Quyền được biết của chủ thể dữ liệu cá nhân theo Nghị định 13

Ngày đăng - 24/05/2024

Luật sư Nguyễn Lâm Sơn Tư vấn Nghị định 13/2023/NĐ-CP, Tư vấn Luật bảo vệ dữ liệu cá nhân

Quyền được biết của chủ thể dữ liệu cá nhân là quyền nền tảng, đòi hỏi doanh nghiệp phải thực hiện nghĩa vụ thông báo một cách minh bạch trước khi xử lý dữ liệu. Tại DPVN, chúng tôi cung cấp giải pháp toàn diện giúp bạn xây dựng chính sách quyền riêng tư và các nội dung cần thông báo một cách tuân thủ và hiệu quả.

Định nghĩa và phạm vi của quyền được biết theo quy định pháp luật là gì?

Theo Khoản 1, Điều 9 Nghị định 13/2023/NĐ-CP, quyền được biết là quyền của chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. Đây là quyền đầu tiên và là tiền đề để chủ thể dữ liệu có thể thực thi tất cả các quyền khác của mình.

Quyền được biết là sự cụ thể hóa của nguyên tắc Minh bạch, một trong những trụ cột của pháp luật bảo vệ dữ liệu cá nhân. Về bản chất, không ai có thể đưa ra một quyết định sáng suốt về việc có nên chia sẻ thông tin của mình hay không nếu họ không được cung cấp đầy đủ thông tin về việc dữ liệu đó sẽ được sử dụng như thế nào. Quyền được biết đảm bảo rằng cá nhân không bị xử lý dữ liệu một cách “bí mật” hay “bất ngờ”.

Về chuyên môn sâu, quyền này tạo ra một nghĩa vụ tương ứng và trực tiếp cho các tổ chức, doanh nghiệp: Nghĩa vụ thông báo. Doanh nghiệp không thể chỉ thu thập dữ liệu một cách im lặng. Họ phải chủ động cung cấp cho chủ thể dữ liệu cá nhân một “bức tranh toàn cảnh” về hoạt động xử lý dữ liệu cá nhân của mình. Sự minh bạch này phải được thực hiện trước khi hoặc tại thời điểm thu thập dữ liệu, để đảm bảo chủ thể dữ liệu có đủ cơ sở để đưa ra quyết định. Quy định này sẽ tiếp tục được củng cố trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.

Nghĩa vụ của Bên Kiểm soát Dữ liệu liên quan đến quyền được biết là gì?

Nghĩa vụ cốt lõi của Bên Kiểm soát Dữ liệu là phải thực hiện việc “Thông báo xử lý dữ liệu cá nhân” đến chủ thể dữ liệu một lần trước khi tiến hành xử lý. Nội dung thông báo này phải đầy đủ 6 thông tin bắt buộc được quy định tại Khoản 2, Điều 13 Nghị định 13/2023/NĐ-CP.

Việc thông báo này không chỉ là một thủ tục hình thức. Đây là một yêu cầu pháp lý nghiêm ngặt, và nội dung của nó phải bao quát toàn bộ các khía cạnh quan trọng của hoạt động xử lý dữ liệu.

6 Nội dung bắt buộc trong thông báo xử lý dữ liệu cá nhân?

Để một thông báo được xem là hợp lệ, nó phải chứa đựng đầy đủ các thông tin sau:

STT Nội dung cần thông báo Ví dụ thực tế
1 Mục đích xử lý. “Để xác nhận và giao đơn hàng của bạn.”
2 Loại dữ liệu cá nhân được sử dụng. “Họ tên, số điện thoại, địa chỉ giao hàng.”
3 Cách thức xử lý. “Thu thập trực tiếp qua biểu mẫu, lưu trữ trên hệ thống của chúng tôi.”
4 Thông tin về các tổ chức, cá nhân khác có liên quan. “Dữ liệu của bạn sẽ được chia sẻ cho đối tác vận chuyển Giao Hàng Nhanh.”
5 Hậu quả, thiệt hại không mong muốn có khả năng xảy ra. “Nguy cơ lộ lọt thông tin nếu hệ thống bị tấn công mạng.”
6 Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu. “Dữ liệu sẽ được xử lý từ khi bạn đặt hàng cho đến khi hoàn tất giao hàng và sẽ được lưu trữ trong 2 năm theo chính sách của chúng tôi.”

Doanh nghiệp thực hiện quyền được biết và nghĩa vụ thông báo qua các thủ tục và mẫu đơn nào?

Doanh nghiệp thực hiện nghĩa vụ thông báo chủ yếu thông qua việc xây dựng và công khai một “Chính sách bảo vệ dữ liệu cá nhân” (hay Chính sách quyền riêng tư). Đây là phương thức hiệu quả nhất để cung cấp toàn bộ các thông tin bắt buộc đến chủ thể dữ liệu một cách tập trung và có hệ thống trước khi họ bắt đầu tương tác.

Pháp luật không quy định một mẫu “Thông báo” cứng nhắc, mà cho phép doanh nghiệp linh hoạt trong cách thức thể hiện, miễn là đảm bảo nội dung đầy đủ và hình thức có thể được in, sao chép bằng văn bản (bao gồm cả dạng điện tử).

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Trong suốt quá trình tư vấn, chúng tôi nhận thấy nhiều doanh nghiệp chỉ tập trung vào việc có một trang ‘Chính sách bảo mật’ trên website cho có lệ. Nhưng họ quên mất bước quan trọng nhất: kết nối chính sách đó với người dùng tại thời điểm thu thập dữ liệu. Một thực hành tốt nhất là tại bất kỳ biểu mẫu nào (form đăng ký, form thanh toán), đều phải có một dòng thông báo ngắn gọn và một đường link trực tiếp dẫn đến Chính sách bảo vệ dữ liệu cá nhân đầy đủ. Ví dụ: ‘Bằng việc nhấn nút Đăng ký, bạn đồng ý với Chính sách bảo vệ dữ liệu cá nhân của chúng tôi’.”

Để có một hướng dẫn chi tiết về cách xây dựng văn bản này, bạn có thể tham khảo bài viết: Hướng dẫn xây dựng chính sách bảo vệ dữ liệu cá nhân trong doanh nghiệp.

Có trường hợp ngoại lệ nào mà doanh nghiệp không cần thực hiện việc thông báo không?

Có. Khoản 4, Điều 13 Nghị định 13/2023/NĐ-CP quy định hai trường hợp ngoại lệ chính: (1) Khi chủ thể dữ liệu đã biết rõ và đồng ý với toàn bộ nội dung thông báo trước khi cho phép thu thập; và (2) Khi dữ liệu được xử lý bởi cơ quan nhà nước có thẩm quyền cho các mục đích đã được luật định.

Các trường hợp ngoại lệ này khá hẹp và cần được áp dụng một cách cẩn trọng.

  • Ngoại lệ 1: Chủ thể dữ liệu đã biết rõ và đồng ý. Điều này thường áp dụng cho các lần xử lý dữ liệu tiếp theo trong cùng một mối quan hệ đã được thiết lập, nơi mà chủ thể dữ liệu đã được cung cấp thông tin đầy đủ ngay từ đầu. Ví dụ: Khi bạn đã đồng ý với chính sách bảo mật của một sàn thương mại điện tử, sàn đó không cần phải thông báo lại toàn bộ 6 nội dung mỗi khi bạn đặt một đơn hàng mới.
  • Ngoại lệ 2: Cơ quan nhà nước xử lý. Khi một cơ quan nhà nước xử lý dữ liệu để thực hiện các nhiệm vụ được luật chuyên ngành quy định (ví dụ: Cơ quan Thuế xử lý dữ liệu để quản lý thuế), họ không cần thực hiện thủ tục thông báo này với từng cá nhân.

DPVN: Dịch Vụ Tư Vấn và Soạn Thảo Chính Sách Quyền Riêng Tư

Việc đảm bảo thực thi đầy đủ quyền được biết của khách hàng và nhân viên là nền tảng của một chương trình tuân thủ vững chắc. Một Chính sách quyền riêng tư được soạn thảo tốt sẽ là công cụ hữu hiệu nhất để thực hiện nghĩa vụ này.

Đội ngũ của DPVN, với kinh nghiệm thực tiễn từ Luật sư Nguyễn Lâm Sơn, chuyên cung cấp dịch vụ soạn thảo và rà soát các chính sách, thông báo bảo vệ dữ liệu. Hãy liên hệ với chúng tôi để đảm bảo doanh nghiệp của bạn luôn minh bạch và tuân thủ:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Câu hỏi thường gặp về quyền được biết

1. Nếu tôi không đọc chính sách quyền riêng tư, doanh nghiệp có vi phạm quyền được biết của tôi không?

Không. Nghĩa vụ của doanh nghiệp là phải làm cho thông tin sẵn có và dễ tiếp cận. Nếu họ đã công khai chính sách một cách rõ ràng và bạn chọn không đọc, đó là lựa chọn của bạn. Tuy nhiên, nếu chính sách đó được viết một cách khó hiểu, mập mờ hoặc bị che giấu, thì đó có thể là một hành vi vi phạm.

2. Quyền được biết và quyền truy cập dữ liệu có giống nhau không?

Không. Quyền được biết là quyền được thông báo về hoạt động xử lý dữ liệu một cách tổng quan, thường được thực hiện trước khi thu thập. Quyền truy cập là quyền được yêu cầu một bản sao dữ liệu cụ thể của chính bạn mà doanh nghiệp đang nắm giữ, thường được thực hiện sau khi dữ liệu đã được thu thập.

3. Doanh nghiệp có cần thông báo lại mỗi khi họ cập nhật chính sách quyền riêng tư không?

Rất nên. Đây là một thực hành tốt nhất. Đối với những thay đổi quan trọng (ví dụ: thay đổi mục đích xử lý, chia sẻ cho bên thứ ba mới), doanh nghiệp nên chủ động gửi email thông báo cho người dùng về việc cập nhật và tóm tắt những điểm thay đổi chính.

4. Thông báo một lần có nghĩa là gì?

Thông báo một lần có nghĩa là doanh nghiệp chỉ cần thực hiện việc thông báo một cách đầy đủ tại thời điểm bắt đầu mối quan hệ với chủ thể dữ liệu (ví dụ: khi họ đăng ký tài khoản). Doanh nghiệp không cần phải lặp lại toàn bộ thông báo cho mỗi lần tương tác tiếp theo, miễn là các hoạt động xử lý không có sự thay đổi so với những gì đã thông báo ban đầu.

5. Nếu tôi không hiểu một điểm nào đó trong chính sách quyền riêng tư, tôi có thể làm gì?

Bạn hoàn toàn có quyền liên hệ với doanh nghiệp thông qua các kênh liên lạc (email, hotline) mà họ đã cung cấp trong chính sách để yêu cầu giải thích rõ hơn. Một doanh nghiệp có trách nhiệm sẽ sẵn lòng trả lời các thắc mắc của bạn.

Nguồn tham khảo:

  1. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  2. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  3. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
  4. Article 13 & 14 of GDPR – Information to be provided: https://gdpr-info.eu/art-13-gdpr/
  5. Cisco 2024 Data Privacy Benchmark Study: https://www.cisco.com/c/en/us/products/security/data-privacy-benchmark-study.html

 

Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486