Chủ thể dữ liệu không phản hồi thì có được xem là đã đồng ý không? Sự đồng ý được thể hiện dưới hình thức nào?
- Chủ thể dữ liệu có quyền gì đối với dữ liệu cá nhân của mình?
- Nghĩa vụ của chủ thể dữ liệu được quy định như thế nào?
- Chủ thể dữ liệu không phản hồi thì có được xem là đã đồng ý không? Sự đồng ý được thể hiện dưới hình thức nào?
- Trường hợp nào được phép lấy dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu?
Chủ thể dữ liệu có quyền gì đối với dữ liệu cá nhân của mình?
Tại Điều 9 Nghị định 13/2023/NĐ-CP có quy định về quyền của chủ thể dữ liệu đối với dữ liệu cá nhân của mình như sau:
Quyền của chủ thể dữ liệu
1. Quyền được biết
Chủ thể dữ liệu được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
2. Quyền đồng ý
Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cả nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định này.
3. Quyền truy cập
Chủ thể dữ liệu được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
4. Quyền rút lại sự đồng ý
Chủ thể dữ liệu được quyền rút lại sự đồng ý của mình, trừ trường hợp luật có quy định khác.
5. Quyền xóa dữ liệu
Chủ thể dữ liệu được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
6. Quyền hạn chế xử lý dữ liệu
a) Chủ thể dữ liệu được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác;
b) Việc hạn chế xử lý dữ liệu được thực hiện trong 72 giờ sau khi có yêu cầu của chủ thể dữ liệu, với toàn bộ dữ liệu cá nhân mà chủ thể dữ liệu yêu cầu hạn chế, trừ trường hợp luật có quy định khác.
7. Quyền cung cấp dữ liệu
Chủ thể dữ liệu được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác.
Như vậy, đối với dữ liệu cá nhân của mình, chủ thể dữ liệu có 07 quyền bao gồm:
- Quyền được biết
- Quyền đồng ý
- Quyền truy cập
- Quyền rút lại sự đồng ý
- Quyền xóa dữ liệu
- Quyền hạn chế xử lý dữ liệu
- Quyền cung cấp dữ liệu.
Chủ thể dữ liệu không phản hồi thì có được xem là đã đồng ý không? Sự đồng ý được thể hiện dưới hình thức nào? (Hình từ Internet)
Nghĩa vụ của chủ thể dữ liệu được quy định như thế nào?
Tại Điều 10 Nghị định 13/2023/NĐ-CP có quy định nghĩa vụ của chủ thể dữ liệu như sau:
- Tự bảo vệ dữ liệu cá nhân của mình; yêu cầu các tổ chức, cá nhân khác có liên quan bảo vệ dữ liệu cá nhân của mình.
- Tôn trọng, bảo vệ dữ liệu cá nhân của người khác.
- Cung cấp đầy đủ, chính xác dữ liệu cá nhân khi đồng ý cho phép xử lý dữ liệu cá nhân.
- Tham gia tuyên truyền, phổ biến kỹ năng bảo vệ dữ liệu cá nhân.
- Thực hiện quy định của pháp luật về bảo vệ dữ liệu cá nhân và tham gia phòng, chống các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
Chủ thể dữ liệu không phản hồi thì có được xem là đã đồng ý không? Sự đồng ý được thể hiện dưới hình thức nào?
Tại Điều 11 Nghị định 13/2023/NĐ-CP có quy định về sự đồng ý của chủ thể dữ liệu như sau:
Sự đồng ý của chủ thể dữ liệu
1. Sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
2. Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:
a) Loại dữ liệu cá nhân được xử lý;
b) Mục đích xử lý dữ liệu cá nhân;
c) Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
d) Các quyền, nghĩa vụ của chủ thể dữ liệu.
3. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
4. Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cả nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục
đích nêu ra.
5. Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
6. Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
7. Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
8. Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông bảo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
...
Như vậy, chủ thể dữ liệu không phản hồi không được xem là sự đồng ý. Sự đồng ý của chủ thể dữ liệu về dữ liệu cá nhân của mình thì phải được thể hiện rõ ràng, cụ thể bằng:
- Văn bản;
- Giọng nói;
- Đánh dấu vào ô đồng ý;
- Cú pháp đồng ý qua tin nhắn;
- Chọn các thiết lập kỹ thuật đồng ý;
- Một hành động khác thể hiện được sự đồng ý của chủ thể dữ liệu.
Trường hợp nào được phép lấy dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu?
Tại Điều 17 Nghị định 13/2023/NĐ-CP có quy định các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu bao gồm:
- Trong trường hợp khẩn cấp, cần xử lý ngay dữ liệu cá nhân có liên quan để bảo vệ tính mạng, sức khỏe của chủ thể dữ liệu hoặc người khác.
Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba có trách nhiệm chứng minh trường hợp này.
- Việc công khai dữ liệu cá nhân theo quy định của luật.
- Việc xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong trường hợp tình trạng khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, thảm họa lớn, dịch bệnh nguy hiểm;
Khi có nguy cơ đe dọa an ninh, quốc phòng nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật theo quy định của luật.
- Để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật.
- Phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành.
Nghị định 13/2023/NĐ-CP có hiệu lực từ ngày 01/7/2023.
Trân trọng!
Lương Thị Tâm Như