Quyền được lãng quên theo GDPR năm 2026

Giới thiệu

Trong thời đại kỹ thuật số, internet “không quên” — thông tin một khi được công bố về chúng ta có thể vẫn truy cập được sau nhiều thập kỷ, ảnh hưởng đến uy tín nghề nghiệp, các mối quan hệ cá nhân và hòa nhập xã hội. Quyền được lãng quên (right to be forgotten, droit à l’oubli) thể hiện quyền của chủ thể dữ liệu yêu cầu xóa dữ liệu cá nhân của mình hoặc làm cho thông tin về mình không thể truy cập được từ danh sách kết quả của công cụ tìm kiếm. Chế định pháp lý này đã có hình thức pháp luật thực định theo Điều 17 Quy chế Bảo vệ Dữ liệu chung (GDPR) và những năm gần đây đã trải qua sự phát triển đáng kể trong thực tiễn pháp lý châu Âu cũng như Hungary.

Sự phát triển pháp lý của quyền được lãng quên

Vụ Google Spain: Khởi đầu

Cột mốc trong sự phát triển pháp lý châu Âu về quyền được lãng quên là Phán quyết C-131/12 của Tòa án Công lý Liên minh Châu Âu (CJEU) (Google Spain SL và Google Inc. kiện Cơ quan Bảo vệ Dữ liệu Tây Ban Nha và Mario Costeja González, ngày 13 tháng 5 năm 2014). Trong vụ này, CJEU đã phán quyết rằng:

1. Nhà cung cấp dịch vụ tìm kiếm được coi là bên kiểm soát dữ liệu đối với việc lập chỉ mục và hiển thị kết quả tìm kiếm
2. Chủ thể dữ liệu có thể trực tiếp yêu cầu nhà cung cấp dịch vụ tìm kiếm gỡ bỏ kết quả tìm kiếm liên quan
3. Quyền của chủ thể dữ liệu về nguyên tắc được ưu tiên so với lợi ích kinh tế của nhà cung cấp dịch vụ tìm kiếm và lợi ích tiếp cận thông tin của người dùng internet

Phán quyết này đã tạo cơ sở pháp lý để chủ thể dữ liệu nộp yêu cầu delisting (gỡ khỏi danh sách) tới các công cụ tìm kiếm.

Điều 17 GDPR: Pháp điển hóa quyền xóa

Điều 17 GDPR quy định quyền xóa (quyền được lãng quên) dựa trên các trường hợp sau:

1. Dữ liệu cá nhân không còn cần thiết cho mục đích mà chúng được thu thập hoặc xử lý
2. Chủ thể dữ liệu rút lại sự đồng ý và không có cơ sở pháp lý nào khác cho việc xử lý
3. Chủ thể dữ liệu phản đối việc xử lý theo Điều 21 khoản (1) và không có lý do chính đáng được ưu tiên cho việc xử lý
4. Dữ liệu cá nhân đã được xử lý trái pháp luật
5. Dữ liệu cá nhân phải được xóa để tuân thủ nghĩa vụ pháp lý theo pháp luật EU hoặc quốc gia thành viên áp dụng cho bên kiểm soát dữ liệu
6. Dữ liệu cá nhân được thu thập liên quan đến việc cung cấp dịch vụ xã hội thông tin theo Điều 16 khoản (1) (bảo vệ dữ liệu trẻ em)

Giới hạn của quyền được lãng quên

Điều 17 khoản (3) GDPR liệt kê đầy đủ các trường hợp không thể yêu cầu xóa:

• Xử lý cần thiết để thực hiện quyền tự do ngôn luận và tự do thông tin
• Xử lý cần thiết để tuân thủ nghĩa vụ pháp lý theo pháp luật EU hoặc quốc gia thành viên
• Xử lý cần thiết vì lợi ích công cộng trong lĩnh vực y tế công
• Xử lý cho mục đích lưu trữ vì lợi ích công, nghiên cứu khoa học hoặc lịch sử, mục đích thống kê
• Xử lý cần thiết để thiết lập, thực hiện hoặc bảo vệ các yêu cầu pháp lý

Thực tiễn Google delisting

Nộp yêu cầu xóa

Google — với tư cách công cụ tìm kiếm được sử dụng rộng rãi nhất — đã thiết lập quy trình xử lý yêu cầu xóa. Yêu cầu được nộp qua biểu mẫu trực tuyến chuyên dụng của Google. Yêu cầu phải bao gồm:

• Thông tin nhận dạng của chủ thể dữ liệu
• URL chính xác của kết quả tìm kiếm yêu cầu gỡ bỏ
• Từ khóa tìm kiếm (query) mà kết quả bị phản đối xuất hiện
• Lý do gỡ bỏ (cơ sở pháp lý GDPR nào được chủ thể dữ liệu viện dẫn)

Tiêu chí đánh giá của Google

Khi xem xét yêu cầu, Google cân nhắc các tiêu chí sau:

1. Vai trò của chủ thể dữ liệu trong đời sống công: Đối với nhân vật công, quyền được lãng quên bị hạn chế hơn so với cá nhân tư
2. Tính chất của thông tin: Dữ liệu liên quan đến tội phạm, quan điểm chính trị, tình trạng sức khỏe được đánh giá khác nhau
3. Tính thời sự của thông tin: Thông tin cũ, không còn liên quan dễ được chấp nhận xóa hơn
4. Bối cảnh công bố: Chủ thể dữ liệu có đồng ý với việc công bố ban đầu không
5. Nguồn thông tin: Thông tin đến từ nguồn chính thức (ví dụ: phán quyết tòa án) hay nguồn không chính thức

Phán quyết C-507/17 CJEU: Vấn đề lãnh thổ

Trong Phán quyết C-507/17 CJEU (Google LLC kiện Ủy ban Quốc gia về Tin học và Tự do (CNIL) Pháp, ngày 24 tháng 9 năm 2019), Tòa án phán quyết rằng nhà cung cấp dịch vụ tìm kiếm không bắt buộc thực hiện nghĩa vụ delisting trên toàn cầu mà chỉ trên các phiên bản có thể truy cập tại các quốc gia thành viên EU. Điều này nghĩa là kết quả đã xóa vẫn có thể hiển thị trên phiên bản google.com ngoài EU, mặc dù Google áp dụng bộ lọc địa lý cho các địa chỉ IP từ EU.

Truyền thông vs quyền riêng tư: Xung đột quyền

Tự do ngôn luận như một giới hạn

Trong việc thực hiện quyền được lãng quên, vấn đề đặc biệt nhạy cảm là xung đột giữa tự do báo chí và quyền riêng tư. Điều 17 khoản (3) điểm a) GDPR miễn trừ rõ ràng khỏi nghĩa vụ xóa đối với việc xử lý cần thiết để thực hiện quyền tự do ngôn luận và tự do thông tin.

Điều IX Hiến pháp Hungary (Alaptörvény) bảo đảm quyền tự do ngôn luận và tự do báo chí, trong khi Điều VI ghi nhận quyền riêng tư và quyền bảo vệ dữ liệu cá nhân. Khi hai quyền cơ bản này xung đột, cần cân nhắc lợi ích (balancing) và kết quả phụ thuộc vào tất cả hoàn cảnh của vụ việc.

Thực tiễn xét xử của Kúria

Kúria (Tòa án Tối cao) đã xem xét xung đột giữa quyền nhân thân và tự do báo chí trong nhiều phán quyết. Theo thực tiễn xét xử, các tiêu chí cân nhắc chính:

• Chủ thể dữ liệu có phải là nhân vật công không: Bảo vệ quyền nhân thân của nhân vật công hẹp hơn đối với các tin tức liên quan đến hoạt động công (Điều 2:44 Ptk.)
• Thông tin được công bố có vì lợi ích công không: Lợi ích tranh luận tự do về các vấn đề công được bảo vệ rộng rãi
• Việc công bố có cần thiết và tương xứng không: Phạm vi và phương thức truyền đạt có tương xứng với mục đích thông tin công ích không
• Tác động của thời gian: Đối với thông tin đủ cũ, lợi ích quyền riêng tư của chủ thể dữ liệu được tăng cường

Vấn đề tin tức hình sự

Việc gỡ bỏ tin tức hình sự khỏi công cụ tìm kiếm đặt ra các vấn đề pháp lý đặc biệt phức tạp. Theo thực tiễn xét xử:

• Khi có bản án trắng án có hiệu lực pháp luật, yêu cầu xóa của chủ thể dữ liệu thường có cơ sở
• Sau khi chấp hành xong hình phạt tù, khi đã được xóa án tích (phục hồi danh dự), yêu cầu của chủ thể dữ liệu được củng cố
• Đối với thủ tục tố tụng hình sự đang diễn ra, lợi ích tiếp cận thông tin của công chúng thường được ưu tiên

Thực tiễn của NAIH

NAIH: Cơ quan giám sát

Cơ quan Bảo vệ Dữ liệu và Tự do Thông tin Quốc gia (NAIH) là cơ quan giám sát theo Điều 51 GDPR và cũng có thẩm quyền xem xét việc thực hiện quyền được lãng quên. Chủ thể dữ liệu có thể khiếu nại tới NAIH theo Điều 77 GDPR nếu cho rằng việc xử lý dữ liệu cá nhân vi phạm quy định GDPR.

Thực tiễn quyết định của NAIH

NAIH trong những năm gần đây đã ban hành nhiều quyết định về các vấn đề liên quan đến quyền được lãng quên. Các nguyên tắc quan trọng từ thực tiễn cơ quan:

1. Kiểm tra cơ sở pháp lý xử lý: NAIH khi xem xét yêu cầu xóa trước tiên kiểm tra cơ sở pháp lý của việc xử lý có còn tồn tại không. Nếu cơ sở pháp lý đã chấm dứt (ví dụ: rút lại đồng ý), việc xóa là bắt buộc.

2. Cân nhắc lợi ích: Khi việc xử lý dựa trên lợi ích chính đáng (Điều 6 khoản (1) điểm f) GDPR), NAIH cân nhắc lợi ích chính đáng của bên kiểm soát dữ liệu và lợi ích quyền riêng tư của chủ thể dữ liệu.

3. Trách nhiệm của công cụ tìm kiếm: NAIH — phù hợp với phán quyết Google Spain của CJEU — thừa nhận rằng công cụ tìm kiếm là bên kiểm soát dữ liệu độc lập và có nghĩa vụ xem xét thực chất các yêu cầu delisting.

4. Hạn chế truy cập như giải pháp thay thế: Trong một số trường hợp, NAIH không yêu cầu xóa hoàn toàn mà chỉ yêu cầu gỡ khỏi công cụ tìm kiếm (delisting), vì bản thân nội dung gốc có thể được xử lý hợp pháp (ví dụ: kho lưu trữ của cơ quan báo chí).

Các phương thức khiếu nại

Nếu NAIH không chấp nhận khiếu nại của chủ thể dữ liệu, hoặc nhà cung cấp dịch vụ tìm kiếm từ chối yêu cầu delisting, chủ thể dữ liệu có thể sử dụng các phương thức khiếu nại sau:

• Xem xét tư pháp đối với quyết định của NAIH trước Tòa án Thủ đô Budapest (Fővárosi Törvényszék) (Điều 78 GDPR)
• Khởi kiện trực tiếp đối với bên kiểm soát dữ liệu: chủ thể dữ liệu có thể khởi kiện tại tòa án quốc gia thành viên nơi cư trú hoặc nơi đặt cơ sở kinh doanh của bên kiểm soát dữ liệu (Điều 79 GDPR)
• Yêu cầu bồi thường thiệt hại (Điều 82 GDPR): Bất kỳ người nào chịu thiệt hại vật chất hoặc phi vật chất do vi phạm GDPR đều có quyền được bồi thường

Tư vấn thực tiễn để thực hiện quyền được lãng quên

Chuẩn bị yêu cầu xóa

Để yêu cầu xóa thành công, khuyến nghị các bước sau:

1. Lưu trữ nội dung bị phản đối: Chụp ảnh màn hình kết quả tìm kiếm và các trang liên quan
2. Xác định cơ sở pháp lý: Xác định điểm nào của Điều 17 GDPR được viện dẫn
3. Chuẩn bị cho việc cân nhắc lợi ích: Trình bày lý do tại sao lợi ích quyền riêng tư vượt trội so với lợi ích tiếp cận thông tin của công chúng
4. Chỉ rõ URL yêu cầu gỡ bỏ: Yêu cầu chung cho toàn bộ trang web thường không được chấp nhận

Các trường hợp điển hình mà yêu cầu xóa có thể thành công

• Xuất hiện trên danh sách nợ cũ, không còn liên quan
• Tài liệu báo chí về vụ án hình sự đã kết thúc bằng bản án trắng án có hiệu lực pháp luật
• Thông tin cá nhân (ví dụ: tình trạng sức khỏe) bị công bố ngoài ý muốn
• Dữ liệu của chủ thể dữ liệu chưa thành niên
• Thông tin sai hoặc không chính xác hiển thị trên công cụ tìm kiếm

Tổng kết

Quyền được lãng quên là một trong những chế định pháp lý quan trọng nhất và phát triển năng động nhất của GDPR, đóng vai trò bảo đảm quyền cơ bản về nhân phẩm và quyền riêng tư trong thời đại kỹ thuật số. Trong thực tiễn pháp lý Hungary — thông qua các quyết định của NAIH và phán quyết tòa án — các điều kiện và giới hạn của việc thực hiện quyền xóa ngày càng rõ ràng hơn. Khuyến nghị chủ thể dữ liệu thực hiện quyền này một cách có ý thức và có căn cứ, nếu cần với sự hỗ trợ của chuyên gia pháp lý.

Quản lý dấu chân kỹ thuật số (digital footprint) ngày nay đã trở thành vấn đề có tầm quan trọng cơ bản — quyền được lãng quên cung cấp công cụ không thể thiếu cho việc này.

Bài viết này chỉ mang tính thông tin và không cấu thành tư vấn pháp lý. Đối với các vụ việc cụ thể, chúng tôi khuyến nghị tham vấn luật sư chuyên môn.