CÓ ĐƯỢC CÔNG KHAI DỮ LIỆU CÁ NHÂN THEO NGHĨA VỤ TRONG HỢP ĐỒNG ĐÃ GIAO KẾT ĐƯỢC KHÔNG?

1.Có được kèm điều kiện bắt buộc đồng ý đối với sự đồng ý sử dụng dữ liệu cá nhân không?

Căn cứ Điều 9 Luật Bảo vệ dữ liệu cá nhân 2025 quy định về sự đồng ý của chủ thể dữ liệu cá nhân như sau:

Điều 9.Sự đồng ý của chủ thể dữ liệu cá nhân

1.Sự đồng ý của chủ thể dữ liệu cá nhân là việc chủ thể dữ liệu cá nhân cho phép xử lý dữ liệu cá nhân của mình, trừ trường hợp pháp luật có quy định khác.

2.Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi dựa trên sự tự nguyện và biết rõ các thông tin sau đây:

a)Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân;

b)Bên kiểm soát dữ liệu cá nhân hoặc bên kiểm soát và xử lý dữ liệu cá nhân;

c)Các quyền, nghĩa vụ của chủ thể dữ liệu cá nhân.

3.Sự đồng ý của chủ thể dữ liệu cá nhân được thể hiện bằng phương thức rõ ràng, cụ thể, có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

4.Sự đồng ý của chủ thể dữ liệu cá nhân phải bảo đảm các nguyên tắc sau đây:

a)Thể hiện sự đồng ý đối với từng mục đích;

b)Không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận;

c)Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu cá nhân thay đổi sự đồng ý đó hoặc theo quy định của pháp luật;

d)Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.

5.Chính phủ quy định chi tiết khoản 3 Điều này.

Theo đó sự đồng ý cá nhân đối với dữ liệu phải đảm bảo nguyên tắc không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận.

2.Có được công khai dữ liệu cá nhân theo nghĩa vụ trong hợp đồng đã giao kết được không?

Căn cứ Điều 16 Luật Bảo vệ dữ liệu cá nhân 2025 quy định công khai dữ liệu cá nhân như sau:

Điều 16.Công khai dữ liệu cá nhân

1.Dữ liệu cá nhân chỉ được công khai với mục đích cụ thể. Phạm vi công khai, loại dữ liệu cá nhân được công khai phải phù hợp với mục đích công khai. Việc công khai dữ liệu cá nhân không được xâm phạm đến quyền, lợi ích hợp pháp của chủ thể dữ liệu cá nhân.

2.Dữ liệu cá nhân chỉ được công khai trong các trường hợp sau đây:

a)Khi có sự đồng ý của chủ thể dữ liệu cá nhân;

b)Thực hiện theo quy định của pháp luật;

c)Trường hợp quy định tại điểm b khoản 1 Điều 19 của Luật này;

d)Thực hiện nghĩa vụ theo hợp đồng.

3.Dữ liệu cá nhân công khai phải bảo đảm phản ánh đúng dữ liệu cá nhân từ nguồn dữ liệu gốc và tạo thuận lợi cho cơ quan, tổ chức, cá nhân trong việc tiếp cận, khai thác, sử dụng.

4.Hình thức công khai dữ liệu cá nhân, bao gồm: đăng tải dữ liệu trên trang thông tin điện tử, cổng thông tin điện tử, phương tiện thông tin đại chúng và các hình thức khác theo quy định của pháp luật.

5.Cơ quan, tổ chức, cá nhân công khai dữ liệu cá nhân phải kiểm soát và giám sát chặt chẽ việc công khai dữ liệu cá nhân để bảo đảm tuân thủ đúng mục đích, phạm vi và quy định của pháp luật; ngăn chặn việc truy cập, sử dụng, tiết lộ, sao chép, sửa đổi, xóa, hủy hoặc các hành vi xử lý trái phép khác đối với dữ liệu cá nhân đã công khai trong khả năng, điều kiện của mình.

Theo đó dữ liệu cá nhân được công khai trong trường hợp thực hiện nghĩa vụ theo hợp đồng.

3.Mua bán dữ liệu cá nhân bị phạt mức phạt thế nào?

Căn cứ Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 quy định về xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân như sau:

Điều 8.Xử lý vi phạm pháp luật về bảo vệ dữ liệu cá nhân

1.Tổ chức, cá nhân có hành vi vi phạm quy định của Luật này và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

2.Việc xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân thực hiện theo quy định tại các khoản 3, 4, 5, 6 và 7 Điều này và pháp luật về xử lý vi phạm hành chính.

3.Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.

4.Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó; trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định tại khoản 5 Điều này thì áp dụng mức phạt tiền theo quy định tại khoản 5 Điều này.

5.Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.

6.Mức phạt tiền tối đa quy định tại các khoản 3, 4 và 5 Điều này được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức.

7.Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

Theo đó mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm.

Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực kể từ ngày 01/01/2026.

Nguồn: TVPL

Thực hiện: Luật sư Minh Huyền