Machen Sie einen Schritt nach vorne, um die Menschenrechte im digitalen Wandel zu gewährleisten

Der Schutz personenbezogener Daten ist der Schutz der grundlegenden Menschenrechte und Freiheiten in Bezug auf Daten.

Am 17. April 2023 erließ die Regierung das Dekret Nr. 13/2023/ND-CP (Dekret) zum Schutz personenbezogener Daten, das ab dem 1. Juli 2023 in Kraft tritt und die Anforderungen zum Schutz der Rechte an personenbezogenen Daten erfüllt sowie Verstöße gegen den Datenschutz verhindert, die die Rechte und Interessen von Einzelpersonen und Organisationen beeinträchtigen.

Highlights

Das Dekret ist ein Rechtsdokument, das den Schutz personenbezogener Daten und die Verantwortung der entsprechenden Behörden, Organisationen und Einzelpersonen zum Schutz personenbezogener Daten regelt.

Der Schutz personenbezogener Daten ist in erster Linie der Schutz der grundlegenden Menschenrechte und Freiheiten in Bezug auf Daten. Die Bestimmungen des Dekrets zum Schutz personenbezogener Daten im Betrieb zielen darauf ab, die Verletzung der persönlichen Rechte und Freiheiten jeder Person zu verhindern.

Gleichzeitig ist die Sicherheit personenbezogener Daten von besonderer Bedeutung, da der Diebstahl von Daten wirtschaftliche und soziale Verluste verursachen kann und Risiken wie Erpressung, Betrug, Eigentumsmissbrauch, Verleumdung, Verletzung der Ehre oder Würde, sexueller Missbrauch usw. birgt, was sowohl materielle als auch geistige Folgen hat und die Rechte und legitimen Interessen von Behörden, Organisationen, Unternehmen und Einzelpersonen direkt beeinträchtigt.

Zweitens: Förderung und Achtung der Rechte der betroffenen Personen. Zu den Rechten der betroffenen Personen gehören das Recht auf Auskunft, das Recht auf Einwilligung in die Verarbeitung personenbezogener Daten, das Recht auf Information und das Recht auf Löschung der Daten.

Darüber hinaus haben betroffene Personen das Recht, sich vor der Verletzung ihrer personenbezogenen Daten durch andere zu schützen. Betroffene haben das Recht, Schadensersatz zu verlangen, wenn ein Verstoß gegen die Bestimmungen des Dekrets zu einer Beeinträchtigung des Rechts auf Schutz personenbezogener Daten führt. Das Dekret legt zudem klar fest, dass das Sammeln, Übermitteln oder Kaufen und Verkaufen personenbezogener Daten ohne die Zustimmung der betroffenen Person einen Gesetzesverstoß darstellt.

Das Recht der betroffenen Person auf Schutz personenbezogener Daten ist jedoch kein absolutes Recht, sondern kann in Notfällen eingeschränkt werden, um das Leben und die Gesundheit der Person oder anderer zu schützen; in Notsituationen im Zusammenhang mit der Landesverteidigung, Sicherheit, sozialen Ordnung und Sicherheit; bei der Erfüllung bestimmter vertraglicher Verpflichtungen oder bei der Unterstützung der Aktivitäten staatlicher Stellen gemäß den Vorschriften spezieller Gesetze.

Mit der Ausnahmeregelung soll der Grundsatz umgesetzt werden, die Rechte von Einzelpersonen und Organisationen zu gewährleisten, ohne jedoch die legitimen Rechte und Interessen anderer Einzelpersonen und Organisationen oder nationale Interessen bei der Ausübung dieser Rechte zu verletzen.

Drittens: Förderung der internationalen Integration im Bereich des Datenschutzes. Das Dekret steht im Einklang mit internationalen Praktiken und Vorschriften zum Datenschutz. Viele Industrieländer haben den Datenschutz gesetzlich verankert, was für Vietnam eine wichtige Grundlage für die Untersuchung und Bezugnahme darstellt.

Darüber hinaus haben internationale Organisationen, denen Vietnam angehört oder mit denen Vietnam zusammenarbeitet, Konventionen, Empfehlungen und Standards zum Schutz der Privatsphäre und der personenbezogenen Daten herausgegeben. Dazu gehören die Datenschutzgrundsätze der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD), das Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung von Informationen und personenbezogenen Daten, die UN-Leitlinien für computergestützte personenbezogene Daten und Informationsdateien, das Datenschutzrahmenwerk der Asiatisch -Pazifischen Wirtschaftsgemeinschaft (APEC), internationale Standards zum Schutz der Privatsphäre und der personenbezogenen Daten (Madrider Resolution), die Datenschutz-Grundverordnung der EU (DSGVO) usw.

Darüber hinaus haben im Zuge der Förderung der Zusammenarbeit zwischen unserem Land und anderen Ländern und Gebieten mehr als 80 Länder Rechtsdokumente zum Schutz personenbezogener Daten erlassen, von denen viele Bestimmungen enthalten, die für vietnamesische Organisationen und Einzelpersonen gelten. Spezifische und detaillierte Vorschriften zum Schutz personenbezogener Daten zielen daher darauf ab, ein Umfeld der Gleichheit und des Respekts vor dem Gesetz in Vietnam zu schaffen, auch für ausländische Einzelpersonen und Organisationen.

Die Herausforderungen

Derzeit bestehen bei der Umsetzung des Dekrets noch zahlreiche erhebliche Herausforderungen.

Erstens besteht die Herausforderung in der Mitarbeiterverwaltung von Unternehmen. Derzeit bauen viele Unternehmen ein Modell mit Mutter- und Tochterunternehmen auf, das über dasselbe Verwaltungsökosystem verfügt. Auf Mitarbeiterinformationen kann über das gemeinsame System leicht zugegriffen werden.

Allerdings wird nach vietnamesischem Recht jedes Unternehmen (einschließlich Mutter- und Tochtergesellschaften) als separate und unabhängige juristische Person betrachtet, sodass die Übermittlung personenbezogener Daten von Mitarbeitern durch Unternehmen im selben Ökosystem zur Unterstützung des internen Managementprozesses des Unternehmens auch als Verstoß gegen die Verantwortung des Unternehmens zum Schutz personenbezogener Daten angesehen werden kann.

Andererseits haben viele Unternehmen derzeit Schwierigkeiten, das Dekret umzusetzen, und haben die Mechanismen und Vorschriften zur Verwaltung und zum Schutz der personenbezogenen Daten ihrer Mitarbeiter gemäß dem Dekret noch nicht fertiggestellt.

Zweitens steht es nicht im Einklang mit den gesetzlichen Bestimmungen für die Geschäftstätigkeit von Kreditinstituten. Derzeit wird die Geschäftstätigkeit von Kreditinstituten durch spezielle gesetzliche Bestimmungen geregelt, wie etwa: das Gesetz über Kreditinstitute 2010 (geändert und ergänzt 2014); das Gesetz zur Bekämpfung der Geldwäsche; das Dekret 117/2018/ND-CP über die Wahrung der Vertraulichkeit und Bereitstellung von Kundeninformationen von Kreditinstituten und ausländischen Bankfilialen; das Rundschreiben 09/2020/TT-NHNN der Staatsbank zur Regelung der Sicherheit von Informationssystemen im Bankgeschäft auf der Ebene unterhalb des Gesetzes.

Andererseits betrifft die Datenverarbeitung bei Bankgeschäften personenbezogene Daten, wie etwa: Das Erfassen, Aufzeichnen, Analysieren, Bestätigen, Speichern, Bearbeiten, Veröffentlichen, Kombinieren, Zugreifen, Abrufen, Wiederaufrufen, Kodieren, Dekodieren, Kopieren, Teilen, Übermitteln, Bereitstellen, Übermitteln, Löschen, Vernichten personenbezogener Daten oder andere damit verbundene Aktionen sind für die Bereitstellung von Dienstleistungen für Kunden und das Risikomanagement bei Bankgeschäften sowie für die Gewährleistung der Sicherheit des Währungssystems unerlässlich. Daher ist für viele Aktivitäten zur Verarbeitung personenbezogener Kundendaten keine Zustimmung der Kunden erforderlich und dies auch nicht. In Absatz 2, Artikel 3 und Absatz 1, Artikel 9 des Dekrets ist festgelegt, dass die betroffenen Personen das Recht haben, über die Verarbeitung ihrer personenbezogenen Daten informiert zu werden, außer in Fällen, in denen andere Gesetze etwas anderes vorsehen.

Oder in Absatz 2, Artikel 9 wird festgelegt, dass die betroffene Person das Recht hat, der Verarbeitung ihrer personenbezogenen Daten nicht zuzustimmen. Die betroffene Person hat das Recht auf Löschung, Zugriff, Beantragung einer Einschränkung der Datenverarbeitung und Widerspruch gegen die Datenverarbeitung, außer in Fällen, in denen ein anderes Gesetz andere Bestimmungen in Artikel 9 enthält. Daher wäre es verwirrend und unangemessen, wenn das Dekret starr und ohne einheitliche Leitlinien angewendet würde.

Darüber hinaus erfolgt die Bereitstellung von Dienstleistungen und Produkten durch Kreditinstitute über viele Prozesse an einem Produkt. Jeder Prozess an einem Produkt umfasst viele verschiedene Schritte und bezieht sich auf die Erhebung, Auswertung, Analyse und Bereitstellung von Daten aus sehr großen Kundendateien. Gleichzeitig verpflichtet das Dekret den Verantwortlichen und den Auftragsverarbeiter für personenbezogene Daten, bei allen Verarbeitungsvorgängen die Einwilligung der betroffenen Person (des Kunden) einzuholen, wenn sie Datenverarbeitungsaktivitäten durchführen (Artikel 11). Außerdem müssen sie die betroffene Person vor der Durchführung von Datenverarbeitungsaktivitäten benachrichtigen (Artikel 13). Dies stellt weiterhin ein weiteres Hindernis für die Geschäftstätigkeit von Kreditinstituten dar.

Darüber hinaus müssen Kreditinstitute ihre Informationstechnologiesysteme und andere untergesetzliche Dokumente im Zusammenhang mit der Geschäftstätigkeit von Kreditinstituten anpassen; Vertrags- und Vereinbarungsvorlagen müssen überarbeitet werden, um dem Dekret zu entsprechen, was erhebliche Schwierigkeiten für den Bankbetrieb mit sich bringt.

Drittens verstehen viele Menschen den Schutz ihrer persönlichen Daten nicht und sind sich dessen nicht bewusst. Daher geben sie leichtfertig persönliche Informationen auf Social-Networking-Plattformen weiter und ermöglichen es so unabsichtlich, dass Kriminelle diese Informationen für böse Zwecke missbrauchen.

Manche Menschen sind sich des Werts des Schutzes personenbezogener Daten im Hinblick auf die Wahrung der Privatsphäre nicht ganz bewusst und haben Angst, persönliche Informationen preiszugeben. Dies erschwert den Behörden die staatliche Verwaltung des Schutzes personenbezogener Daten sowie die Untersuchung und Behandlung von Verstößen gegen das Gesetz zum Schutz personenbezogener Daten.

Darüber hinaus hat der Kauf und Verkauf personenbezogener Daten und das damit verbundene Risiko eines Informationsverlusts schwerwiegende Folgen und wirkt sich auf wirtschaftliche und soziale Probleme aus. Betrügerische Phänomene und Spam-Werbung über Anrufe und Nachrichten sind nach wie vor kompliziert und beeinträchtigen das Leben der Menschen.

Die Sicherheit personenbezogener Daten ist von besonderer Bedeutung, da Datendiebstahl wirtschaftliche und soziale Verluste verursachen und die Rechte und berechtigten Interessen von Behörden, Organisationen, Unternehmen und Einzelpersonen direkt beeinträchtigen kann. (Quelle: Shutterstock)

Umsetzung des Dekrets in die Praxis

Vietnam ist mit über 70 Millionen Nutzern eines der Länder mit der weltweit höchsten Internetentwicklung und Anwendungsgeschwindigkeit. Personenbezogene Daten von mehr als zwei Dritteln der Bevölkerung unseres Landes wurden und werden in unterschiedlicher Form und Detailliertheit in der digitalen Umgebung, dem Cyberspace, gespeichert, veröffentlicht, weitergegeben und gesammelt.

Das Dekret stellt einen Durchbruch bei der Gewährleistung der Menschenrechte im digitalen Wandel dar, indem es Mängel und Unzulänglichkeiten bei der Gewährleistung, dem Schutz und der Sicherung personenbezogener Daten überwindet und die Verantwortung in- und ausländischer Behörden, Organisationen und Einzelpersonen erhöht, die direkt an der Verarbeitung personenbezogener Daten in Vietnam beteiligt sind oder damit in Zusammenhang stehen.

Damit das Dekret in der Praxis wirklich wirksam ist, müssen die folgenden Punkte im Mittelpunkt stehen:

Erstens: Die Verantwortung der Unternehmen für den Schutz der Arbeitnehmerrechte muss gestärkt werden. Unternehmen müssen bei der Beschäftigung von Arbeitnehmern Informationen über ihre Mitarbeiter sammeln und speichern. Arbeitgeber und Unternehmen erhalten und verwalten im Rahmen des Arbeitsmanagements viele personenbezogene Daten ihrer Mitarbeiter. Nachlässigkeit bei der Verwaltung und Verarbeitung dieser Informationen kann jedoch unvorhersehbare Folgen haben.

Unternehmen müssen die Auswirkungen des Erlasses sorgfältig prüfen und umfassend bewerten, Verfahren und Anweisungen zum Umgang mit personenbezogenen Daten gemäß den neuen Vorschriften umgehend überprüfen und aktualisieren, die Einrichtung von Mechanismen und die Erstellung von Governance-Regelungen auf Grundlage der Bestimmungen des Erlasses in Erwägung ziehen und diese Mechanismen und Regelungen während des gesamten Betriebsprozesses aufrechterhalten und einhalten.

Zweitens müssen die Hindernisse für die Kreditaktivitäten der Kreditinstitute beseitigt werden . Die Staatsbank muss eng mit den zuständigen Ministerien, insbesondere dem Ministerium für öffentliche Sicherheit, zusammenarbeiten, um einheitliche Richtlinien zum Schutz personenbezogener Daten im Kreditsektor herauszugeben. So wird sichergestellt, dass die Kreditinstitute ihre operative Verantwortung für den Schutz von Kundendaten wahrnehmen und gleichzeitig spezielle Anforderungen und Aufgaben erfüllen.

Drittens ist es für die tatsächliche Umsetzung des Dekrets notwendig, das Gesetz durch umfassende Propaganda und Aufklärung bekannt zu machen. Insbesondere muss die Notwendigkeit hervorgehoben werden, das Dekret mit dem höchsten Ziel der Achtung und des Schutzes der Bürger- und Menschenrechte zu verkünden. Vor allem muss der Betroffene selbst die Datenschutzbestimmungen sorgfältig verstehen und sein Bewusstsein und seine Verantwortung für den Schutz seiner personenbezogenen Daten stärken.