Định nghĩa
Quyền rút sự đồng ý là quyền của chủ thể dữ liệu được phép thông báo hoặc yêu cầu bên kiểm soát dữ liệu, bên xử lý dữ liệu ngừng việc xử lý dữ liệu cá nhân của mình đã được thu thập trước đó với sự đồng ý của họ, trừ trường hợp pháp luật có quy định khác.
Cơ sở pháp lý
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
- Khoản 8 Điều 9 và Điều 12 Nghị định 13/2023/NĐ-CP.
Phân tích chi tiết
- Chủ thể dữ liệu có quyền rút sự đồng ý bất cứ lúc nào, tuy nhiên việc này không làm ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được thực hiện trước đó dựa trên sự đồng ý.
- Khi nhận được yêu cầu rút sự đồng ý, bên kiểm soát dữ liệu hoặc bên xử lý dữ liệu cá nhân phải có nghĩa vụ thực hiện việc dừng xử lý dữ liệu ngay lập tức nếu không có cơ sở pháp lý nào khác cho phép tiếp tục xử lý.
- Việc rút sự đồng ý phải được thực hiện theo định dạng có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng xác minh khác.
Ví dụ thực tiễn
Người dùng tạo tài khoản trên một ứng dụng thương mại điện tử và đồng ý cho ứng dụng sử dụng dữ liệu để gửi quảng cáo. Sau đó, người dùng quyết định hủy đăng ký (unsubscribe) hoặc gửi yêu cầu ngừng sử dụng thông tin. Ứng dụng phải lập tức ngừng gửi quảng cáo. Thực tế, theo phản ánh trên báo chí (chẳng hạn như các bài viết về bảo vệ quyền riêng tư trên VnExpress, Tuổi Trẻ), nhiều người dùng gặp khó khăn khi ứng dụng cố tình ẩn chức năng hủy đăng ký, dẫn tới vi phạm quyền lợi hợp pháp.
Khuyến nghị pháp lý
Các doanh nghiệp, tổ chức cần xây dựng công cụ quản lý quyền riêng tư thân thiện, dễ thao tác để người dùng thực hiện quyền rút sự đồng ý. Như các chuyên gia và luật sư từ Phan Law Vietnam từng nhận định, việc thiếu vắng các quy trình kỹ thuật để ngừng xử lý dữ liệu cá nhân kịp thời sẽ khiến doanh nghiệp đối mặt với rủi ro bị thanh tra, phạt vi phạm hành chính, và khủng hoảng truyền thông. Hệ thống cần tự động khóa việc xử lý dữ liệu ngay sau khi tiếp nhận yêu cầu hợp lệ.