Tháng Tư 26, 2024
Xuất phát từ đặc điểm nhạy cảm và dễ bị tổn thương, dữ liệu cá nhân của trẻ em[i] được yêu cầu phải xử lý trên cơ đảm bảo quyền lợi và lợi ích tốt nhất cho trẻ em. Do đó, việc xin sự đồng ý hợp lệ trước khi xử lý dữ liệu cá nhân của trẻ em (trong trường hợp xử lý dựa trên cơ sở này) là hết sức cần thiết bởi điều này không chỉ đảm bảo việc xử lý hợp pháp mà còn cho phép trẻ em và cha, mẹ hoặc người giám hộ được tham gia vào quá trình ra quyết định và có quyền kiểm soát dữ liệu cá nhân.
Tuy nhiên, việc tuân thủ quy định của pháp luật về sự đồng ý trong xử lý dữ liệu cá nhân của trẻ em hiện nay đang đặt ra nhiều thách thức cho các tổ chức, doanh nghiệp, đặc biệt là các Bên Kiểm soát có thời gian xử lý dữ liệu cá nhân kéo dài. Bài viết này sẽ phân tích yêu cầu của pháp luật đối với dữ liệu cá nhân của trẻ em cũng như đề xuất một số phương án hỗ trợ Bên Kiểm soát trong việc xin sự đồng ý dựa trên những thực tiễn tốt hiện nay.
Trước khi Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”) ra đời, dữ liệu cá nhân của trẻ em được điều chỉnh bởi Nghị định số 56/2017/NĐ-CP hướng dẫn Luật Trẻ em (“Nghị định 56”). Theo đó, mặc dù không đề cập đến “dữ liệu cá nhân” nhưng Điều 33 Nghị định 56 đã xác định các thông tin bí mật đời sống riêng tư, bí mật cá nhân của trẻ em bao gồm “các thông tin về: tên, tuổi; đặc điểm nhận dạng cá nhân; thông tin về tình trạng sức khỏe và đời tư được ghi trong bệnh án; hình ảnh cá nhân; thông tin về các thành viên trong gia đình, người chăm sóc trẻ em; tài sản cá nhân; số điện thoại; địa chỉ thư tín cá nhân; địa chỉ, thông tin về nơi ở, quê quán; địa chỉ, thông tin về trường, lớp, kết quả học tập và các mối quan hệ bạn bè của trẻ em; thông tin về dịch vụ cung cấp cho cá nhân trẻ em”. Để sử dụng các thông tin này trên mạng, cơ quan, tổ chức, doanh nghiệp cung cấp dịch vụ trên môi trường mạng và cá nhân phải có được sự đồng ý của cha, mẹ, người chăm sóc trẻ em và trẻ em từ đủ 07 tuổi trở lên.
Tiếp nối tinh thần này, Nghị định 13 cũng quy định tương tự về sự đồng ý khi sử dụng dữ liệu cá nhân của trẻ em với những yêu cầu chi tiết hơn về chất lượng của sự đồng ý. Cụ thể, Điều 20 Nghị định 13 yêu cầu sự đồng ý từ cha, mẹ hoặc người giám hộ (sau đây gọi chung là người giám hộ) và trẻ em trong trường hợp trẻ em từ đủ 7 tuổi trở lên. Độ tuổi cần sự đồng ý của trẻ em nhất quán với các luật chuyên ngành khác khi trao quyền quyết định cho trẻ em, chẳng hạn như xem xét nguyện vọng sống cùng cha hoặc mẹ của trẻ từ đủ 07 tuổi khi cha mẹ ly hôn[ii]. Nhưng, tại bất cứ độ tuổi nào, việc xử lý dữ liệu cá nhân của trẻ em sẽ cần sự đồng ý của người giám hộ để đảm bảo lợi ích tốt nhất cho trẻ vì đối tượng này chưa có đủ hiểu biết và nhận thức để đánh giá được các rủi ro có thể xảy ra khi dữ liệu cá nhân của mình được xử lý bởi bất kỳ bên nào.
Ngoài ra, sự đồng ý cho việc xử lý dữ liệu cá nhân của trẻ em cũng cần đảm bảo điều kiện về một sự đồng ý hợp lệ theo quy định chung tại Nghị định 13, tức là được thể hiện rõ ràng, tự nguyện, khẳng định, trên cơ sở được biết đầy đủ các thông tin về hoạt động xử lý dữ liệu cá nhân (loại dữ liệu cá nhân và mục đích xử lý; các bên được xử lý; quyền và nghĩa vụ của bản thân). Đồng thời, để có được sự đồng ý phù hợp với yêu cầu thì pháp luật cũng đặt ra trách nhiệm cho các bên liên quan xác minh tuổi của trẻ em trước khi xử lý dữ liệu cá nhân.
Những điều kiện nêu trên sẽ đảm bảo việc xử lý dữ liệu cá nhân của trẻ em minh bạch, hợp pháp và phù hợp với lợi ích của nhóm đối tượng này. Nhưng, những yêu cầu này cũng đặt ra một bài toán khó về tuân thủ đối với các Bên Kiểm soát dữ liệu cá nhân nói chung khi mà khả năng nhận thức và hiểu biết của trẻ em còn hạn chế và chưa đủ trưởng thành để đưa ra một quyết định không phụ thuộc vào cảm tính (ví dụ như không vui nên không đồng ý). Đặc biệt, các tổ chức cần xử lý dữ liệu cá nhân trong khoảng thời gian dài, như công ty cung cấp dịch vụ bảo hiểm nhân thọ, dịch vụ chăm sóc y tế, dịch vụ giáo dục v.v. sẽ cần phải quản lý sự đồng ý trong thời gian dài và đảm bảo nó luôn hợp pháp. Chẳng hạn như khi sự đồng ý của người giám hộ có được vào thời điểm trẻ em 04 tuổi và việc xử lý vẫn tiếp tục cho đến khi trẻ em 09 tuổi. Khi đó, họ sẽ cần theo dõi để xin sự đồng ý bổ sung từ trẻ em khi trẻ em đủ 07 tuổi. Bên cạnh đó, quan điểm về sự đồng ý cũng có thể thay đổi theo sự phát triển của trẻ qua từng năm (như về suy nghĩ, mong muốn và mức độ hiểu biết), dẫn đến sự không ổn định của hoạt động xử lý dữ liệu cá nhân.
Tương tự với quy định của pháp luật Việt Nam, quy định chung về bảo vệ dữ liệu cá nhân của Châu Âu (GDPR) cũng đặt ra yêu cầu về sự đồng ý của trẻ em và người giám hộ (đối với người dưới 13 tuổi, hoặc tùy thuộc vào pháp luật của quốc gia thành viên). Trong quá trình thực hiện xin sự đồng ý của trẻ em và người giám hộ, các Bên Kiểm soát có thể tham khảo các thực tiễn tốt và hướng dẫn của Ủy ban Bảo vệ dữ liệu Châu Âu (EDPB) để thực hiện xin sự đồng ý của trẻ em.
Thứ nhất, đảm bảo quyền được biết của trẻ em. Là một chủ thể dữ liệu, trẻ em cũng cần được tiếp cận các nội dung liên quan đến việc xử lý dữ liệu cá nhân của mình trước khi đưa ra sự đồng ý. Tuy nhiên, nếu dùng chung một thông báo về xử lý dữ liệu cá nhân dành cho cả người lớn và trẻ em thì sẽ gây ra nhiều khó khăn cho đối tượng sau để có thể hiểu hết được các nội dung cần thiết (do ngôn ngữ được sử dụng chưa phù hợp với trình độ hiểu biết và nhận thức của các em). Do đó, các Bên Kiểm soát được khuyến nghị xây dựng một thông báo dành riêng cho trẻ em với các tiêu chí sau: (i) sử dụng ngôn ngữ dễ hiểu, rõ ràng; (ii) tránh các thuật ngữ chuyên ngành, cấu trúc câu phức tạp và từ hiếm gặp; (iii) được thể hiện bằng hình thức phù hợp như biểu đồ, tranh vẽ, đồ họa, v.v để trẻ hứng thú và dễ tiếp cận.[iii]
Thứ hai, cần thực hiện tốt bước xác minh tuổi của trẻ em. Việc xác minh tuổi sẽ đảm bảo Bên Kiểm soát có được sự đồng ý hợp lệ (của người giám hộ hay cả của trẻ em), do đó, có thể không cần chính xác độ tuổi mà chỉ cần xác định được trẻ dưới 07 tuổi hay từ đủ 07 trở lên. Một số biện pháp xác minh được gợi ý như xác minh thông qua câu hỏi mà trẻ em dưới 07 tuổi không trả lời được[iv] hoặc xác nhận bởi người giám hộ qua thư điện tử, tin nhắn, OTP, v.v. Đồng thời, các Bên Kiểm soát cần lưu trữ minh chứng về những “nỗ lực hợp lý”[v] của mình trong việc xác minh tuổi của trẻ em (để chứng minh sự đồng ý hợp lệ).
Thứ ba, sử dụng các phương thức phù hợp để tham khảo ý kiến của trẻ em. Bên Kiểm soát có thể xây dựng và cung cấp các mẫu đơn xin sự đồng ý phù hợp với lứa tuổi và trình độ phát triển của trẻ em (với ngôn ngữ dễ hiểu, trình bày rõ ràng, tránh các thuật ngữ chuyên ngành). Hoặc, các cách thức xin đồng ý khác cũng có thể được áp dụng chẳng hạn như lời nói, đoạn phim được ghi lại để dễ dàng hơn cho cả trẻ em và Bên Kiểm soát khi thực hiện.
Thứ tư, xác minh sự đồng ý của người giám hộ. Trường hợp người giám hộ là người liên hệ trực tiếp với Bên Kiểm soát thì việc xác minh là hết sức dễ dàng, nhưng với trường hợp trẻ em là người trực tiếp liên hệ với Bên Kiểm soát (ví dụ như khi chơi trò chơi trực tuyến) thì việc xác minh tư cách đưa ra sự đồng ý của người giám hộ sẽ cần chặt chẽ hơn (nhằm tránh việc trẻ em giả mạo người giám hộ hoặc người đưa ra sự đồng ý không có tư cách giám hộ/không phải cha, mẹ của trẻ). Việc xác minh có thể được thực hiện qua nhiều hình thức, ví dụ như qua tin nhắn, thư điện tử, qua việc thanh toán dịch vụ, v.v để đảm bảo sự đồng ý mà Bên Kiểm soát có được là hợp lệ.
Thứ năm, quản lý sự đồng ý của trẻ em. Sự đồng ý sẽ có thể biến đổi theo thời gian, cùng với sự phát triển và thay đổi của trẻ em trong nhận thức. Do đó, Bên Kiểm soát sẽ cần phải có cơ chế (thủ công hoặc tự động) để theo dõi sự đồng ý của trẻ em được đưa ra và rút lại (nếu có) trong mọi trường hợp, để xử lý dữ liệu cá nhân phù hợp với cơ sở pháp lý cho phép. Ngoài ra, việc theo dõi cũng cho phép Bên Kiểm soát xin bổ sung sự đồng ý một cách kịp thời khi trẻ em đủ 07 tuổi. Mặc dù việc tuân thủ là không dễ dàng nhưng các Bên Kiểm soát sẽ cần nỗ lực hết sức để đảm bảo việc xử lý dữ liệu cá nhân của tổ chức mình hợp pháp.
Tóm lại, việc xin sự đồng ý hợp lệ trước khi xử lý dữ liệu cá nhân của trẻ em là hết sức cần thiết, không chỉ để đảm bảo an toàn pháp lý cho tổ chức, tránh các rủi ro bị xử phạt vi phạm hành chính hoặc thậm chí là truy cứu trách nhiệm hình sự, mà còn nâng cao uy tín của tổ chức đối với chủ thể dữ liệu và thị trường. Dữ liệu cá nhân của trẻ em sẽ cần có sự đồng ý hợp lệ và đầy đủ, qua các bước xác minh phù hợp trước khi tiến hành xử lý. Dù vậy, cũng cần lưu ý rằng sự đồng ý thường không nên được coi như cơ sở chính để xử lý dữ liệu cá nhân, mà Bên Kiểm soát cần có những cơ sở hợp pháp và hợp lý khác để đảm bảo sự ổn định của hoạt động xử lý dữ liệu trong tổ chức mình./.
PrivacyCompliance.
[i] Là người dưới 16 tuổi – Điều 1 Luật Trẻ em năm 2016;
[ii] Điều 81.2 Luật Hôn nhân vầ gia đình;
[iii] EDPB – Guidelines on Transparency under Regulation 2016/679 (wp260rev.01);
[iv] https://commission.europa.eu/law/law-topic/data-protection/reform/rights-citizens/how-my-personal-data-protected/can-personal-data-about-children-be-collected_en
[v] https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/children-and-the-gdpr-1-0.pdf ; tr26
Bảo mật thông tin trong khám, chữa bệnh tại Việt Nam Bảo mật thông tin trong hoạt động khám chữa bệnh là một vấn đề vô cùng quan trọng. Việc rò rỉ thông tin của bệnh nhân sẽ gây ảnh hưởng tiêu cực đến tâm lý người bệnh và khiến họ phải gánh chịu nhiều […]
Learn more
Nhân sự bảo vệ dữ liệu cá nhân theo quy định của GDPR Chỉ định nhân sự quản lý dữ liệu cá nhân (“data protection officer – DPO”) là một trong những nghĩa vụ bắt buộc đối với Bên Kiểm soát và Bên Xử lý dữ liệu cá nhân trong một số trường hợp theo […]
Learn more
Bảo vệ thông tin người dùng trong mua sắm trực tuyến Sự phát triển nhanh chóng của các nền tảng mua sắm trực tuyến, cùng với ảnh hưởng dây chuyền từ sự xuất hiện của đại dịch COVID-19 khiến cho hoạt động mua sắm truyền thông đang dần bị thay thế bởi loại hình mua […]
Learn more