Trong kỷ nguyên số, dữ liệu cá nhân được xem là tài sản đặc biệt. Tuy nhiên, nhiều doanh nghiệp vì lợi nhuận ngắn hạn đã bất chấp quy định, tự ý chuyển giao dữ liệu người dùng cho bên thứ ba. Hành vi này không chỉ xâm phạm quyền riêng tư mà còn đặt doanh nghiệp trước rủi ro pháp lý cực kỳ nghiêm trọng.

Hãy cùng chuyên gia ThS. Nguyễn Hữu Long phân tích tình huống thực tế dưới đây để thấy rõ mức độ nghiêm trọng.

1: Tóm tắt tình huống thực tế (The Case)

Công ty X (tại tỉnh H) kinh doanh ứng dụng mua sắm trực tuyến. Để tăng doanh thu, Giám đốc Công ty X đã âm thầm ký hợp đồng cung cấp tệp dữ liệu khách hàng (gồm số điện thoại, lịch sử mua hàng, địa chỉ nhà) cho một đối tác quảng cáo để thực hiện các chiến dịch tiếp thị qua điện thoại (telesale).

Khi người dùng liên tục bị làm phiền bởi hàng loạt cuộc gọi quảng cáo không mong muốn, họ đã phát hiện nguồn cơn bắt nguồn từ ứng dụng của Công ty X. Thay vì thành khẩn, Công ty X cho rằng họ không làm gì sai vì “trong điều khoản đăng ký mặc định đã có dòng chữ ‘người dùng đồng ý với các chính sách của công ty'”. Đây là một cách hiểu cực kỳ nguy hiểm.

2: Góc nhìn Pháp lý – “Lá chắn vững chắc”

Hành vi tự ý chuyển giao dữ liệu cá nhân khi chưa được sự đồng ý rõ ràng của chủ thể dữ liệu là vi phạm nghiêm trọng đồng thời Luật An ninh mạng và Nghị định về bảo vệ dữ liệu cá nhân.

Căn cứ Điều 19 Luật bảo vệ dữ liệu cá nhân 2025 quy định cơ quan, tổ chức, cá nhân có liên quan phải thiết lập cơ chế giám sát khi xử lý dữ liệu cá nhân trong trường hợp không cần sự đồng ý của chủ thể dữ liệu cá nhân bao gồm:

– Thiết lập quy trình, quy định xử lý dữ liệu cá nhân và xác định trách nhiệm của cơ quan, tổ chức, cá nhân trong quá trình xử lý dữ liệu cá nhân;

– Triển khai các biện pháp bảo vệ dữ liệu cá nhân phù hợp; thường xuyên đánh giá rủi ro có thể xảy ra trong quá trình xử lý dữ liệu cá nhân;

– Thực hiện kiểm tra, đánh giá định kỳ việc tuân thủ quy định của pháp luật, quy trình, quy định xử lý dữ liệu cá nhân;

– Có cơ chế tiếp nhận và xử lý phản ánh, kiến nghị từ cơ quan, tổ chức, cá nhân có liên quan.

Như vậy, cơ quan, tổ chức được xử lý dữ liệu cá nhân phải thiết lập cơ chế giám sát mới có thể xử lý dữ liệu cá nhân mà không cần có sự đồng ý của chủ thể dữ liệu cá nhân.

Căn cứ Điều 11 Nghị định 13/2023/NĐ-CP quy định về sự đồng ý của chủ thể dữ liệu chỉ có hiệu lực khi chủ thể dữ liệu tự nguyện và biết rõ các nội dung sau:

– Loại dữ liệu cá nhân được xử lý;

– Mục đích xử lý dữ liệu cá nhân;

– Tổ chức, cá nhân được xử lý dữ liệu cá nhân;

– Các quyền, nghĩa vụ của chủ thể dữ liệu.

– Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.

– Sự đồng ý phải được tiến hành cho cùng một mục đích. Khi có nhiều mục đích, Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân liệt kê các mục đích để chủ thể dữ liệu đồng ý với một hoặc nhiều mục đích nêu ra.

– Sự đồng ý của chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

– Sự im lặng hoặc không phản hồi của chủ thể dữ liệu không được coi là sự đồng ý.

– Chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo.

– Đối với xử lý dữ liệu cá nhân nhạy cảm, chủ thể dữ liệu phải được thông báo rằng dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm.

– Sự đồng ý của chủ thể dữ liệu có hiệu lực cho tới khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản.

– Trong trường hợp có tranh chấp, trách nhiệm chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.

– Thông qua việc ủy quyền theo quy định của Bộ luật Dân sự, tổ chức, cá nhân có thể thay mặt chủ thể dữ liệu thực hiện các thủ tục liên quan tới xử lý dữ liệu cá nhân của chủ thể dữ liệu với Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân trong trường hợp chủ thể dữ liệu đã biết rõ và đồng ý theo quy định tại khoản 3 Điều này, trừ trường hợp luật có quy định khác.

Các “điều khoản mặc định” hoặc “sự đồng ý gộp” mà không làm rõ mục đích chuyển dữ liệu cho bên thứ ba là không có giá trị pháp lý trong việc xác lập sự đồng ý hợp lệ.

Do đó, lập luận của Công ty X là hoàn toàn sai lệch. Việc mặc định người dùng đồng ý mà không thông báo rõ mục đích chuyển giao cho bên thứ ba là hành vi thu thập, sử dụng dữ liệu trái phép.

3: Góc nhìn Tâm lý – Giáo dục – Quản trị – “Chìa khóa nhân văn”

Góc nhìn Tâm lý:

Người tiêu dùng khi tải ứng dụng luôn mong đợi sự an toàn và minh bạch. Khi lòng tin bị lợi dụng, họ không chỉ xóa ứng dụng mà còn lan truyền sự phẫn nộ, tạo nên tâm lý “tẩy chay” thương hiệu. Một thương hiệu không bảo vệ được thông tin cơ bản của khách hàng thì không bao giờ xây dựng được sự gắn kết bền vững.

Góc nhìn Quản trị

Sai lầm của Công ty: X nằm ở tư duy “đi tắt đón đầu” trong quản trị rủi ro. Việc bán dữ liệu là con dao hai lưỡi. Doanh nghiệp không chỉ đối mặt với các khoản phạt hành chính khổng lồ theo Nghị định 13 mà còn phải đối mặt với nguy cơ bị đình chỉ kinh doanh, thu hồi giấy phép. Quản trị hiện đại đòi hỏi tính minh bạch (Transparency) và đạo đức kỹ thuật số (Digital Ethics) như một giá trị cốt lõi chứ không phải là lựa chọn.

 

4: Giải pháp toàn diện của Chuyên gia Nguyễn Hữu Long

Để sửa chữa sai lầm, Công ty X cần thực hiện ngay lộ trình 3 bước:

Bước 1 – Ngừng ngay mọi hoạt động chuyển giao: Chủ động yêu cầu bên thứ ba xóa bỏ toàn bộ dữ liệu đã nhận và chấm dứt các chiến dịch quảng cáo dựa trên nguồn dữ liệu này.

Bước 2 – Rà soát và Minh bạch hóa quy trình: Cập nhật lại chính sách bảo mật theo đúng quy chuẩn pháp luật, yêu cầu người dùng xác nhận lại sự đồng ý (Opt-in) cho từng mục đích sử dụng cụ thể. Đây là cách “cứu vãn” hình ảnh và sự tuân thủ pháp luật.

Bước 3 – Xây dựng uy tín từ sự chính trực: Doanh nghiệp cần công khai xin lỗi khách hàng và có biện pháp hỗ trợ bảo vệ họ khỏi các cuộc gọi spam. Sự thành thật trong kinh doanh sẽ chuyển hóa từ sự thù ghét của người dùng sang sự thấu hiểu và tin tưởng lâu dài.

GÓC NHÌN CHUYÊN GIA:

Bài viết này được xây dựng dựa trên sự tham vấn, tư vấn chuyên môn của ThS. Nguyễn Hữu Long – Chuyên gia Lãnh đạo, Pháp lý, Tâm lý & Giáo dục. Với tư duy tích hợp đa ngành, chúng tôi không chỉ mang lại lá chắn pháp lý vững chắc mà còn cung cấp giải pháp quản trị rủi ro và thấu cảm tâm lý toàn diện vì sự phát triển bền vững của cộng đồng.

Nếu bạn hoặc tổ chức của bạn đang gặp phải những vướng mắc tương tự về đất đai hoặc học đường, hãy liên hệ ngay với chúng tôi qua hotline hoặc để lại câu hỏi tại hệ thống website tuvanphapluattamlygiaoduc.vn hoặc qua số hotline: 0898.627.762 để được hỗ trợ kịp thời.

Từ khoá: Luật An ninh mạng; Bảo vệ dữ liệu cá nhân; Nghị định 13; Quyền riêng tư; Đạo đức doanh nghiệp.

 

Để lại một bình luận