צעדו קדימה כדי להבטיח זכויות אדם בטרנספורמציה דיגיטלית

הצו בנושא הגנת מידע אישי הוא פריצת דרך בהבטחת זכויות אדם בטרנספורמציה דיגיטלית, תוך התגברות על ליקויים וליקויים בפרקטיקה של הבטחה, הגנה ואבטחת מידע אישי.

Nghị định về bảo vệ dữ liệu cá nhân: Bước tiến bảo đảm quyền con người trong chuyển đổi số

הגנה על מידע אישי היא הגנה על זכויות אדם וחירויות בסיסיות בקשר למידע.

ב-17 באפריל 2023, פרסמה הממשלה צו מס' 13/2023/ND-CP (צו) בנושא הגנת מידע אישי, בתוקף החל מ-1 ביולי 2023, העונה על הדרישות להגנה על זכויות מידע אישי; מונעת מעשי הפרת מידע אישי, המשפיעים על זכויותיהם ואינטרסים של יחידים וארגונים.

פַּסִים

הצו הוא מסמך משפטי המסדיר את ההגנה על מידע אישי ואת אחריותם של סוכנויות, ארגונים ויחידים רלוונטיים להגן על מידע אישי.

ראשית, הגנת מידע אישי היא הגנה על זכויות אדם בסיסיות וחירויות הקשורות לנתונים. הוראות הצו בנושא הגנת מידע אישי, כאשר הן פועלות, נועדו למנוע פגיעה בזכויותיו ובחירויותיו האישיות של כל אדם.

יחד עם זאת, אבטחת מידע אישי היא בעלת חשיבות מיוחדת משום שאם מידע נגנב, הדבר עלול לגרום להפסדים כלכליים וחברתיים, לסיכונים כגון: סחיטה, הונאה, החרמת רכוש, הוצאת דיבה, פגיעה בכבוד, התעללות מינית..., תוך גרימת השלכות חומריות ורוחניות כאחד, המשפיעות ישירות על זכויותיהם ואינטרסים הלגיטימיים של סוכנויות, ארגונים, עסקים ויחידים.

שנית, לקדם ולכבד את זכויותיהם של נושאי מידע אישי. זכויותיהם של נושאי מידע אישי כוללות את הזכות לגישה, את הזכות להסכים או לא להסכים לעיבוד מידע אישי, את הזכות לקבל מידע ואת הזכות לבקש מחיקת מידע...

יתר על כן, לנושאי המידע יש גם את הזכות להגן על עצמם מפני נושאים אחרים המפרים את המידע האישי שלהם. לנושאי המידע יש את הזכות לבקש פיצוי על נזקים כאשר ישנה הפרה של הוראות הצו הגורמת פגיעה בזכות להגנה על מידע אישי. הצו קובע בבירור כי איסוף, העברה או קנייה ומכירה של מידע אישי ללא הסכמתו של נושא המידע מהווים הפרה של החוק.

עם זאת, זכותו של נושא המידע להגן על מידע אישי אינה זכות מוחלטת, אלא ניתן להגביל אותה במקרי חירום כדי להגן על חייו ובריאותו של הפרט או אחרים; מצבי חירום הקשורים להגנה לאומית, ביטחון, סדר חברתי ובטיחות; ביצוע התחייבויות חוזיות שנקבעו, או מילוי פעילויותיהן של סוכנויות מדינה כפי שנקבע בחוקים ייעודיים.

קביעת החריגים נועדה ליישם את עקרון הבטחת זכויותיהם של יחידים וארגונים, אך מבלי לפגוע בזכויות ובאינטרסים הלגיטימיים של יחידים וארגונים אחרים או באינטרסים לאומיים במימוש זכויות אלה.

שלישית, לקדם את תהליך האינטגרציה הבינלאומית בנושא הגנת המידע האישי. הצו תואם את הנוהגים והתקנות הבינלאומיים בנושא הגנת המידע האישי. מדינות מפותחות רבות אישרו את נושא הגנת המידע האישי, וזהו הבסיס ללימוד ולהתייחסות של וייטנאם.

בנוסף, ארגונים בינלאומיים בהם וייטנאם חברה או משתפת פעולה עם וייטנאם פרסמו אמנות, המלצות ותקנים בנושא פרטיות והגנה על מידע ונתונים אישיים. אלה כוללים את עקרונות הפרטיות של הארגון לשיתוף פעולה ופיתוח כלכלי (OECD), אמנת מועצת אירופה להגנה על יחידים בנוגע לעיבוד אוטומטי של מידע ונתונים אישיים, הנחיות האו"ם בנושא נתונים אישיים וקבצי מידע ממוחשבים, מסגרת הפרטיות של שיתוף הפעולה הכלכלי של אסיה -פסיפיק (APEC), תקנים בינלאומיים בנושא פרטיות והגנה על מידע ונתונים אישיים (החלטת מדריד), תקנת הגנת המידע הכללית של האיחוד האירופי (GDPR)...

בנוסף, בתהליך קידום שיתוף הפעולה בין ארצנו לבין מדינות וטריטוריות אחרות, יותר מ-80 מדינות פרסמו מסמכים משפטיים בנושא הגנת מידע אישי, שרבים מהם כוללים הוראות החלות על ארגונים ויחידים וייטנאמים. לכן, תקנות ספציפיות ומפורטות בנושא הגנת מידע אישי נועדו ליצור סביבה של שוויון וכבוד לחוק בווייטנאם, כולל עבור יחידים וארגונים זרים.

האתגרים

נכון לעכשיו, עדיין קיימים אתגרים משמעותיים רבים ביישום הצו.

ראשית, האתגר בניהול עובדי ארגונים. כיום, ארגונים רבים בונים מודל של חברת אם וחברת בת עם אותה מערכת ניהולית, וניתן לגשת בקלות למידע על העובדים מהמערכת המשותפת.

עם זאת, על פי החוק הוייטנאמי, כל חברה (כולל חברות אם וחברות בנות) נחשבת לישות משפטית נפרדת ועצמאית, כך שהעברת נתונים אישיים של עובדים על ידי חברות באותה מערכת אקולוגית לשרת את תהליך הניהול הפנימי של הארגון יכולה גם להיחשב כהפרה של אחריותו של הארגון להגן על נתונים אישיים.

מצד שני, כיום, ארגונים רבים מתמודדים עם קשיים ביישום הצו ועדיין לא השלימו את המנגנון והתקנות לניהול והגנה על המידע האישי של עובדיהם בהתאם לצו.

שנית, זה אינו עולה בקנה אחד עם התקנות החוקיות הנוגעות לפעילות מוסדות אשראי. נכון לעכשיו, פעילותם של מוסדות אשראי מוסדרת על ידי תקנות משפטיות ייעודיות כגון: חוק מוסדות אשראי 2010 (תוקן ונוסף בשנת 2014); חוק איסור הלבנת הון; צו 117/2018/ND-CP בנושא שמירת סודיות ומסירת מידע ללקוחות של מוסדות אשראי וסניפי בנקים זרים; חוזר 09/2020/TT-NHNN של בנק המדינה המסדיר את אבטחת מערכות המידע בפעילות בנקאית ברמה שמתחת לחוק.

מצד שני, עבור פעילויות בנקאיות, עיבוד נתונים משפיע על נתונים אישיים, כגון: איסוף, רישום, ניתוח, אישור, אחסון, עריכה, פרסום, שילוב, גישה, אחזור, שחזור, קידוד, פענוח, העתקה, שיתוף, שידור, אספקה, העברה, מחיקה, השמדת נתונים אישיים או פעולות קשורות אחרות חיוניות למתן שירותים ללקוחות ולניהול סיכונים בפעילויות בנקאיות, תוך הבטחת הבטיחות והאבטחה של המערכת המוניטרית, ולכן פעילויות רבות של עיבוד נתוני לקוחות אישיים אינן יכולות ואינן דורשות את הסכמת הלקוחות, בעוד שסעיפים 2, סעיף 3 וסעיף 1, סעיף 9 לצו קובעים כי לנושאים יש את הזכות לדעת על עיבוד הנתונים האישיים שלהם, למעט במקרים בהם חוקים אחרים קובעים אחרת.

או בסעיף 2, סעיף 9 קובע כי לנושא יש את הזכות לא להסכים לעיבוד הנתונים האישיים שלו; לנושא יש את הזכות למחוק, לגשת, לבקש הגבלת עיבוד נתונים ולהתנגד לעיבוד נתונים, למעט במקרים בהם חוק אחר כולל הוראות אחרות בסעיף 9. לפיכך, יהיה זה מבלבל ולא הולם אם הצו ייושם בצורה נוקשה וללא הנחיות אחידות.

בנוסף, אספקת שירותים ומוצרים על ידי מוסדות אשראי מתבצעת באמצעות תהליכים רבים על מוצר אחד, כל תהליך על מוצר אחד כולל שלבים רבים ושונים וקשור לאיסוף, הערכה, ניתוח ואספקת נתונים על קבצי לקוחות גדולים מאוד, בעוד שהצו מחייב את בקר הנתונים האישיים ומעבדם לקבל את הסכמת נושא הנתונים (הלקוח) בכל הליכי העיבוד בעת ביצוע כל פעילויות עיבוד נתונים (סעיף 11); ולפני ביצוע פעילויות עיבוד נתונים, עליו להודיע לנושא הנתונים האישיים (סעיף 13). זה ממשיך להיות מכשול נוסף לפעילותם של מוסדות אשראי.

יתר על כן, מוסדות אשראי חייבים להתאים את מערכות טכנולוגיית המידע שלהם ומסמכי משנה אחרים הקשורים לפעילותם של מוסדות אשראי; יש לעדכן תבניות חוזים והסכמים כדי לעמוד בצו, דבר היוצר קשיים ניכרים לפעילות הבנקאית.

שלישית, מספר אנשים אינם מבינים ואינם מודעים להגנה על המידע האישי שלהם, ולכן הם משתפים בקלות מידע אישי בפלטפורמות רשתות חברתיות, ובכך מאפשרים, שלא במתכוון, לרעים לנצל אותו למטרות רעות.

יש אנשים שאינם רואים בבירור את הערך של הגנת מידע אישי כהבטחת פרטיות אישית, וגם חוששים למסור מידע אישי, דבר הגורם לקשיים לרשויות בביצוע ניהול המדינה של הגנת מידע אישי וכן בסיוע לחקירה וטיפול בהפרות חוק הגנת מידע אישי.

בנוסף, המצב של קנייה ומכירה של מידע אישי, הסיכון לדליפת מידע, יוצר השלכות משמעותיות, המשפיעות על נושאים כלכליים וחברתיים. תופעות הונאה, פרסומות ספאם באמצעות שיחות והודעות עדיין מסובכות ומשפיעות על חייהם של אנשים.

אבטחת מידע אישי חשובה במיוחד משום שאם מידע נגנב, הדבר עלול לגרום להפסדים כלכליים וחברתיים, המשפיעים ישירות על זכויותיהם ואינטרסים הלגיטימיים של סוכנויות, ארגונים, עסקים ויחידים. (מקור: Shutterstock)

יישום הצו הלכה למעשה

וייטנאם היא אחת המדינות עם פיתוח האינטרנט ומהירות האפליקציות הגבוהות ביותר בעולם, עם יותר מ-70 מיליון משתמשים. נתונים אישיים של יותר מ-2/3 מאוכלוסיית ארצנו אוחסנו ונשארים מאוחסנים, פורסמו, משותפים ונאספים בסביבה הדיגיטלית, במרחב הקיברנטי, בצורות ורמות פירוט שונות.

הצו מהווה פריצת דרך בהבטחת זכויות אדם בטרנספורמציה דיגיטלית, התגברות על ליקויים וחוסרים בפרקטיקה של הבטחה, הגנה ואבטחת מידע אישי, הגברת האחריות על סוכנויות, ארגונים ויחידים מקומיים וזרים המשתתפים ישירות או קשורים לפעילויות עיבוד מידע אישי בווייטנאם.

על מנת שהצו יהיה אפקטיבי בפועל, יש להתמקד בנושאים הבאים:

ראשית, יש להגביר את האחריות של ארגונים בהגנה על זכויות העובדים. בשימוש בכוח אדם, ארגונים חייבים לאסוף ולאחסן מידע על עובדים. כדי לשרת את מטרת ניהול כוח האדם, מעסיקים וארגונים מקבלים ומנהלים מידע אישי רב מעובדים, אך אם הם ינהגו ברשלנות בניהול ועיבוד מידע, הדבר יוביל לתוצאות בלתי צפויות.

על ארגונים ללמוד בקפידה ולהעריך באופן מקיף את השפעות הצו, לבחון ולעדכן בהקדם נהלים והוראות לטיפול במידע אישי בהתאם לתקנות החדשות; לשקול קביעת מנגנונים ובניית תקנות ממשל המבוססות על הוראות הצו; לתחזק ולציית למנגנונים ולתקנות אלה לאורך כל תהליך הפעילות.

שנית, הסרת הקשיים מפעילויות אשראי של מוסדות אשראי . בנק המדינה צריך לתאם באופן הדוק עם המשרדים הרלוונטיים, ובמיוחד עם משרד הביטחון הציבורי, כדי להוציא הנחיות מאוחדות בנושא הגנת מידע אישי במגזר האשראי, הן תוך הבטחת קידום האחריות התפעולית של מוסדות אשראי בהגנה על נתוני לקוחות והן עמידה בדרישות ומשימות מיוחדות.

שלישית, כדי שהצו ייכנס לתוקף באמת, יש צורך לעשות עבודה טובה של תעמולה וחינוך להפצת החוק. בפרט, יש צורך להדגיש את הצורך לפרסם את הצו במטרה העליונה של כיבוד והגנה על זכויות אזרח וזכויות אדם. ומעל לכל, נושא המידע האישי חייב להבין לעומק ולהעלות את המודעות והאחריות שלו בהגנה על מידע אישי.

הצו בנושא הגנת מידע אישי מורכב מ-4 פרקים עם 44 סעיפים, המכירים באופן מקיף בזכויות היסוד של יחידים כנושאים של נתונים ומגדירים את האחריות הטכנית והמשפטית של בקרי נתונים ומעבדי נתונים.

הצו מהווה פריצת דרך בהבטחת זכויות אדם בטרנספורמציה דיגיטלית, התגברות על ליקויים וחוסרים בפרקטיקה של הבטחה, הגנה ואבטחת מידע אישי, הגברת האחריות על סוכנויות, ארגונים ויחידים מקומיים וזרים המעורבים ישירות או קשורים לפעילויות עיבוד מידע אישי בווייטנאם.

[מודעה_2]
מָקוֹר