Khi nào xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu?

Điều 17 của Nghị định 13/2023/NĐ-CP quy định 5 trường hợp cụ thể mà việc xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu:

Trường hợp khẩn cấp:

• Cần xử lý ngay dữ liệu cá nhân để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác.
• Bên xử lý dữ liệu phải chứng minh được tính cấp bách của tình huống.

Ví dụ: Bệnh viện xử lý thông tin cá nhân của bệnh nhân trong tình huống cấp cứu mà không cần sự đồng ý trước của họ.

Việc công khai dữ liệu cá nhân theo quy định của luật: Việc công khai dữ liệu cá nhân phải tuân thủ quy định của pháp luật hiện hành.

Ví dụ: Công khai thông tin về người trúng cử trong cuộc bầu cử.

Xử lý dữ liệu trong tình trạng khẩn cấp về an ninh, quốc phòng: Cơ quan nhà nước có thẩm quyền xử lý dữ liệu trong tình huống khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm, hoặc khi có nguy cơ đe dọa an ninh, quốc phòng.

Ví dụ: Xử lý thông tin cá nhân để truy vết, khoanh vùng, dập dịch trong trường hợp dịch bệnh nguy hiểm.

Thực hiện nghĩa vụ theo hợp đồng: Xử lý dữ liệu cá nhân để thực hiện nghĩa vụ theo hợp đồng đã ký kết giữa chủ thể dữ liệu và bên kiểm soát dữ liệu.

Ví dụ: Ngân hàng xử lý thông tin cá nhân của khách hàng để thực hiện hợp đồng vay vốn.

Phục vụ hoạt động của cơ quan nhà nước: Việc xử lý dữ liệu cá nhân phải phục vụ hoạt động của cơ quan nhà nước và đã được quy định rõ trong luật chuyên ngành.

Ví dụ: Cơ quan thuế xử lý thông tin cá nhân của người nộp thuế để quản lý thuế theo quy định của Luật Quản lý thuế.

Lưu ý quan trọng:

• Ngay cả trong các trường hợp trên, bên kiểm soát dữ liệu vẫn phải thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân của họ, trừ khi việc thông báo gây ảnh hưởng đến mục đích xử lý hoặc theo quy định của pháp luật.
• Chủ thể dữ liệu có quyền khiếu nại nếu cho rằng việc xử lý dữ liệu cá nhân của họ không đúng với quy định của pháp luật.

Khoản 1, Điều 17 của Nghị định 13/2023/NĐ-CP quy định trường hợp ngoại lệ đầu tiên cho phép xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu là:

“Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ, Bên thứ ba có trách nhiệm chứng minh trường hợp này.”

Tình huống khẩn cấp là tình huống đe dọa trực tiếp và nghiêm trọng đến tính mạng, sức khỏe của con người, đòi hỏi phải có hành động xử lý ngay lập tức.
Mục đích trong trường hợp này là để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác có trách nhiệm chứng minh tính cấp bách của tình huống và việc xử lý dữ liệu là cần thiết để bảo vệ tính mạng, sức khỏe.

Ví dụ:

Một bệnh nhân được đưa vào bệnh viện cấp cứu trong tình trạng hôn mê. Bệnh viện có thể sử dụng thông tin cá nhân của bệnh nhân trong hồ sơ bệnh án (như tiền sử bệnh, dị ứng thuốc…) để đưa ra phương án điều trị khẩn cấp, ngay cả khi chưa có sự đồng ý của bệnh nhân hoặc người thân.

Tai nạn giao thông: Một người bị tai nạn giao thông và bất tỉnh. Người dân có thể kiểm tra điện thoại của nạn nhân để tìm thông tin liên lạc của người thân hoặc thông tin y tế quan trọng (như nhóm máu, bệnh mãn tính…) để thông báo cho gia đình và hỗ trợ cấp cứu.

Tìm kiếm người mất tích: Trong trường hợp một người bị mất tích, của người đó (như hình ảnh, thông tin liên lạc, lịch trình di chuyển trong trường hợp khẩn cấp phải được thực hiện một cách cẩn trọng, có trách nhiệm và tuân thủ các quy định pháp luật liên quan.

Sau khi tình huống khẩn cấp kết thúc, bên kiểm soát/xử lý dữ liệu cá nhân có trách nhiệm thông báo cho chủ thể dữ liệu về việc đã xử lý dữ liệu cá nhân của họ và lý do xử lý. Điều này thể hiện sự tôn trọng quyền của chủ thể dữ liệu và đảm bảo tính minh bạch trong hoạt động xử lý dữ liệu cá nhân, ngay cả trong trường hợp ngoại lệ.

Điều 17, khoản 2 của Nghị định 13/2023/NĐ-CP quy định trường hợp ngoại lệ thứ hai cho phép xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu là:

“Việc công khai dữ liệu cá nhân theo quy định của luật.”

Điểm mấu chốt của trường hợp này là việc công khai dữ liệu cá nhân phải được quy định rõ ràng trong các văn bản pháp luật hiện hành. Nghị định 13 không tự ý cho phép công khai bất kỳ dữ liệu cá nhân nào, mà phải có căn cứ pháp lý rõ ràng.

Các quy định pháp luật cho phép công khai dữ liệu cá nhân thường nhằm mục đích minh bạch thông tin, đảm bảo quyền được biết của công chúng, hoặc phục vụ các mục đích quản lý nhà nước.

Thông thường, dữ liệu được phép công khai là những thông tin không quá nhạy cảm và việc công khai không gây ảnh hưởng nghiêm trọng đến quyền lợi của chủ thể dữ liệu.

Ví dụ:

Công khai thông tin về kết quả trúng tuyển công chức, viên chức: Việc này nhằm đảm bảo tính công bằng, minh bạch trong tuyển dụng, giúp công chúng giám sát và đánh giá quá trình tuyển dụng.

Công khai thông tin về tài sản, thu nhập của cán bộ, công chức: Việc này nhằm phòng chống tham nhũng, đảm bảo tính minh bạch trong hoạt động của cơ quan nhà nước.

Công khai danh sách nợ xấu: Việc này giúp các tổ chức tín dụng đánh giá rủi ro khi cho vay, đồng thời tạo áp lực lên người vay để trả nợ đúng hạn.

Lưu ý: Mặc dù được pháp luật cho phép, việc công khai dữ liệu cá nhân vẫn cần được thực hiện một cách cẩn trọng và có trách nhiệm. Các cơ quan, tổ chức công khai dữ liệu cá nhân cần đảm bảo các thông tin được công khai là chính xác, đầy đủ và không gây hiểu lầm. Cần có biện pháp bảo vệ để ngăn chặn việc dữ liệu cá nhân bị lạm dụng, sử dụng sai mục đích sau khi được công khai.

Ví dụ: Khi công khai danh sách nợ xấu, các tổ chức tín dụng cần ẩn một phần thông tin cá nhân của người vay (như số CMND, ngày sinh) để tránh việc thông tin này bị lợi dụng cho các mục đích xấu.

Theo Khoản 3, Điều 17, Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân có thể được xử lý mà không cần sự đồng ý của chủ thể dữ liệu trong trường hợp khẩn cấp về an ninh, quốc phòng, cụ thể như sau:

• Cơ quan thực hiện là cơ quan nhà nước có thẩm quyền.
• Tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật.

Ví dụ: Trong trường hợp dịch bệnh nguy hiểm, cơ quan nhà nước có thẩm quyền được phép xử lý thông tin cá nhân của người dân nhằm truy vết, khoanh vùng, dập dịch mà không cần sự đồng ý của họ.

Quy định này nhằm tạo điều kiện cho các cơ quan nhà nước có thẩm quyền nhanh chóng xử lý thông tin trong các tình huống khẩn cấp, đảm bảo an ninh quốc gia, trật tự an toàn xã hội và sức khỏe cộng đồng. Việc xử lý dữ liệu cá nhân trong những trường hợp này được thực hiện theo quy định của pháp luật để đảm bảo tính hợp pháp và tránh lạm dụng.

Theo Khoản 4, Điều 17, Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân có thể được xử lý mà không cần sự đồng ý của chủ thể dữ liệu trong trường hợp để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.

Điều này có nghĩa là nếu việc xử lý dữ liệu cá nhân là cần thiết để thực hiện một hợp đồng mà chủ thể dữ liệu là một bên tham gia, thì việc xử lý đó có thể được thực hiện mà không cần phải có sự đồng ý rõ ràng từ chủ thể dữ liệu.

Ví dụ: Một công ty bảo hiểm có thể xử lý dữ liệu cá nhân của khách hàng (như thông tin về sức khỏe, tuổi tác, nghề nghiệp,…) để đánh giá rủi ro và đưa ra mức phí bảo hiểm phù hợp, mà không cần phải xin phép khách hàng mỗi lần xử lý, vì việc này là cần thiết để thực hiện hợp đồng bảo hiểm đã ký kết giữa hai bên.

Theo Khoản 5, Điều 17, Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân có thể được xử lý mà không cần sự đồng ý của chủ thể dữ liệu trong trường hợp phục vụ hoạt động của cơ quan nhà nước.

• Mục đích xử lý dữ liệu phục vụ hoạt động của cơ quan nhà nước.
• Phạm vi xử lý dữ liệu cá nhân này phải được quy định rõ trong luật chuyên ngành.

Ví dụ: Cơ quan thuế được phép xử lý thông tin cá nhân của người nộp thuế (như thu nhập, các khoản khấu trừ, thông tin về tài sản,…) để quản lý thuế mà không cần phải xin phép họ mỗi lần xử lý, vì việc này đã được quy định rõ trong Luật Quản lý thuế.

Quy định này nhằm tạo điều kiện thuận lợi cho hoạt động của các cơ quan nhà nước, giúp họ thực hiện các chức năng, nhiệm vụ được giao một cách hiệu quả. Đồng thời, việc xử lý dữ liệu cá nhân trong trường hợp này vẫn phải tuân thủ các quy định của pháp luật chuyên ngành để đảm bảo quyền và lợi ích hợp pháp của chủ thể dữ liệu.