(KTSG) – Một trong những quy định quan trọng nhất của Nghị định 13 (Nghị định số 13/2023/NĐ-CP của Chính phủ) – có hiệu lực đến nay là một năm – là yêu cầu các bên kiểm soát dữ liệu phải có sự đồng ý của chủ thể dữ liệu (DL) trước khi xử lý DL cá nhân, trừ một số trường hợp đặc biệt.
Quy định này cho phép chủ thể DL biết và quyết định cách DL của mình được xử lý. Đây là bước tiến quan trọng trong việc bảo vệ quyền về DL cá nhân, phù hợp với xu hướng toàn cầu. Tuy nhiên, bên cạnh những điểm tích cực, thực tiễn thi hành việc lấy “sự đồng ý” theo yêu cầu của Nghị định 13 cũng bộc lộ một số bất cập, tạo gánh nặng cho doanh nghiệp với vai trò là bên kiểm soát/bên kiểm soát và xử lý DL cá nhân (gọi chung là bên kiểm soát) và cần có sự điều chỉnh ngay trong bối cảnh Luật Bảo vệ dữ liệu cá nhân đang được đề xuất xây dựng(1).
- Bảo vệ dữ liệu cá nhân: Quá khó để doanh nghiệp tuân thủ quy định
- Bảo vệ dữ liệu cá nhân tại doanh nghiệp: Lo mất bò làm chuồng không dễ?
Thế nào là “sự đồng ý” trong xử lý dữ liệu cá nhân?
Sự đồng ý được hiểu là việc thể hiện rõ ràng, tự nguyện, khẳng định việc cho phép xử lý DL cá nhân của chủ thể DL(2). Như vậy, Nghị định 13 đặt ra các đặc điểm cấu thành sự đồng ý gồm: i. sự rõ ràng (không mơ hồ, khó hiểu), ii. sự tự nguyện (không bị ép buộc hay miễn cưỡng), và iii. có chủ đích, thể hiện được ý chí của chủ thể.
Tiếp đến, để sự đồng ý có hiệu lực, chủ thể DL cần được biết và đồng ý với các nội dung liên quan đến mục đích, loại dữ liệu được xử lý, tổ chức, cá nhân được xử lý dữ liệu, các quyền và nghĩa vụ của chủ thể DL(3). Và Nghị định 13 nhấn mạnh một lần nữa tính chủ đích và chủ động thể hiện ý chí của chủ thể DL ở quy định “sự im lặng hoặc không phản hồi sẽ không được coi là sự đồng ý(4).
Để thể hiện quyền tự chủ, chủ thể DL còn có quyền đồng ý với một hoặc nhiều mục đích, đồng ý một phần, đồng ý kèm theo điều kiện nhất định; và sự đồng ý cần được thể hiện ở một định dạng phù hợp và đảm bảo khả năng chứng minh khi có yêu cầu hoặc xảy ra tranh chấp(5).
Như vậy, với quy định về sự đồng ý tại Nghị định 13 các hình thức tự động tích sẵn ô đồng ý hoặc quy định “tiếp tục sử dụng dịch vụ được xem là đồng ý với chính sách bảo mật” hay được các doanh nghiệp, đặc biệt là các doanh nghiệp cung ứng sản phẩm, dịch vụ trên nền tảng trực tuyến đều sẽ có rủi ro không đáp ứng yêu cầu của sự đồng ý và không phải là “sự đồng ý có hiệu lực”(6).
Một số bất cập khi xin sự đồng ý
Nếu doanh nghiệp với tư cách là người sử dụng lao động (NSDLĐ) quy định trong chính sách nhân sự của công ty với các biện pháp, chương trình khuyến khích gắn kết cho người lao động (NLĐ) như quà tặng cho các dịp đặc biệt, mua bảo hiểm sức khỏe, tặng thưởng cho con của NLĐ… nhưng để được hưởng các chương trình cụ thể này, DL cá nhân của những cá nhân liên quan cần được cung cấp và xử lý nhưng trong thực tế NSDLĐ khó có thể trực tiếp lấy được sự đồng ý của những chủ thể này.
Trong thực tiễn, NSDLĐ sẽ lựa chọn cách yêu cầu người cung cấp DL cá nhân (mẹ) tự cam kết, bảo đảm rằng họ có quyền cung cấp dữ liệu của chủ thể khác (con) và đã đạt được sự đồng ý hay ủy quyền hợp lệ, và bồi thường thiệt hại nếu xảy ra vi phạm… Tuy nhiên, biện pháp này vẫn ẩn chứa nhiều rủi ro mà doanh nghiệp chưa lường hết được, như: i. khả năng xin sự đồng ý của người cung cấp dữ liệu cũng như khả năng chịu trách nhiệm nếu để xảy ra tranh chấp, thiệt hại, và ii. doanh nghiệp là bên kiểm soát nên vẫn phải chịu trách nhiệm cuối cùng trong việc chứng minh sự đồng ý của chủ thể DL(7). Bất cập ở đây chính là không có “điểm chạm” với chủ thể DL để xin sự đồng ý.
Trong tình huống nêu trên là mối quan hệ lao động đã được xác lập, tức NLĐ đã là nhân sự của NSDLĐ nhưng giai đoạn trước đó (giai đoạn tiền hợp đồng) như gặp gỡ, trao đổi thông tin, tìm hiểu ứng viên… thì nhiều DL cá nhân cũng cần được xử lý cho mục đích tuyển dụng. Việc cung cấp thông tin cũng là nghĩa vụ được quy định trong Bộ luật Lao động 2019 bao gồm cả DL cá nhân(8).
Tuy nhiên, vì đây là giai đoạn tiền hợp đồng nên tinh thần của Nghị định 13 vẫn yêu cầu doanh nghiệp phải tiến hành xin sự đồng ý trước. Điều này vô hình trung tạo thêm các rào cản không cần thiết và thiếu tính thực tiễn, ít nhất là trong quan hệ lao động. Bất cập ở đây chính là thiếu sự cho phép xử lý DL cá nhân nhằm giao kết hợp đồng mặc dù Nghị định 13 đưa ra một quy định ngoại lệ khi xử lý DL cá nhân mà không cần xin sự đồng ý là “để thực hiện nghĩa vụ theo hợp đồng của chủ thể DL với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật” – nhưng ngoại lệ này chỉ áp dụng sau khi hợp đồng có hiệu lực(9).
Một tình huống nữa cũng phát sinh trong giai đoạn tiền hợp đồng của quan hệ lao động khi ứng viên chủ động liên hệ để ứng tuyển một vị trí mà doanh nghiệp đang tìm kiếm. Vậy, chỉ cần doanh nghiệp nhận và đọc thông tin của ứng viên thì hoạt động xử lý DL cá nhân đã bắt đầu. Trường hợp này không thể áp dụng quy định loại trừ là do “việc công khai DL cá nhân theo quy định của luật”(10) vì loại trừ này áp dụng cho hoạt động công khai dữ liệu và phải theo quy định của pháp luật.
Như vậy, trường hợp áp dụng sẽ được giải thích hợp lý là gắn liền với hoạt động của cơ quan có thẩm quyền hơn là với các tổ chức tư nhân. Theo đó, dù không phải là bên chủ động thu thập DL cá nhân các doanh nghiệp tiếp nhận hồ sơ ứng tuyển, theo Nghị định 13 sẽ vẫn phải tiến hành xin sự đồng ý. Đây là bất cập khi chủ thể DL tự nguyện và chủ động gửi thông tin nhưng bên thụ động nhận phải tiến hành xin sự đồng ý.
Một số kiến nghị
Như đã phân tích, việc dựa trên cơ sở chủ yếu là sự đồng ý khiến cho hoạt động xử lý DL cá nhân của bên kiểm soát gặp rất nhiều trở ngại. Do đó, nghiên cứu mở rộng thêm các cơ sở xử lý DL cá nhân là cần thiết để tạo điều kiện cho dòng chảy dữ liệu không bị hạn chế, làm ảnh hưởng đến hoạt động kinh doanh của doanh nghiệp mà vẫn đảm bảo được quyền của chủ thể DL không bị xâm phạm, tổn hại. Nhóm tác giả mạnh dạn đưa ra vài đề xuất về việc mở rộng thêm các cơ sở pháp lý để xử lý DL cá nhân mà không cần có sự đồng ý, cụ thể:
1. Cho phép xử lý DL cá nhân vì lợi ích chính đáng: là việc xử lý DL cá nhân cho một lợi ích hợp pháp (bao gồm lợi ích thương mại) của bên kiểm soát hoặc một bên thứ ba. Khi sử dụng cơ sở pháp lý này để xử lý DL cá nhân, bên kiểm soát có được sự cân bằng giữa lợi ích có thể đạt được với các tác động đến quyền và lợi ích của chủ thể DL. Đây là cơ sở phổ biến mà pháp luật nhiều quốc gia đang áp dụng rộng rãi trên cơ sở đảm bảo nghĩa vụ thông báo và công khai minh bạch các lợi ích chính đáng đến chủ thể DL(11).
2. Cho phép xử lý DL cá nhân nhằm mục đích giao kết, thực hiện hợp đồng: mở rộng phạm vi loại trừ dành cho cả giai đoạn tiền hợp đồng. Quy định loại trừ cần áp dụng cho tất cả các chủ thể là một bên trong quan hệ hợp đồng mà không chỉ giới hạn ở phía chủ thể DL. Quy định này sẽ tạo điều kiện thuận lợi hơn đáng kể cho giao dịch giữa các tổ chức, cá nhân có quan hệ với chủ thể DL. Việc mở rộng phạm vi áp dụng cũng phù hợp với tinh thần của các văn bản chuyên ngành như Luật Bảo vệ quyền lợi người tiêu dùng 2023, Luật Công nghệ Thông tin 2006…(12).
3. Cho phép xử lý DL cá nhân khi chủ thể DL tự nguyện gửi, chia sẻ thông tin: Khi chủ thể DL gửi thông tin đến bên kiểm soát một cách tự nguyện để nhằm đạt được mục đích mà chính chủ thể DL kỳ vọng thì việc xin sự đồng ý không mang nhiều ý nghĩa mà còn khiến cho quá trình xử lý DL cá nhân phức tạp không cần thiết. Do đó, nên cân nhắc đây là một trường hợp ngoại lệ không cần xin sự đồng ý trên cơ sở tự nguyện, có mục đích rõ ràng và chủ thể DL có lý do hợp lý để tin rằng DL cá nhân sẽ được xử lý cho mục đích đó. Pháp luật của một số quốc gia cũng ghi nhận đây là một trường hợp ngoại lệ(13).
Mời quý bạn đọc đón xem bài kỳ 2: Dữ liệu cá nhân của trẻ em và rút lại sự đồng ý – bất cập khi thực thi trên KTSG số 30-2024, phát hành vào ngày 25-7.
(*) Trưởng phòng Pháp chế HCLTech (Vietnam)
(**) Trọng tài viên VTA
(1) https://baochinhphu.vn/luat-bao-ve-du-lieu-ca-nhan-dap-ung-nhu-cau-bao-ve-su-dung-du-lieu-ngan-chan-xam-pham-102240509085035255.htm, truy cập 11-06-2024.
(2) Khoản 8, điều 2 Nghị định 13.
(3) Khoản 2 điều 12 Nghị định 13
(4) Khoản 6 điều 12, Nghị định 13.
(5) Khoản 4, 5 và 7 điều 12, Nghị định 13.
(6) Điều 11. Nghị định 13 quy định “Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý”.
(7) Khoản 8, điều 3; khoản 10 điều 11 Nghị định 13.
(8) Điều 16 Nghị định 13.
(9) Hợp đồng có hiệu lực mới làm phát sinh quyền, nghĩa vụ của các bên trong hợp đồng và khi đó việc xử lý DL cá nhân mới không yêu cầu sự đồng ý.
(10) Khoản 2 điều 17 Nghị định
(11) Một số quốc gia, khu vực sử dụng cơ sở lợi ích chính đáng để xử lý DL cá nhân như EU, Vương quốc Anh, Úc…
(12) Điều 21 Luật Công nghệ Thông tin 2006.
(13) Điều 15, Đạo luật Bảo vệ Dữ liệu Cá nhân 2012 (PDPA) của Singapore.
