Sự đồng ý của chủ thể dữ liệu cá nhân được thể hiện như thế nào?

Ngày 01/07/2023, Nghị định số 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân chính thức có hiệu lực, tạo hành lang pháp lý nhằm bảo vệ dữ liệu cá nhân tại Việt Nam một cách hiệu quả, giảm thiểu tối đa những nguy cơ và hệ quả của các hành vi xâm phạm dữ liệu cá nhân. Quyền đồng ý là một trong những quyền cơ bản của chủ thể dữ liệu cá nhân, được thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu. Để làm rõ sự đồng ý của chủ thể dữ liệu cá nhân được thể hiện như thế nào, Luật Thành Đô xin gửi đến Quý khách hàng bài viết dưới đây.

I. CƠ SỞ PHÁP LÝ

- Luật an ninh mạng số 24/2018/QH14;

- Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 bảo vệ dữ liệu cá nhân;

- Các văn bản pháp luật khác có liên quan.

II. CÁC LOẠI DỮ LIỆU CÁ NHÂN

Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

2.1. Dữ liệu cá nhân cơ bản bao gồm:

- Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);

- Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;

- Giới tính;

- Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;

- Quốc tịch;

- Hình ảnh của cá nhân;

- Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;

- Tình trạng hôn nhân;

- Thông tin về mối quan hệ gia đình (cha mẹ, con cái);

- Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;

- Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.

2.2. Dữ liệu cá nhân nhạy cảm

Là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:

- Quan điểm ​​chính trị, quan điểm tôn giáo;

- Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;

- Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;

- Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;

- Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;

- Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;

- Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;

- Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh khách hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;

- Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;

- Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.

III. QUYỀN CỦA CHỦ THỂ DỮ LIỆU CÁ NHÂN

Chủ thể dữ liệu cá nhân có các quyền sau:

(1) Quyền được biết;

(2) Quyền đồng ý;

(3) Quyền truy cập;

(4) Quyền rút lại sự đồng ý;

(5) Quyền xóa dữ liệu;

(6) Quyền hạn chế xử lý dữ liệu;

(7) Quyền cung cấp dữ liệu;

(8) Quyền phản đối xử lý dữ liệu;

(9) Quyền khiếu nại, tố cáo, khởi kiện;

(10) Quyền yêu cầu bồi thường thiệt hại;

(11) Quyền tự bảo vệ.

Với mỗi quyền, chủ thể dữ liệu cá nhân được thực hiện các hoạt động nhằm hạn chế tối đa nguy cơ và hệ quả của các hành vi xâm phạm dữ liệu cá nhân.

Doanh nghiệp cần làm gì để thực hiện việc bảo vệ dữ liệu cá nhân? Mời Quý bạn đọc tham khảo qua bài viết tại đây

IV. SỰ ĐỒNG Ý CỦA CHỦ THỂ DỮ LIỆU CÁ NHÂN

Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.

- Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:

+ Loại dữ liệu cá nhân được xử lý;

+ Mục đích xử lý dữ liệu cá nhân;

+ Tổ chức, cá nhân được xử lý dữ liệu cá nhân;

+ Các quyền, nghĩa vụ của chủ thể dữ liệu.

- Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

- Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.

- Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

- Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.

- Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.

- Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.

- Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.

- Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.

- Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý, trừ trường hợp luật có quy định khác.

Lưu ý: 5 trường hợp dữ liệu cá nhân được xử lý không cần sự đồng ý của chủ thể dữ liệu

(1) Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác. Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.

(2) Việc công khai dữ liệu cá nhân theo quy định của luật.

(3) Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm; khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.

(4) Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.

(5) Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.

Các bài viết khác cùng chuyên mục Tư vấn doanh nghiệp tham khảo tại đây

Trên đây là nội dung bài viết giải đáp cho câu hỏi “Sự đồng ý của chủ thể dữ liệu cá nhân được thể hiện như thế nào?” Trường hợp có bất kỳ vướng mắc nào liên quan đến vấn đề này xin vui lòng liên hệ trực tiếp với Luật Thành Đô để được tư vấn và giải đáp.