Quyền đồng ý và rút lại sự đồng ý của chủ thể dữ liệu (Hình từ internet)
Hiện nay, dữ liệu cá nhân là thông tin có thể được sử dụng để xác định hoặc liên hệ với một cá nhân cụ thể.
Trong thời đại số, dữ liệu cá nhân có giá trị hơn bao giờ hết. Các tổ chức sử dụng dữ liệu cá nhân để nhắm mục tiêu quảng cáo, cải thiện các sản phẩm và dịch vụ.
Do có thể bị sử dụng cho mục đích xấu, như lừa đảo, trộm cắp danh tính và khủng bố nên việc bảo vệ dữ liệu cá nhân là rất quan trọng, đặc biệt đối với dữ liệu cá nhân của khách hàng.
Vì vậy, Chính phủ đã ban hành Nghị định 13/2023 để bảo vệ dữ liệu cá nhân, trong đó có nêu về quyền đồng ý và rút lại sự đồng ý của chủ thể dữ liệu.
Nghị định 13/2023/NĐ-CP nêu rõ: Sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý dữ liệu cá nhân của chủ thể dữ liệu.
Và tại Nghị định này có quy định rõ về quyền đồng ý và rút lại sự đồng ý của chủ thể dữ liệu như sau:
Chủ thể dữ liệu được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP.
Trong đó, sự đồng ý của chủ thể dữ liệu được áp dụng đối với tất cả các hoạt động trong quy trình xử lý dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
Sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:
- Loại dữ liệu cá nhân được xử lý;
- Mục đích xử lý dữ liệu cá nhân;
- Tổ chức, cá nhân được xử lý dữ liệu cá nhân;
- Các quyền, nghĩa vụ của chủ thể dữ liệu.
Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.
Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.
Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.
**Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.
Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.
Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.
Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều 11 Nghị định 13/2023/NĐ-CP, trừ trường hợp luật có quy định khác.
Việc rút lại sự đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu đã được đồng ý trước khi rút lại sự đồng ý.
Việc rút lại sự đồng ý phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
Khi nhận yêu cầu rút lại sự đồng ý của chủ thể dữ liệu, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý.
Sau khi thực hiện quy định tại khoản 2 Điều 12 Nghị định 13/2023/NĐ-CP, Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ ba phải ngừng và yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.