Một trong những nguyên tắc cốt lõi của PDPL là: dữ liệu cá nhân chỉ được xử lý khi có căn cứ pháp lý hợp lệ, trong đó sự đồng ý của chủ thể dữ liệu là cơ sở phổ biến nhất trong thực tiễn.

Tuy nhiên, PDPL đồng thời đặt ra tiêu chuẩn rất chặt chẽ về điều kiện, hình thức, phạm vi và hiệu lực của sự đồng ý, cũng như quy định rõ các trường hợp ngoại lệ được phép xử lý dữ liệu mà không cần sự đồng ý. Bài viết này giúp doanh nghiệp hiểu đúng để thiết kế quy trình thu thập và sử dụng dữ liệu phù hợp ngay từ đầu.

1.     Sự đồng ý của chủ thể dữ liệu

Về nguyên tắc, chỉ được xử lý dữ liệu cá nhân khi chủ thể dữ liệu đồng ý cho phép xử lý dữ liệu.

Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân.

2.     Xử lý dữ liệu cá nhân không cần đồng ý của chủ thể dữ liệu

PDPL cho phép một số trường hợp ngoại lệ được phép xử lý dữ liệu cá nhân mà không cần sự đồng ý của chủ thể dữ liệu tại Điều 17 nhưng phải có cơ chế giám sát khi xử lý dữ liệu, gồm:

“a) Để bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác trong trường hợp cấp bách; bảo vệ quyền hoặc lợi ích chính đáng của mình, của người khác hoặc lợi ích của Nhà nước, của cơ quan tổ chức một cách cần thiết trước hành vi xâm phạm lợi ích nói trên. Bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba có trách nhiệm chứng minh trường hợp này;

b) Để giải quyết tình trạng khẩn cấp; nguy cơ đe dọa an ninh quốc gia nhưng chưa đến mức ban bố tình trạng khẩn cấp; phòng, chống bạo loạn, khủng bố, phòng, chống tội phạm và vi phạm pháp luật;

c) Phục vụ hoạt động của cơ quan nhà nước, hoạt động quản lý nhà nước theo quy định của pháp luật;

d) Thực hiện thỏa thuận của chủ thể dữ liệu cá nhân với cơ quan, tổ chức, cá nhân có liên quan theo quy định của pháp luật;

đ) Trường hợp khác theo quy định của pháp luật”.

Trong thực tế, rủi ro pháp lý thường không đến từ việc thiếu sự đồng ý, mà đến từ việc sự đồng ý không hợp lệ, không đủ rõ ràng hoặc không chứng minh được.

Ở bài tiếp theo, chuỗi chuyên đề sẽ phân tích một nội dung có rủi ro tuân thủ cao trong môi trường số hiện nay: chuyển dữ liệu cá nhân ra nước ngoài và nghĩa vụ đánh giá tác động tương ứng.

Bài viết: Bởi LLVN.

Hình minh họa: LLVN.

-------------------------------

Lawlink Việt Nam (LLVN) là hãng Luật cung cấp các giải pháp pháp lý cho các doanh nghiệp, doanh nhân về ĐẦU TƯ, hoạt động doanh nghiệp & kinh doanh, Mua bán & Sáp nhập; Tranh tụng và Giải quyết tranh chấp. Chúng tôi cung cấp dịch vụ trọn gói từ các khâu tư vấn mô hình hoạt động, đến giấy phép, hợp đồng, cấu trúc vốn và thu xếp vốn, dịch vụ kế toán & thuế, và đại diện. Các ngành mà chúng tôi thực hành liên tục gồm: Bất động sản & Xây dựng, Hạ tầng, Xử lý rác thải & môi trường, Y & Dược, Giáo dục, Fintech, Nông nghiệp, Truyền thông & Xuất bản, Thương mại điện tử.

-------------------------------

Liên hệ chúng tôi tại:

Website: www.lawlink.com

Instagram: lawlink.vietnam

Facebook: Lawlink Vietnam

Tel: +84 908 107 788

info@lawlinkvn.com 

Văn phòng Hồ Chí Minh

Phòng 22.02, Aqua 1, Vinhomes Golden River, Số 2 Tôn Đức Thắng, HCM