Trong thời đại công nghệ số, việc bảo vệ dữ liệu cá nhân ngày càng trở nên cấp thiết. Vậy sự đồng ý của chủ thể dữ liệu cá nhân được thể hiện như thế nào để đảm bảo tính pháp lý và quyền riêng tư? DPVN sẽ cùng bạn tìm hiểu vấn đề này dựa trên Nghị định 13/2023/NĐ-CP, văn bản pháp lý quan trọng nhất về bảo vệ dữ liệu cá nhân hiện nay.
Sự đồng ý của chủ thể dữ liệu cá nhân là gì?
Theo Điều 2 của Nghị định 13/2023/NĐ-CP, “sự đồng ý của chủ thể dữ liệu cá nhân” (hay còn gọi là sự đồng ý) được định nghĩa là “việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu“.
Điều này có nghĩa là sự đồng ý phải được đưa ra một cách minh bạch, không bị ép buộc hay lừa dối, và thể hiện rõ ràng ý muốn của chủ thể dữ liệu cho phép tổ chức, cá nhân khác được thu thập, sử dụng, lưu trữ hoặc thực hiện bất kỳ hoạt động nào khác liên quan đến dữ liệu cá nhân của mình.
Ví dụ: Khi đăng ký tài khoản Facebook, bạn đã tích vào ô “Tôi đồng ý với Điều khoản dịch vụ và Chính sách bảo mật của Facebook”. Đây là một hình thức thể hiện sự đồng ý của bạn cho phép Facebook thu thập và xử lý dữ liệu cá nhân của bạn theo các điều khoản đã được nêu rõ.
Tìm hiểu thêm về khái niệm chủ thể dữ liệu cá nhân
Các nguyên tắc chung về sự đồng ý của chủ thể dữ liệu cá nhân
Nghị định 13/2023/NĐ-CP cũng đặt ra các nguyên tắc chung quan trọng liên quan đến sự đồng ý:
- Sự đồng ý là bắt buộc đối với tất cả các hoạt động xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác (Điều 11). Điều này có nghĩa là, về nguyên tắc, không một tổ chức, cá nhân nào được phép thu thập, sử dụng hoặc xử lý dữ liệu cá nhân của người khác mà không có sự đồng ý của họ.
Ví dụ: Một bệnh viện không thể chia sẻ thông tin bệnh án của bệnh nhân cho bên thứ ba mà không có sự đồng ý của bệnh nhân, trừ trường hợp luật pháp yêu cầu (như khi có yêu cầu từ cơ quan điều tra) (Điều 17).
- Sự đồng ý chỉ có giá trị pháp lý khi chủ thể dữ liệu cá nhân được cung cấp đầy đủ thông tin về hoạt động xử lý dữ liệu cá nhân (Điều 11). Cụ thể, chủ thể dữ liệu cần được biết rõ:
- Loại dữ liệu cá nhân nào sẽ được xử lý.
- Mục đích xử lý dữ liệu cá nhân là gì.
- Tổ chức, cá nhân nào sẽ xử lý dữ liệu cá nhân của họ.
- Các quyền và nghĩa vụ của chủ thể dữ liệu cá nhân trong quá trình xử lý dữ liệu.
Ví dụ: Khi một trang web thương mại điện tử yêu cầu bạn cung cấp số điện thoại để giao hàng, họ cần phải thông báo rõ ràng rằng số điện thoại của bạn cũng có thể được sử dụng để gửi tin nhắn quảng cáo, và bạn có quyền từ chối nhận những tin nhắn này (Điều 13).
Các nguyên tắc này đặt nền tảng pháp lý vững chắc cho việc bảo vệ dữ liệu cá nhân, đảm bảo rằng chủ thể dữ liệu có quyền kiểm soát thông tin cá nhân của mình và chỉ cho phép xử lý khi họ đã hiểu rõ và đồng ý.
Các hình thức thể hiện sự đồng ý của chủ thể dữ liệu cá nhân
Theo Điều 11, Nghị định 13/2023/NĐ-CP quy định sự đồng ý của chủ thể dữ liệu cá nhân phải được thể hiện một cách rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
- Hình thức văn bản: Đây là hình thức phổ biến và có giá trị pháp lý cao. Sự đồng ý bằng văn bản có thể được thể hiện thông qua:
- Bản hợp đồng, thỏa thuận: Khi khách hàng ký kết hợp đồng sử dụng dịch vụ của một công ty, trong đó có điều khoản về việc thu thập và xử lý dữ liệu cá nhân.
- Bản cam kết: Nhân viên ký cam kết bảo mật thông tin khách hàng của công ty.
- Bản đăng ký: Đăng ký tham gia một chương trình khuyến mãi có yêu cầu cung cấp thông tin cá nhân.
- Hình thức giọng nói:
-
- Ghi âm cuộc gọi: Khi khách hàng gọi điện đến tổng đài và đồng ý cung cấp thông tin cá nhân để được tư vấn hoặc hỗ trợ.
- Tin nhắn thoại: Khách hàng để lại tin nhắn thoại đồng ý tham gia khảo sát của một công ty.
-
- Hình thức đánh dấu vào ô:
- Trên các website: Khi đăng ký tài khoản trên một trang web, người dùng thường phải tích vào ô “Tôi đồng ý với Điều khoản dịch vụ và Chính sách bảo mật”.
- Trên các ứng dụng trên điện thoại: Tương tự như trên website, các ứng dụng cũng thường yêu cầu người dùng xác nhận đồng ý với các điều khoản trước khi sử dụng.
- Hình thức thông qua cú pháp đồng ý qua tin nhắn:
- Tin nhắn văn bản: Khách hàng soạn tin nhắn theo cú pháp của một chương trình khuyến mãi để đồng ý tham gia.
- Các ứng dụng tiện ích: Khách hàng nhắn tin qua các ứng dụng OTT (như Zalo, Viber) để xác nhận đồng ý với một dịch vụ nào đó.
- Hình thức lựa chọn cài đặt kỹ thuật:
- Trong ứng dụng trên điện thoại: Người dùng có thể đồng ý chia sẻ vị trí hoặc danh bạ của mình trong phần cài đặt của ứng dụng.
- Trên các thiết bị di động: Người dùng đồng ý cho phép một ứng dụng truy cập vào microphone hoặc camera của thiết bị.
- Hình thức khác: Tiếp tục sử dụng dịch vụ. Trong một số trường hợp, việc người dùng tiếp tục sử dụng dịch vụ sau khi đã được thông báo về việc thu thập và xử lý dữ liệu cá nhân có thể được coi là một hình thức đồng ý ngầm.
Lưu ý:
- Sự đồng ý phải được đưa ra một cách chủ động và cụ thể cho từng mục đích xử lý dữ liệu cá nhân (Điều 11).
- Các hình thức thể hiện sự đồng ý phải rõ ràng, dễ hiểu và dễ tiếp cận đối với chủ thể dữ liệu cá nhân (Điều 11).
- Việc hiểu rõ và thực hiện đúng các quy định về sự đồng ý của chủ thể dữ liệu cá nhân là rất quan trọng để đảm bảo quyền lợi của người dùng cũng như tuân thủ pháp luật về bảo vệ dữ liệu cá nhân.
Các trường hợp đặc biệt về sự đồng ý của chủ thể dữ liệu cá nhân
Nghị định 13/2023/NĐ-CP cũng đề cập đến một số trường hợp đặc biệt liên quan đến sự đồng ý của chủ thể dữ liệu cá nhân:
- Im lặng không phải là đồng ý: Theo Khoản 6 Điều 11 Nghị định 13/2023/NĐ-CP, sự im lặng hoặc không phản hồi của chủ thể dữ liệu cá nhân trước yêu cầu đồng ý xử lý dữ liệu cá nhân không được coi là sự đồng ý.
Ví dụ: Khi một trang web hiển thị thông báo về việc sử dụng cookie để thu thập dữ liệu người dùng, và bạn không tương tác gì với thông báo đó (không nhấn nút “Đồng ý” hoặc “Từ chối”), trang web không được tự động coi đó là sự đồng ý của bạn. Họ cần phải có cơ chế để bạn chủ động thể hiện sự đồng ý của mình, ví dụ như yêu cầu bạn tích vào ô “Tôi đồng ý” trước khi tiếp tục sử dụng trang web.
- Đồng ý một phần hoặc có điều kiện: Chủ thể dữ liệu cá nhân có quyền đồng ý cho xử lý một phần dữ liệu cá nhân của mình hoặc đồng ý với một số mục đích xử lý nhất định mà không phải đồng ý với toàn bộ yêu cầu của bên kiểm soát dữ liệu cá nhân (khoản 7 Điều 11 Nghị định 13/2023/NĐ-CP).
Ví dụ: Bạn có thể đồng ý cho một ứng dụng sức khỏe theo dõi số bước chân của bạn mỗi ngày, nhưng không đồng ý cho ứng dụng đó truy cập vào danh bạ của bạn.
- Dữ liệu cá nhân nhạy cảm: Dữ liệu cá nhân nhạy cảm bao gồm các thông tin về quan điểm chính trị, tôn giáo, tình trạng sức khỏe, đời sống tình dục, nguồn gốc chủng tộc, dữ liệu di truyền… (khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP). Đối với loại dữ liệu này, Nghị định 13 yêu cầu bên kiểm soát dữ liệu cá nhân phải thông báo rõ ràng cho chủ thể dữ liệu biết rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm (khoản 8 Điều 11 Nghị định 13/2023/NĐ-CP).
Ví dụ: Một ứng dụng hẹn hò cần phải thông báo rõ ràng cho người dùng biết rằng họ sẽ thu thập và xử lý các thông tin về xu hướng tình dục của người dùng.
Các trường hợp đặc biệt này cho thấy sự linh hoạt của quy định pháp luật về sự đồng ý của chủ thể dữ liệu cá nhân, đồng thời đảm bảo rằng chủ thể dữ liệu luôn có quyền kiểm soát tối đa đối với thông tin cá nhân của mình.
Ngoài ra, Dự thảo Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng còn bổ sung các quy định về xử phạt đối với hành vi vi phạm quy định về sự đồng ý của chủ thể dữ liệu cá nhân. Cụ thể:
“Điều 15 của Dự thảo quy định các mức phạt tiền từ 10.000.000 đồng đến 50.000.000 đồng đối với các hành vi như: xử lý dữ liệu cá nhân khi chưa được sự đồng ý của chủ thể dữ liệu (Điểm a, Khoản 1 Điều 15), tiếp tục xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu đã rút lại sự đồng ý (Khoản 2, Điều 15), không chứng minh được sự đồng ý của chủ thể dữ liệu (Điểm c, Khoản 2, Điều 15)…”
Điều này cho thấy tính nghiêm minh của pháp luật trong việc bảo vệ quyền lợi của chủ thể dữ liệu cá nhân.
Thời hạn hiệu lực và quyền rút lại sự đồng ý
Sự đồng ý của chủ thể dữ liệu cá nhân có hiệu lực bao lâu?
Theo khoản 9 Điều 11 Nghị định 13/2023/NĐ-CP, sự đồng ý của chủ thể dữ liệu cá nhân có hiệu lực cho đến khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
Điều này có nghĩa là sự đồng ý không phải là vĩnh viễn. Chủ thể dữ liệu cá nhân có quyền thay đổi ý kiến của mình bất cứ lúc nào và yêu cầu bên kiểm soát dữ liệu cá nhân ngừng xử lý dữ liệu của họ.
Ví dụ: Bạn đã đồng ý cho một ứng dụng mua sắm trực tuyến sử dụng địa chỉ email của bạn để gửi thông báo khuyến mãi. Tuy nhiên, sau một thời gian, bạn cảm thấy phiền phức và không muốn nhận những email này nữa. Bạn hoàn toàn có quyền rút lại sự đồng ý của mình bằng cách thay đổi cài đặt trong ứng dụng hoặc gửi yêu cầu trực tiếp đến công ty.
Quyền rút lại sự đồng ý của chủ thể dữ liệu cá nhân
Nghị định 13/2023/NĐ-CP quy định rõ về quyền rút lại sự đồng ý của chủ thể dữ liệu cá nhân tại Điều 12. Theo đó:
- Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được thực hiện trước đó (khoản 1 Điều 12 Nghị định 13/2023/NĐ-CP). Điều này có nghĩa là nếu một công ty đã xử lý dữ liệu cá nhân của bạn một cách hợp pháp dựa trên sự đồng ý của bạn, việc bạn rút lại sự đồng ý sau đó sẽ không làm cho việc xử lý dữ liệu trước đó trở thành bất hợp pháp.
- Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được (khoản 2 Điều 12 Nghị định 13/2023/NĐ-CP).
- Khi nhận được yêu cầu rút lại sự đồng ý, bên kiểm soát dữ liệu cá nhân phải thông báo cho chủ thể dữ liệu về hậu quả có thể xảy ra (khoản 3 Điều 12 Nghị định 13/2023/NĐ-CP).
Ví dụ: Nếu bạn rút lại sự đồng ý cho phép một ứng dụng mạng xã hội truy cập vào danh bạ của bạn, bạn có thể nhận được cảnh báo không sử dụng được một số tính năng của ứng dụng đó.
- Sau khi nhận được yêu cầu rút lại sự đồng ý hợp lệ, bên kiểm soát dữ liệu cá nhân phải ngừng xử lý dữ liệu cá nhân của chủ thể dữ liệu (khoản 4, Điều 12, Nghị định 13/2023/NĐ-CP).
Ví dụ: Bạn đã đăng ký nhận bản tin từ một trang web bằng địa chỉ email của mình. Sau đó, bạn quyết định không muốn nhận bản tin nữa. Bạn có thể tìm thấy tùy chọn “Hủy đăng ký” ở cuối email bản tin hoặc truy cập vào trang web để thay đổi cài đặt nhận bản tin. Sau khi bạn thực hiện các bước này, trang web không được phép tiếp tục gửi bản tin cho bạn.
Quyền rút lại sự đồng ý là một trong những quyền cơ bản của chủ thể dữ liệu cá nhân, giúp đảm bảo quyền kiểm soát của họ đối với thông tin cá nhân của mình.
Tìm hiểu thêm các quyền khác của chủ thể dữ liệu cá nhân theo Nghị định 13
Trách nhiệm chứng minh sự đồng ý
Nghị định 13/2023/NĐ-CP quy định rõ trách nhiệm chứng minh sự đồng ý thuộc về bên kiểm soát dữ liệu cá nhân. Cụ thể, khoản 10 Điều 11 nêu rõ: “Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.”
Điều này có nghĩa là nếu có tranh chấp xảy ra liên quan đến việc liệu chủ thể dữ liệu cá nhân đã đồng ý cho xử lý dữ liệu của mình hay chưa, bên kiểm soát dữ liệu cá nhân (tổ chức, cá nhân thu thập và xử lý dữ liệu) phải có bằng chứng để chứng minh rằng họ đã được sự đồng ý.
Ví dụ: Nếu một khách hàng khiếu nại rằng họ không hề đồng ý cho một công ty sử dụng số điện thoại của mình để gửi tin nhắn quảng cáo, công ty đó phải đưa ra được bằng chứng chứng minh rằng khách hàng đã đồng ý, ví dụ như bản ghi âm cuộc gọi, tin nhắn xác nhận, hoặc nhật ký đăng ký dịch vụ.
Chế tài xử phạt đối với hành vi vi phạm quy định về sự đồng ý
Cả Nghị định 13/2023/NĐ-CP và Dự thảo Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng đều quy định các hình thức xử phạt đối với hành vi vi phạm quy định về sự đồng ý của chủ thể dữ liệu cá nhân.
- Theo Nghị định 13/2023/NĐ-CP, các hành vi vi phạm có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, hoặc thậm chí xử lý hình sự tùy theo mức độ nghiêm trọng (Điều 4).
- Dự thảo Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng quy định cụ thể hơn về các mức phạt tiền đối với các hành vi vi phạm liên quan đến sự đồng ý của chủ thể dữ liệu cá nhân.
Ví dụ: “Theo Điều 15 quy định mức phạt tiền từ 10.000.000 đồng đến 50.000.000 đồng đối với các hành vi như xử lý dữ liệu cá nhân khi chưa được sự đồng ý của chủ thể dữ liệu, tiếp tục xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu đã rút lại sự đồng ý…”
Các quy định này nhằm đảm bảo tính răn đe và nghiêm minh của pháp luật, khuyến khích các tổ chức, cá nhân tuân thủ quy định về bảo vệ dữ liệu cá nhân, từ đó bảo vệ quyền lợi của người dùng.
Bảo vệ dữ liệu cá nhân là vấn đề quan trọng trong thời đại số, và sự đồng ý của chủ thể dữ liệu cá nhân đóng vai trò then chốt trong việc đảm bảo quyền riêng tư và an toàn thông tin. Nghị định 13/2023/NĐ-CP đã cung cấp một khuôn khổ pháp lý toàn diện về sự đồng ý, từ khái niệm, nguyên tắc đến các hình thức thể hiện và xử lý vi phạm.
DPVN, với vai trò là một trung tâm tư vấn pháp luật chuyên về bảo vệ dữ liệu cá nhân, luôn sẵn sàng đồng hành cùng các tổ chức, cá nhân trong việc tìm hiểu và áp dụng đúng các quy định pháp luật về bảo vệ dữ liệu cá nhân.