Quy định về xử lý dữ liệu cá nhân của người đã chết hoặc đã mất tích

Xử lý dữ liệu cá nhân của người đã chết hoặc mất tích đòi hỏi sự tuân thủ nghiêm ngặt về thẩm quyền và thủ tục để bảo vệ di sản số và quyền riêng tư của họ. Để thực hiện đúng pháp luật, DPO.VN cung cấp giải pháp toàn diện giúp xác định rõ người có quyền đồng ý và quy trình thực hiện. Di sản kỹ thuật số, quyền của người thân, thủ tục pháp lý.

Ai là người có thẩm quyền hợp pháp cho phép xử lý dữ liệu của người đã chết hoặc mất tích?

Theo Điều 19 Nghị định 13/2023/NĐ-CP, người có thẩm quyền cho phép xử lý dữ liệu của người đã chết hoặc mất tích được xác định theo thứ tự ưu tiên: trước hết là vợ hoặc chồng, sau đó đến con thành niên, và cuối cùng là cha hoặc mẹ của người đó.

Khi một cá nhân qua đời hoặc bị tuyên bố mất tích, di sản kỹ thuật số của họ, bao gồm tài khoản mạng xã hội, email, hình ảnh, và các thông tin tài chính, vẫn tồn tại. Việc ai có quyền quyết định số phận của những dữ liệu này là một vấn đề pháp lý quan trọng, được quy định cụ thể để bảo vệ quyền lợi của cả người đã khuất và gia đình họ.

Thứ tự ưu tiên để xác định người có quyền đồng ý là gì?

Pháp luật quy định một hệ thống phân cấp rõ ràng về quyền đồng ý. Việc xác định đúng người có thẩm quyền là bước đầu tiên và quan trọng nhất để các tổ chức lưu trữ dữ liệu có thể xử lý yêu cầu một cách hợp pháp.

Khoản 1, Điều 19 của Nghị định số 13/2023/NĐ-CP đã thiết lập một trật tự ưu tiên không thể thay đổi để xác định người có quyền đưa ra sự đồng ý. Việc này giúp các tổ chức như ngân hàng, nhà cung cấp dịch vụ mạng xã hội, hay công ty bảo hiểm có một cơ sở pháp lý vững chắc để làm việc, tránh các tranh chấp phát sinh giữa những người thân trong gia đình.

Cụ thể, hệ thống phân cấp được quy định như sau:

• Ưu tiên 1: Vợ hoặc chồng. Người phối ngẫu hợp pháp là người đầu tiên có quyền quyết định đối với dữ liệu cá nhân của người đã mất hoặc mất tích.
• Ưu tiên 2: Con thành niên. Nếu người đã mất không có vợ hoặc chồng, hoặc người vợ/chồng không thể thực hiện quyền này, quyền quyết định sẽ được chuyển giao cho các con đã đủ 18 tuổi.
• Ưu tiên 3: Cha hoặc mẹ. Trong trường hợp không có vợ/chồng và con thành niên, cha, mẹ của người đã mất sẽ là người có thẩm quyền cuối cùng.

Luật sư Nguyễn Tiến Hảo chia sẻ: “Thực tế cho thấy, nhiều tranh chấp phát sinh khi các thành viên gia đình không hiểu rõ về thứ tự ưu tiên này. Ví dụ, cha mẹ của người đã mất muốn truy cập tài khoản ngân hàng trong khi người vợ/chồng vẫn còn sống và minh mẫn. Theo luật, yêu cầu của cha mẹ trong trường hợp này sẽ không hợp lệ. Do đó, các tổ chức cần xây dựng một quy trình xác minh chặt chẽ để đảm bảo chỉ làm việc với đúng người có thẩm quyền.”

Cần làm gì khi không có ai trong những người thuộc diện ưu tiên?

Theo Khoản 2, Điều 19 Nghị định 13/2023/NĐ-CP, nếu không có bất kỳ ai trong số những người được liệt kê (vợ/chồng, con thành niên, cha/mẹ), thì về mặt pháp lý, việc xử lý dữ liệu được coi là không có sự đồng ý.

Trong tình huống này, các tổ chức lưu trữ dữ liệu không được phép xử lý dữ liệu cá nhân của người đã chết hoặc mất tích dựa trên yêu cầu của những người thân khác như anh, chị, em, cô, dì, chú, bác. Dữ liệu sẽ được bảo vệ và giữ nguyên trạng theo chính sách của tổ chức và quy định của pháp luật, trừ khi thuộc các trường hợp ngoại lệ không cần sự đồng ý. Điều này đặt ra một thách thức lớn trong việc quản lý di sản số và nhấn mạnh tầm quan trọng của việc cá nhân nên có kế hoạch hoặc di chúc kỹ thuật số từ trước.

Quy trình và thủ tục yêu cầu xử lý dữ liệu của người đã khuất được thực hiện như thế nào?

Người có thẩm quyền cần chuẩn bị một bộ hồ sơ pháp lý đầy đủ để chứng minh nhân thân và quyền yêu cầu của mình, sau đó gửi yêu cầu bằng văn bản đến tổ chức đang lưu trữ dữ liệu. Tổ chức này có trách nhiệm xác minh và phản hồi theo quy định.

Để đảm bảo yêu cầu được xử lý một cách hợp pháp và nhanh chóng, cả người yêu cầu và tổ chức tiếp nhận đều phải tuân thủ một quy trình chặt chẽ. Việc này không chỉ bảo vệ quyền lợi của gia đình mà còn giúp tổ chức tránh được các rủi ro pháp lý do cung cấp thông tin sai đối tượng.

Cần chuẩn bị những giấy tờ pháp lý nào để chứng minh quyền yêu cầu?

Người yêu cầu phải cung cấp các giấy tờ chứng minh quan hệ nhân thân với người đã mất và giấy tờ tùy thân của mình. Mỗi trường hợp sẽ yêu cầu một bộ hồ sơ khác nhau tùy thuộc vào vị trí của họ trong thứ tự ưu tiên.

Một bộ hồ sơ đầy đủ và hợp lệ là yếu tố quyết định để yêu cầu được chấp thuận. Chính sách bảo vệ dữ liệu cá nhân của các tổ chức thường yêu cầu các tài liệu sau:

Ngoài các giấy tờ trên, người yêu cầu cần lập một văn bản yêu cầu xử lý dữ liệu cá nhân, trong đó nêu rõ:

• Thông tin của người yêu cầu và người đã mất.
• Căn cứ pháp lý cho quyền yêu cầu (ví dụ: là vợ/chồng…).
• Phạm vi dữ liệu cần xử lý (ví dụ: yêu cầu cung cấp sao kê tài khoản, xóa tài khoản mạng xã hội…).
• Mục đích của việc xử lý dữ liệu (ví dụ: để thực hiện thủ tục thừa kế, thông báo cho bạn bè…).

Doanh nghiệp, tổ chức có trách nhiệm gì khi tiếp nhận yêu cầu?

Tổ chức lưu trữ dữ liệu có nghĩa vụ xác minh chặt chẽ thẩm quyền của người yêu cầu, xử lý yêu cầu theo đúng quy định pháp luật, và bảo mật thông tin trong suốt quá trình. Việc giao dữ liệu cho sai người có thể dẫn đến hậu quả pháp lý nghiêm trọng.

Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân là rất lớn. Trách nhiệm của Bên Kiểm soát dữ liệu cá nhân không chỉ dừng lại ở việc bảo vệ dữ liệu khi chủ thể còn sống.

Quy trình xử lý nội bộ của doanh nghiệp nên bao gồm các bước sau:

1. Tiếp nhận yêu cầu: Ghi nhận yêu cầu và bộ hồ sơ kèm theo.
2. Xác minh thẩm quyền: Kiểm tra, đối chiếu các giấy tờ pháp lý để đảm bảo người yêu cầu có đủ quyền hạn theo Điều 19 Nghị định 13/2023/NĐ-CP. Đây là bước quan trọng nhất để tránh rủi ro.
3. Xử lý yêu cầu: Thực hiện các hành động được yêu cầu (cung cấp, xóa, sửa đổi dữ liệu) trong phạm vi pháp luật cho phép.
4. Phản hồi và lưu trữ: Thông báo kết quả xử lý cho người yêu cầu và lưu trữ toàn bộ hồ sơ liên quan để phục vụ cho việc giải trình sau này.

Trong trường hợp nào việc xử lý dữ liệu của người đã chết hoặc mất tích không cần sự đồng ý của gia đình?

Pháp luật quy định một số trường hợp ngoại lệ cho phép xử lý dữ liệu mà không cần sự đồng ý, chủ yếu để phục vụ lợi ích công cộng, an ninh quốc gia, hoặc thực thi pháp luật, theo quy định tại Điều 17 và Điều 18 Nghị định 13/2023/NĐ-CP.

Mặc dù nguyên tắc đồng ý là cốt lõi, vẫn có những tình huống đặc biệt mà lợi ích chung được đặt lên trên. Theo Điều 19 Nghị định 13/2023/NĐ-CP, việc xử lý dữ liệu của người đã chết hoặc mất tích không cần sự đồng ý của người thân nếu thuộc các trường hợp quy định tại Điều 17 và 18 của Nghị định này, bao gồm:

• Trường hợp khẩn cấp: Để bảo vệ tính mạng, sức khỏe của người khác.
• Phục vụ an ninh quốc gia: Trong các tình huống khẩn cấp về quốc phòng, an ninh quốc gia, trật tự an toàn xã hội, phòng chống tội phạm theo quy định của luật.
• Thực hiện nghĩa vụ theo hợp đồng: Để thực hiện các nghĩa vụ hợp đồng của chủ thể dữ liệu khi họ còn sống.
• Hoạt động của cơ quan nhà nước: Để phục vụ các hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành. Ví dụ, cơ quan điều tra có thể yêu cầu truy cập dữ liệu điện tử để phục vụ công tác phá án.
• Ghi âm, ghi hình tại nơi công cộng: Dữ liệu thu thập được từ các hoạt động này với mục đích bảo vệ an ninh quốc gia, trật tự xã hội cũng là một trường hợp ngoại lệ.

Phạm vi và mục đích xử lý dữ liệu của người đã khuất được pháp luật cho phép là gì?

Ngay cả khi có sự đồng ý hợp lệ, việc xử lý dữ liệu vẫn phải tuân thủ nguyên tắc bảo vệ dữ liệu cá nhân, đặc biệt là nguyên tắc giới hạn mục đích. Mọi hoạt động xử lý phải phù hợp với mục đích đã được người có thẩm quyền đồng ý.

Phạm vi xử lý không phải là không giới hạn. Người có thẩm quyền đồng ý cần nêu rõ mục đích xử lý trong văn bản yêu cầu, và tổ chức lưu trữ dữ liệu chỉ được phép thực hiện trong phạm vi đó.

Các mục đích xử lý hợp pháp và phổ biến bao gồm:

• Giải quyết các vấn đề pháp lý và tài chính: Truy cập sao kê ngân hàng, hợp đồng bảo hiểm để làm thủ tục thừa kế, thanh toán các khoản nợ.
• Quản lý tài khoản trực tuyến: Yêu cầu đóng, xóa hoặc chuyển tài khoản mạng xã hội, email thành tài khoản tưởng niệm. Điều này giúp ngăn chặn việc lạm dụng tài khoản và thông báo cho cộng đồng bạn bè của người đã mất.
• Mục đích tưởng niệm: Sử dụng hình ảnh, thông tin để tạo các trang tưởng niệm, xuất bản cáo phó. Tuy nhiên, việc sử dụng hình ảnh cho mục đích thương mại mà không có sự cho phép rõ ràng có thể là hành vi vi phạm.
• Thu hồi tài sản số: Truy cập vào các tài sản kỹ thuật số có giá trị như tên miền, tiền điện tử, tài khoản game có giá trị kinh tế.

Doanh nghiệp phải từ chối các yêu cầu xử lý dữ liệu vượt quá mục đích hợp lý hoặc có thể xâm phạm đến quyền riêng tư của người khác (ví dụ: đọc toàn bộ nội dung tin nhắn riêng tư có liên quan đến bên thứ ba).

Các Câu Hỏi Thường Gặp Về Xử Lý Dữ Liệu Của Người Đã Chết

Tài liệu tham khảo

• Toàn văn Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15
• Phân tích quy định về xử lý dữ liệu cá nhân của người đã chết.
• Facebook’s Policy on Memorialized Accounts.
• Google’s Inactive Account Manager Policy.