intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân: Các quy định tại châu Âu và bài học kinh nghiệm cho Việt Nam

Chia sẻ: Tưởng Trì Hoài | Ngày: | Loại File: PDF | Số trang:15

Thêm vào BST
Báo xấu
7
lượt xem 3
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Thông qua việc phân tích kết quả và học hỏi từ kinh nghiệm Châu Âu, bài viết "Bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân: Các quy định tại châu Âu và bài học kinh nghiệm cho Việt Nam" đề xuất những khuyến nghị để cải thiện quy trình bồi thường và tăng tính công bằng và minh bạch trong việc bảo vệ quyền dữ liệu cá nhân tại Việt Nam. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân: Các quy định tại châu Âu và bài học kinh nghiệm cho Việt Nam

  1. BỒI THƯỜNG THIỆT HẠI ĐỐI VỚI XÂM PHẠM QUYỀN DỮ LIỆU CÁ NHÂN: CÁC QUY ĐỊNH TẠI CHÂU ÂU VÀ BÀI HỌC KINH NGHIỆM CHO VIỆT NAM ThS. Nguyễn Ngọc Phương Đình, Huỳnh Phan Như Ngọc Đại học Kinh tế TP.HCM Tóm tắt: Bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân là một chủ đề quan trọng trong lĩnh vực pháp luật. Trong thời đại số hóa và phát triển công nghệ, việc bảo vệ quyền riêng tư và dữ liệu cá nhân của cá nhân trở nên càng phức tạp.. Bài viết này phân tích tổng quan về những quy định quan trọng trong GDPR (Quy định Bảo vệ Dữ liệu Chung) của Châu Âu, tập trung vào các Điều 82, 83 và 84 và pháp luật của Việt Nam, để nhấn mạnh những yếu tố then chốt trong việc bồi thường thiệt hại. Bên cạnh đó, bài viết cũng tổng hợp các điểm khác biệt và tương đồng giữa hai hệ thống pháp luật, với sự quan tâm đặc biệt đến tính minh bạch, hiệu quả và công bằng trong quá trình bồi thường. Cuối cùng, thông qua việc phân tích kết quả và học hỏi từ kinh nghiệm Châu Âu, bài viết đề xuất những khuyến nghị để cải thiện quy trình bồi thường và tăng tính công bằng và minh bạch trong việc bảo vệ quyền dữ liệu cá nhân tại Việt Nam. Từ khóa: GDPR, bảo vệ dữ liệu cá nhân, bồi thường trách nhiệm pháp lý, so sánh, minh bạch, công bằng, bảo mật dữ liệu, Liên minh Châu Âu, khuyến nghị pháp lý. Abstract: Compensation for personal data rights infringement is an important topic in the legal field. In the age of digitalization and technological development, protecting individuals' privacy and personal data becomes more complicated. This article provides an overview of important regulations in the General Data Protection Regulation of Europe, focusing on Articles 82, 83 and 84 and Vietnamese law, to highlight the key elements of compensation. In addition, the article also summarizes the differences and similarities between the two legal systems, with 772
  2. special attention to transparency, efficiency and fairness in the compensation process. Finally, through analyzing the results and learning from European experience, the article proposes recommendations to improve the compensation process and increase fairness and transparency in protecting personal data rights. in Viet Nam. Keywords: GDPR, personal data protection, liability compensation, comparison, transparency, fairness, data security, European Union, legal recommendations. NỘI DUNG 1. Tầm quan trọng của bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân 1.1. Sự quan trọng của bảo vệ quyền dữ liệu cá nhân trong thời đại số hóa Trong thời đại số hóa hiện nay, dữ liệu cá nhân đã trở thành một phần quan trọng của cuộc sống và công việc của mọi người. Các công nghệ thông tin và Internet đã thúc đẩy cuộc cách mạng số hóa, thay đổi cách chúng ta tương tác, làm việc, giải trí và giao tiếp. Tuy nhiên, điều này cũng mang theo các rủi ro liên quan đến quyền riêng tư và bảo mật dữ liệu cá nhân. Dữ liệu cá nhân bao gồm thông tin như tên, địa chỉ, số điện thoại, email, dấu vân tay, và nhiều loại thông tin cá nhân khác. Việc sử dụng dữ liệu cá nhân có thể mang lại nhiều lợi ích, từ cải thiện dịch vụ, quảng cáo hiệu quả hơn, đến nghiên cứu và phát triển sản phẩm. Tuy nhiên, nó cũng tạo ra nguy cơ về xâm phạm quyền riêng tư, lạm dụng thông tin, và đánh cắp dữ liệu cá nhân. Mất quyền riêng tư có thể gây hậu quả nghiêm trọng cho cá nhân, từ việc mất quyền kiểm soát thông tin cá nhân cho đến lỗ hổng bảo mật dẫn đến việc xâm nhập, gian lận, và lừa đảo. Do đó, bảo vệ quyền dữ liệu cá nhân trở nên cực kỳ quan trọng để đảm bảo sự an toàn và quyền riêng tư của mọi người trong môi trường số hóa. 1.2. Quy định pháp luật về bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân tại Việt Nam Tại Việt Nam, quy định pháp luật về bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân chưa được quy định cụ thể và chi tiết trong một văn bản pháp luật riêng. Thay vào đó, các quy định liên quan đến việc bồi thường thiệt hại do xâm phạm quyền dữ liệu cá nhân thường được đề cập và phân tán trong các văn bản pháp luật khác nhau. Dưới đây là một số điểm liên quan đến bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân tại Việt Nam: 773
  3. Hiến pháp Việt Nam năm 2013 đề cập đến quyền riêng tư và bảo mật thông tin cá nhân của công dân, nhưng không đưa ra các quy định cụ thể về việc bồi thường thiệt hại. Luật An ninh mạng của Việt Nam, ban hành năm 2015 và sửa đổi năm 2020, đề cập đến việc bảo vệ thông tin cá nhân và quyền riêng tư trực tuyến. Tuy nhiên, luật này chưa cung cấp hướng dẫn rõ ràng về việc bồi thường thiệt hại. Ngoài ra, có một số luật chuyên ngành khác như Luật Công nghệ thông tin và Luật An toàn thông tin mạng cũng đề cập đến quản lý thông tin cá nhân và trách nhiệm của các tổ chức và cá nhân trong việc bảo vệ dữ liệu cá nhân và Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, có hiệu lực thi hành từ ngày 1/7/2023. Tuy nhiên những luật và nghị định này cũng không ghi nhận về bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân. Về bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân tại Việt Nam thường phải dựa vào các quy định chung về bồi thường trong Luật Dân sự và các văn bản pháp luật khác. Điều này có thể dẫn đến sự không rõ ràng và khó khăn trong việc xác định mức độ bồi thường và trách nhiệm của các bên. Mức độ bồi thường thiệt hại trong trường hợp xâm phạm dữ liệu cá nhân thường không được quy định rõ ràng trong pháp luật, và việc bồi thường thường do các bên liên quan tự thỏa thuận hoặc thông qua quy trình dân sự. Hình phạt tại Việt Nam cho việc vi phạm quyền dữ liệu cá nhân thông thường là mức phạt tiền tương đối thấp, không tương xứng với mức độ nghiêm trọng của vi phạm. Tóm lại, Việt Nam chưa có quy định rõ ràng và cụ thể về bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân như các quốc gia phát triển khác như Châu Âu. Các mức độ bồi thường và quy định về việc đòi bồi thường thiệt hại thường chưa được xác định một cách chi tiết và cụ thể trong pháp luật của Việt Nam. 1.3. Lý do lựa chọn phân tích pháp luật Châu Âu và Việt Nam về bồi thường thiệt hại Châu Âu đã tiên phong trong việc đặt ra quy tắc và quy định về quyền riêng tư và bảo vệ dữ liệu cá nhân, với việc ban hành Nghị định chung về Bảo vệ Dữ liệu Chung (GDPR). Châu Âu là một trong những khu vực tiên tiến nhất trong việc đảm bảo quyền dữ liệu cá nhân và thiết lập cơ chế bồi thường thiệt hại khi xâm phạm quyền này. Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu được nhiều người coi là một trong những khuôn khổ pháp lý toàn diện và mạnh mẽ nhất để bồi thường trong các trường hợp vi phạm dữ liệu cá nhân. Việt Nam, một quốc gia đang phát triển mạnh mẽ trong lĩnh vực công nghiệp và công nghệ, đang đối diện với việc thích nghi với thực tế số hóa ngày càng phức tạp. Bằng cách nắm vững 774
  4. kiến thức từ kinh nghiệm của Châu Âu, Việt Nam có thể cải thiện pháp luật và thực thi về dữ liệu cá nhân, đảm bảo quyền riêng tư và bảo mật của người dân. Từ việc so sánh hai hệ thống pháp luật này, chúng ta có thể rút ra những bài học quý báu và áp dụng để thúc đẩy sự phát triển bền vững và bảo vệ quyền dữ liệu cá nhân trong thời đại số hóa. 2. Pháp luật Châu Âu về bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân Nghị định chung về Bảo vệ Dữ liệu Chung (GDPR) quy định chi tiết về bồi thường thiệt hại đối với xâm phạm quyền dữ liệu Châu Âu tại Điều 82, 83, và 84. Điều 82 của Quy định chung về bảo vệ dữ liệu (GDPR) đóng vai trò then chốt trong việc đảm bảo quyền của các cá nhân bị ảnh hưởng do vi phạm dữ liệu cá nhân, nhấn mạnh các yếu tố chính cần xem xét: • Quyền được bồi thường: Điều 82 quy định quyền cơ bản được bồi thường cho những cá nhân bị thiệt hại vật chất hoặc phi vật chất do vi phạm GDPR. Quyền này rất quan trọng vì yêu cầu các tổ chức chịu trách nhiệm bảo vệ dữ liệu cá nhân và cung cấp quyền truy đòi pháp lý cho các cá nhân bị ảnh hưởng. • Mối liên hệ nhân quả: Các yếu tố chính bao gồm việc thiết lập mối liên hệ nhân quả giữa hành vi vi phạm và thiệt hại phải gánh chịu. Để yêu cầu bồi thường, các cá nhân phải chứng minh rằng hành vi vi phạm GDPR đã trực tiếp gây ra tổn hại cho họ, nhấn mạnh tầm quan trọng của bằng chứng rõ ràng trong những trường hợp này. • Thiệt hại phi vật chất: GDPR ghi nhận tầm quan trọng của thiệt hại phi vật chất, chẳng hạn như đau khổ về tinh thần, mất quyền kiểm soát dữ liệu cá nhân hoặc tổn hại về danh tiếng. Việc này mở rộng phạm vi tổn hại có thể bồi thường ngoài tổn thất tài chính, thừa nhận tác động đến hạnh phúc của một cá nhân. • Phạm vi trách nhiệm pháp lý: Điều 82 quy định cả người kiểm soát dữ liệu và người xử lý dữ liệu đều phải chịu trách nhiệm về các vi phạm. Điều khoản này đảm bảo rằng tất cả các bên liên quan đến việc xử lý dữ liệu đều phải chịu trách nhiệm, từ người thu thập dữ liệu ban đầu đến bộ xử lý bên thứ ba. • Trách nhiệm của nhiều bên: Trong trường hợp có nhiều bên kiểm soát hoặc bên xử lý liên quan, Điều 82 quy định rõ rằng họ phải chịu trách nhiệm chung và riêng. Điều này có nghĩa là bên bị thiệt hại có thể yêu cầu bồi thường từ bất kỳ hoặc tất cả các tổ chức này, đơn giản hóa quy trình cho các cá nhân yêu cầu bồi thường. • Giảm nhẹ thiệt hại: Các cá nhân được khuyến khích thực hiện các biện pháp để giảm thiểu thiệt hại mà họ phải gánh chịu. GDPR thúc đẩy các nỗ lực chủ động của các bên 775
  5. bị ảnh hưởng nhằm hạn chế hậu quả của hành vi vi phạm, thể hiện trách nhiệm chung trong việc bảo vệ dữ liệu. • Thời hạn: GDPR áp dụng thời hạn hai năm đối với việc đưa ra yêu cầu bồi thường kể từ ngày cá nhân nhận thức được thiệt hại. Điều này đảm bảo hành động kịp thời trong khi vẫn mang lại sự linh hoạt nhất định cho những người có thể không nhận ra ngay tác hại đã gây ra. • Các trường hợp miễn trừ: Điều 82 cũng nêu ra một số trường hợp miễn trừ trách nhiệm pháp lý trong các trường hợp cụ thể, chẳng hạn như khi vi phạm xảy ra do các tình huống nằm ngoài tầm kiểm soát của tổ chức hoặc do trường hợp bất khả kháng. Tóm lại, Điều 82 của GDPR thiết lập quyền bồi thường cho các cá nhân bị ảnh hưởng bởi vi phạm dữ liệu, nhấn mạnh sự cần thiết phải có mối liên hệ nhân quả rõ ràng giữa vi phạm và thiệt hại. Nó ghi nhận thiệt hại phi vật chất, quy trách nhiệm cho nhiều bên và khuyến khích giảm thiểu thiệt hại. Quy định pháp lý này nhấn mạnh tầm quan trọng của việc bảo vệ dữ liệu và quyền của các cá nhân trong thời đại kỹ thuật số. Điều 83 của Quy định chung về bảo vệ dữ liệu (GDPR) tập trung vào quyền hạn và biện pháp trừng phạt của cơ quan giám sát, nhấn mạnh các yếu tố chính trong việc đảm bảo tuân thủ và thực thi: • Vai trò của cơ quan giám sát: Điều 83 nêu rõ vai trò quan trọng của cơ quan giám sát trong việc thực thi và giám sát việc áp dụng GDPR. Các cơ quan này có trách nhiệm đảm bảo rằng các tổ chức tuân thủ luật bảo vệ dữ liệu. • Các biện pháp tương xứng: Nó nhấn mạnh rằng mọi biện pháp và hình phạt do cơ quan giám sát áp đặt phải tương ứng với mức độ nghiêm trọng của hành vi vi phạm. Điều này đảm bảo rằng các biện pháp trừng phạt là hợp lý và không mang tính trừng phạt quá mức. • Tính chất của vi phạm: Tính chất, mức độ nghiêm trọng và thời gian vi phạm là những yếu tố chính được xem xét. Những vi phạm nghiêm trọng hơn hoặc kéo dài hơn sẽ dẫn đến các biện pháp trừng phạt nặng nề hơn, otrong khi những vi phạm nhỏ có thể dẫn đến các biện pháp nhẹ nhàng hơn. • Hành vi cố ý hoặc cẩu thả: Điều 83 phân biệt hành vi cố ý và hành vi cẩu thả. Điều cần thiết là phải xác định xem tổ chức có cố tình vi phạm GDPR hay vi phạm là do sơ suất. Các hành vi cố ý vi phạm có thể dẫn đến các biện pháp trừng phạt nghiêm khắc hơn. 776
  6. • Hợp tác với chính quyền: Mức độ hợp tác của tổ chức trong quá trình điều tra đóng một vai trò quan trọng. Báo cáo kịp thời các vi phạm, hỗ trợ điều tra và tuân thủ các yêu cầu của cơ quan giám sát có thể dẫn đến việc được đối xử thuận lợi hơn. • Lịch sử vi phạm: Lịch sử vi phạm GDPR trước đây là một yếu tố quan trọng khác. Việc vi phạm nhiều lần có thể dẫn đến các biện pháp trừng phạt nghiêm khắc hơn để ngăn chặn việc tiếp tục không tuân thủ. • Loại dữ liệu: Loại dữ liệu cá nhân liên quan có thể ảnh hưởng đến các lệnh trừng phạt. Các hành vi vi phạm liên quan đến dữ liệu nhạy cảm, chẳng hạn như thông tin sức khỏe hoặc tài chính, có thể dẫn đến các biện pháp nghiêm khắc hơn để bảo vệ quyền của cá nhân. • Cảnh báo và khiển trách: Cơ quan giám sát có thể đưa ra cảnh cáo hoặc khiển trách trước khi áp dụng các biện pháp trừng phạt. Điều này nhấn mạnh nguyên tắc hình phạt lũy tiến, cho phép các tổ chức có cơ hội khắc phục vấn đề. • Các biện pháp trừng phạt tài chính: Điều 83 cho phép xử phạt hành chính, đây là công cụ chính để thực thi. GDPR chỉ định số tiền phạt tối đa, tùy thuộc vào mức độ nghiêm trọng của hành vi vi phạm. Hình phạt bằng tiền mang lại động lực mạnh mẽ cho các tổ chức tuân thủ các quy định bảo vệ dữ liệu. • Danh mục vi phạm: GDPR phân loại các hành vi vi phạm thành hai loại: ít nghiêm trọng hơn (mức phạt thấp hơn) và nghiêm trọng hơn (mức phạt cao hơn). Cơ quan giám sát xem xét việc phân loại này khi quyết định các biện pháp xử phạt. • Khía cạnh quốc tế: Nếu vi phạm ảnh hưởng đến các cá nhân ở nhiều quốc gia thành viên EU, cơ quan giám sát từ các quốc gia khác nhau có thể hợp tác. Sự phối hợp giữa các cơ quan chức năng là rất quan trọng đối với các hành vi vi phạm xuyên biên giới. Tóm lại, Điều 83 của GDPR nhấn mạnh vai trò quan trọng của cơ quan giám sát trong việc thực thi luật bảo vệ dữ liệu, nêu bật các yếu tố chính như tính chất và mức độ nghiêm trọng của hành vi vi phạm, tính cố ý, sự hợp tác, các vi phạm trong quá khứ và loại dữ liệu liên quan. Ngoài ra, Điều 83 còn nêu rõ vai trò của cảnh báo, trừng phạt tài chính và hợp tác quốc tế trong việc đảm bảo tuân thủ GDPR. Những yếu tố này góp phần chung vào việc thực thi và ngăn chặn hiệu quả trong việc bảo vệ dữ liệu. Điều 84 của Nghị định Bảo vệ Dữ liệu Chung (GDPR) nêu rõ việc thiết lập các khoản phạt đối với việc vi phạm các quy định cụ thể trong GDPR, với việc nhấn mạnh các yếu tố quan trọng trong ngữ cảnh này: 777
  7. • Khoản Phạt cho Việc Vi Phạm Các Quy Định Cụ Thể: Điều 84 tập trung vào khoản phạt cho việc không tuân thủ các quy định cụ thể trong GDPR, khác với các biện pháp thực thi tổng quát được thảo luận trong Điều 83. Điều này nhằm vào các vi phạm cụ thể về các yêu cầu trong GDPR. • Tính Chất của Vi Phạm: Các yếu tố quan trọng bao gồm tính chất, mức độ và thời gian kéo dài của vi phạm. Tương tự như Điều 83, mức độ nghiêm trọng của vi phạm đóng vai trò quan trọng trong việc quyết định khoản phạt theo Điều 84. • Hành Vi Cố Ý hoặc Cẩu Thả: Điều 84 cũng phân biệt giữa vi phạm cố ý và vi phạm cẩu thả. Nó xem xét xem tổ chức có vi phạm các quy định cụ thể trong GDPR một cách cố ý hay vi phạm do sơ suất. • Sự Hợp Tác với Cơ Quan Thẩm Quyền: Tương tự như Điều 83, việc hợp tác với các cơ quan thẩm quyền trong quá trình điều tra là quan trọng. Các tổ chức hợp tác một cách tích cực trong việc đối phó và giải quyết vi phạm cụ thể có thể nhận được khoản phạt nhẹ hơn. • Cảnh Cáo và Khiển Trách: Điều 84 công nhận việc sử dụng cảnh cáo và khiển trách như một phần của quá trình thực thi. Điều này nhấn mạnh nguyên tắc về việc thiết lập khoản phạt tiến bộ, cho phép các tổ chức sửa chữa các vấn đề trước khi áp đặt các biện pháp trừng phạt nghiêm trọng. • Khoản Phạt Tài Chính: GDPR cho phép các cơ quan thẩm quyền thiết lập khoản phạt cho việc vi phạm các quy định cụ thể. Các khoản phạt này có thể thay đổi về số tiền tùy thuộc vào mức độ vi phạm. • Tiêu Chí Khách Quan: GDPR khuyến nghị việc sử dụng tiêu chí khách quan để quyết định khoản phạt theo Điều 84. Các tiêu chí này có thể cung cấp một phương pháp đồng nhất và công bằng hơn cho việc thi hành các biện pháp trừng phạt. • Các Loại Vi Phạm: Tương tự như Điều 83, Điều 84 phân biệt giữa hai loại vi phạm, với các vi phạm không nghiêm trọng hơn sẽ gánh các khoản phạt thấp hơn và các vi phạm nghiêm trọng hơn sẽ dẫn đến khoản phạt cao hơn. • Bảo Vệ Quyền Cá Nhân: Mục tiêu chính của Điều 84 là bảo vệ quyền và tự do cá nhân thông qua việc áp đặt các khoản phạt phù hợp đối với vi phạm. Khoản phạt cần đủ lớn để ngăn các tổ chức vi phạm các quy định trong GDPR và bảo vệ quyền riêng tư và bảo mật dữ liệu cá nhân của cá nhân. Tóm lại, Điều 84 của GDPR thiết lập các khoản phạt vi phạm cụ thể và chi tiết làm căn cứ để cơ quan chức năng tiến hành thực thi pháp luật. 778
  8. 3. Tính cấp thiết về việc cần các quy định về bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân trong pháp luật Việt Nam Pháp Luật Việt Nam về bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân đã đề cập đến các quyền và trách nhiệm liên quan đến việc bồi thường thiệt hại trong ngữ cảnh xâm phạm quyền dữ liệu cá nhân. Dưới đây là một số điểm quan trọng: • Quyền yêu cầu bồi thường thiệt hại: Chủ thể dữ liệu cá nhân có quyền yêu cầu bồi thường thiệt hại theo quy định của pháp luật khi xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của họ. Tuy nhiên, có trường hợp mà hai bên có thỏa thuận khác hoặc luật có quy định khác. • Bồi thường thiệt hại theo pháp luật dân sự: Chủ thể dữ liệu có quyền tự bảo vệ theo quy định của Bộ luật Dân sự và luật khác có liên quan. Điều này bao gồm cả việc yêu cầu cơ quan, tổ chức có thẩm quyền thực hiện các phương thức bảo vệ quyền dân sự theo quy định tại Điều 11 Bộ luật Dân sự. • Trách nhiệm bồi thường thiệt hại trong hợp đồng và ngoài hợp đồng: Trong quan hệ lao động và giữa doanh nghiệp (người sử dụng lao động) và người lao động, việc trách nhiệm bồi thường thiệt hại cụ thể do xâm phạm quyền dữ liệu cá nhân có thể áp dụng trong hợp đồng hoặc ngoài hợp đồng. Điều này tùy thuộc vào mức độ và tính chất của vi phạm và quan hệ giữa các bên. • Xử phạt vi phạm hành chính: Pháp luật Việt Nam cũng cung cấp quy định về việc xử phạt vi phạm hành chính trong việc xử lý dữ liệu cá nhân. Các xử phạt này thường được đưa ra trong nhiều văn bản pháp luật khác nhau, như Nghị định 13/2023/NĐ-CP và Nghị định 15/2020/NĐ-CP, và liên quan đến vi phạm quy định về thu thập, sử dụng thông tin cá nhân và cập nhật, sửa đổi, hủy bỏ thông tin cá nhân. Mặc dù pháp luật Việt Nam đã đề cập đến nhiều khía cạnh liên quan đến bồi thường thiệt hại trong việc bảo vệ quyền dữ liệu cá nhân, việc áp dụng và thực hiện các quy định này vẫn đòi hỏi sự tùy chỉnh và rõ ràng hơn để đảm bảo quyền và bảo vệ của chủ thể dữ liệu cá nhân. 4. So sánh các quy định về bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân trong pháp luật Việt Nam và pháp luật Châu Âu Châu Âu và Việt Nam về các quy định pháp luật bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân có một số điểm khác biệt và tương đồng quan trọng. Đặc biệt, sự minh bạch, 779
  9. hiệu quả và công bằng trong quá trình bồi thường được coi là quan trọng trong cả hai hệ thống, mặc dù có sự khác biệt trong cách họ được thực hiện. Dưới đây là một số điểm quan trọng: Khác biệt • Phạm vi ứng dụng: Châu Âu áp dụng Quy tắc bảo vệ Dữ liệu Chung (GDPR) trên toàn khu vực Châu Âu, với một phạm vi rộng lớn về bảo vệ dữ liệu cá nhân. Trong khi đó, Việt Nam đang xây dựng pháp luật về bảo vệ dữ liệu cá nhân, và phạm vi áp dụng của nó bị hạn chế hơn. • Cơ quan giám sát: Ở Châu Âu, có các cơ quan giám sát độc lập, như Cơ quan Bảo vệ Dữ liệu (Data Protection Authorities) của từng quốc gia thành viên, giúp giám sát và thực hiện GDPR. Căn cứ vào khoản 1 Điều 29 Nghị định 13/2023/NĐ-CP, cơ quan chuyên trách bảo vệ dữ liệu cá nhân ở Việt Nam là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, thuộc Bộ Công an. Cơ quan này có trách nhiệm hỗ trợ Bộ Công an trong việc thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân. • Về cơ quan giám sát, ở Châu Âu, có các cơ quan giám sát độc lập, như Cơ quan Bảo vệ Dữ liệu (Data Protection Authorities) của từng quốc gia thành viên, giúp giám sát và thực hiện GDPR. Tại Việt Nam, cơ quan quản lý Dữ liệu Cá nhân là Cơ quan Quản lý Dữ liệu Cá nhân và cơ quan Công an có thẩm quyền, tùy từng trường hợp. • Quy định chi tiết: GDPR chứa nhiều hướng dẫn chi tiết về quyền và trách nhiệm của các bên, cũng như quy tắc bồi thường. Trong khi đó, pháp luật tại Việt Nam vẫn đang trong giai đoạn xây dựng, và có thể cần sự bổ sung và điều chỉnh để rõ ràng hơn. Tương đồng • Quyền yêu cầu bồi thường thiệt hại: Cả Châu Âu và Việt Nam đều công nhận quyền của chủ thể dữ liệu cá nhân yêu cầu bồi thường thiệt hại khi xâm phạm quyền dữ liệu cá nhân của họ. • Trách nhiệm bồi thường: Cả hai hệ thống đều thúc đẩy trách nhiệm bồi thường thiệt hại trong hợp đồng và ngoài hợp đồng. Trong trường hợp có vi phạm, bên vi phạm phải chịu trách nhiệm bồi thường cho thiệt hại gây ra. • Xử phạt vi phạm: Cả hai hệ thống đều có quy định về việc xử phạt vi phạm hành chính trong việc bảo vệ quyền dữ liệu cá nhân. Sự xử phạt này là một công cụ quan trọng để đảm bảo sự tuân thủ và giữ cho quá trình bồi thường hiệu quả và công bằng. 780
  10. Tóm lại, cả Châu Âu và Việt Nam đang nỗ lực để xây dựng và cải tiến hệ thống pháp luật về bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân. Sự minh bạch, hiệu quả và công bằng trong quá trình bồi thường đang là mục tiêu quan trọng trong cả hai trường hợp, và cần có sự phối hợp chặt chẽ giữa các cơ quan, tổ chức và các bên liên quan để đạt được điều này. 5. Trường hợp thực tiễn về bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân tại Châu Âu Các trường hợp thực tiễn xâm phạm quyền dữ liệu cá nhân có thể bao gồm việc xử lý dữ liệu cá nhân mà không có sự đồng ý của người dùng, việc tiết lộ dữ liệu cá nhân một cách trái phép, việc sử dụng dữ liệu cá nhân mà không đảm bảo tính bảo mật, hay việc lưu trữ dữ liệu cá nhân quá lâu mà không cần thiết. Vào ngày 04 tháng 5 năm 2023, CJEU đã đưa ra phán quyết sơ bộ trong vụ UI kiện Österreichische Post AG (Vụ C-300/21). Trường hợp này liên quan đến một thuật toán được áp dụng cho thông tin bởi nhà cung cấp dịch vụ bưu chính hàng đầu của Áo, Österreichische Post. Thuật toán của Österreichische Post đã phân tích các tiêu chí xã hội và nhân khẩu học khác nhau để dự đoán mối quan hệ chính trị của người dân Áo. Từ những dự đoán này, Österreichische Post đã tạo ra “nhóm địa chỉ mục tiêu” và bán chúng cho các bên thứ ba, cho phép các bên thứ ba đó gửi quảng cáo chính trị có mục tiêu đến các cá nhân. Trong trường hợp này, thuật toán của Österreichische Post dự đoán rằng nguyên đơn có mối quan hệ mật thiết cao với một đảng chính trị cụ thể của Áo. Nguyên đơn đã không đồng ý xử lý dữ liệu cá nhân của mình cho mục đích này. Mặc dù thông tin này không được thông báo cho các bên thứ ba, nhưng nguyên đơn đã gây ra cảm giác vô cùng khó chịu, bị lộ và mất niềm tin khi anh ta phát hiện ra rằng mối quan hệ với đảng chính trị này được cho là của anh ta và được Österreichische Post phát hiện và sử dụng. Nguyên đơn yêu cầu (i) lệnh cấm Österreichische Post ngừng xử lý dữ liệu cá nhân của anh ấy cho mục đích này (được cấp ở sơ thẩm và giữ nguyên khi kháng cáo) và (ii) bồi thường € 1.000 cho thiệt hại phi vật chất mà anh ấy bị thiệt hại (bị bác bỏ ở cấp sơ thẩm và bác bỏ khi kháng cáo). Cụ thể, yêu cầu bồi thường của nguyên đơn đã bị bác bỏ vì Tòa án khu vực cấp cao của Áo nhận thấy rằng luật pháp của Quốc gia Thành viên đã bổ sung cho GDPR. Theo luật của Áo, quyền bồi thường thiệt hại phi vật chất phát sinh do vi phạm các quy tắc bảo vệ dữ liệu sẽ chỉ cấp cho người yêu cầu bồi thường quyền bồi thường khi thiệt hại đó đạt đến một “ngưỡng nghiêm trọng” nhất định và “cảm giác vô cùng khó chịu, bị lộ và mất niềm tin của nguyên đơn” không đạt đến ngưỡng này. 781
  11. Qua vụ án trên ta cũng có thể thấy rằng để nhận được tiền bồi thường, người yêu cầu bồi thường phải chứng minh: 1. Có thiệt hại; 2. Có hành vi vi phạm GDPR; 3. Việc vi phạm GDPR có liên quan đến thiệt hại mà họ phải gánh chịu. Tuy vậy mức độ tương xứng thiệt hại phi vật chất đang xuất hiện trong cơ chế yêu cầu bồi thường theo GDPR và khả năng các bên cố gắng khởi kiện tập thể để đòi bồi thường ở EU có thể xảy ra và khi yêu cầu bồi thường tập thể thì vụ kiện này có thể phải bồi thường. Tuy vậy thì vụ kiện này vẫn chưa làm rõ được “thiệt hại phi vật chất” là gì và không bao gồm gì. Quy định chung về bảo vệ dữ liệu của EU quy định việc bồi thường cho “thiệt hại phi vật chất”. Tuy nhiên, vẫn chưa thực sự rõ ràng về điều gì chính xác cấu thành “thiệt hại phi vật chất” nhưng xét trường hợp sau có thể loại bỏ ra những “thiệt hại phi vật chất” không bao gồm những thiệt hại nào. Quyết định của Tòa án lưu động Ireland trong vụ Kaminski v Ballymaguire Foods Limited phần nào hướng tới việc phác thảo các nguyên tắc sẽ áp dụng ở Ireland liên quan đến việc đánh giá các yêu cầu bồi thường thiệt hại phi vật chất. Vụ án như sau nguyên đơn được công ty bị đơn tuyển dụng làm giám sát viên trong một nhà máy sản xuất đồ ăn sẵn ướp lạnh ở Lusk, Co Dublin. Trong một buổi đào tạo có sự tham gia của các giám sát viên và quản lý, một số đoạn clip CCTV đã được chiếu với mục đích nêu bật các thực hành an toàn thực phẩm không được phê duyệt. Như bị đơn thừa nhận cuối cùng, nguyên đơn đã được nhận dạng trong một trong những đoạn clip được chiếu, mặc dù anh ta không có mặt tại phiên họp. Nguyên đơn tuyên bố rằng việc bị đơn sử dụng đoạn phim CCTV là hành vi xử lý bất hợp pháp theo GDPR và Đạo luật bảo vệ dữ liệu năm 2018, và do việc xử lý bất hợp pháp này, anh ta đã phải chịu thiệt hại phi vật chất, như được định nghĩa bởi GDPR. Về vấn đề đó, anh ấy khẳng định rằng điều đó khiến anh ấy ‘căng thẳng hơn trong công việc’, anh ấy cảm thấy ‘nhục nhã’ và anh ấy gặp khó khăn với giấc ngủ trong một thời gian ngắn. Sau đó, phán quyết đã xem xét các yếu tố mà tòa án phải xem xét khi đánh giá mức bồi thường thiệt hại phi vật chất, được nêu như sau: 1. “Chỉ vi phạm GDPR thôi là chưa đủ để đảm bảo nhận được khoản bồi thường; 2. Không có ngưỡng tối thiểu về mức độ nghiêm trọng cần thiết để tồn tại yêu cầu bồi thường về thiệt hại phi vật chất nhưng việc bồi thường thiệt hại phi vật chất không bao gồm “sự khó chịu đơn thuần”; 3. Phải có mối liên hệ giữa việc vi phạm dữ liệu và thiệt hại được yêu cầu; 782
  12. 4. Thiệt hại phi vật chất phải là thiệt hại xác thực và không mang tính suy đoán; 5. Thiệt hại phải được chứng minh và cần có bằng chứng hỗ trợ; 6. Lời xin lỗi khi thích hợp có thể được xem xét để giảm nhẹ thiệt hại; 7. Sự chậm trễ trong việc xử lý “vi phạm dữ liệu” của một trong hai bên là yếu tố liên quan trong việc đánh giá thiệt hại; 8. Yêu cầu bồi thường chi phí pháp lý có thể bị ảnh hưởng bởi những yếu tố này; 9. Ngay cả khi thiệt hại phi vật chất có thể được chứng minh và cũng không phải là nhỏ, thiệt hại trong nhiều trường hợp có thể sẽ ở mức khiêm tốn.” Về điểm cuối cùng, phán quyết tuyên bố rằng do không có hướng dẫn từ Oireachtas, Tòa Thượng thẩm hoặc Hội đồng Tư pháp, Tòa án đã xem xét Nguyên tắc Thương tích Cá nhân (Personal Injuries Guidelines) năm 2021. Tòa án đã đề cập đến danh mục thiệt hại tâm thần nhẹ, mặc dù đã lưu ý rằng trong một số trường hợp, thiệt hại phi vật chất có thể được định giá dưới mức định giá theo Nguyên tắc thấp nhất là €500. Hướng dẫn liên quan đến tổn thương tâm thần áp dụng cho “tổn thương tâm thần có thể nhận biết được” và nêu cụ thể rằng “buồn bã, đau khổ, đau buồn, thất vọng và tủi nhục thì không được bồi thường”. Sau khi xem xét các tình tiết của vụ án, Thẩm phán O'Connor chấp nhận rằng phản ứng của nguyên đơn đối với vụ việc không chỉ đơn thuần là buồn bã và anh ta được bồi thường 2000 Euro. Sự khác biệt ở hai vụ kiện rằng việc áp dụng đi kèm Nguyên tắc Thương tích Cá nhân (Personal Injuries Guidelines) năm 2021 để xác minh rằng tổn thương tâm thần áp dụng cho “tổn thương tâm thần có thể nhận biết được” và “buồn bã, đau khổ, đau buồn, thất vọng và tủi nhục thì không được bồi thường”. 6. Kinh nghiệm cho Việt Nam về việc bồi thường thiệt hại đối với xâm phậm quyền dữ liệu cá nhân. 6.1. Bài học cho Việt Nam về bồi thường thiệt hại đối với hành vi xâm phạm quyền dữ liệu cá nhân trong pháp luật Châu Âu. Kinh nghiệm từ Châu Âu về việc bồi thường thiệt hại đối với xâm phạm quyền dữ liệu cá nhân có thể cung cấp cho Việt Nam nhiều bài học quý báu để phát triển và cải thiện khung pháp luật bảo vệ dữ liệu cá nhân của mình. Bài học cho Việt Nam về cách cải thiện quy trình bồi thường và tăng tính công bằng và minh bạch trong việc bảo vệ quyền dữ liệu cá nhân, có thể đề xuất những khuyến nghị quan trọng như sau: 783
  13. • Thúc đẩy sự độc lập của cơ quan giám sát: Tạo ra một cơ quan giám sát độc lập với nhiệm vụ chặt chẽ giám sát việc xử lý và bảo vệ dữ liệu cá nhân. Điều này đảm bảo rằng quyền yêu cầu bồi thường thiệt hại sẽ được xem xét công bằng và minh bạch. • Tạo quy định rõ ràng về trách nhiệm bồi thường: Điều chỉnh một hệ thống pháp luật về trách nhiệm bồi thường thiệt hại rõ ràng, đặc biệt trong trường hợp vi phạm quyền dữ liệu cá nhân. Điều này giúp xác định rõ trách nhiệm của từng bên và cơ quan giám sát. • Tăng cường tính minh bạch: Yêu cầu các tổ chức xử lý dữ liệu cá nhân phải thực hiện thông báo rõ ràng về cách họ thu thập, sử dụng, và bảo vệ dữ liệu. Điều này đảm bảo người dùng có kiến thức đầy đủ về việc họ cung cấp thông tin cá nhân và quyền của họ. • Cải thiện quy trình khiếu nại và giải quyết tranh chấp: Xây dựng một quy trình khiếu nại và giải quyết tranh chấp minh bạch và hiệu quả. Điều này giúp người dùng dễ dàng khiếu nại và đảm bảo rằng việc bồi thường thiệt hại được xử lý một cách công bằng. • Học hỏi từ kinh nghiệm Châu Âu: Nghiên cứu cụ thể về cách Châu Âu thực hiện GDPR và các hệ thống bồi thường thiệt hại. Chia sẻ thông tin và học hỏi những điểm mạnh của họ để cải thiện pháp luật và thực thi dữ liệu cá nhân tại Việt Nam. • Đào tạo và nâng cao nhận thức về quyền dữ liệu cá nhân: Tạo chương trình đào tạo cho cả người dùng và những người làm việc trong lĩnh vực xử lý dữ liệu cá nhân để tăng cường nhận thức về quyền dữ liệu cá nhân và trách nhiệm trong việc bảo vệ chúng. • Thúc đẩy hợp tác công tư: Tạo điều kiện để tổ chức phi chính phủ, doanh nghiệp và cơ quan chính phủ có thể hợp tác trong việc thực hiện các quy định về bảo vệ dữ liệu cá nhân một cách hiệu quả. Điều này có thể giúp tối ưu hóa nguồn lực và đảm bảo tính minh bạch. • Kiểm tra và đánh giá thường xuyên: Thực hiện kiểm tra và đánh giá định kỳ về việc tuân thủ pháp luật bảo vệ dữ liệu cá nhân để đảm bảo tính hiệu quả và tính minh bạch của quá trình. Những khuyến nghị này sẽ giúp Việt Nam cải thiện quy trình bồi thường thiệt hại và đảm bảo tính công bằng và minh bạch trong việc bảo vệ quyền dữ liệu cá nhân, dựa trên kinh nghiệm của Châu Âu và phù hợp với bối cảnh Việt Nam. 6.2. Bài học cho Việt Nam về bồi thường thiệt hại đối với hành vi xâm phạm quyền dữ liệu cá nhân qua trường hợp thực tiễn tại Châu Âu. 784
  14. Kiến nghị cụ thể về việc hoàn thiện khung pháp lý Việt Nam về bồi thường thiệt hại phi tài chính dựa vào vụ UI kiện Österreichische Post AG (Vụ C-300/21) và vụ kiện Kaminski v Ballymaguire Foods Limited tại Ireland Qua vụ kiện trên ta thấy được rằng việc xác minh thiệt hại phi tài chính mà ở đây là tổn thất về tinh thần còn chưa có quy định cụ thể, bởi lẽ việc xác minh cảm xúc của người bị xâm phạm về quyền dữ liệu cá nhân là thiệt hại hay không vẫn là chủ đề gây tranh cãi, đặc biệt khi không có gì để chứng minh thiệt hại về tinh thần như hồ sơ khám bệnh tâm thần hoặc những chứng cứ liên quan. Tuy vậy có thể áp dụng mức độ thương tật về tâm thần qua việc sử dụng Thông tư 22/2019/TT-BYT quy định tỷ lệ phần trăm tổn thương cơ thể sử dụng trong giám định pháp y, giám định pháp y tâm thần để xác định mức thương tổn hợp lý để làm căn cứ xác định có thiệt hại phi vật chất xảy ra hay không để xác định có bồi thường thiệt hại hay không. 7. Kết Luận Việc bảo vệ quyền dữ liệu cá nhân trong thời đại số hóa là một nhiệm vụ quan trọng và phức tạp. Từ việc thu thập, xử lý, lưu trữ dữ liệu cá nhân đến việc bồi thường thiệt hại trong trường hợp xâm phạm, pháp luật đang phải thích nghi và phát triển để đáp ứng sự thay đổi nhanh chóng của công nghệ và xã hội. Trên hành trình này, việc so sánh pháp luật giữa Châu Âu và Việt Nam không chỉ giúp chúng ta nhận biết những điểm tương đồng và khác biệt mà còn đặt ra cơ hội để học hỏi và cải thiện. Sự minh bạch, hiệu quả và công bằng trong việc bồi thường thiệt hại là yếu tố quyết định tính công bằng và đáng tin cậy của hệ thống bảo vệ quyền dữ liệu cá nhân. Bằng việc tận dụng những bài học từ Châu Âu và thúc đẩy sự thay đổi ở Việt Nam, chúng ta có thể xây dựng một môi trường số hóa an toàn hơn, đồng thời đảm bảo quyền riêng tư và quyền dữ liệu cá nhân của tất cả người dùng. Danh mục tài liệu tham khảo 1. Colin Monaghan and Co. (2023), Assessing Non-Material Damage in Data Protection Claims, https://www.mhc.ie/latest/insights/assessing-non-material-damage-in-data- protection-claims, truy cập ngày 20/10/2023. 2. Danny Palmer (2019), “What is GDPR? Everything you need to know about the new general data protection regulations”, https://www.zdnet.com/article/gdpr-an- executive-guide-to-what-you-need-to-know/ , truy cập ngày 20/9/2023. 785
  15. 3. Eupean Unio (2017), General Data Protection Regulation, https://gdpr-info.eu/, truy cập ngày 20/9/2023. 4. Jason Rix and Co. (2023), Compensation claims under the GDPR unpicking the latest EU and English case law and looking ahead, https://www.allenovery.com/en- gb/global/blogs/data-hub/compensation-claims-under-the-gdpr-unpicking-the-latest- eu-and-english-case-law-and-looking-ahead , truy cập ngày 20/9/2023. 5. Oliver Bray (2023), CJEU rules on right to compensation under Article 82 EU GDPR , https://www.rpc.co.uk/snapshots/data-protection/summer-2023/cjeu-rules-on-right- to-compensation-under-article-82-eu-gdpr/, truy cập ngày 20/10/2023. 786
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
6=>0