Ai được quyền khai thác, sử dụng dữ liệu cá nhân?
Hành vi tự ý thu thập thông tin cá nhân khi chưa có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó là vi phạm pháp luật.
Như báo Pháp Luật TP.HCM đã thông tin, ngày 9-8, hàng trăm người dân tại thị trấn Lao Bảo, huyện Hướng Hóa, Quảng Trị đã đến trụ sở Đội quản lý điện Lao Bảo (thị trấn Lao Bảo) để phản ánh việc đi ký hợp đồng mua bán điện nhưng lại bị lấy thông tin mở tài khoản ngân hàng.
Từ đây, nhiều bạn đọc đặt ra vấn đề về việc sử dụng và bảo vệ dữ liệu cá nhân được pháp luật quy định như thế nào?
Việc sử dụng thông tin cá nhân được quy định ra sao?
ThS Nguyễn Nhật Khanh, Giảng viên Trường ĐH Kinh tế - Luật (ĐH Quốc gia TP.HCM), cho biết Nghị định 13/2023 về bảo vệ dữ liệu cá nhân quy định dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.
Các chủ thể có quyền cung cấp, thu thập, khai thác dữ liệu cá nhân bao gồm: cá nhân chủ thể dữ liệu, bên kiểm soát dữ liệu cá nhân (là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu cá nhân), bên xử lý dữ liệu cá nhân (là tổ chức, cá nhân thực hiện việc xử lý dữ liệu thay mặt cho bên kiểm soát dữ liệu, thông qua một hợp đồng hoặc thỏa thuận với bên kiểm soát dữ liệu), bên kiểm soát và xử lý dữ liệu cá nhân (là tổ chức, cá nhân đồng thời quyết định mục đích, phương tiện và trực tiếp xử lý dữ liệu cá nhân) và các chủ thể có liên quan.
ThS Khanh lấy ví dụ: công ty A tuyển dụng và ký hợp đồng lao động với ba nhân viên X, Y, Z. Công ty A đã ký hợp đồng thuê một công ty D viết phần mềm quản lý nhân sự cho công ty A.
Trong tình huống này, các nhân viên X, Y, Z là chủ thể dữ liệu (về thông tin nhân sự); công ty A là bên kiểm soát dữ liệu để quản lý nhân sự, chi lương…; công ty D là bên xử lý dữ liệu, cung cấp dịch vụ viết phần mềm cho công ty A thì không được sử dụng dữ liệu này vào các mục đích khác.
Việc khai thác dữ liệu cá nhân phải tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân theo quy định. Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính hoặc xử lý hình sự.
Cụ thể, đối với việc xử phạt hành chính, Điều 84 Nghị định 15/2020 (sửa đổi, bổ sung bởi khoản 30 Điều 1 Nghị định 14/2022) quy định hành vi thu thập thông tin cá nhân khi chưa có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó hoặc cung cấp thông tin cá nhân cho bên thứ ba khi chủ thể thông tin cá nhân đã yêu cầu ngừng cung cấp sẽ bị xử phạt từ 10-20 triệu đồng (đối với tổ chức), từ 5-10 triệu đồng (đối với cá nhân).
Người dân tập trung tại Đội quản lý điện Lao Bảo để phản ánh việc bị lấy thông tin cá nhân. Ảnh: H.THƠ
Ngoài ra, phạt tiền từ 40-60 triệu đồng đối với tổ chức (20-30 triệu đồng đối với cá nhân) khi có hành vi sử dụng không đúng mục đích thông tin cá nhân đã thỏa thuận khi thu thập hoặc khi chưa có sự đồng ý của chủ thể thông tin cá nhân.
Từ đó, ThS Khanh khẳng định việc cá nhân, tổ chức tự ý thu thập, xử lý, khai thác, sử dụng dữ liệu cá nhân khi chưa được sự đồng ý của chủ thể dữ liệu (trừ các trường hợp không cần sự đồng ý của chủ thể dữ liệu), tổ chức các hoạt động thu thập, chuyển giao, mua bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.
Nói thêm, Luật sư (LS) Lâm Quang Quý (Đoàn LS TP.HCM) việc sử dụng các thông tin cá nhân, được pháp luật quy định và bảo vệ tại Điều 38 BLDS. Không ai được phép khai thác, sử dụng thông tin của cá nhân ngoại trừ khi cá nhân đó đồng ý hoặc trường hợp việc sử dụng đó vì lợi ích quốc gia, dân tộc, lợi ích công cộng.
Theo Điều 32 BLDS, trường hợp sử dụng hình ảnh của cá nhân từ các hoạt động công cộng như hội nghị, hội thảo… chỉ được thực hiện khi việc sử dụng hình ảnh đó không làm tổn hại đến danh dự, nhân phẩm, uy tín của cá nhân.
Cá nhân cần tự bảo vệ mình
Ở Việt Nam, tình trạng thu thập, sử dụng, mua bán dữ liệu cá nhân trái phép diễn ra tương đối phổ biến trong thời gian qua. Để tự bảo vệ mình, theo ThS Nguyễn Nhật Khanh, khi phát hiện dữ liệu cá nhân của mình bị sử dụng bất hợp pháp, hoặc sử dụng không đúng thỏa thuận ban đầu thì cần phải thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an (cơ quan chuyên trách bảo vệ dữ liệu cá nhân) chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm để cơ quan này xác minh vụ việc và xử lý theo quy định.
Việc gửi thông báo được thực hiện theo mẫu quy định tại Nghị định 13/2023 của Chính phủ.
Ngoài ra, mỗi cá nhân cần có ý thức tự bảo vệ dữ liệu cá nhân của mình với phương châm “phòng bệnh hơn chữa bệnh”. Trước khi cung cấp thông tin cho bất cứ cá nhân, tổ chức nào thông qua phương thức trực tiếp hay gián tiếp trên các nền tảng kỹ thuật số cũng cần phải có sự cân nhắc, kiểm tra kỹ lưỡng thông tin liên quan.
Cạnh đó, LS Quý cũng cho biết thêm, mọi công dân và tổ chức đều có quyền yêu cầu tòa án buộc tổ chức hoặc cá nhân chấm dứt hành vi vi phạm việc khai thác, sử dụng thông tin cá nhân trái pháp luật và bồi thường trong trường hợp chứng minh được thiệt hại theo Điều 4 BLTTDS và Điều 11, Điều 12 BLTTHS trong trường hợp hành vi vi phạm thông tin cá nhân đủ yếu tố cấu thành tội phạm.
Lấy thông tin người dân tạo tài khoản ngân hàng bị xử lý ra sao?
Liên quan đến vụ người dân tại thị trấn Lao Bảo, huyện Hướng Hóa, Quảng Trị bị lấy thông tin mở tài khoản ngân hàng khi đi ký hợp đồng điện, LS Trần Thị Thanh Thảo (Đoàn LS TP.HCM) cho biết trường hợp này, giao dịch để xác lập nên tài khoản ngân hàng sẽ vô hiệu theo Điều 122 BLDS vì thiếu điều kiện tự nguyện. Các tài khoản ngân hàng đã đăng ký sẽ bị hủy bỏ theo quy định tại Điều 131 BLDS về giải quyết hậu quả pháp lý của một giao dịch dân sự vô hiệu.
Còn theo LS Trần Minh Hùng (Đoàn LS TP.HCM), căn cứ theo Điều 84 Nghị định 15/2020 (sửa đổi, bổ sung bởi khoản 30 Điều 1 Nghị định 14/2022), cơ quan có thẩm quyền sẽ xác định việc các nhân viên lấy thông tin của người dân là chủ ý cá nhân hay làm việc theo chỉ đạo của tổ chức để quyết định xử phạt cá nhân hay tổ chức theo các mức phạt tương ứng.
Nguồn: [Link nguồn]
Bưu điện đã làm việc với ngân hàng và hủy 404 tài khoản trong vụ việc nhân viên bưu điện tự ý lấy thông tin của người dân để mở tài khoản ngân hàng.