المرسوم رقم 13/2023/ND-CP هو أول وثيقة قانونية في فيتنام تستخدم رسميًا مفهوم البيانات الشخصية، وتنظم الالتزام بحماية البيانات الشخصية للكيانات التي تجمع البيانات الشخصية وتقوم بمعالجتها. (صورة توضيحية: رويترز)

اليوم (1 يوليو)، دخل المرسوم الحكومي رقم 13/2023/ND-CP بشأن حماية البيانات الشخصية حيز التنفيذ رسميًا، مما أدى إلى إنشاء ممر قانوني لحماية البيانات الشخصية في فيتنام بشكل فعال، وتقليل مخاطر وعواقب انتهاكات البيانات الشخصية.

صدر المرسوم من قبل الحكومة في 17 أبريل 2023 مع العديد من اللوائح الصارمة بشأن حماية البيانات ومسؤولية حماية البيانات الشخصية للوكالات والمنظمات والأفراد ذوي الصلة.

ماذا تشمل البيانات الشخصية؟

ينص المرسوم بوضوح على أن البيانات الشخصية هي المعلومات في شكل رموز أو حروف أو أرقام أو صور أو أصوات أو أشكال مماثلة في البيئة الإلكترونية المرتبطة بشخص معين أو تساعد في التعرف على شخص معين.

تتضمن البيانات الشخصية البيانات الشخصية الأساسية والبيانات الشخصية الحساسة.

تتضمن البيانات الشخصية الأساسية : الاسم الأخير والاسم الأوسط واسم الميلاد والأسماء الأخرى (إن وجدت)؛ تاريخ الميلاد؛ التاريخ والشهر والسنة للوفاة أو الاختفاء؛ الجنس؛ مكان الميلاد، مكان تسجيل الميلاد، الإقامة الدائمة، الإقامة المؤقتة، الإقامة الحالية، مسقط الرأس، عنوان الاتصال؛ جنسية؛ الصورة الشخصية؛ رقم الهاتف، رقم بطاقة الهوية، رقم الهوية الشخصية، رقم جواز السفر، رقم رخصة القيادة، رقم لوحة الترخيص، رقم الرمز الضريبي الشخصي، رقم التأمين الاجتماعي، رقم بطاقة التأمين الصحي ؛ الحالة الاجتماعية؛ معلومات حول العلاقات الأسرية (الوالدين والأطفال)؛ معلومات حول أرقام الحسابات الفردية؛ تعكس البيانات الشخصية الأنشطة وتاريخ الأنشطة على الفضاء الإلكتروني...

ترتبط البيانات الشخصية الحساسة ارتباطًا وثيقًا بخصوصية الفرد، والتي في حالة انتهاكها، ستؤثر بشكل مباشر على حقوق ومصالح هذا الشخص المشروعة. مثل الآراء السياسية والآراء الدينية؛ الحالة الصحية؛ الأصل العرقي، الأصل العرقي؛ السمات الوراثية؛ الخصائص البيولوجية الفريدة؛ الحياة الجنسية؛ بيانات الموقع؛ البيانات المتعلقة بالجرائم والأعمال الإجرامية التي يتم جمعها وتخزينها من قبل وكالات إنفاذ القانون؛ معلومات عملاء مؤسسة الإئتمان…

الأفعال المحظورة

حماية البيانات الشخصية هي نشاط منع وكشف وإيقاف ومعالجة الانتهاكات المتعلقة بالبيانات الشخصية وفقًا لأحكام القانون.

تنص المادة 8 من المرسوم على الأفعال المحظورة، بما في ذلك: معالجة البيانات الشخصية خلافاً لأحكام قانون حماية البيانات الشخصية؛ معالجة البيانات الشخصية لإنشاء معلومات وبيانات تهدف إلى معارضة جمهورية فيتنام الاشتراكية؛ معالجة البيانات الشخصية لإنشاء معلومات وبيانات تؤثر على الأمن الوطني والنظام الاجتماعي والسلامة والحقوق والمصالح المشروعة للمنظمات والأفراد الآخرين.

ويحظر المرسوم أيضًا الأعمال التي من شأنها عرقلة أنشطة حماية البيانات الشخصية التي تقوم بها السلطات المختصة، وكذلك استغلال أنشطة حماية البيانات الشخصية لانتهاك القانون.

حالات معالجة البيانات الشخصية دون موافقة صاحب البيانات

تنص المادة 17 من المرسوم على حالات معالجة البيانات الشخصية دون موافقة صاحب البيانات، بما في ذلك: الحالات الطارئة، حيث يكون من الضروري معالجة البيانات الشخصية ذات الصلة على الفور لحماية حياة وصحة صاحب البيانات أو أشخاص آخرين؛ الإفصاح عن البيانات الشخصية حسبما يقتضي القانون.

إلى جانب ذلك، هناك حالة معالجة البيانات من قبل الأجهزة الحكومية المختصة في حالات الطوارئ المتعلقة بالدفاع الوطني والأمن الوطني والنظام الاجتماعي والسلامة والكوارث الكبرى والأوبئة الخطيرة؛ عندما يكون هناك تهديد للأمن أو الدفاع الوطني ولكن ليس إلى حد إعلان حالة الطوارئ؛ منع ومكافحة الشغب والإرهاب ومنع ومكافحة الجرائم والمخالفات للقانون على النحو المنصوص عليه في القانون.

بالإضافة إلى ذلك، يجوز لمسؤول معالجة البيانات الشخصية أيضًا معالجة البيانات الشخصية دون موافقة صاحب البيانات للوفاء بالتزاماته التعاقدية مع الهيئات والمنظمات والأفراد ذوي الصلة وفقًا لما ينص عليه القانون؛ وكذلك في حالة خدمة نشاطات أجهزة الدولة المنصوص عليها في القوانين المختصة.

يجب التحقق من عمر الأطفال قبل معالجة البيانات الشخصية للأطفال

وينص المرسوم على أن معالجة البيانات الشخصية للأطفال تتم دائمًا وفقًا لمبدأ حماية حقوق الطفل ومصلحته الفضلى.

وعليه، فإن معالجة البيانات الشخصية للأطفال يجب أن تتم بموافقة الطفل في الحالات التي يكون فيها الطفل يبلغ من العمر 7 سنوات أو أكثر ويحصل على موافقة الوالد أو الوصي على النحو المنصوص عليه، باستثناء الحالة المحددة في المادة 17.

يتعين على مراقبي البيانات الشخصية ومعالجي البيانات الشخصية ومراقبي البيانات الشخصية ومعالجيها والأطراف الثالثة التحقق من عمر الأطفال قبل معالجة بياناتهم الشخصية.

وينص المرسوم أيضًا على عدد من الحالات التي يجب فيها على الأطراف التوقف عن معالجة البيانات الشخصية للأطفال، أو حذف أو تدمير البيانات الشخصية للأطفال بشكل لا رجعة فيه (باستثناء ما ينص عليه القانون خلافًا لذلك).

وعلى وجه التحديد، في الحالات التي لا تتم فيها معالجة البيانات للغرض المقصود أو تم تحقيق غرض معالجة البيانات الشخصية بموافقة صاحب البيانات؛ يقوم والد الطفل أو الوصي عليه بسحب موافقته على معالجة البيانات الشخصية للطفل؛ أو بناء على طلب السلطات المختصة عندما تكون هناك أدلة كافية لإثبات أن معالجة البيانات الشخصية تؤثر على حقوق الأطفال ومصالحهم المشروعة.