp dụng cho giai đoạn trước khi ký hợp đồng không?

Có thể. Nếu việc xử lý dữ liệu là cần thiết theo yêu cầu của chính chủ thể dữ liệu để chuẩn bị cho việc giao kết hợp đồng (ví dụ: một công ty bảo hiểm xử lý thông tin bạn cung cấp để tính phí bảo hiểm), thì có thể áp dụng cơ sở pháp lý này.

3. Khi xử lý dữ liệu không cần sự đồng ý, chủ thể dữ liệu có mất các quyền khác không?

Không. Chủ thể dữ liệu vẫn giữ các quyền khác như quyền truy cập, quyền chỉnh sửa, quyền khiếu nại… Tuy nhiên, một số quyền có thể bị giới hạn. Ví dụ, bạn không thể rút lại sự đồng ý nếu việc xử lý không dựa trên sự đồng ý ngay từ đầu, và bạn có thể không yêu cầu xóa dữ liệu nếu pháp luật yêu cầu phải lưu trữ.

4. Doanh nghiệp có được xử lý dữ liệu để bảo vệ tài sản của mình mà không cần sự đồng ý không?

Điều 17 không có điều khoản nào cho phép xử lý dữ liệu để bảo vệ tài sản của doanh nghiệp. Ví dụ, việc lắp camera để chống trộm có thể được chấp nhận, nhưng việc sử dụng camera đó để theo dõi hiệu suất làm việc của nhân viên lại là một mục đích khác và cần có cơ sở pháp lý khác (thường là sự đồng ý hoặc được quy định trong nội quy lao động).

5. Nếu một cơ quan nhà nước yêu cầu cung cấp dữ liệu bằng miệng, doanh nghiệp có phải tuân thủ không?

Thực hành tốt nhất là doanh nghiệp nên yêu cầu một văn bản chính thức từ cơ quan nhà nước, trong đó nêu rõ căn cứ pháp lý và phạm vi dữ liệu được yêu cầu. Điều này giúp doanh nghiệp có bằng chứng để chứng minh hành động của mình là hợp pháp và tuân thủ đúng yêu cầu, tránh việc tiết lộ thông tin quá mức cần thiết.

Nguồn tham khảo:

  1. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  2. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
  3. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  4. Bộ luật Dân sự 2015: https://thuvienphapluat.vn/van-ban/Quyen-dan-su/Bo-luat-dan-su-2015-296249.aspx
  5. Article 6 of GDPR – Lawfulness of processing: https://gdpr-info.eu/art-6-gdpr/

 

Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486