Quyền riêng tư dữ liệu cá nhân

Định nghĩa

Quyền riêng tư dữ liệu cá nhân là quyền cơ bản của mỗi cá nhân, cho phép họ kiểm soát thông tin cá nhân của mình, bao gồm việc thu thập, sử dụng, lưu trữ, chia sẻ và xử lý dữ liệu. Quyền này đảm bảo rằng dữ liệu cá nhân chỉ được xử lý khi có sự đồng ý của chủ thể dữ liệu hoặc theo quy định của pháp luật, nhằm bảo vệ danh dự, nhân phẩm, bí mật đời tư và các lợi ích hợp pháp khác của cá nhân.

Cơ sở pháp lý

Tại Việt Nam, quyền riêng tư dữ liệu cá nhân được bảo vệ và quy định cụ thể trong các văn bản pháp luật sau:

• Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam năm 2013:
  • Điều 21 quy định: “Mọi người có quyền bất khả xâm phạm về đời sống riêng tư, bí mật cá nhân và bí mật gia đình; có quyền bảo vệ danh dự, uy tín của mình. Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình được pháp luật bảo đảm an toàn.”
• Bộ luật Dân sự năm 2015:
  • Điều 38 quy định về quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình, trong đó nhấn mạnh việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư phải được người đó đồng ý, trừ trường hợp luật có quy định khác.
• Luật An ninh mạng">Luật An ninh mạng năm 2018:
  • Điều 17 quy định về bảo vệ thông tin cá nhân trên không gian mạng, bao gồm các nguyên tắc, biện pháp bảo vệ và trách nhiệm của cơ quan, tổ chức, cá nhân liên quan.
• Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân (Nghị định 13):
  • Đây là văn bản pháp lý quan trọng nhất hiện nay, quy định chi tiết về các nguyên tắc, quyền của chủ thể dữ liệu, nghĩa vụ của bên kiểm soát và bên xử lý dữ liệu cá nhân, các biện pháp bảo vệ dữ liệu cá nhân, xử lý vi phạm và các vấn đề liên quan khác.
• Luật Giao dịch điện tử năm 2023:
  • Điều 40 quy định về bảo vệ dữ liệu cá nhân trong giao dịch điện tử, yêu cầu các tổ chức, cá nhân thực hiện giao dịch điện tử phải tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Phân tích chi tiết

Nghị định 13/2023/NĐ-CP đã đặt ra một khung pháp lý toàn diện cho việc bảo vệ dữ liệu cá nhân tại Việt Nam, tập trung vào các khía cạnh sau:

• Các nguyên tắc bảo vệ dữ liệu cá nhân:
  • Nguyên tắc hợp pháp, minh bạch và có mục đích: Dữ liệu phải được xử lý một cách hợp pháp, công bằng, minh bạch và chỉ cho các mục đích đã được xác định, cụ thể, rõ ràng.
  • Nguyên tắc tối thiểu hóa: Dữ liệu chỉ được thu thập trong phạm vi cần thiết và phù hợp với mục đích xử lý.
  • Nguyên tắc chính xác: Dữ liệu phải chính xác và được cập nhật khi cần thiết.
  • Nguyên tắc giới hạn lưu trữ: Dữ liệu chỉ được lưu trữ trong khoảng thời gian cần thiết để đạt được mục đích xử lý.
  • Nguyên tắc toàn vẹn và bảo mật: Dữ liệu phải được bảo vệ bằng các biện pháp kỹ thuật và tổ chức phù hợp để tránh xử lý trái phép hoặc bất hợp pháp, mất mát, phá hủy hoặc thiệt hại ngẫu nhiên.
  • Nguyên tắc trách nhiệm giải trình: Bên kiểm soát dữ liệu cá nhân phải chịu trách nhiệm chứng minh việc tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân.
• Quyền của chủ thể dữ liệu: Cá nhân có dữ liệu được xử lý có các quyền sau:
  • Quyền được biết: Về hoạt động xử lý dữ liệu cá nhân của mình.
  • Quyền đồng ý: Cho phép hoặc không cho phép xử lý dữ liệu cá nhân.
  • Quyền truy cập: Để xem, chỉnh sửa dữ liệu cá nhân của mình.
  • Quyền rút lại sự đồng ý: Bất cứ lúc nào, trừ trường hợp luật có quy định khác.
  • Quyền xóa dữ liệu: Yêu cầu xóa dữ liệu cá nhân của mình.
  • Quyền hạn chế xử lý dữ liệu: Trong một số trường hợp nhất định.
  • Quyền cung cấp dữ liệu: Yêu cầu bên kiểm soát dữ liệu cung cấp dữ liệu cá nhân của mình.
  • Quyền phản đối xử lý dữ liệu: Phản đối việc xử lý dữ liệu cá nhân nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị.
  • Quyền khiếu nại, tố cáo, khởi kiện: Đối với các hành vi vi phạm quy định bảo vệ dữ liệu cá nhân.
  • Quyền yêu cầu bồi thường thiệt hại: Khi dữ liệu cá nhân bị vi phạm gây thiệt hại.
• Nghĩa vụ của bên kiểm soát dữ liệu cá nhân và bên xử lý dữ liệu cá nhân:
  • Xây dựng và công bố chính sách bảo vệ dữ liệu cá nhân.
  • Áp dụng các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu.
  • Thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) về việc xử lý dữ liệu cá nhân và các vi phạm dữ liệu cá nhân.
  • Thực hiện đánh giá tác động xử lý dữ liệu cá nhân.
  • Chỉ định cán bộ phụ trách bảo vệ dữ liệu cá nhân.

Ví dụ thực tiễn

Vấn đề lộ lọt và mua bán dữ liệu cá nhân đã trở thành một thách thức lớn tại Việt Nam. Một ví dụ điển hình là vụ việc được Tuổi Trẻ đưa tin vào tháng 3/2022, khi Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) Bộ Công an đã triệt phá một nhóm hacker chuyên đánh cắp dữ liệu khách hàng của nhiều công ty lớn tại Việt Nam để rao bán trên không gian mạng. Nhóm này đã xâm nhập trái phép vào hệ thống của các doanh nghiệp, thu thập hàng triệu dữ liệu cá nhân bao gồm tên, số điện thoại, địa chỉ, email, thông tin tài khoản ngân hàng… Sau đó, chúng rao bán các gói dữ liệu này với giá từ vài chục đến hàng trăm triệu đồng, gây thiệt hại nghiêm trọng cho cả doanh nghiệp và người dùng, dẫn đến tình trạng tin nhắn rác, cuộc gọi lừa đảo tràn lan.

Khuyến nghị pháp lý

Để bảo vệ quyền riêng tư dữ liệu cá nhân của mình, cả cá nhân và tổ chức cần chủ động thực hiện các biện pháp sau:

• Đối với cá nhân:
  • Cẩn trọng khi chia sẻ thông tin cá nhân trên mạng xã hội, các ứng dụng và website.
  • Đọc kỹ chính sách bảo mật trước khi đồng ý cung cấp dữ liệu.
  • Sử dụng mật khẩu mạnh, xác thực hai yếu tố và thường xuyên kiểm tra các cài đặt riêng tư trên tài khoản trực tuyến.
  • Khi phát hiện dấu hiệu dữ liệu cá nhân bị lộ hoặc bị lạm dụng, cần báo cáo ngay cho cơ quan chức năng và yêu cầu bên xử lý dữ liệu thực hiện các biện pháp khắc phục.
• Đối với tổ chức, doanh nghiệp:
  • Nghiên cứu và tuân thủ nghiêm ngặt các quy định của Nghị định 13/2023/NĐ-CP và các văn bản pháp luật liên quan.
  • Xây dựng và triển khai chính sách bảo vệ dữ liệu cá nhân rõ ràng, minh bạch.
  • Áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo mật dữ liệu, bao gồm mã hóa, kiểm soát truy cập và hệ thống phát hiện xâm nhập.
  • Đào tạo nhân viên về tầm quan trọng của bảo vệ dữ liệu cá nhân và các quy trình xử lý dữ liệu an toàn.
  • Thực hiện đánh giá tác động xử lý dữ liệu cá nhân định kỳ để nhận diện và giảm thiểu rủi ro.
  • Theo nhận định của các chuyên gia từ Phan Law Vietnam, việc chủ động xây dựng một hệ thống quản lý dữ liệu cá nhân tuân thủ pháp luật không chỉ giúp doanh nghiệp tránh được các rủi ro pháp lý mà còn nâng cao uy tín và niềm tin của khách hàng.

Câu hỏi thường gặp (FAQ)

• Câu hỏi 1: Dữ liệu cá nhân nhạy cảm là gì?
  Trả lời: Dữ liệu cá nhân nhạy cảm là dữ liệu gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của chủ thể dữ liệu. Ví dụ: quan điểm chính trị, tôn giáo, tình trạng sức khỏe, thông tin tài chính, dữ liệu về vị trí, dữ liệu sinh trắc học, v.v.
• Câu hỏi 2: Khi nào tổ chức cần sự đồng ý của chủ thể dữ liệu để xử lý dữ liệu cá nhân?
  Trả lời: Theo Nghị định 13/2023/NĐ-CP, việc xử lý dữ liệu cá nhân phải có sự đồng ý của chủ thể dữ liệu, trừ một số trường hợp ngoại lệ được pháp luật quy định (ví dụ: để thực hiện hợp đồng, bảo vệ lợi ích hợp pháp của nhà nước, xử lý trong tình trạng khẩn cấp).
• Câu hỏi 3: Tôi phải làm gì nếu phát hiện dữ liệu cá nhân của mình bị lộ hoặc bị lạm dụng?
  Trả lời: Bạn nên ngay lập tức liên hệ với tổ chức hoặc cá nhân đã thu thập dữ liệu của bạn để yêu cầu làm rõ, khắc phục. Đồng thời, bạn có thể báo cáo vụ việc cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) thuộc Bộ Công an để được hỗ trợ và xử lý theo quy định pháp luật.
• Câu hỏi 4: Các doanh nghiệp có nghĩa vụ gì khi xử lý dữ liệu cá nhân của khách hàng?
  Trả lời: Doanh nghiệp có nghĩa vụ xây dựng chính sách bảo vệ dữ liệu cá nhân, áp dụng các biện pháp bảo mật, thông báo cho cơ quan chức năng khi có vi phạm, thực hiện đánh giá tác động xử lý dữ liệu, và chỉ định cán bộ phụ trách bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP.
• Câu hỏi 5: Quyền của chủ thể dữ liệu theo Nghị định 13/2023/NĐ-CP bao gồm những gì?
  Trả lời: Chủ thể dữ liệu có các quyền như quyền được biết, quyền đồng ý, quyền truy cập, quyền rút lại sự đồng ý, quyền xóa dữ liệu, quyền hạn chế xử lý, quyền cung cấp dữ liệu, quyền phản đối xử lý, quyền khiếu nại, tố cáo, khởi kiện và quyền yêu cầu bồi thường thiệt hại.