Làm gì khi dữ liệu cá nhân bị xâm hại?

(PLVN) - Đây là một trong những nội dung được chú ý tại dự thảo Nghị định bảo vệ dữ liệu cá nhân của Bộ Công an đang lấy ý kiến nhân dân. 
Ảnh minh họa

Theo dự thảo Nghị định, chủ thể dữ liệu cá nhân (DLCN) liên quan đến xử lý dữ liệu có quyền đồng ý hoặc không đồng ý cho bên xử lý DLCN, bên thứ ba xử lý DLCN của mình, trừ trường hợp pháp luật có quy định khác.

Trường hợp đặc thù khi xử lý dữ liệu cá nhân

Chủ thể dữ liệu phải nhận thông báo của bên xử lý DLCN tại thời điểm xử lý hoặc ngay khi có thể thực hiện được. Cùng với đó, chủ thể cũng có quyền yêu cầu bên xử lý DLCN chỉnh sửa, xem, cung cấp bản sao DLCN của mình; yêu cầu bên xử lý DLCN chấm dứt việc xử lý DLCN, hạn chế quyền tiếp cận DLCN, chấm dứt việc tiết lộ hoặc cho phép truy cập vào DLCN, xóa hoặc đóng DLCN đã thu thập, trừ trường hợp được pháp luật quy định. 

Chủ thể dữ liệu cũng có thể khiếu nại theo quy định của pháp luật hoặc khiếu nại với Ủy ban bảo vệ DLCN trong trường hợp: DLCN của mình bị xâm phạm; DLCN của mình bị xử lý sai mục đích, không đúng thỏa thuận hoặc quy định của pháp luật; quyền hạn liên quan tới DLCN của mình bị vi phạm hoặc không được thực hiện đúng; đòi bồi thường thiệt hại theo quy định của pháp luật khi có căn cứ cho rằng DLCN của mình bị xâm phạm.

Đáng chú ý, dự thảo Nghị định cũng quy định rõ một số trường hợp đặc thù dù chủ thể đồng ý hoặc không đồng ý DLCN của họ vẫn được xử lý. Cụ thể: Các dữ liệu vì lợi ích, an ninh quốc gia, trật tự an toàn xã hội hoặc trong trường hợp được pháp luật quy định là khẩn cấp, nguy cơ đe dọa tới tính mạng hoặc ảnh hưởng nghiêm trọng tới sức khỏe cho chủ thể dữ liệu hoặc sức khỏe cộng đồng; dữ liệu phục vụ điều tra, xử lý hành vi vi phạm pháp luật; phục vụ công tác nghiên cứu khoa học hoặc thống kê…

Cũng theo dự thảo, hoạt động xử lý DLCN đều phải được thông báo cho chủ thể dữ liệu, trừ một số trường hợp đã được quy định rõ tại Nghị định này và trường hợp pháp luật có quy định khác. Nội dung thông báo cho chủ thể dữ liệu về xử lý DLCN bao gồm: Thông tin về bên xử lý DLCN; loại DLCN xử lý và cách xử lý; thời gian, mục đích xử lý; loại DLCN được xử lý trong các tình huống đặc biệt hoặc mục đích xử lý đặc biệt có thể tạo ra nguy cơ gây hại đáng kể; quyền và thủ tục thực hiện quyền của chủ thể dữ liệu; xếp hạng độ tin cậy trong bảo vệ DLCN được thực hiện bởi Ủy ban bảo vệ DLCN; thông tin liên quan đến việc chuyển DLCN ra khỏi biên giới lãnh thổ Việt Nam.

Việc ghi âm, ghi hình và xử lý dữ liệu thu được qua hoạt động ghi âm, ghi hình ở nơi công cộng của cơ quan nhà nước có thẩm quyền trong trường hợp pháp luật quy định được coi là đã có sự đồng ý của chủ thể dữ liệu. Cơ quan thu thập có nghĩa vụ thông báo cho chủ thể dữ liệu theo cách mà chủ thể dữ liệu hiểu được việc họ đang bị ghi âm, thu hình và xử lý dữ liệu để chủ thể dữ liệu biết cách ngăn chặn nếu họ muốn.

Nguyên tắc xử lý dữ liệu cá nhân trẻ em

Đối với DLCN của trẻ em, dự thảo Nghị định cũng nêu rõ hai nguyên tắc xử lý. Đó là: Xử lý DLCN của trẻ em luôn được thực hiện theo nguyên tắc bảo vệ các quyền và vì lợi ích tốt nhất của trẻ em; trước khi xử lý bất kỳ DLCN nào của trẻ em, bên xử lý dữ liệu phải xác minh tuổi của trẻ em và được sự đồng ý của cha mẹ hoặc người giám hộ theo quy định. Khi xử lý DLCN của trẻ em, bên xử lý DLCN có quyền: Chỉnh sửa DLCN không chính xác hoặc sai lệch; cập nhật DLCN không đầy đủ; cập nhật, xử lý DLCN đã lỗi thời; xóa DLCN không còn cần thiết cho mục đích xử lý dữ liệu đó. 

Việc xử lý DLCN của trẻ em phải chấm dứt trong trường hợp: Đã hoàn thành mục đích thu thập hoặc không còn cần thiết cho mục đích đó và được yêu cầu bởi chủ thể dữ liệu và người giám hộ theo quy định của pháp luật; cha mẹ hoặc người giám hộ rút lại sự đồng ý cho phép xử lý DLCN của trẻ em; theo yêu cầu của cơ quan chức năng có thẩm quyền khi có đủ căn cứ chứng minh việc xử lý DLCN gây ảnh hưởng tới quyền và lợi ích hợp pháp của trẻ em.

Cũng theo dự thảo Nghị định, việc xử lý DLCN phục vụ công tác nghiên cứu khoa học hoặc thống kê ở dạng mã hóa không cần có sự đồng ý của chủ thể dữ liệu. Trước khi bàn giao DLCN để xử lý dữ liệu phục vụ công tác nghiên cứu khoa học hoặc thống kê, dữ liệu nhận dạng một người phải được khử nhận dạng và thay thế bằng mã. Giải mã và khả năng giải mã chỉ được phép thực hiện phục vụ công tác nghiên cứu khoa học hoặc thống kê. Bên xử lý DLCN chỉ định bằng văn bản một người cụ thể có quyền truy cập vào thông tin cho phép giải mã. Kết quả xử lý DLCN phục vụ công tác nghiên cứu khoa học hoặc thống kê không thể tổng hợp thành thông tin của một chủ thể dữ liệu cụ thể.

Đối với chủ thể DLCN đã chết, việc xử lý DLCN liên quan đến chủ thể dữ liệu chỉ được thực hiện theo di chúc hoặc sự đồng ý bằng văn bản của người theo thứ tự hàng thừa kế theo quy định pháp luật nếu khác với thỏa thuận đã có sự đồng ý của chủ thể dữ liệu với bên xử lý DLCN và bảo đảm quy định Nghị định này.

Đọc thêm