Mezinárodní právo v oblasti ochrany osobních údajů a jeho důsledky pro Vietnam

Vietnam, jedna ze zemí s nejvyšším rozvojem internetu a rychlostí aplikací na světě , kterou používá téměř 80 % populace, ukládá, zveřejňuje, sdílí a shromažďuje osobní údaje 2/3 obyvatel v kyberprostoru v mnoha různých formách a úrovních detailů.

V letech 2022 a 2023 Vietnam stíhal 5 trestních případů týkajících se tisíců GB dat a miliard osobních údajů, které byly předmětem nákupu a prodeje. To ukazuje, že je naléhavé zlepšit zákon o ochraně osobních údajů na základě výzkumu a odkazu na mezinárodní právo.

Mezinárodní právo v oblasti ochrany osobních údajů

GDPR je považováno za významný právní krok vpřed, který vytváří nejpřísnější mechanismus ochrany osobních údajů na dnešním světě.

Obecné nařízení Evropské unie (EU) o ochraně osobních údajů (GDPR) je považováno za významný právní krok vpřed, vytváří nejpřísnější mechanismus ochrany osobních údajů na dnešním světě a vztahuje se na všechny organizace a podniky, které zpracovávají osobní údaje občanů EU.

GDPR ukládá jednotné sankce podnikům v celém bloku. Konkrétně se pokuty pohybují až do výše 2 % obratu nebo 10 milionů eur za drobná porušení a 4 % obratu nebo 20 milionů eur za závažná porušení. Kromě pokut mohou být podniky, které poruší GDPR, vystaveny i dalším sankcím, jako je například nucení zastavit zpracování údajů nebo smazání údajů, které byly zpracovány v rozporu s GDPR.

Orgánem EU pro ochranu osobních údajů je inspektor ochrany osobních údajů (EDPS) – nezávislý orgán, jehož členy jsou zkušení právníci, IT experti a administrátoři.

Tento orgán má hlavní funkci dohledu nad zpracováním osobních údajů v agenturách a organizacích EU a také poradenství v otázkách týkajících se osobních údajů. GDPR rovněž vyžaduje zřízení úřadu pro ochranu osobních údajů v každém členském státě, jako je Národní komise pro ochranu osobních údajů (Francie, Irsko...) nebo Inspektorát pro ochranu údajů (Finsko, Lotyšsko...).

Vedle EIOÚ zřídila EU také Evropský sbor pro ochranu osobních údajů (EDPB), který se skládá ze zástupců vnitrostátních orgánů pro ochranu osobních údajů členských států a zástupců EU a funguje jako hlavní nezávislý poradní orgán pro otázky ochrany osobních údajů, odpovědný za jednotné uplatňování GDPR v celé unii.

GDPR stanoví vysoce odrazující sankce, a to jak materiální, tak i nemateriální. Kromě toho má úřad EU pro ochranu osobních údajů, který je implementován podle modelu Komise/Komisaře, široké a nezávislé pravomoci ukládat sankce, pokud organizace poruší předpisy o ochraně osobních údajů, a je schopen nezávisle posoudit a rozhodovat o zpracování osobních údajů.

Čínský zákon o ochraně osobních údajů (PIPL), přijatý v roce 2021, je považován za první komplexní zákon o ochraně osobních údajů na národní úrovni v Číně. PIPL poskytuje relativně jednotný pohled na osobní údaje/osobní informace jako informace, které identifikují nebo identifikují konkrétní osobu, a zaměřuje se na úzkou skupinu osob na území Číny (článek 4 kapitola 1 PIPL). Zároveň upravuje problematiku citlivých osobních údajů a stanoví pravidla pro práva a povinnosti stran s ohledem na konkrétnější skupiny údajů.

Sankce za porušení práv na ochranu osobních údajů podle zákona PIPL jsou velmi přísné a zahrnují nucenou nápravu, zabavení nelegálních příjmů, pozastavení služeb, odebrání provozních nebo obchodních licencí a pokuty až do výše 50 milionů juanů nebo 5 % ročních příjmů organizace v předchozím fiskálním roce. Porušení mohou být navíc zaznamenána také v „úvěrovém souboru“ zpracovatelské jednotky v rámci národního systému sociálního kreditu.

Zpracovatelské jednotky budou dále odpovědné za náhradu škody, pokud poruší práva a zájmy organizací a jednotlivců. Trestní sankce za tyto typy porušení jsou rovněž konkrétně upraveny čínským trestním zákoníkem, který stanoví přísnější trestní odpovědnost pro ty, kteří jsou povinni zachovávat mlčenlivost o informacích, přidává formu propadnutí majetku a stanoví doživotní vězení jako nejvyšší trest odnětí svobody.

Singapurský zákon o ochraně osobních údajů (PDPA) přijatý v roce 2012 (novelizován v roce 2020). Singapurské právo uznává právo na ochranu osobních údajů a také potřebu organizovat shromažďování, používání a zveřejňování informací pro vhodné účely za určitých okolností.

Zákon o ochraně osobních údajů (PDPA) rovněž stanoví přísné finanční sankce za narušení bezpečnosti dat. Jednotlivým porušitelům budou uděleny pokuty nebo odnětí svobody. Výše ​​pokut závisí na povaze a závažnosti porušení a pohybuje se od 2 000 do 100 000 singapurských dolarů (ekvivalent 1,6 miliardy dongů) a/nebo odnětí svobody nepřesahující 12 měsíců, nebo v závažných případech až na 3 roky1; agenturám a společnostem, které poruší zákon, může být uložena pokuta až do výše 10 % jejich ročního obratu.

Orgánem, který hraje důležitou roli při zajišťování implementace zákona o ochraně osobních údajů (PDPA), je Komise pro ochranu osobních údajů (PDPC). Jedná se o specializovaný orgán s širokými pravomocemi a rozsáhlými možnostmi vymáhání práva, s právem požadovat od jednotlivců a organizací informace a dokumenty týkající se zpracování osobních údajů, ukládat finanční sankce za porušení a také je řešit dalšími opatřeními.

Zřízení specializované agentury, Singapurské komise pro ochranu osobních údajů, která pracuje nezávisle a proaktivně při odhalování, řešení porušení a uplatňování sankcí, je také jednou z podmínek pro účinné vymáhání ochrany osobních údajů v Singapuru.

Doporučení pro zlepšení zákonů na ochranu osobních údajů ve Vietnamu

V současné době existuje ve Vietnamu 69 právních dokumentů přímo souvisejících s otázkou ochrany osobních údajů, které jsou stanoveny v různých dokumentech, včetně ústavy, zákoníku (4), zákona (39), vyhlášky (1), dekretu (2), oběžníku/společného oběžníku (4) a rozhodnutí ministra (1).

Tyto dokumenty v zásadě přistupují k problematice ochrany osobních údajů ve směru prosazování principu zajištění soukromí subjektu, ale mají odlišná pravidla týkající se informací týkajících se osobních údajů, která se týkají otázek práv a povinností subjektů, zpracování informací a metod ochrany osobních údajů. Zákon upravující problematiku ochrany osobních údajů ve Vietnamu dosáhl pozoruhodných výsledků, zejména dne 17. dubna 2023, kdy vláda vydala nařízení č. 12/2023/ND-CP o ochraně osobních údajů - jedná se o samostatný dokument upravující tuto problematiku v naší zemi. Tyto právní dokumenty vytvořily právní koridor v oblasti ochrany osobních údajů; specifikují práva subjektů údajů i zpracovatelů, stanoví sankce za porušení ochrany osobních údajů a určují specializovaný orgán pro ochranu osobních údajů jako Oddělení kybernetické bezpečnosti a prevence high-tech kriminality v rámci Ministerstva veřejné bezpečnosti ...

Vietnam čelí mnoha rizikům, výzvám a nebezpečím z kyberprostoru, zejména úniku a přivlastňování si osobních informací a dat, což má mnoho škodlivých dopadů na občany a společnost.

Samotná implementace těchto dokumentů však odhalila také mnoho omezení, například stávající samostatné právní dokumenty jsou pouze na úrovni vyhlášek, což nesplňuje důležitost ochrany osobních údajů, mnoho obsahu je v současné době regulováno obecně a nejasně, což vede k nedostatku konkrétních pokynů pro každý konkrétní případ, a sankce jsou stále mírné a dostatečně odrazující...

V této situaci je a je nutné prostudovat další zlepšování zákona o ochraně osobních údajů ve Vietnamu na základě zkušeností jiných zemí. Konkrétně:

Zaprvé, vypracovat zákon o ochraně osobních údajů . V kontextu průmyslové revoluce 4.0 vydalo 80 zemí na regionální i národní úrovni samostatné právní dokumenty na ochranu osobních údajů. Vietnam musí brzy prozkoumat a vydat obecný, specializovaný zákon o datech, jako je zákon o ochraně osobních údajů, podobně jako EU, Čína nebo Singapur, který by identifikoval základní otázky a principy ochrany osobních údajů. Vydání samostatného zákona o osobních údajích bude důležitým právním základem pro ochranu osobních údajů, jelikož v současné době nejsou právní dokumenty týkající se této problematiky v naší zemi sjednoceny z hlediska terminologie a obsahových předpisů.

Za druhé, změnit a doplnit sankce za porušení ochrany osobních údajů přísnějším způsobem, aby odpovídaly povaze a závažnosti porušení. Ačkoli sankce za porušení ochrany osobních údajů v naší zemi zahrnují správní, občanskoprávní a trestní sankce, jsou obecně poměrně mírné a nemají vysoký odrazující účinek. Hlavní metodou je v současné době stále uplatňování sankcí za správní přestupky, ale předpisy jsou rozptýleny v mnoha vyhláškách s poměrně nízkými pokutami, přičemž nejvyšší je: 100 milionů VND pro jednotlivce a 200 milionů VND pro organizace.

Škoda, kterou může způsobit administrativní porušení osobních údajů, není jen materiální škoda, ale také újma na cti a důstojnosti. Kromě administrativních sankcí se trestní sankce za porušení osobních údajů odrážejí pouze v předpisech o ochraně soukromí a v oblasti informačních technologií a bezpečnosti sítí v článcích 159 a 288 současného trestního zákoníku s relativně nízkým trestem odnětí svobody nepřesahujícím 7 let a pokutou nepřesahující 1 miliardu VND. Tato pokuta je ve srovnání s úrovní 20 milionů eur v EU, 1 milionem singapurských dolarů v Singapuru nebo doživotním trestem v Číně stále velmi nízká a neodpovídá mnoha porušením.

Zároveň je nutné regulovat mnoho skupin chování, které v současné době nejsou v zákoně zmíněny, jako je například obchodování s daty ve velkém měřítku, vytváření systémů pro porušování dat, porušování předpisů v oblasti marketingových služeb atd.

Za třetí, po vzoru vietnamského úřadu pro ochranu osobních údajů . V současné době je specializovaným úřadem pro ochranu osobních údajů Oddělení kybernetické bezpečnosti a prevence kriminality v oblasti high-tech v rámci Ministerstva veřejné bezpečnosti. S odkazem na mezinárodní předpisy můžeme zvážit zřízení nezávislého úřadu pro ochranu osobních údajů, který by byl odpovědný za vymáhání zákona o ochraně osobních údajů, provádění inspekcí, šetření, vydávání pokynů a doporučení a uplatňování sankcí za případná porušení.

Můžeme se odkázat na tyto modely v EU nebo Singapuru... pro efektivní vymáhání zákonů na ochranu osobních údajů, přičemž vyvažujeme ochranu osobních práv a zajištění bezpečnosti sítě.

Ochrana osobních údajů není jednoduchá záležitost, zejména v kontextu integrace, kdy dochází k rozsáhlému monitorování a shromažďování osobních údajů a vietnamský právní systém upravující tuto problematiku se stále buduje a zdokonaluje.

Výzkum mezinárodního práva v této oblasti s odkazem na praktickou situaci ve Vietnamu nám brzy pomůže vybudovat právní rámec pro komplexní ochranu osobních údajů, který bude slučitelný s mezinárodním právem a bude mít zajištěné účinné vymáhání.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html