Das Dekret Nr. 13/2023/ND-CP ist das erste Rechtsdokument in Vietnam, das den Begriff „personenbezogene Daten“ offiziell verwendet und die Verpflichtung zum Schutz personenbezogener Daten für Unternehmen regelt, die personenbezogene Daten erheben und verarbeiten. (Illustrationsfoto: Reuters)

Heute (1. Juli) ist das Dekret Nr. 13/2023/ND-CP der Regierung zum Schutz personenbezogener Daten offiziell in Kraft getreten. Es schafft einen rechtlichen Korridor für den wirksamen Schutz personenbezogener Daten in Vietnam und minimiert die Risiken und Folgen von Verstößen gegen den Datenschutz.

Das Dekret wurde am 17. April 2023 von der Regierung erlassen und enthält zahlreiche strenge Vorschriften zum Datenschutz und zur Verantwortung der zuständigen Behörden, Organisationen und Einzelpersonen zum Schutz personenbezogener Daten.

Was sind personenbezogene Daten?

In der Verordnung heißt es eindeutig, dass personenbezogene Daten Informationen in Form von Symbolen, Buchstaben, Zahlen, Bildern, Tönen oder ähnlichen Formen in der elektronischen Umgebung sind, die mit einer bestimmten Person in Verbindung gebracht werden oder zur Identifizierung einer bestimmten Person beitragen.

Zu den personenbezogenen Daten zählen grundlegende personenbezogene Daten und sensible personenbezogene Daten.

Zu den grundlegenden personenbezogenen Daten gehören: Nachname, zweiter Vorname und Geburtsname, sonstige Namen (falls vorhanden); Geburtsdatum; Datum, Monat, Jahr des Todes oder Verschwindens; Sex; Geburtsort, Ort der Geburtsregistrierung, ständiger Wohnsitz, vorübergehender Wohnsitz, derzeitiger Wohnsitz, Heimatort, Kontaktadresse; Nationalität; persönliches Bild; Telefonnummer, Personalausweisnummer, persönliche Identifikationsnummer, Reisepassnummer, Führerscheinnummer, Nummernschild, persönliche Steuernummer, Sozialversicherungsnummer, Krankenversicherungskartennummer ; Familienstand; Angaben zu familiären Verhältnissen (Eltern, Kinder); Informationen zu einzelnen Kontonummern; Personenbezogene Daten spiegeln Aktivitäten und Aktivitätsverläufe im Cyberspace wider …

Sensible personenbezogene Daten sind eng mit der Privatsphäre einer Person verknüpft. Eine Verletzung dieser Daten hat direkte Auswirkungen auf die legitimen Rechte und Interessen dieser Person. Wie etwapolitische Ansichten, religiöse Ansichten; Gesundheitszustand; rassische Herkunft, ethnische Herkunft; genetische Merkmale; einzigartige biologische Eigenschaften; Sexualleben; Standortdaten; von Strafverfolgungsbehörden erhobene und gespeicherte Daten über Verbrechen und Straftaten; Kundeninformationen von Kreditinstituten…

Verbotene Handlungen

Unter dem Schutz personenbezogener Daten versteht man die Vorbeugung, Erkennung, Unterbindung und Behandlung von Verstößen im Zusammenhang mit personenbezogenen Daten gemäß den gesetzlichen Bestimmungen.

Artikel 8 des Dekrets nennt verbotene Handlungen, darunter: die Verarbeitung personenbezogener Daten entgegen den gesetzlichen Bestimmungen zum Schutz personenbezogener Daten; Verarbeitung personenbezogener Daten zur Erstellung von Informationen und Daten mit dem Ziel, sich der Sozialistischen Republik Vietnam entgegenzustellen; Verarbeitung personenbezogener Daten zur Erstellung von Informationen und Daten, die die nationale Sicherheit, die soziale Ordnung und Sicherheit sowie die legitimen Rechte und Interessen anderer Organisationen und Einzelpersonen betreffen.

Das Dekret verbietet außerdem Handlungen, die die Aktivitäten der zuständigen Behörden zum Schutz personenbezogener Daten behindern, sowie die Ausnutzung von Aktivitäten zum Schutz personenbezogener Daten, um gegen das Gesetz zu verstoßen.

Fälle der Verarbeitung personenbezogener Daten ohne Einwilligung der betroffenen Person

Artikel 17 des Dekrets regelt Fälle der Verarbeitung personenbezogener Daten ohne Zustimmung der betroffenen Person, darunter: Notfälle, in denen die sofortige Verarbeitung relevanter personenbezogener Daten zum Schutz des Lebens und der Gesundheit der betroffenen Person oder anderer Personen erforderlich ist; Offenlegung personenbezogener Daten, soweit gesetzlich vorgeschrieben.

Hinzu kommt die Datenverarbeitung durch zuständige staatliche Stellen in Notsituationen der Landesverteidigung, der nationalen Sicherheit, der sozialen Ordnung und Sicherheit, bei größeren Katastrophen und gefährlichen Epidemien; wenn eine Bedrohung der Sicherheit oder der Landesverteidigung vorliegt, die jedoch nicht zur Ausrufung des Ausnahmezustands führt; Verhinderung und Bekämpfung von Unruhen und Terrorismus sowie Verhinderung und Bekämpfung von Verbrechen und Gesetzesverstößen gemäß den gesetzlichen Bestimmungen.

Darüber hinaus können der Verantwortliche und der Auftragsverarbeiter für personenbezogene Daten personenbezogene Daten auch ohne die Einwilligung der betroffenen Person verarbeiten, um die vertraglichen Verpflichtungen der betroffenen Person gegenüber relevanten Agenturen, Organisationen und Einzelpersonen gemäß den gesetzlichen Bestimmungen zu erfüllen. sowie im Falle der Erbringung von Leistungen staatlicher Stellen im Rahmen der durch Fachgesetze vorgeschriebenen Tätigkeiten.

Das Alter von Kindern muss vor der Verarbeitung personenbezogener Daten von Kindern überprüft werden

Das Dekret besagt, dass die Verarbeitung personenbezogener Daten von Kindern stets im Einklang mit dem Grundsatz des Schutzes der Rechte und im besten Interesse des Kindes erfolgt.

Dementsprechend muss für die Verarbeitung personenbezogener Daten von Kindern die Einwilligung des Kindes vorliegen, wenn das Kind 7 Jahre oder älter ist und die vorgeschriebene Einwilligung der Eltern oder Erziehungsberechtigten vorliegt, außer in dem in Artikel 17 genannten Fall.

Verantwortliche für personenbezogene Daten, Verarbeiter personenbezogener Daten, Verantwortliche und Verarbeiter personenbezogener Daten sowie Dritte müssen das Alter von Kindern überprüfen, bevor sie personenbezogene Daten von Kindern verarbeiten.

Das Dekret sieht außerdem eine Reihe von Fällen vor, in denen die Parteien die Verarbeitung personenbezogener Daten von Kindern einstellen oder die personenbezogenen Daten von Kindern unwiderruflich löschen oder vernichten müssen (sofern gesetzlich nichts anderes bestimmt ist).

Insbesondere in Fällen, in denen die Datenverarbeitung nicht dem beabsichtigten Zweck entspricht oder der Zweck der Verarbeitung personenbezogener Daten mit der Einwilligung der betroffenen Person erfüllt wurde; der Elternteil oder Erziehungsberechtigte des Kindes seine Einwilligung zur Verarbeitung der personenbezogenen Daten des Kindes widerruft; oder auf Anfrage der zuständigen Behörden, wenn ausreichende Beweise dafür vorliegen, dass die Verarbeitung personenbezogener Daten die Rechte und berechtigten Interessen von Kindern beeinträchtigt.