Le décret entre en vigueur à compter du 1er juillet 2023.
Le présent décret s'applique aux agences, organisations et individus vietnamiens, ainsi qu'aux agences, individus et organisations étrangers au Vietnam, participant directement ou étant liés aux activités de traitement de données personnelles au Vietnam.
Dans lequel, les données personnelles sont entendues comme des informations sous forme de symboles, de lettres, de chiffres, d'images, de sons ou de formes similaires dans l'environnement électronique associées à une personne spécifique ou aidant à identifier une personne spécifique.
Les données personnelles comprennent les données personnelles de base et les données personnelles sensibles. Les données personnelles de base comprennent le nom complet, la date de naissance, le sexe, le lieu de naissance, la nationalité, la photo personnelle, le numéro de téléphone, le numéro de carte d'identité, le numéro de compte, le numéro d'identification personnel, le numéro de plaque d'immatriculation, le code fiscal, etc.
Les données personnelles sensibles sont des données associées à la vie privée d’un individu qui, si elles sont violées, affecteront directement les droits et intérêts légitimes de cette personne. Par exemple, les opinions politiques , les opinions religieuses ; L’état de santé et les renseignements personnels sont enregistrés dans le dossier médical, à l’exclusion des renseignements sur le groupe sanguin ; Informations relatives à l’origine raciale, à l’origine ethnique ; Informations sur les caractéristiques génétiques héréditaires ou acquises d’un individu ; Informations sur les attributs physiques et les caractéristiques biologiques de l’individu ; Informations sur la vie sexuelle et l’orientation sexuelle d’un individu ; Données sur les crimes et les actes criminels collectées et stockées par les organismes chargés de l’application de la loi ; Informations sur les clients des établissements de crédit, des succursales de banques étrangères, des prestataires de services intermédiaires de paiement et d'autres organisations agréées, y compris : les informations d'identification des clients telles que prescrites par la loi, les informations sur les comptes, les informations sur les dépôts, les informations sur les actifs déposés, les informations sur les transactions, les informations sur les organisations et les personnes qui sont garantes auprès des établissements de crédit, des succursales bancaires et des prestataires de services intermédiaires de paiement ; Données sur la localisation d’un individu déterminées par des services de localisation ; D'autres données personnelles sont spécifiées par la loi comme spécifiques et nécessitent des mesures de sécurité nécessaires.
Les données personnelles seront traitées conformément à la loi. La personne concernée est informée des activités liées au traitement de ses données personnelles. Les données personnelles ne sont conservées que pendant une durée adaptée aux finalités pour lesquelles elles sont traitées. Les agences, organisations et individus qui enfreignent les réglementations en matière de protection des données personnelles, selon la gravité, peuvent faire l'objet de mesures disciplinaires, de sanctions administratives ou de poursuites pénales conformément à la réglementation.
Le gouvernement a également publié un certain nombre d’actes interdits dans le décret sur la protection des données personnelles. Ces actes comprennent le traitement de données personnelles en violation de la loi, le traitement de données personnelles pour créer des informations et des données visant à s'opposer à la République socialiste du Vietnam.
En outre, le traitement de données personnelles pour créer des informations et des données qui affectent la sécurité nationale, l’ordre et la sécurité sociaux, ainsi que les droits et intérêts légitimes d’autres organisations et individus, est également strictement interdit.
Il est à noter que selon le décret, le traitement des données personnelles doit être éclairé et recevoir le consentement de la personne concernée. La personne concernée a également le droit de demander au responsable du traitement de lui fournir, de rectifier ou de supprimer ses données personnelles.
En cas d'urgence, pour protéger la vie, la santé de la personne concernée ou d'autres personnes, et en cas d'urgence concernant la sécurité, la défense nationale, l'épidémie, la catastrophe,... le responsable du traitement et les organismes étatiques compétents peuvent traiter les données personnelles sans le consentement de la personne concernée.
Les agences et organisations compétentes sont également autorisées à enregistrer des données audio et vidéo et à traiter les données personnelles collectées lors de ces activités dans les lieux publics dans le but de protéger la sécurité nationale, l'ordre et la sécurité sociaux, ainsi que les droits et intérêts légitimes des organisations et des individus sans le consentement de la personne concernée.
En ce qui concerne les données personnelles des enfants, le traitement de ces données nécessite le consentement de l'enfant si l'enfant est âgé de 7 ans ou plus et le consentement du parent ou du tuteur, sauf dans certains cas particuliers.
Pour les activités de marketing et de publicité, les organisations et les particuliers ne peuvent utiliser les données personnelles des clients collectées dans le cadre de leurs activités commerciales qu'avec le consentement de la personne concernée. Le traitement des données personnelles des clients à des fins de marketing et de présentation de produits doit avoir le consentement du client, basé sur une connaissance claire du contenu, de la méthode et de la fréquence de présentation du produit.
Le décret stipule également clairement que les organisations et les personnes impliquées dans le traitement des données doivent appliquer des mesures de protection pour empêcher la collecte illégale de données à partir de leurs systèmes et services. La mise en place de logiciels, de mesures techniques ou l'organisation de la collecte, du transfert, de l'achat ou de la vente de données personnelles sans le consentement de la personne concernée constitue une violation de la loi.
Le décret stipule également clairement les droits et obligations des personnes concernées, ainsi que les responsabilités des agences, des sujets et des individus en matière de protection des données personnelles.
Mesures de protection des données personnelles
Le décret stipule clairement que les mesures de protection des données personnelles sont appliquées dès le début et tout au long du processus de traitement des données personnelles.
Les mesures de protection des données personnelles comprennent : Les mesures de gestion mises en œuvre par les organisations et les individus impliqués dans le traitement des données personnelles ; Mesures techniques mises en œuvre par les organisations et les personnes impliquées dans le traitement des données personnelles ; Mesures prises par les organismes compétents de gestion de l’État conformément aux dispositions du présent décret et des lois pertinentes ; Mesures d’enquête et de poursuite menées par les organismes compétents de l’État ; Autres mesures prévues par la loi.
La protection de base des données personnelles consiste à appliquer les mesures de protection des données personnelles ci-dessus ; Élaborer et promulguer des réglementations sur la protection des données personnelles, en précisant clairement les tâches à accomplir conformément aux dispositions du présent décret. Encourager l’application de normes de protection des données personnelles adaptées aux domaines, professions et activités liés au traitement des données personnelles. Vérifier la sécurité du réseau des systèmes et des moyens, équipements servant au traitement des données personnelles avant le traitement, supprimer de manière irrécupérable ou détruire les appareils contenant des données personnelles.
La protection des données personnelles sensibles signifie l’application des mesures de base de protection des données personnelles et de protection des données personnelles ci-dessus ; désigner un service chargé de la protection des données personnelles, désigner une personne responsable de la protection des données personnelles et échanger des informations sur le service et la personne responsable de la protection des données personnelles avec l'Autorité de protection des données personnelles. Dans le cas où le responsable du traitement des données personnelles, le responsable du traitement et le sous-traitant des données personnelles, le sous-traitant des données ou le tiers est une personne physique, l'échange d'informations de la personne physique doit être effectué ; informer la personne concernée que des données à caractère personnel sensibles la concernant sont traitées, sauf dans certains cas prescrits.
Autorité de protection des données personnelles
Le décret stipule clairement que l'organisme chargé de la protection des données personnelles est le Département de la cybersécurité et de la prévention et du contrôle de la criminalité de haute technologie du ministère de la Sécurité publique , chargé d'assister le ministère de la Sécurité publique dans la gestion par l'État de la protection des données personnelles.
Portail national sur la protection des données personnelles : Fournir des informations sur les directives, les politiques du Parti et les lois de l'État sur la protection des données personnelles ; Diffuser et vulgariser les politiques et les lois sur la protection des données personnelles ; mettre à jour les informations, le statut de protection des données personnelles ; recevoir des informations, des enregistrements et des données sur les activités de protection des données personnelles via le cyberespace ; Fournir des informations sur les résultats de l’évaluation du travail de protection des données personnelles des agences, organisations et individus concernés.
En outre, le Portail national de protection des données personnelles reçoit des notifications de violations de la réglementation sur la protection des données personnelles ; avertir et coordonner les alertes sur les risques et les actes de violation des données personnelles conformément aux dispositions de la loi ; traiter les violations de la protection des données personnelles conformément aux dispositions de la loi ; effectuer d’autres activités telles que prescrites par la loi sur la protection des données personnelles.
Conditions pour assurer les activités de protection des données personnelles
Le décret stipule clairement que les conditions permettant de garantir les activités de protection des données personnelles comprennent :
Les forces de protection des données personnelles comprennent : Le groupe de travail sur la protection des données personnelles organisé au sein de l'Agence de protection des données personnelles ; Des services et du personnel chargés de la protection des données personnelles sont désignés dans les agences, organisations et entreprises pour assurer le respect de la réglementation sur la protection des données personnelles ; Les organisations et les individus sont mobilisés pour participer à la protection des données personnelles ; Le ministère de la Sécurité publique élabore des programmes et des plans spécifiques pour développer les ressources humaines afin de protéger les données personnelles.
Les agences, les organisations et les particuliers sont responsables de la diffusion des connaissances et des compétences, ainsi que de la sensibilisation à la protection des données personnelles des agences, des organisations et des particuliers.
Assurer les locaux et les conditions de fonctionnement de l'Agence spécialisée en protection des données personnelles.
Sagesse
Source
Comment (0)