Chủ thể dữ liệu cá nhân có những quyền nào?

Hiện nay, trong bối cảnh cuộc cách mạng công nghệ 4.0 phát triển mạnh mẽ, dữ liệu cá nhân là vấn đề liên quan tới chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, chính phủ điện tử, chính phủ số, kinh tế số, công nghệ thông tin. Dưới góc độ pháp luật, sự ra đời của Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức. Thông qua bài viết: “Chủ thể dữ liệu cá nhân có những quyền nào?” Luật Thành Đô tiến hành cung cấp thông tin về 11 quyền của chủ thể dữ liệu cá nhân theo quy định của Nghị định số 13/2023/NĐ-CP.

I. CĂN CỨ PHÁP LÝ

- Luật an toàn thông tin mạng năm 2015;

- Nghị định 13/2023/NĐ-CP ngày 17/04/2023 của Chính Phủ quy định về bảo vệ dữ liệu cá nhân;

- Văn bản pháp luật khác có liên quan.

II. CÁC QUYỀN CỦA CHỦ THỂ DỮ LIỆU CÁ NHÂN

2.1. Một số khái niệm về dữ liệu cá nhân 

Trước khi Nghị định số 13/2023/NĐ-CP có hiệu lực, hệ thống pháp luật Việt Nam chưa sử dụng cụm từ “dữ liệu cá nhân”, chưa có định nghĩa về dữ liệu cá nhân. Do đó, để tìm hiểu về các quyền của chủ thể dữ liệu cá nhân, cần hiểu rõ các khái niệm “dữ liệu cá nhân”, “chủ thể dữ liệu cá nhân”. Cụ thể, các khái niệm trên được quy định tại Nghị định số 13/2023/NĐ-CP như sau:

Thứ nhất, khoản 1 Điều 2 Nghị định số 13/2023/NĐ-CP quy định: “Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.”

Thứ hai, khoản 6 Điều 2 Nghị định số 13/2023/NĐ-CP quy định: “Chủ thể dữ liệu là cá nhân được dữ liệu cá nhân phản ánh.”. Như vậy chủ thể của dữ liệu cá nhân chính là các cá nhân.

Xem thêm các bài viết khác cùng chủ đề: Tư vấn doanh nghiệp

2.2. Các quyền của chủ thể dữ liệu cá nhân

Quyền của chủ thể dữ liệu cá nhân bao gồm 11 quyền, được quy định tại Điều 11 Nghị định số 13/2023/NĐ-CP, theo đó các quyền của chủ thể dữ liệu cá nhân bao gồm:

2.2.1. Quyền được biết

Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình thông qua việc được thông báo về việc xử lý dữ liệu cá nhân quy định tại Điều 13 của Nghị định. Tuy nhiên, trong một số trường hợp luật có quy định khác thì quyền được biết của chủ thể dữ liệu cá nhân bị hạn chế. Ví dụ như trường hợp dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật thì không cần phải thực hiện việc thông báo.

2.2.2. Quyền đồng ý

Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.

- Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:

+ Loại dữ liệu cá nhân được xử lý;

+ Mục đích xử lý dữ liệu cá nhân;

+ Tổ chức, cá nhân được xử lý dữ liệu cá nhân;

+ Các quyền, nghĩa vụ của chủ thể dữ liệu.

- Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

- Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.

- Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

- Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.

- Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.

- Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.

- Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.

- Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.

- Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý, trừ trường hợp luật có quy định khác.

Tuy nhiên, Điều 17 Nghị định 13/2023 cũng quy định các trường hợp được xử lý dữ liệu cá nhân trong mà không cần sự đồng ý của chủ thể dữ liệu, bao gồm:

- Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.

- Việc công khai dữ liệu cá nhân theo quy định của luật.

- Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.

- Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.

- Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.

2.2.3. Quyền truy cập

Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. Cụ thể, Điều 15 Nghị định 13/2023 quy định chủ thể dữ liệu được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác. Trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác, chủ thể dữ liệu yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của mình.

Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được chủ thể dữ liệu cá nhân đồng ý ngay khi có thể hoặc theo quy định của pháp luật chuyên ngành. Trường hợp không thể thực hiện thì thông báo tới chủ thể dữ liệu sau 72 giờ kể khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu.

Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu sau khi được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu.

2.2.4. Quyền rút lại sự đồng ý

Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác. Theo đó, Điều 12 Nghị định quy định chi tiết về rút lại sự đồng ý như sau:

“1. Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý.

2. Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

3. Khi nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý.

4. Sau khi thực hiện quy định tại khoản 2 Điều này, Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.”

2.2.5. Quyền xóa dữ liệu

Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình trong các trường hợp quy định tại khoản 1 Điều 16, bao gồm:

- Nhận thấy không còn cần thiết cho mục đích thu thập đã đồng ý và chấp nhận các thiệt hại có thể xảy ra khi yêu cầu xóa dữ liệu;

- Rút lại sự đồng ý;

- Phản đối việc xử lý dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý;

- Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;

- Dữ liệu cá nhân phải xóa theo quy định của pháp luật.

Việc xóa dữ liệu sẽ không áp dụng khi có đề nghị của chủ thể dữ liệu trong các trường hợp:

- Pháp luật quy định không cho phép xóa dữ liệu;

- Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật;

- Dữ liệu cá nhân đã được công khai theo quy định của pháp luật;

- Dữ liệu cá nhân được xử lý nhằm phục vụ yêu cầu pháp lý, nghiên cứu khoa học, thống kê theo quy định của pháp luật;

- Trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;

- Ứng phó với tình huống khẩn cấp đe dọa đến tính mạng, sức khỏe hoặc sự an toàn của chủ thể dữ liệu hoặc cá nhân khác.

2.2.6. Quyền hạn chế xử lý dữ liệu

Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác. Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.

2.2.7. Quyền cung cấp dữ liệu

Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình theo quy định tại Điều 14 Nghị định 13/2023, trừ trường hợp luật có quy định khác như các trường hợp quy định tại khoản 4 Điều 14 Nghị định. Cụ thể, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cung cấp dữ liệu cá nhân trong trường hợp:

- Gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội;

- Việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người khác;

- Chủ thể dữ liệu không đồng ý cung cấp, cho phép đại diện hoặc ủy quyền nhận dữ liệu cá nhân.

2.2.8. Quyền phản đối xử lý dữ liệu

- Chủ thể dữ liệu được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị, trừ trường hợp luật có quy định khác;

- Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện yêu cầu của chủ thể dữ liệu trong 72 giờ sau khi nhận được yêu cầu, trừ trường hợp luật có quy định khác.

2.2.9. Quyền khiếu nại, tố cáo, khởi kiện

Chủ thể dữ liệu có quyền khiếu nại, tố cáo hoặc khởi kiện theo quy định của pháp luật.

2.2.10. Quyền yêu cầu bồi thường thiệt hại

Chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình, trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.

2.2.11. Quyền tự bảo vệ

Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự, luật khác có liên quan hoặc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự.

Để nắm rõ hơn các thông tin về quy định bảo vệ dữ liệu cá nhân theo nghị định 13/2023/NĐ-CP, Quý khách hàng có thể tham khảo thêm bài viết: Doanh nghiệp cần làm gì để tuân thủ quy định về bảo vệ dữ liệu cá nhân?

Trên đây là bài viết “Chủ thể dữ liệu cá nhân có những quyền nào?” của Luật Thành Đô. Trường hợp có bất kỳ vướng mắc nào liên quan đến vấn đề này xin vui lòng liên hệ trực tiếp với Luật Thành Đô để được tư vấn và sử dụng dịch vụ. Với đội ngũ Luật sư nhiều kinh nghiệm, chúng tôi tin tưởng sẽ làm Quý khách hài lòng khi sử dụng dịch vụ của Luật Thành Đô.