Osobní údaje jsou „horké“ ještě předtím, než jsou chráněny zákonem.

Už za pár dní budou mít uživatelé právo požádat o smazání nebo omezení zpracování svých osobních údajů a nelegální nákup a prodej osobních údajů bude přísně zakázán… Toto jsou některá z ustanovení zákona o ochraně osobních údajů z roku 2025, který vstoupí v platnost 1. ledna 2026. Před datem účinnosti zákona se veřejnost opět ozývají diskuse o žádosti společnosti Zalo o aktualizaci.

Báo Thanh niên•28/12/2025

Porušuje Zalo zákon?

Zákon o ochraně osobních údajů z roku 2025 zavádí mnoho specifických předpisů týkajících se práv subjektů údajů (uživatelů) a práv a povinností organizací a podniků, které shromažďují a zpracovávají osobní údaje. Osobní údaje musí být proto shromažďovány se souhlasem uživatele. Sociální média a online komunikační služby jsou zodpovědné za jasné zveřejnění obsahu shromažďovaných osobních údajů; nesmí požadovat obrázky ani videa obsahující úplné nebo částečné osobní doklady jako ověření účtu…

Společnost Zalo oznamuje nové podmínky služby před vstupem v platnost zákona o ochraně osobních údajů z roku 2025.

Foto: Poslanec

Těsně před vstupem zákona v platnost zveřejnila Zalo – nejpoužívanější sociální síť ve Vietnamu – nečekaně oznámení o aktualizaci svých podmínek služby, což vyvolalo obavy mnoha uživatelů. Mnozí vyjádřili pochybnosti, protože nové podmínky se týkají práva na soukromí v oblasti osobních údajů, ale pokud s nimi uživatelé nesouhlasí, znamenalo by to, že by již nemohli aplikaci Zalo používat.

Například v rámci ustanovení „Shromažďování, ochrana a používání uživatelských informací“ dává uživatel při přihlášení ke svému účtu Zalo povolení a souhlas společnosti VNG (vydavatel aplikace) s používáním technických metod ke shromažďování a zpracování údajů souvisejících s uživatelským účtem. Mezi základní osobní údaje, které uživatelé poskytují pro účely identifikace, patří telefonní číslo, občanský průkaz, celé jméno, věk, pohlaví, rodinné vztahy, e-mailová adresa a osobní fotografie. Podobně oznámení, že VNG přijímá, sdílí a předává osobní údaje uživatelů svým členským a přidruženým společnostem, vyvolává u mnoha uživatelů obavy z možného úniku jejich osobních údajů...

V poslední době došlo k nárůstu podvodů zahrnujících vydávání se za řidiče doručovatelů, zaměstnance energetických společností nebo online nakupující, a to vše na základě úniku dat. Oběti přicházejí o peníze nebo jsou nalákány na falešné odkazy či aplikace, které jim kradou účty, což vede k vážným následkům. I když přísnější právní opatření nemohou únikům dat zcela zabránit, poskytují silný základ pro prevenci a boj s online podvody.

Pan Ngo Minh Hieu (ředitel projektu proti podvodům)

Podle pana Vo Do Thanga, ředitele školicího centra pro kybernetickou bezpečnost Athena, Zalo požaduje právo přístupu k osobním údajům uživatelů a jejich zpracování, ale nové oznámení jasně neuvádí výhody, které plynou ze souhlasu lidí s poskytnutím a použitím jejich osobních údajů, ani hodnotu, kterou Zalo přináší. Pokud dojde k úniku dat a způsobí uživatelům škodu, jak je Zalo odškodní? To je to, co uživatele aplikace znepokojuje. Zalo proto musí jasně stanovit povinnosti a práva uživatelů a také jasně stanovit odpovědnost za odškodnění v případě úniku dat. Jak budou dále po 1. lednu 2026 uloženy a použity osobní údaje shromážděné Zalo od předchozích uživatelů? A bude existovat rozdíl v právech mezi těmi, kteří „souhlasili“ před 1. lednem 2026, a těmi, kteří tak učiní později? Pokud chce Zalo provést změny, musí o tom informovat alespoň 30 dní předem, aby se uživatelé mohli připravit. To jsou věci, které musí tato aplikace sociálních médií komunikovat transparentněji, aby byli uživatelé dobře informováni.

Expert na kybernetickou bezpečnost Nguyen Van Thu chápe oznámení společnosti Zalo jako aktualizaci v souladu s duchem připravovaného zákona o ochraně osobních údajů z roku 2025. Dříve mnoho sociálních sítí a dalších aplikací vyžadovalo, aby uživatelé při registraci souhlasili s podmínkami stanovenými společností. Mnoho lidí nevěnovalo pozornost, nepřečetli si podmínky pečlivě a automaticky souhlasili, nebo je někdy dokonce ignorovali. Firmy také výslovně nevyžadovaly, aby uživatelé souhlasili. S platným zákonem o ochraně osobních údajů z roku 2025 však budou firmy moci shromažďovat osobní údaje uživatelů za účelem vytváření účtů pouze tehdy, pokud s tím souhlasí. Kromě toho, pokud uživatelé během používání aplikací a sociálních sítí od roku 2026 zjistí, že jejich osobní údaje jsou zpracovávány nebo používány k jiným účelům, než ke kterým souhlasili, mají právo požádat společnost Zalo zejména nebo jiné firmy obecně o smazání údajů, a dokonce mají právo žalovat o odškodnění, pokud jsou dotčena jejich práva.

Přispívání ke snížení podvodů

Jedním z dalších zajímavých ustanovení zákona o ochraně osobních údajů z roku 2025 je jasný seznam sedmi zakázaných činů souvisejících s osobními údaji. Patří mezi ně použití osobních údajů jiné osoby k páchání nezákonných činů nebo nákup a prodej osobních údajů . Ve skutečnosti je nákup a prodej osobních údajů v poslední době poměrně rozšířený a otevřený, což je zdrojem četných podvodů, ke kterým dochází všude. Data jsou těmito osobami otevřeně nakupována a prodávána po dlouhou dobu, ve velkém množství, na internetu prostřednictvím mnoha webových stránek, účtů a skupin na platformách sociálních médií, jako jsou Facebook, Zalo, Telegram a hackerská fóra. Data obsahují zejména velmi podrobné osobní údaje, jako například: celé jméno, datum narození, občanské identifikační číslo, adresa, telefonní číslo, číslo bankovního účtu (včetně zůstatku), příbuzní, pracovní pozice a pozice.

Aplikace sociálních médií mají zakázáno vyžadovat obrázky nebo videa obsahující úplné nebo částečné identifikační doklady jako prostředek k ověření účtu.

Foto: Ngoc Duong

Pan Ngo Minh Hieu, ředitel projektu proti podvodům , se rovněž domnívá, že zákon o ochraně osobních údajů, který vstoupí v platnost 1. ledna 2026, sice okamžitě neukončí nedávný nárůst online podvodů, ale přispěje k jejich snížení a postupnému omezení. Analyzoval: Tento zákon vytvoří silnější právní rámec pro ochranu osobních údajů. Například stanoví práva jednotlivců týkající se soukromých údajů a dává jim právo požádat o smazání údajů, pokud již nejsou potřeba. Zákon zároveň přísně reguluje shromažďování a zpracování údajů; organizace a podniky musí respektovat procesy a soukromí zákazníků a musí pravidelně hodnotit informační bezpečnost a kybernetickou bezpečnost svých systémů a aplikací.

„V případě napadení systému organizace musí tato neprodleně informovat úřady, aby se vyhnula sankcím. V některých případech, kdy zaměstnanci nebo úředníci podniku či organizace prodávají informace externě, tento zákon také jasně stanoví sankce, které se mohou pohybovat od trestních sankcí až po velmi vysoké správní pokuty na základě ročního příjmu. V poslední době došlo k nárůstu podvodů zahrnujících vydávání se za přepravce, energetické společnosti nebo online nakupující… to vše pramení z úniku dat. Oběti přicházejí o peníze nebo jsou nalákány na falešné odkazy či aplikace, které jim kradou účty, což má vážné následky. Zpřísnění právních překážek, i když únikům informací nelze zcela zabránit, poskytuje velmi dobrý základ pro prevenci a boj proti online podvodům,“ uzavřel pan Ngo Minh Hieu.

Expert Nguyen Van Thu také souhlasil s tím, že před zavedením zákona každá společnost shromažďovala a používala informace o zákaznících bez rozdílu, což mělo mnoho negativních důsledků pro jednotlivce i společnost jako celek. Proto se po oficiálním uplatňování zákona tento problém časem sníží a povědomí občanů i podniků o ochraně osobních údajů se zvýší. Lidé budou při sdílení osobních údajů online aktivnější v ochraně sebe sama. Když si bude každý vědom ochrany svých údajů, pomůže to omezit veřejné sdílení informací online a včas odhalit krádeže a obchodování s osobními údaji a nahlásit je státním orgánům k včasnému vyřízení. Tím se sníží nákup a prodej osobních údajů a přispěje se ke snížení počtu podvodů.

Uživatelé mají právo požádat o smazání údajů a požadovat odškodnění.

Zákon o ochraně osobních údajů z roku 2025 stanoví řadu uživatelských práv týkajících se osobních údajů. Patří mezi ně právo požadovat opravu nebo smazání údajů, pokud již nejsou nezbytné pro původní účel shromažďování; právo odvolat předchozí souhlas se zpracováním osobních údajů ; a právo podávat stížnosti, žaloby a požadovat náhradu škody. Například dříve uživatelé souhlasili s tím, že podniky mohou při registraci ke službám používat své osobní údaje, jako jsou telefonní čísla a adresy. Pokud však uživatel službu již nevyužívá, podniky tyto údaje nadále ukládají a používají pro reklamu a marketing. Od nynějška mohou uživatelé požádat podniky o smazání svých osobních údajů.

Zákon zejména specifikuje také klasifikaci běžných osobních údajů a citlivých osobních údajů. Citlivé osobní údaje tedy zahrnují informace, jako je zdravotní stav, finance, biometrické údaje, soukromý život, politické názory atd., a zpracování tohoto typu údajů musí splňovat přísnější požadavky na ochranu.

Expertka Ngo Minh Hieu zdůraznila, že nový zákon se dotkne většiny lidí, protože osobní údaje a data jsou stále důležitější, zejména v době prudkého rozvoje umělé inteligence. Mezi novými nařízeními je i právo uživatelů smazat nebo požádat o smazání svých osobních údajů. Lidé by měli těmto novým nařízením věnovat pozornost a požádat jednotky a organizace spravující údaje o smazání svých údajů, pokud je již nepotřebují, a to v oblastech, jako jsou finance a telekomunikace.

„Toto nařízení jistě způsobí potíže mnoha lidem, kterým jsou neustále nabízeny nemovitosti, cenné papíry nebo půjčky, aniž by věděli, jak tomu zabránit. Jakmile zákon vstoupí v platnost, budou mít uživatelé právní základ k tomu, aby se domáhali řešení,“ uvedl dále pan Ngo Minh Hieu.

Podle experta na kybernetickou bezpečnost Nguyen Van Thu budou podniky v počátečním období po zavedení zákona nejvíce postiženy. Podniky shromažďují a ukládají osobní údaje, které jsou považovány za obrovský datový „úložiště“, což z nich činí hlavní cíl hackerských útoků a krádeží dat pro jiné účely, jako jsou podvody, hackování účtů a finanční krádeže. Aby podniky dodržovaly předpisy a chránily osobní údaje zákazníků, budou muset vybudovat interní procesy sběru, zpracování a ochrany dat. Současně musí implementovat technická řešení, jako je hardware a software, aby se zabránilo kopírování dat a minimalizovala rizika.

To zahrnuje prevenci externích útoků nebo krádeže a distribuce dat interními zaměstnanci. Taková opatření mohou zvýšit obchodní náklady. To je však zcela výhodné pro uživatele a samotné firmy posílí kybernetickou bezpečnost během provozu. Vládní orgány budou mít navíc dostatečné důvody k provádění inspekcí, kontrol a uvalování sankcí na organizace a firmy, které se dopouštějí porušení předpisů, a tím lépe ochrání uživatele.

Za porušení ochrany osobních údajů může být uložena maximální pokuta ve výši 5 % z příjmů za následující rok.

Zákon o ochraně osobních údajů z roku 2025 stanoví: Maximální pokuta za správní přestupky související s nákupem a prodejem osobních údajů je desetinásobkem příjmů z porušení. Maximální pokuta za správní přestupky organizací, které poruší předpisy o přeshraničním přenosu osobních údajů, je 5 % jejich příjmů v předchozím roce; to platí, pokud v předchozím roce neexistují žádné příjmy nebo pokud je pokuta vypočtená na základě příjmů nižší než stanovená maximální pokuta. Maximální pokuta za jiná porušení v oblasti ochrany osobních údajů je 3 miliardy VND. Osobám, které se dopustí stejného porušení, bude uložena maximální pokuta rovnající se polovině pokuty uložené organizacím.