vấn đề bảo vệ dữ liệu cá nhân”, Tạp chí Tòa án nhân dân, 11: Bài viết chỉ ra được hình thức thể hiện của quyền được lãng quên trên không gian mạng theo pháp luật Liên minh châu Âu và liê
Khái quát về quyền được lãng quên
Nguồn gốc quyền được lãng quên
Quyền được lãng quên có nguồn gốc từ thuật ngữ le droit à l'oubli của Pháp, cho phép người từng phạm tội đã chấp hành xong hình phạt phản đối việc công khai dữ liệu liên quan đến vụ án và quá trình thi hành hình phạt của mình Hệ thống tư pháp Pháp nhấn mạnh ý nghĩa của việc tái hòa nhập cộng đồng, coi đó như cơ hội để người phạm tội quên đi quá khứ và hướng tới tương lai tốt đẹp hơn Theo luật Pháp, quyền được quên không chỉ áp dụng trong lĩnh vực hình sự mà còn trong dân sự, với thời hạn quên tùy thuộc vào từng loại đối tượng, như các loại tội phạm khác nhau Ngoài ra, ngành ngân hàng cũng chấp nhận khái niệm này như quyền xóa dữ liệu cá nhân của khách hàng sau một khoảng thời gian hợp lý Pháp là quốc gia đi đầu trong việc thực hiện quyền này từ cuối những năm 1970, theo Điều 36 của Luật 78-17/1978, công nhận quyền yêu cầu xóa dữ liệu cá nhân khi không còn phù hợp hoặc cần thiết.
5 Jeffrey Rosen (2012), “The Right To Be Forgotten”, Stan Law Review, (88), p 89
6 Michael J Kelly and David Satolam (2017), The Right to Be Forgotten, University of Illinois Law Review, p 25)
7 Mario Viola de Azevedo Cunha (2013), “Market Integration Through Data Protection”, Springer, (1), p 89-90
Từ đó, thuật ngữ "droit à l'oubli" bắt đầu được một số quốc gia và khu vực biết đến và áp dụng trong các quy định pháp lý của họ (Nguồn: https://www.ssi.ens.fr/textes/a78-17-text.html#art40, truy cập ngày 05/5/2022) Thuật ngữ này không còn phù hợp trong một số ngữ cảnh, nhưng vẫn giữ vai trò quan trọng trong sự phát triển của khung pháp lý về quyền riêng tư và quyền kiểm soát thông tin cá nhân trên mạng.
Tại Ý, quyền được lãng quên đã được công nhận và bảo vệ hợp lý bởi Cơ quan Bảo vệ dữ liệu Ý (IDPA) và các tòa án Các thẩm phán tại tòa án Ý bắt đầu đề cập đến quyền này từ giữa những năm 1990, trong khi các tài liệu pháp lý đã xác nhận sự tồn tại của quyền được lãng quên từ đầu những năm 1980 Tuy nhiên, trong cuộc tranh luận về sự xuất hiện của quyền được lãng quên tại Ý, còn tồn tại hai quan điểm khác nhau, phản ánh những góc nhìn đa dạng về vấn đề này.
Quyền được lãng quên được suy luận từ Điều 2 của Hiến pháp Ý số 10, trong đó quy định rằng "Quốc gia công nhận và bảo đảm các quyền bất khả xâm phạm của con người, dù ở tư cách cá nhân hay trong các nhóm quan hệ xã hội." Dựa trên nguyên tắc này, vào năm 1996, Tòa án Rome đã xác nhận quyền này như một phần của quyền cá nhân cơ bản của người dân.
Hiến pháp định hình như một điều khoản chung, mở rộng khả năng bao gồm các quyền mới phát sinh của con người Trong đó, mỗi cá nhân có quyền yêu cầu xóa bỏ thông tin cá nhân của chính mình, kể cả khi những thông tin đó đã tồn tại phổ biến và hợp pháp trong quá khứ Quyền này thể hiện nguyên tắc bảo vệ quyền riêng tư và quyền kiểm soát dữ liệu cá nhân của từng người trong thời đại số hóa.
Quyền được lãng quên không xuất phát từ các quy định của Hiến pháp hay luật quốc gia về bảo vệ dữ liệu cá nhân, mà xuất hiện từ cuối năm 1996 và phát triển độc lập với quyền bảo vệ dữ liệu Nghiên cứu của Maria A Biasiotti và Faro Sebastiano nhấn mạnh rằng quyền này phát sinh từ nhu cầu cân bằng giữa quyền riêng tư cá nhân và tự do ngôn luận, tồn tại khi dữ liệu không còn phù hợp để lưu trữ hoặc không còn lý do hợp lệ để duy trì Các tòa án Ý khi ra quyết định cần cân nhắc đến ba yếu tố chính: thời gian dữ liệu được công bố, các hình thức xử lý dữ liệu, và tính hợp pháp của việc lưu trữ dữ liệu đó, nhằm đảm bảo quyền được lãng quên phù hợp với các giá trị hiến pháp và lợi ích công cộng.
9 Maria A Biasiotti & Faro Sebastiano (2016), “The Italian perspective of the right to oblivion”, International
Review of Law, Computers & Technology, (30), p 5
10 Mario Einaudi (1948), “The Constitution of the Italian Republic.” The American Political Science Review,
11 Maria A Biasiotti & Faro Sebastiano, tlđd (9), p 8
12 Maria A Biasiotti & Faro Sebastiano, tlđd (9), p 11 thông tin cá nhân và (3) sự tham gia của chủ thể dữ liệu vào thực tế
Quyền được lãng quên xuất hiện tại Ý xuất phát từ thực tiễn xét xử của tòa án trong việc giải quyết yêu cầu xóa dữ liệu cá nhân không còn phù hợp tồn tại Theo quá trình phát triển án lệ ở Ý, quyền này mang ý nghĩa quan trọng trong việc cân bằng giữa quyền riêng tư và quyền tự do thông tin, tự do báo chí trước những thách thức do môi trường internet đặt ra.
Tại Đức, quyền được lãng quên được công nhận như một phần mở rộng của quyền nhân phẩm, nhằm hạn chế sự truy cập của bên thứ ba vào lịch sử phạm tội của cá nhân sau khi đã chấp hành xong hình phạt, giúp tạo điều kiện cho quá trình tái hòa nhập xã hội Đây là quyền quan trọng để bảo vệ danh dự và quyền riêng tư của người đã phục vụ hình phạt, giảm thiểu những ảnh hưởng tiêu cực từ quá khứ tội phạm Ngoài ra, một số ý kiến cho rằng quyền này còn được xem xét trong các vấn đề liên quan đến hoạt động chính trị, như trong Chiến tranh thế giới thứ hai hoặc quá trình hoạt động của đảng cầm quyền ở Cộng hòa Dân chủ Đức cũ, mặc dù các kết luận về tác động của nó vẫn còn chưa rõ ràng.
Tại Liên minh châu Âu, Công ước 108 của Hội đồng EU được xem là cột mốc quan trọng trong việc quy định xử lý tự động dữ liệu cá nhân, có hiệu lực từ năm 1985 Công ước này là công cụ quốc tế đầu tiên nhằm bảo vệ cá nhân chống lại các hành vi lạm dụng dữ liệu, đặc biệt là trong quá trình thu thập, xử lý và chuyển dữ liệu xuyên biên giới Nó cũng cấm xử lý dữ liệu “nhạy cảm” như chủng tộc, chính trị, sức khỏe, tôn giáo, đời sống tình dục và hồ sơ tội phạm khi dữ liệu không còn phù hợp hoặc không có các biện pháp bảo vệ thích hợp Ngoài ra, công ước trao quyền cho cá nhân yêu cầu chỉnh sửa thông tin đã lưu trữ, đồng thời quy định rằng các quyền này chỉ có thể bị hạn chế khi có các lợi ích quan trọng hơn như an ninh quốc gia bị đe dọa.
13 Joris van Hoboken (2013), The Proposed Right to be Forgotten Seen from the Perspective of Our Right to
Remember, Freedom of Expression Safeguards in a Converging Information Environment, Publications Office of European Union, p 12
14 H Weber Rolf (2011), “The Right to be Forgotten: More than a Pandora’s Box?”, JIPITEC (2), p.120
15 Xem toàn văn Công ước 108 và hệ thống các Nghị định thư tại [https://www.coe.int/en/web/data- protection/convention108-and-protocol] (truy cập ngày 15/4/2022)
Quyền được lãng quên theo pháp luật EU không phải là một khái niệm hoàn toàn mới trong việc bảo vệ dữ liệu cá nhân Ngày 24/10/1995, Hội đồng châu Âu và Nghị viện châu Âu đã thông qua Chỉ thị bảo vệ dữ liệu cá nhân (CT 95/46/EC), nhằm bảo vệ quyền riêng tư của cá nhân và thúc đẩy tự do lưu chuyển dữ liệu giữa các quốc gia thành viên EU Chỉ thị này trao quyền cho chủ thể dữ liệu yêu cầu chỉnh sửa, xóa hoặc chặn dữ liệu không phù hợp hoặc không chính xác Tuy nhiên, văn bản này không có hiệu lực trực tiếp mà phải được các quốc gia thành viên quốc nội thông qua để đảm bảo quyền của cá nhân không bị xâm phạm.
Trong bối cảnh hiện đại hóa các quy tắc bảo vệ dữ liệu, ủy ban châu Âu đã bắt đầu xây dựng một khung pháp lý chung nhằm nâng cao quyền kiểm soát và quản lý dữ liệu cá nhân tại EU Năm 2010, ý tưởng về quyền được lãng quên bắt đầu hình thành trong các chính sách của EU, và đến năm 2012, đề xuất Quy định chung về bảo vệ dữ liệu (GDPR) chính thức ra đời Quy định này nhấn mạnh quyền được lãng quên như một quyền cơ bản của người dùng, thể hiện sự cam kết của EU trong bảo vệ quyền riêng tư Thực thi chính thức của GDPR bắt đầu từ ngày 25 tháng 5 năm 2018, với đặc điểm nổi bật là ràng buộc trực tiếp toàn bộ các quốc gia thành viên, không qua chuyển đổi thành quy định của từng quốc gia, nhờ đó đảm bảo tính thống nhất và hiệu quả trong công tác bảo vệ dữ liệu cá nhân.
Quyền được lãng quên đã chính thức có mặt trong pháp luật và thực tiễn xét xử của nhiều quốc gia EU, bắt nguồn từ Pháp Tuy nhiên, để áp dụng quyền này thống nhất trên toàn Liên minh châu Âu nhằm bảo vệ dữ liệu cá nhân trước các mối đe dọa từ mạng internet, mạng xã hội và công cụ tìm kiếm, thì việc ra đời của GDPR được xem là một giải pháp hiệu quả.
16 Xem toàn văn Chỉ thị tại [https://eur-lex.europa.eu/legal-content/en/TXT/?uriEX%3A31995L0046] (truy cập ngày 15/4/2022)
Article 12 of Directive 95/46/EC, adopted by the European Parliament and Council on October 24, 1995, emphasizes the importance of protecting individuals' personal data This directive governs the processing of personal data and ensures the free movement of such data within the European Union, balancing data privacy with data flow It mandates data controllers to implement appropriate safeguards to protect personal information and uphold individuals' rights, fostering trust in data handling practices across member states.
18 Xem toàn văn của GDPR tại [https://eur-lex.europa.eu/legal-content/EN/TXT/?uriEX%3A32016 R0679] (truy cập lần cuối ngày 30/8/2022).
Khái niệm quyền được lãng quên
Quyền được lãng quên xuất hiện trong bối cảnh thế giới ngày càng thay đổi và tiến bộ nhanh chóng về công nghệ và internet Các công nghệ mới như giám sát điện tử, tài sản ảo, tiền ảo đã thúc đẩy cuộc tranh luận về quyền con người trực tuyến, đặc biệt là việc bảo vệ quyền riêng tư và tự do ngôn luận Trong xã hội số hóa, quyền được lãng quên thể hiện một bước tiến tự nhiên nhằm điều chỉnh các quyền cá nhân phù hợp với thực tiễn mới, làm thay đổi cách nhận thức về thế giới của mọi người Để hiểu rõ hơn về khái niệm này, luận văn sẽ phân tích mối liên hệ của quyền được lãng quên với các khái niệm tương đương trong quy định pháp luật, kết quả nghiên cứu của học giả và các bài báo Cuối cùng, luận văn đề xuất phân định các quan điểm pháp lý và xây dựng khái niệm rõ ràng về quyền được lãng quên trong kỷ nguyên số.
1.1.2.1 Mối quan hệ giữa thuật ngữ quyền được lãng quên với các khái niệm tương đồng
Some concepts such as the "right to be forgotten," "right to erasure," "right to delete," "right to oblivion," "right to social forgetfulness," and "right to be forgotten" are considered to have similar meanings and are often used interchangeably.
Một số nhà nghiên cứu đồng tình trong việc sử dụng các thuật ngữ nhất định để thể hiện những khái niệm cụ thể và khác nhau, đồng thời thừa nhận rằng có những điểm khác biệt giữa chúng Việc công nhận sự đa dạng này là cần thiết để đảm bảo chính xác và rõ ràng trong nghiên cứu, góp phần nâng cao chất lượng phân tích và thấu hiểu các khái niệm liên quan.
In his 2012 study, C Terwangne emphasizes the importance of internet privacy and examines the evolving concepts of the right to be forgotten and the right to oblivion within digital environments Similarly, Napoleon Xanthoulis explores how a human rights-based approach can conceptualize the right to oblivion in the digital world, highlighting its significance for preserving individual privacy and autonomy online.
Trong bài viết của Aurelia Tamo và Damian George (2014), họ phân tích rõ ràng rằng “quyền được xóa” nhằm hạn chế khả năng tiếp cận và chỉnh sửa lịch sử dữ liệu, đồng thời trao quyền kiểm soát dữ liệu cho chính chủ thể dữ liệu Bên cạnh đó, sự khác biệt giữa “quyền được quên” và “quyền được xóa” còn thể hiện qua sự tham gia của các bên thứ ngoài chủ thể dữ liệu; cụ thể, “quyền được quên” thường do chủ sở hữu yêu cầu chủ thể xử lý dữ liệu xóa bỏ các thông tin cá nhân, trong khi “quyền được xóa” thường do chính chủ sở hữu trực tiếp thực hiện.
Cùng với đó, Terwangne cho rằng thuật ngữ “right to oblivion” trùng khớp với
Trong GDPR ngày nay, thuật ngữ “right to be forgotten” có ý nghĩa khác biệt so với “right to erasure” (quyền xóa dữ liệu), khi Terwangne nhấn mạnh rằng “right to erasure” tập trung vào việc hạn chế và ngăn chặn việc sử dụng trái phép dữ liệu cá nhân Trong khi đó, “right to be forgotten” bổ sung hai mục đích chính: cho phép cá nhân rút lại sự đồng ý và phản đối việc xử lý dữ liệu nhằm phục vụ lợi ích cộng đồng Đồng thời, “oblivion” ám chỉ quyền yêu cầu xóa dữ liệu và cấm sử dụng dữ liệu cá nhân, đặc biệt trong các nền tảng internet và mạng xã hội, nơi thuật ngữ này còn có thể dẫn đến lệnh cấm phổ biến dữ liệu thêm.
502 Bad GatewayUnable to reach the origin service The service may be down or it may not be responding to traffic from cloudflared
502 Bad GatewayUnable to reach the origin service The service may be down or it may not be responding to traffic from cloudflared
20 Paul Bernal, “A Right to Delete?” [https://ejlt.org/index.php/ejlt/article/view/75/144] (truy cập ngày 15/5/2022)
21 C Terwangne (2013), The right to be forgotten and the Informational Autonomy in the Digital Environment, Publication office of the EU, Luxembourg, p 1
502 Bad GatewayUnable to reach the origin service The service may be down or it may not be responding to traffic from cloudflared
“oblivion”, nhưng ở mức tối thiểu, GDPR cấp nhiều quyền kiểm soát hơn cho các chủ thể dữ liệu đối với dữ liệu cá nhân dưới hình thức xóa (erasure)
502 Bad GatewayUnable to reach the origin service The service may be down or it may not be responding to traffic from cloudflared
1.1.2.2 Các quan điểm pháp lý và đề xuất khái niệm quyền được lãng quên
Quyền được lãng quên đã trải qua quá trình hình thành, tồn tại và phát triển, thu hút sự quan tâm của cả giới nghiên cứu pháp luật lẫn các nhà phân tích xã hội Nhiều học giả đã nghiên cứu sâu về phạm vi và nội dung của quyền này, đề xuất nhiều quan điểm khác nhau để làm rõ ý nghĩa và ứng dụng của quyền được lãng quên trong xã hội hiện đại.
Quyền được lãng quên theo định nghĩa của Terwangne bao gồm ba khía cạnh chính Thứ nhất, quyền này cho phép xóa hồ sơ tư pháp sau một thời gian để bảo vệ danh tiếng và nhân phẩm của cá nhân, được công nhận trong các án lệ tại Đức và Pháp Thứ hai, quyền này do luật bảo vệ dữ liệu quy định, cho phép cá nhân kiểm soát và yêu cầu xóa hoặc ẩn thông tin cá nhân khi mục đích ban đầu đã đạt được, đồng thời phản đối việc thu thập dữ liệu không phù hợp Thứ ba, quyền này còn cho phép chủ thể dữ liệu yêu cầu xóa bỏ dữ liệu khi dữ liệu không còn phù hợp hoặc cần thiết nữa.
23 L Ambrose and Jef Ausloos, “The right to be forgotten across the pond,” Journal of Information policy, (3), p 2
The article discusses 25 rights that permit the omission of offenders' names after they have completed their sentencing, emphasizing privacy and rehabilitation considerations For further insights, see Lawrence Siry and Sandra Schmitz (2012), “A Right to Be Forgotten? - How Recent Developments in Germany May Affect the Internet Publishers in the US,” European Journal of Law and Technology, (3), p 3.
26 J Blanchette, G Johnson, “Data Retention and the Panoptic Society: The Social Benefits of Forgetfulness” [https://www.researchgate.net/publication/220175071] (truy cập ngày 21/5/2022)
27 C Terwangne, tlđd (21), p 10 mục đích tồn tại ban đầu, không đúng với thực tại hoặc dữ liệu đã hết hạn 28
Mặc dù đã trình bày các khía cạnh khác nhau về cách tiếp cận quyền được quên, tuy nhiên theo quan điểm của Terwangne, khái niệm này còn bỏ sót quyền xóa thông tin cá nhân do bên thứ ba đăng tải nếu thông tin đó ảnh hưởng đến chủ thể dữ liệu Thêm vào đó, ba khía cạnh nêu trên có thể trùng lặp khi dữ liệu thuộc diện được bảo vệ bởi các quy định của luật bảo vệ dữ liệu quốc gia.
Theo nghiên cứu của Hoboken, quyền được lãng quên có ba góc nhìn chính: thứ nhất, quyền này áp dụng khi hạn chế công bố dữ liệu về các tội phạm đã bị kết án nhằm thúc đẩy việc tái hòa nhập cộng đồng; thứ hai, quyền này phản ánh phản ứng của chủ thể dữ liệu đối với việc công khai và truy cập thông tin cá nhân trên internet; thứ ba, quyền này cho phép yêu cầu xóa dữ liệu khi dữ liệu không còn phù hợp hoặc bị xử lý trái pháp luật, chẳng hạn như không có sự đồng ý của chủ thể hoặc sau khi đã rút lại sự đồng ý.
Mối liên hệ giữa quyền được lãng quên và các quyền liên quan
Trong hệ thống pháp luật hiện hành của EU, quyền được lãng quên đóng vai trò quan trọng trong việc bảo vệ quyền cá nhân, đồng thời liên hệ mật thiết với quyền tự do ngôn luận, quyền tiếp cận thông tin và quyền riêng tư Các văn bản quốc tế như Điều 19 UDHR, Điều 19 ICCPR, Điều 10 ECHR và Điều 10 Hiến chương EU đều xác nhận mạnh mẽ quyền tự do ngôn luận và quyền tiếp cận thông tin như những quyền con người cơ bản, nhưng cũng ghi nhận rằng các quyền này có thể bị hạn chế trong những trường hợp cần thiết để bảo vệ quyền và danh dự của người khác Như vậy, quyền tự do ngôn luận và quyền tiếp cận thông tin không chỉ bảo vệ người phát ngôn và người tiếp nhận thông tin mà còn liên quan đến quyền của các cá nhân có thông tin được đề cập, đặt ra yêu cầu cân bằng giữa tự do cá nhân và các lợi ích hợp pháp khác trong pháp luật.
Các văn bản quốc tế như Điều 12 của UDHR, Điều 17 của ICCPR, Điều 8 của ECHR và Điều 7 của Hiến chương các quyền cơ bản của Liên minh châu Âu năm 2000 đều mở rộng quyền riêng tư một cách rõ ràng, bên cạnh quyền tự do ngôn luận và quyền tiếp cận thông tin.
Các hành vi can thiệp vào quyền riêng tư thường bị nghiêm cấm theo nguyên tắc, tuy nhiên quyền này không phải là tuyệt đối theo các quy định pháp luật Trong nhiều trường hợp, quyền riêng tư có thể bị giới hạn để bảo vệ lợi ích công cộng, an ninh quốc gia hoặc quyền tự do của người khác, như đã quy định tại Khoản 2 Điều 8 ECHR.
Mặc dù quyền tự do ngôn luận, quyền tiếp cận thông tin và quyền riêng tư đều được pháp luật bảo vệ chặt chẽ, nhưng chúng không phải là những quyền tuyệt đối và đều bị giới hạn trong những điều kiện nhất định Theo án lệ của Tòa án Nhân quyền châu Âu (ECtHR), các quyền này được tôn trọng như nhau và quyền nào sẽ ưu tiên hơn phụ thuộc vào từng tình huống cụ thể Ví dụ, khi một ấn phẩm báo chí phát hành có nội dung liên quan đến chính trị gia hoặc nhân vật công chúng, ECtHR có thể quyết định ưu tiên quyền tự do ngôn luận hơn quyền riêng tư để bảo vệ lợi ích của công chúng và tự do báo chí.
Trong một vụ kiện năm 2012 giữa diễn viên người Đức và tờ Bild, ECtHR đã chứng minh cách cân bằng quyền riêng tư và quyền tự do ngôn luận, quyền tiếp cận thông tin Cụ thể, vào năm 2004, tờ Bild đã đăng tải về việc diễn viên bị bắt giữ tại lễ hội bia Munich vì tàng trữ 0,23 gam cocaine, kèm theo bức ảnh diễn viên trong vai diễn cảnh sát trưởng của một bộ phim truyền hình nổi tiếng với tiêu đề “Cocaine! Cảnh sát”.
31 Axel Springer AG v Germany, Application no 39954/08 (ECtHR 7 February 2012), đoạn 87 Xem toàn văn [https://www.hr-dp.org/files/2013/09/07/CASE_OF_AXEL_SPRINGER_AG_v._GERMANY_.pdf] (truy cập ngày 08/7/2022)
32 Axel Springer AG v Germany, tlđd (31), đoạn 91
Cocaine là một chất ma túy thuộc nhóm kích thích gây nghiện, chiết xuất từ lá coca Trên phương tiện truyền thông, vụ việc liên quan đến một nhân vật trong phim bị bắt tại lễ hội bia München và sau đó bị kết án tàng trữ cocaine với mức phạt 18.000 EUR đã thu hút sự chú ý Nam diễn viên khởi kiện vì cho rằng tờ Bild vi phạm quyền riêng tư của mình, dẫn đến phán quyết sơ bộ cấm Springer xuất bản thêm bài báo và yêu cầu phạt 1.000 EUR Springer khiếu nại lên ECtHR, cho rằng phán quyết của tòa án Đức vi phạm quyền tự do ngôn luận ECtHR xác định rằng quyền tự do ngôn luận có thể bị giới hạn để bảo vệ quyền riêng tư, nhưng trong trường hợp này, với việc nguyên đơn là người nổi tiếng đã tiết lộ thông tin cá nhân trong các cuộc phỏng vấn, quyền tự do ngôn luận của báo chí có mức ưu tiên cao hơn quyền riêng tư của nam diễn viên Đồng thời, ECtHR nhấn mạnh cần có sự cân bằng hợp lý giữa quyền tự do ngôn luận của nhà xuất bản và quyền riêng tư của cá nhân để hạn chế tranh chấp pháp lý, đồng thời nhấn mạnh tầm quan trọng của cả hai quyền này.
Sự tiến bộ của khoa học công nghệ đặt ra thách thức trong việc bảo vệ dữ liệu cá nhân trước hoạt động thu thập, lưu trữ và sử dụng dữ liệu vào các mục đích khác nhau Chính vì vậy, GDPR ra đời nhằm bảo vệ chặt chẽ quyền của cá nhân liên quan đến dữ liệu của chính mình, đặc biệt là quyền được quên (quyền được lãng quên theo Điều 17), giúp cá nhân bảo vệ thông tin liên quan và cân bằng lợi ích giữa quyền riêng tư, tự do ngôn luận và quyền tiếp cận thông tin Quyền riêng tư nhằm giữ bí mật thông tin cá nhân, trong khi quyền tự do ngôn luận đảm bảo thông tin được cung cấp phù hợp nhu cầu cộng đồng; quyền được quên giúp biến các thông tin công khai thành dữ liệu riêng của chủ thể, phù hợp với các điều kiện nhằm cân bằng các quyền lợi này.
Quyền được lãng quên không phải là quyền riêng tư mà là một quyền độc lập phát sinh tại EU nhằm cân bằng giữa quyền riêng tư và quyền tự do ngôn luận cũng như quyền tiếp cận thông tin của con người.
34 Axel Springer AG v Germany, tlđd (31), đoạn 95
35 Axel Springer AG v Germany, tlđd (31), đoạn 108.
Nội dung của pháp luật Liên minh châu Âu về quyền được lãng quên
Chủ thể, đối tượng của quyền được lãng quên
1.2.1.1 Chủ thể của quyền được lãng quên
Chủ thể pháp luật được hiểu là cá nhân hoặc tổ chức có quyền và nghĩa vụ pháp lý rõ ràng Để trở thành chủ thể pháp luật, một đối tượng cần đáp ứng năng lực pháp luật, nhưng để trở thành chủ thể của một quan hệ pháp luật cụ thể, còn yêu cầu có năng lực hành vi pháp luật, tức là khả năng tự thực hiện các nghĩa vụ cũng như quyền theo quy định của pháp luật Chủ thể pháp luật gồm các cá nhân và tổ chức có năng lực pháp luật, và năng lực pháp luật chính là điều kiện thiết yếu để xác định ai là chủ thể pháp luật trong hệ thống pháp luật.
Trong GDPR, chủ thể liên quan quyền được lãng quên được phân thành chủ thể của quyền và chủ thể của nghĩa vụ:
Chủ thể của quyền, hay còn gọi là chủ thể dữ liệu, là cá nhân cần được xác định rõ ràng để có thể xem là chủ thể dữ liệu theo Điều 4 GDPR Để đáp ứng yêu cầu này, cá nhân đó phải nhận dạng được, tức là có khả năng xác định thông qua các phương thức trực tiếp hoặc gián tiếp, như tên, mã số nhận dạng, dữ liệu vị trí hoặc số nhận dạng trực tuyến Ngoài ra, các yếu tố về thể chất, sinh lý, bản sắc di truyền, tinh thần, kinh tế, văn hóa hoặc xã hội của cá nhân cũng được xem là những tiêu chí để xác định chủ thể dữ liệu theo quy định của GDPR.
Quyền chỉ bao gồm các cá nhân xác định rõ, không áp dụng cho pháp nhân hoặc cá nhân đã qua đời Đối với cá nhân, quyền này bắt đầu và kết thúc dựa trên năng lực pháp luật của họ Năng lực pháp luật là yếu tố quyết định khả năng bảo vệ quyền lợi của cá nhân trong hệ thống pháp luật Việt Nam.
Theo GDPR, các quyền liên quan đến dữ liệu cá nhân bắt đầu tồn tại từ khi cá nhân sinh ra và chấm dứt khi họ qua đời Những quyền này có thể được thực hiện trực tiếp bởi người có quyền hoặc thông qua người đại diện hợp pháp nếu quyền đó bị đe dọa hoặc gặp khó khăn trong việc thực thi.
GDPR trao cho chủ thể dữ liệu quyền kiểm soát dữ liệu cá nhân, bao gồm quyền nhận thông báo về các sự kiện liên quan đến xử lý dữ liệu và quyền truy cập dữ liệu theo phương pháp của đơn vị lưu trữ Cá nhân còn có quyền sửa đổi hoặc yêu cầu sửa đổi, xóa hoặc yêu cầu xóa dữ liệu khi đáp ứng các điều kiện như rút lại sự đồng ý hoặc dữ liệu không còn phù hợp Ngoài ra, GDPR còn cấp quyền chia sẻ dữ liệu, hạn chế chia sẻ dữ liệu và phản đối quá trình xử lý dữ liệu để bảo vệ quyền của chủ thể dữ liệu.
Chủ thể của nghĩa vụ trong xử lý dữ liệu gồm có các cá nhân, tổ chức chịu trách nhiệm về hoạt động xử lý dữ liệu và chịu trách nhiệm pháp lý liên quan Trên nền tảng internet và dựa vào quy mô dữ liệu, phạm vi chủ thể nghĩa vụ của quyền được lãng quên bao gồm các đơn vị kiểm soát dữ liệu, đơn vị xử lý dữ liệu, và cơ quan giám sát dữ liệu.
Đơn vị kiểm soát dữ liệu, theo Điều 4 GDPR, gồm cá nhân hoặc tổ chức, cơ quan công quyền và các cơ quan khác, có nhiệm vụ xác định mục đích cũng như phương tiện xử lý dữ liệu cá nhân Việc này có thể được thực hiện bởi chính các đơn vị đó hoặc thông qua sự phối hợp giữa các bên nhằm đảm bảo quyền riêng tư và bảo mật thông tin cá nhân theo quy định của GDPR.
Đơn vị xử lý dữ liệu là các cá nhân hoặc tổ chức, bao gồm pháp nhân, cơ quan công quyền hoặc các tổ chức khác, hoạt động thay mặt đơn vị kiểm soát dữ liệu để xử lý dữ liệu cá nhân Việc xác định rõ đơn vị xử lý dữ liệu giúp đảm bảo quyền riêng tư và tuân thủ các quy định về bảo vệ dữ liệu trong quá trình xử lý thông tin cá nhân.
Cơ quan giám sát dữ liệu là một cơ quan công quyền độc lập do các quốc gia thành viên EU thành lập, có nhiệm vụ chính là giám sát việc thực thi và tuân thủ GDPR Đây là cơ quan quan trọng đảm bảo quyền riêng tư của người dùng được bảo vệ theo quy định của pháp luật Việc thành lập cơ quan giám sát dữ liệu giúp tăng cường trách nhiệm và minh bạch trong quản lý dữ liệu cá nhân, đồng thời thúc đẩy doanh nghiệp tuân thủ các quy định về bảo vệ dữ liệu ở châu Âu.
Các chủ thể nghĩa vụ của quyền được lãng quên chủ yếu nhằm đảm bảo quá trình xử lý dữ liệu cá nhân tuân thủ đúng quy định của GDPR Trong quá trình này, các hoạt động như thu thập, lưu trữ, xử lý, chia sẻ hoặc tiêu hủy dữ liệu đều phải minh bạch và được thông báo rõ ràng đến chủ thể dữ liệu Nhóm chủ thể nghĩa vụ phải tôn trọng quyền của chủ thể dữ liệu, cung cấp công cụ để kiểm soát dữ liệu cá nhân, đồng thời chịu trách nhiệm về việc chia sẻ dữ liệu với các tổ chức khác Trong trường hợp xảy ra rủi ro rò rỉ dữ liệu, họ phải có trách nhiệm xử lý và thực hiện các biện pháp giảm thiểu rủi ro để bảo vệ quyền lợi của chủ thể dữ liệu.
Dựa trên các phân tích, quyền được lãng quên đặt ra các ràng buộc pháp lý quan trọng đối với chủ thể của quyền và nghĩa vụ, nhằm đảm bảo nguyên tắc GDPR được thực thi một cách hiệu quả Việc thực hiện quyền này giúp tăng cường bảo vệ dữ liệu cá nhân và đảm bảo tính minh bạch trong xử lý thông tin của các tổ chức Các quy định pháp lý liên quan thúc đẩy trách nhiệm của doanh nghiệp trong việc xử lý dữ liệu theo đúng quy chuẩn của GDPR Tổng thể, quyền được lãng quên là yếu tố không thể thiếu để đảm bảo quản lý dữ liệu cá nhân phù hợp với tiêu chuẩn toàn cầu và bảo vệ quyền lợi của cá nhân trong môi trường số hiện nay.
1.2.1.2 Đối tượng của quyền được lãng quên Đối tượng của quyền được lãng quên chính là lợi ích cá nhân có trong dữ liệu cá nhân Hay nói cách khác, vì dữ liệu cá nhân có khả năng nhận dạng chủ thể dữ liệu, nên lợi ích cá nhân của chủ thể dữ liệu dựa trên dữ liệu cá nhân
Dữ liệu cá nhân theo Điều 4(1) GDPR là bất kỳ thông tin nào liên quan đến một cá nhân, miễn là cá nhân đó có thể được xác định hoặc nhận dạng Thuật ngữ này được hiểu theo nghĩa rộng, bao gồm cả các dữ liệu như bản ghi thời gian làm việc của nhân viên, gồm thời gian bắt đầu, kết thúc hoặc thời gian nghỉ, miễn là liên quan đến một cá nhân xác định Dữ liệu đã được mã hóa hoặc giả danh nhưng vẫn có thể được dùng để nhận dạng người dùng vẫn thuộc phạm vi dữ liệu cá nhân và được bảo vệ quyền lãng quên theo GDPR Tuy nhiên, dữ liệu đã ẩn danh hoàn toàn và không thể nhận dạng lại người dùng thì không còn xem là dữ liệu cá nhân, do đó, việc ẩn danh phải đảm bảo không thể thay đổi được để thực hiện đúng quy định của GDPR.
GDPR không chỉ bảo vệ dữ liệu cá nhân nói chung mà còn nhấn mạnh đến danh mục dữ liệu cá nhân đặc biệt, hay còn gọi là dữ liệu nhạy cảm, có mức độ liên quan cao đối với từng cá nhân Dữ liệu này được quy định phải nhận sự bảo vệ nghiêm ngặt hơn so với các loại dữ liệu cá nhân thông thường để đảm bảo quyền riêng tư và an toàn của người dùng.
Dữ liệu này gồm có thông tin về nguồn gốc chủng tộc, dân tộc, quan điểm chính trị, tín ngưỡng, tôn giáo, dữ liệu di truyền và sinh trắc học nhằm mục đích nhận dạng duy nhất một cá nhân Ngoài ra, nó còn bao gồm các dữ liệu liên quan đến sức khỏe, thể chất, đời sống tình dục hoặc khuynh hướng tình dục của một người, giúp xác định và bảo vệ quyền riêng tư cũng như đảm bảo an ninh thông tin cá nhân.
Trường hợp áp dụng quyền được lãng quên
Theo quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR), Điều 17 cho phép chủ thể dữ liệu thực hiện quyền được lãng quên khi việc xử lý dữ liệu vi phạm quy định của GDPR hoặc luật của Liên minh, luật của quốc gia thành viên Người kiểm soát dữ liệu phải phản hồi yêu cầu của chủ thể dữ liệu một cách kịp thời, không quá một tháng, và có thể gia hạn tối đa hai tháng trong các trường hợp phức tạp hoặc số lượng yêu cầu lớn Trong quá trình gia hạn, người kiểm soát dữ liệu có nghĩa vụ thông báo cho chủ thể về lý do của sự chậm trễ và hành động sẽ thực hiện để xóa dữ liệu của chủ thể.
Theo quy định của GDPR, chủ thể dữ liệu có quyền yêu cầu thực hiện quyền được lãng quên, bao gồm yêu cầu xóa dữ liệu cá nhân trong các trường hợp như khi dữ liệu không còn cần thiết cho các mục đích thu thập, chủ thể rút lại sự đồng thuận hoặc khi dữ liệu đã xử lý trái phép Đây là một trong những quyền cơ bản của chủ thể dữ liệu nhằm bảo vệ quyền riêng tư và quyền kiểm soát thông tin cá nhân của mình Các tổ chức có nghĩa vụ xem xét và thực hiện yêu cầu xóa dữ liệu của chủ thể trong thời gian hợp lý, đồng thời thông báo nếu có bất kỳ lý do pháp lý nào khiến họ không thể thực hiện yêu cầu này.
Thứ nhất, dữ liệu cá nhân không còn cần thiết liên quan đến các mục đích mà chúng được thu thập hoặc xử lý
Khi thu thập dữ liệu cá nhân liên quan đến chủ thể dữ liệu, người kiểm soát phải cung cấp đầy đủ thông tin về danh tính và chi tiết liên hệ của kiểm soát viên hoặc nhân viên bảo vệ dữ liệu Đồng thời, họ cần thông báo rõ mục đích của quá trình xử lý dữ liệu cá nhân cũng như cơ sở pháp lý cho việc thu thập và xử lý dữ liệu, đảm bảo minh bạch và tuân thủ quy định về quyền riêng tư.
Việc thu thập dữ liệu cá nhân phục vụ cho các mục đích khác nhau, ví dụ như phân tích hành vi khách hàng để đáp ứng nhu cầu thị trường, giúp các công ty điều chỉnh phương thức tiếp cận và loại hàng hóa phù hợp Quá trình thu thập dữ liệu có thể diễn ra trực tiếp từ chủ thể hoặc đại diện hợp pháp, hoặc gián tiếp qua các bên thứ ba, nhưng luôn phải đảm bảo tính minh bạch và công bằng bằng cách thông báo về thời gian lưu trữ dữ liệu và quyền của chủ thể về việc truy cập, chỉnh sửa hoặc xóa dữ liệu Khi dữ liệu không còn phù hợp với mục đích ban đầu hoặc hết thời hạn lưu trữ, chủ thể dữ liệu có quyền yêu cầu xóa nhằm đảm bảo quyền riêng tư và tránh ảnh hưởng tiêu cực đến cá nhân.
Vào thứ hai, chủ thể dữ liệu đã rút lại sự đồng ý liên quan đến việc xử lý dữ liệu cá nhân của họ, đồng thời không có cơ sở hợp pháp nào khác để tiếp tục xử lý dữ liệu này Việc này phản ánh quyền của cá nhân trong việc kiểm soát thông tin cá nhân của mình theo quy định pháp luật về bảo vệ dữ liệu Khi chủ thể dữ liệu hủy bỏ sự đồng ý, các tổ chức và doanh nghiệp cần tôn trọng quyết định này và ngưng mọi hoạt động xử lý dữ liệu liên quan Điều này nhấn mạnh tầm quan trọng của việc duy trì sự minh bạch và tuân thủ các quy định về quyền của người dùng trong quản lý dữ liệu cá nhân.
Một điều kiện quan trọng để đảm bảo quá trình xử lý dữ liệu cá nhân hợp pháp là sự đồng ý của chủ thể dữ liệu, nghĩa là họ đã chấp thuận rõ ràng cho việc xử lý dữ liệu cá nhân của mình Đồng ý này phản ánh mức độ tự nguyện và minh bạch trong quá trình thu thập và sử dụng dữ liệu, giúp tăng cường tính hợp pháp và tin cậy trong hoạt động quản lý dữ liệu Việc đảm bảo có sự đồng ý trước khi xử lý dữ liệu không chỉ tuân thủ các quy định pháp luật về bảo vệ dữ liệu mà còn tạo dựng niềm tin với người dùng và khách hàng.
Theo Điều 12 (3) của GDPR, dữ liệu đặc biệt như dữ liệu nhạy cảm liên quan đến nguồn gốc dân tộc, quan điểm chính trị, tín ngưỡng, dữ liệu di truyền, sinh trắc học, sức khỏe, hoặc các đặc điểm về thể chất, đời sống tình dục và khuynh hướng tình dục đều được bảo vệ đặc biệt và việc xử lý dữ liệu này bị cấm trừ khi có sự đồng ý của chủ thể dữ liệu hoặc phù hợp với quy định của pháp luật quốc gia thành viên Trong trường hợp pháp luật của quốc gia thành viên không quy định rõ việc cấm xử lý dữ liệu đặc biệt, dữ liệu này vẫn có thể được xử lý nếu chủ thể dữ liệu đồng ý.
Dưới luật bảo vệ dữ liệu cá nhân, khi chủ thể dữ liệu rút lại sự đồng ý về việc xử lý dữ liệu, họ có quyền yêu cầu người kiểm soát hoặc xử lý dữ liệu thực hiện việc xóa dữ liệu cá nhân Chủ thể nghĩa vụ phải xóa dữ liệu trong thời hạn quy định khi nhận được yêu cầu, trừ khi còn cơ sở hợp pháp để tiếp tục xử lý dữ liệu, chẳng hạn như thực hiện các quyết định pháp lý, phán quyết của cơ quan nhà nước hoặc các trường hợp ngoại lệ nêu tại Mục 1.2.3 của luận văn.
Vào ngày thứ ba, chủ thể dữ liệu đã phản đối việc xử lý dữ liệu cá nhân khi người kiểm soát dữ liệu không đưa ra lý do chính đáng cho hoạt động này Việc đảm bảo quyền của người dùng trong việc kiểm soát thông tin cá nhân là rất quan trọng trong quản lý dữ liệu hiện nay Chỉ xử lý dữ liệu cá nhân khi có lý do hợp pháp và rõ ràng mới góp phần nâng cao tính minh bạch và thúc đẩy niềm tin của người dùng.
GDPR trao quyền cho chủ thể dữ liệu phản đối việc xử lý dữ liệu cá nhân bất cứ lúc nào nếu không có lý do chính đáng từ phía người kiểm soát dữ liệu Trong trường hợp dữ liệu được xử lý cho mục đích tiếp thị trực tiếp, chủ thể dữ liệu có quyền phản đối mọi hoạt động liên quan đến xử lý dữ liệu của họ dành cho mục đích này, bao gồm cả việc lập hồ sơ liên quan đến hoạt động tiếp thị.
Trong bối cảnh tiếp thị và bảo vệ dữ liệu cá nhân, "ông hoàng tiếp thị Apple" đã thực hiện các cập nhật chính sách quyền riêng tư với iOS 14.5, yêu cầu người dùng phải chọn tham gia chia sẻ mã định danh duy nhất cho nhà quảng cáo (IDFA) Công nghệ IDFA là nền tảng cốt lõi cho quảng cáo kỹ thuật số và cá nhân hóa trải nghiệm người dùng, nhưng việc từ chối chia sẻ sẽ hạn chế khả năng tiếp cận các thông điệp tiếp thị và làm giảm hiệu quả chiến dịch Ngược lại, đồng ý chia sẻ mã định danh đồng nghĩa với việc dữ liệu cá nhân của người dùng có nguy cơ bị tiết lộ và thu thập trái phép, gây ra những vấn đề đáng quan tâm về quyền riêng tư trong môi trường số hiện nay.
Trong các trường hợp xử lý dữ liệu không có lý do chính đáng, chủ thể dữ liệu có quyền phản đối và yêu cầu đơn vị kiểm soát hoặc xử lý dữ liệu xóa bỏ thông tin cá nhân của mình Quyền này giúp bảo vệ quyền riêng tư và thông tin cá nhân của người dùng trong quy trình xử lý dữ liệu Việc người dùng có thể yêu cầu xóa dữ liệu khi không còn phù hợp hoặc không được phép sử dụng là một phần quan trọng trong các quy định về bảo vệ dữ liệu cá nhân.
Thứ tư, dữ liệu cá nhân đã được xử lý bất hợp pháp
Vi phạm dữ liệu cá nhân không chỉ đơn thuần là việc mất hoặc bị đánh cắp dữ liệu, mà còn bao gồm mọi hình thức vi phạm bảo mật dẫn đến việc vô tình hoặc cố ý gây hại như phá hủy, thay đổi, tiết lộ hoặc truy cập trái phép dữ liệu cá nhân Các trường hợp vi phạm có thể xảy ra khi dữ liệu bị truy cập trái phép bởi bên thứ ba, hoặc khi dữ liệu được gửi đến địa chỉ không chính xác hoặc thiết bị chứa dữ liệu cá nhân bị mất Theo quy định của GDPR, việc xử lý dữ liệu cá nhân không tuân thủ các nguyên tắc như hợp pháp, công bằng, minh bạch, hạn chế mục đích, tối thiểu hóa dữ liệu, đảm bảo an toàn, chính xác, đều được xem là bất hợp pháp Người kiểm soát hoặc xử lý dữ liệu vi phạm các nguyên tắc này có thể bị xử lý pháp lý, và chủ thể dữ liệu có quyền yêu cầu xóa dữ liệu trái phép thông qua quyền được quên.
Vào thứ năm, dữ liệu cá nhân cần được xóa để đảm bảo tuân thủ các nghĩa vụ pháp lý theo luật Liên minh hoặc pháp luật của quốc gia thành viên mà người kiểm soát dữ liệu phải tuân theo Việc xóa dữ liệu đúng thời hạn giúp đảm bảo quyền riêng tư của người dùng và duy trì sự phù hợp với các quy định pháp lý về bảo vệ dữ liệu cá nhân.
App Tracking Transparency (ATT) is a privacy feature introduced in iOS 14.5 that requires apps to obtain user permission before tracking their activity across other apps and websites This update empowers users with greater control over their personal data, ensuring more transparency and privacy By prompting users to opt-in to tracking, ATT significantly limits the ability of third-party advertisers to gather detailed user information without explicit consent This change has impacted how advertisers and developers collect and utilize data, encouraging more privacy-conscious practices within the iOS ecosystem For more detailed insights, see Hamish Hector's explanation on TechRadar about what app tracking transparency means for iPhone privacy.
40 Xem toàn văn các nguyên tắc liên quan đến xử lý dữ liệu cá nhân tại Điều 5, GDPR
Trường hợp không áp dụng quyền được lãng quên
Quy định về bảo vệ dữ liệu của Liên minh châu Âu được xem là một bước tiến mới trong việc công nhận quyền được lãng quên trong kỷ nguyên số Tuy nhiên, quyền này không phải là tuyệt đối và bị giới hạn bởi các mục đích hợp lý của quá trình xử lý dữ liệu Trong những trường hợp nhất định, quyền được lãng quên sẽ không được áp dụng, đặc biệt khi dữ liệu cá nhân cần giữ lại để phục vụ các mục đích hợp pháp khác Vì vậy, dữ liệu cá nhân sẽ không bị xóa nếu nó thuộc vào các trường hợp cụ thể đã nêu ra trong quy định.
Thứ nhất, dữ liệu đang được xử lý để thực hiện quyền tự do ngôn luận và quyền tiếp cận thông tin
Sau khi được GDPR công nhận, quyền được lãng quên đã trở thành một quyền có cơ sở pháp lý vững chắc, tuy nhiên, quyền tự do ngôn luận và quyền tiếp cận thông tin của công chúng vẫn là những yếu tố hạn chế quyền này Vấn đề cốt lõi trong việc thực thi quyền được lãng quên chính là nỗ lực cân bằng giữa quyền cá nhân về quyền riêng tư và các quyền tự do khác của xã hội Các yếu tố này đặt ra thách thức trong việc xác định giới hạn phù hợp để bảo vệ quyền riêng tư mà vẫn duy trì quyền tự do thông tin.
42 Điều 13, Luật bảo vệ dữ liệu Tây Ban Nha năm 2018
43 Điều 45, Luật bảo vệ dữ liệu Pháp năm 2018
44 Điều 5, Luật bảo vệ dữ liệu Hà Lan năm 2019
Theo quy định tại Tiểu mục 3, Mục 6 Đạo luật Quyền riêng tư của Hungary năm 2018, quyền liên quan đến bảo vệ dữ liệu cá nhân không phải là quyền vô điều kiện, mà được xem xét dựa trên các nguyên tắc, chuẩn mực và lợi ích chung của Liên minh nhằm bảo vệ quyền tự do của người khác Trong việc cân bằng giữa quyền được lãng quên và quyền tự do ngôn luận cũng như quyền tiếp cận thông tin, thời gian tồn tại của nguồn thông tin là tiêu chí quan trọng để giải quyết mâu thuẫn Khi các sự kiện còn mang tính thời sự, quyền được thông tin sẽ được ưu tiên hơn, nhưng khi nguồn tin không còn mang tính thời sự, quyền được lãng quên sẽ được ưu tiên hơn quyền tự do ngôn luận và quyền tiếp cận thông tin.
Các giới hạn đối với quyền loại trừ dữ liệu cá nhân sẽ được các quốc gia thành viên xác định dựa trên quy định của GDPR nhằm đảm bảo sự cân bằng hợp lý giữa quyền được bảo vệ dữ liệu và quyền tự do ngôn luận, thông tin Mỗi quốc gia thành viên có nghĩa vụ thông báo cho Ủy ban EU về các quy định pháp luật liên quan tới các sửa đổi hoặc bổ sung ảnh hưởng đến GDPR Việc yêu cầu xóa dữ liệu cá nhân sẽ được xem xét dựa trên tác động của chủ thể dữ liệu đến công chúng, như mức độ phổ biến của nhân vật, thời gian dữ liệu tồn tại, bản chất của dữ liệu, và ảnh hưởng của dữ liệu đến danh dự hoặc uy tín của chủ thể.
Thứ hai, dữ liệu đang được xử lý để tuân thủ một nghĩa vụ pháp lý
Nghĩa vụ pháp lý của người kiểm soát và người xử lý dữ liệu liên quan đến việc thực hiện các hành vi bắt buộc theo luật liên minh hoặc luật quốc gia nhằm duy trì trật tự xã hội và bảo vệ nguồn lực quốc gia Khi thực hiện nghĩa vụ pháp lý hoặc thi hành quyền hạn chính thức, dữ liệu cá nhân không thể bị xóa theo yêu cầu của chủ thể dữ liệu, đặc biệt trong các trường hợp dữ liệu được thu thập và lưu trữ để phục vụ nhiệm vụ điều tra hoặc các mục đích công cộng khác như điều tra thuế, tài chính, tội phạm hoặc hoạt động tư pháp Do đó, quyền được lãng quên của chủ thể dữ liệu bị hạn chế trong các tình huống này.
Thứ ba, dữ liệu cần được xử lý vì lợi ích trong lĩnh vực sức khỏe cộng đồng
Dữ liệu liên quan đến sức khỏe hoặc thể chất của con người được xem là dữ liệu cá nhân đặc biệt và chỉ được xử lý khi có sự đồng ý của chủ thể hoặc theo quy định pháp luật không cấm Tuy nhiên, việc xử lý dữ liệu này có thể diễn ra mà không cần sự đồng ý nếu nhằm phục vụ mục đích phòng bệnh, y học nghề nghiệp, đánh giá khả năng làm việc, chẩn đoán y tế hoặc cung cấp dịch vụ chăm sóc sức khỏe, đồng thời phải đảm bảo yêu cầu bảo mật từ các chuyên gia y tế có nghĩa vụ giữ bí mật nghề nghiệp Trong bối cảnh xử lý dữ liệu sức khỏe, GDPR quy định các chuyên gia như bác sĩ, nha sĩ, y tá, nhà trị liệu, nhà khoa học lâm sàng, chuyên gia dinh dưỡng và tâm lý cần có trách nhiệm bảo vệ dữ liệu và chứng minh rằng việc xử lý là cần thiết vì lợi ích cộng đồng trong lĩnh vực sức khỏe cộng đồng Sức khỏe cộng đồng được hiểu là các yếu tố liên quan đến tình trạng sức khỏe, bệnh tật, khuyết tật, nhu cầu chăm sóc sức khỏe, nguồn lực con người và tài chính phân bổ cho chăm sóc sức khỏe; trong khi đó, lợi ích cộng đồng trong GDPR chủ yếu liên quan đến các hoạt động như theo dõi, thống kê, lập kế hoạch chương trình tiêm chủng, ứng phó với dịch bệnh hoặc thử nghiệm y học Tuy nhiên, thuật ngữ “lợi ích cộng đồng” không được định nghĩa rõ ràng trong GDPR, mà dựa trên mục đích xử lý dữ liệu để xác định các lợi ích liên quan đến sức khỏe cộng đồng như kiểm soát dịch bệnh, nghiên cứu lâm sàng, hoặc cải tiến thực hành y tế.
Ví dụ, một bác sĩ phẫu thuật sử dụng công cụ máy tính để lập kế hoạch lượng nhân lực và khối lượng công việc cần thiết cho quá trình phẫu thuật Công cụ này yêu cầu thu thập và phân tích dữ liệu sức khỏe của bệnh nhân nhằm nâng cao hiệu quả chăm sóc sức khỏe Trong trường hợp chủ thể dữ liệu yêu cầu xóa dữ liệu, bác sĩ phải chứng minh rằng việc xử lý dữ liệu là cần thiết vì lợi ích trong lĩnh vực sức khỏe cộng đồng.
Dữ liệu cần được xử lý nhằm mục đích lưu trữ vì lợi ích công cộng, nghiên cứu khoa học, nghiên cứu lịch sử hoặc mục đích thống kê, trong đó việc thực hiện quyền của người dùng được quên có thể gây cản trở hoặc làm suy giảm nghiêm trọng kết quả của quá trình xử lý dữ liệu đó.
Khi dữ liệu cá nhân được xử lý để lưu trữ vì lợi ích cộng đồng theo luật liên minh, các cơ quan công quyền hoặc tư nhân có trách nhiệm bảo quản, thẩm định, sắp xếp, mô tả, quảng bá, phổ biến và cung cấp quyền truy cập vào hồ sơ có giá trị lâu dài vì lợi ích chung Các quốc gia thành viên cũng được ủy quyền xử lý dữ liệu cá nhân cho mục đích lưu trữ, bao gồm cung cấp thông tin liên quan đến hành vi chính trị và tội phạm Đối với mục đích nghiên cứu khoa học, việc xử lý dữ liệu cá nhân cần hiểu rộng rãi, nhằm mục tiêu của EU là thúc đẩy các nghiên cứu có lợi cho cộng đồng.
Nghiên cứu khoa học trong khu vực châu Âu, theo Recital 159 và 157 của GDPR, được hiểu rộng rãi bao gồm phát triển công nghệ, nghiên cứu cơ bản, ứng dụng và nghiên cứu do tư nhân tài trợ, nhằm tạo ra kiến thức mới về các tình trạng y tế như tim mạch, ung thư và trầm cảm cũng như mối liên hệ lâu dài giữa các điều kiện xã hội như thất nghiệp và giáo dục với cuộc sống GDPR, đặc biệt Điều 89, không phân biệt giữa lợi ích công hay tư nhân trong nghiên cứu khoa học; nếu đáp ứng các yêu cầu hiện hành, việc xử lý dữ liệu cá nhân để nghiên cứu nhằm mục đích thương mại hay lợi ích tư nhân đều hợp pháp, ví dụ như các thử nghiệm lâm sàng của công ty dược hoặc nghiên cứu của các tổ chức giáo dục và công lập.
Recital 160 GDPR xác nhận rằng quy định về bảo vệ dữ liệu không áp dụng cho những người đã qua đời Dữ liệu của các đối tượng đã chết có thể được xử lý để nghiên cứu lịch sử và xây dựng gia phả mà không gặp hạn chế về quyền riêng tư Điều này giúp các nhà nghiên cứu dễ dàng truy cập và sử dụng dữ liệu này để phục vụ các mục đích nghiên cứu lịch sử và geneaology.
Theo Điều 79 (1) của Hiệp định chức năng của Liên minh châu Âu (TFEU) năm 2007, quyền được lãng quên là một quyền quan trọng của cá nhân trong lĩnh vực dữ liệu Tuy nhiên, cần lưu ý rằng nghiên cứu phả hệ có thể liên quan đến những người họ hàng còn sống của người đã mất; trong trường hợp này, GDPR vẫn sẽ được áp dụng để bảo vệ quyền của những cá nhân đó.
Theo Recital 162 GDPR, mục đích thống kê bao gồm các hoạt động thu thập và xử lý dữ liệu cá nhân cần thiết cho các cuộc điều tra thống kê hoặc để tạo ra kết quả thống kê Recital này cũng nhấn mạnh rằng kết quả của quá trình xử lý dữ liệu cho mục đích thống kê không phải là dữ liệu cá nhân mà là dữ liệu tổng hợp, nhằm đảm bảo quyền riêng tư và bảo mật thông tin cá nhân trong quá trình phân tích và tổng hợp dữ liệu.
Theo định nghĩa này, dữ liệu tổng hợp không bao giờ được coi là dữ liệu cá nhân, đồng nghĩa với việc kết quả thống kê không còn bị điều chỉnh bởi GDPR Tuy nhiên, theo ý kiến từ WP29, để đạt được dữ liệu ẩn danh thực sự cần đáp ứng các yêu cầu cao của quá trình mã hóa dữ liệu, khiến tất cả dữ liệu tổng hợp dường như vẫn nằm trong phạm vi của GDPR Các học giả đã lập luận rằng Recital 162 của GDPR nhằm làm rõ rằng dữ liệu xử lý cho mục đích thống kê vẫn là dữ liệu cá nhân cho đến khi được ẩn danh thông qua dữ liệu tổng hợp, nghĩa là đến khi đạt được kết quả của hoạt động thống kê.
Dữ liệu đang được xử lý để thiết lập, thực hiện hoặc bảo vệ các tuyên bố hợp pháp Để áp dụng trường hợp loại trừ này, người xử lý dữ liệu phải chứng minh được việc xử lý dữ liệu là cần thiết cho mục đích pháp lý hoặc hành vi tư pháp cụ thể Yêu cầu pháp lý bao gồm không chỉ các thủ tục pháp lý hiện hành mà còn các quy trình tại tòa án, quá trình tư vấn luật, hoặc khi tòa án và hội đồng trọng tài thực hiện nhiệm vụ xét xử.