Khi nào xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu?

Xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu là các trường hợp ngoại lệ được pháp luật quy định chặt chẽ nhằm cân bằng giữa quyền riêng tư và lợi ích chung. Để đảm bảo tuân thủ, DPO.VN cung cấp giải pháp toàn diện giúp doanh nghiệp áp dụng đúng các cơ sở pháp lý này. Các trường hợp ngoại lệ, nghĩa vụ chứng minh và cơ chế giám sát.

Pháp luật Việt Nam quy định những trường hợp cụ thể nào cho phép xử lý dữ liệu cá nhân mà không cần sự đồng ý?

Pháp luật hiện hành tại Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (hiệu lực từ 01/01/2026) đều quy định 5 trường hợp ngoại lệ chính, bao gồm: bảo vệ tính mạng, sức khỏe; tình trạng khẩn cấp, an ninh quốc gia; phục vụ hoạt động của cơ quan nhà nước; thực hiện nghĩa vụ theo hợp đồng và các trường hợp khác do luật định.

Nguyên tắc cốt lõi của pháp luật bảo vệ dữ liệu cá nhân là phải có sự đồng ý của chủ thể dữ liệu trước khi xử lý. Tuy nhiên, để đảm bảo các lợi ích quan trọng của xã hội và cá nhân trong những tình huống đặc biệt, cả Nghị định 13/2023/NĐ-CP (Điều 17) và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (Điều 19) đều đưa ra các trường hợp ngoại lệ. Việc nắm vững các cơ sở pháp lý này giúp doanh nghiệp và tổ chức vận hành đúng luật, tránh được các rủi ro pháp lý không đáng có.

Dưới đây là bảng so sánh chi tiết các trường hợp được phép xử lý dữ liệu cá nhân không cần sự đồng ý giữa hai văn bản pháp luật quan trọng này:

Phạm vi áp dụng của trường hợp khẩn cấp để bảo vệ tính mạng, sức khỏe là gì?

Trường hợp này áp dụng khi có tình huống cấp bách, đe dọa trực tiếp đến tính mạng hoặc sức khỏe của một người, đòi hỏi phải xử lý dữ liệu ngay lập tức để ngăn chặn tổn hại, ví dụ như trong cấp cứu y tế hoặc thiên tai.

Đây là một trong những ngoại lệ quan trọng nhất, được quy định tại khoản 1 Điều 17 Nghị định 13/2023/NĐ-CP và khoản 1(a) Điều 19 Luật 91/2025/QH15.

Ví dụ thực tiễn: Một bệnh nhân được đưa vào phòng cấp cứu trong tình trạng bất tỉnh. Bệnh viện có quyền truy cập hồ sơ bệnh án điện tử của bệnh nhân (dữ liệu cá nhân nhạy cảm) để xem tiền sử bệnh, nhóm máu, dị ứng thuốc mà không cần chờ sự đồng ý của bệnh nhân hay người nhà. Hành động này là cần thiết để bảo vệ tính mạng của bệnh nhân.

💡 DPO.VN chia sẻ: Nghĩa vụ chứng minh trong trường hợp này rất quan trọng. Bên xử lý dữ liệu (ví dụ: bệnh viện) phải lưu lại hồ sơ, tài liệu chứng minh được tình trạng khẩn cấp tại thời điểm xử lý dữ liệu. Điều này có thể bao gồm biên bản cấp cứu, chẩn đoán của bác sĩ, hoặc các bằng chứng khác cho thấy việc xử lý dữ liệu là cấp thiết để cứu người.

Thế nào là xử lý dữ liệu để phục vụ an ninh quốc gia và phòng chống tội phạm?

Đây là trường hợp các cơ quan nhà nước có thẩm quyền (như Công an, Quốc phòng) xử lý dữ liệu cá nhân để thực hiện các nhiệm vụ điều tra, phòng chống tội phạm, khủng bố, bạo loạn, hoặc để đối phó với các mối đe dọa an ninh quốc gia theo quy định của pháp luật chuyên ngành.

Cơ sở pháp lý này được nêu tại khoản 3 Điều 17 Nghị định 13/2023/NĐ-CP và khoản 1(b) Điều 19 Luật 91/2025/QH15. Việc xử lý dữ liệu trong trường hợp này phải do các cơ quan có thẩm quyền thực hiện và tuân thủ nghiêm ngặt các quy định của pháp luật về an ninh quốc gia, tố tụng hình sự.

Ví dụ thực tiễn: Cơ quan điều tra có thể yêu cầu một nhà cung cấp dịch vụ viễn thông cung cấp dữ liệu về lịch sử cuộc gọi, tin nhắn, và dữ liệu vị trí của một nghi phạm khủng bố mà không cần sự đồng ý của người đó. Việc này nhằm phục vụ công tác điều tra và ngăn chặn một cuộc tấn công tiềm tàng.

Giới hạn của việc xử lý dữ liệu phục vụ hoạt động cơ quan nhà nước là gì?

Phạm vi này chỉ giới hạn trong các hoạt động xử lý dữ liệu cần thiết để cơ quan nhà nước thực hiện chức năng, nhiệm vụ, quyền hạn đã được pháp luật chuyên ngành quy định rõ ràng, không áp dụng cho các mục đích khác.

Đây là một ngoại lệ quan trọng giúp đảm bảo hiệu quả quản lý nhà nước, được quy định tại khoản 5 Điều 17 Nghị định 13/2023/NĐ-CP và khoản 1(c) Điều 19 Luật 91/2025/QH15.

Ví dụ thực tiễn: Cơ quan thuế xử lý dữ liệu về thu nhập, tài sản của cá nhân để tính và thu thuế thu nhập cá nhân. Hoạt động này được quy định bởi Luật Quản lý thuế và là cần thiết để thực hiện chức năng của cơ quan thuế, do đó không yêu cầu sự đồng ý riêng cho từng lần xử lý. Tuy nhiên, cơ quan thuế không được sử dụng dữ liệu này cho mục đích khác như gửi thông tin quảng cáo.

Xử lý dữ liệu để thực hiện nghĩa vụ hợp đồng được hiểu như thế nào?

Đây là việc xử lý dữ liệu cá nhân cần thiết và trực tiếp để thực hiện các quyền và nghĩa vụ đã được thỏa thuận trong một hợp đồng mà chủ thể dữ liệu là một bên. Việc xử lý phải hợp lý và nằm trong dự liệu của các bên khi ký kết hợp đồng.

Cơ sở pháp lý này được quy định tại khoản 4 Điều 17 Nghị định 13/2023/NĐ-CP và khoản 1(d) Điều 19 Luật 91/2025/QH15. Đây là trường hợp ngoại lệ phổ biến nhất trong hoạt động kinh doanh.

💡 DPO.VN chia sẻ: Một sai lầm phổ biến mà chúng tôi nhận thấy là doanh nghiệp diễn giải quá rộng khái niệm thực hiện hợp đồng để biện minh cho các hoạt động xử lý dữ liệu không cần thiết. Ví dụ, một sàn thương mại điện tử xử lý địa chỉ và số điện thoại của khách hàng để giao hàng là hợp lý theo hợp đồng mua bán. Nhưng việc sử dụng số điện thoại đó để gửi tin nhắn quảng cáo về sản phẩm của bên thứ ba không phải là hoạt động cần thiết để thực hiện hợp đồng và do đó vẫn cần sự đồng ý của chủ thể dữ liệu riêng.

Ví dụ thực tiễn: Khi bạn đăng ký một tài khoản ngân hàng, ngân hàng xử lý thông tin định danh của bạn để mở tài khoản, xử lý thông tin giao dịch để thực hiện lệnh chuyển tiền. Các hoạt động này là cần thiết để cung cấp dịch vụ theo hợp đồng mở tài khoản và không cần sự đồng ý riêng cho mỗi giao dịch.

Nghĩa vụ và trách nhiệm của doanh nghiệp khi xử lý dữ liệu không cần sự đồng ý là gì?

Doanh nghiệp phải chịu trách nhiệm chứng minh cơ sở pháp lý cho hành động của mình và phải thiết lập cơ chế giám sát chặt chẽ để đảm bảo việc xử lý dữ liệu tuân thủ đúng mục đích, phạm vi và áp dụng các biện pháp bảo vệ phù hợp.

Việc được miễn trừ khỏi yêu cầu lấy sự đồng ý không có nghĩa là doanh nghiệp được miễn trừ khỏi các nghĩa vụ bảo vệ dữ liệu khác. Ngược lại, trách nhiệm giải trình và bảo mật còn được nhấn mạnh hơn. Luật 91/2025/QH15 tại khoản 2 Điều 19 đã quy định rõ về việc phải thiết lập cơ chế giám sát khi áp dụng các trường hợp ngoại lệ này.

Các nghĩa vụ chính bao gồm:

• Nghĩa vụ chứng minh (Burden of Proof): Bên xử lý dữ liệu phải có khả năng chứng minh rằng hành động của mình thuộc một trong các trường hợp ngoại lệ được pháp luật cho phép. Điều này đòi hỏi việc lưu trữ hồ sơ, tài liệu cẩn thận.
• Thiết lập cơ chế giám sát: Theo Luật 91/2025/QH15, cơ chế này bao gồm:
  • Xây dựng quy trình, quy định xử lý dữ liệu và xác định trách nhiệm rõ ràng.
  • Triển khai các biện pháp bảo vệ dữ liệu cá nhân phù hợp và thường xuyên đánh giá rủi ro.
  • Kiểm tra, đánh giá định kỳ việc tuân thủ.
  • Có cơ chế tiếp nhận và xử lý phản ánh, kiến nghị.
• Tuân thủ các nguyên tắc khác: Doanh nghiệp vẫn phải tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân khác như giới hạn mục đích, tối thiểu hóa dữ liệu, chính xác, bảo mật và giới hạn lưu trữ.

Việc không thực hiện các nghĩa vụ này có thể dẫn đến việc xử lý dữ liệu bị coi là bất hợp pháp, dù ban đầu có thuộc trường hợp ngoại lệ hay không.

Các Câu Hỏi Thường Gặp Về Xử Lý Dữ Liệu Không Cần Sự Đồng Ý

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Thủ tục Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân.
• Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
• General Data Protection Regulation (GDPR).