A személyes adatok védelméről szóló nemzetközi jog és annak következményei Vietnamra nézve

Mivel Vietnam a világ egyik legmagasabb internet-fejlesztési és -elterjedési arányával rendelkező országa, a lakosság közel 80%-a használja az internetet, a lakosság kétharmadának személyes adatait online tárolják, töltik fel, osztják meg és gyűjtik különböző formákban és eltérő részletességi szintekkel.

2022-ben és 2023-ban Vietnám öt büntetőügyben indított eljárást több ezer GB adat és több milliárd személyes információ adásvételével kapcsolatban. Ez rávilágít arra, hogy sürgősen szükség van a személyes adatok védelméről szóló törvények kutatásokon és a nemzetközi jogra való hivatkozásokon alapuló javítására.

A személyes adatok védelméről szóló nemzetközi jog

A GDPR-t jelentős jogi előrelépésnek tekintik, amely a világ legszigorúbb mechanizmusát hozza létre a személyes adatok védelmére napjainkban.

Az Európai Unió (EU) Általános Adatvédelmi Rendelete (GDPR) jelentős jogi előrelépésnek számít, amely a világ legszigorúbb személyesadat-védelmi mechanizmusát hozza létre, és az uniós polgárok személyes adatait feldolgozó összes szervezetre és vállalkozásra vonatkozik.

A GDPR egységes büntetéseket alkalmaz a vállalkozások jogsértéseire az egész blokkban. Konkrétan a maximális büntetés a bevétel 2%-a vagy 10 millió euró kisebb jogsértések esetén, és a bevétel 4%-a vagy 20 millió euró súlyos jogsértések esetén. A bírságokon túl a GDPR-t megsértő vállalkozások más szankciókkal is szembesülhetnek, például az adatfeldolgozási műveletek leállítására vagy a GDPR megsértésével feldolgozott adatok törlésére kötelezhetik őket.

Az EU személyesadat-védelmi hatósága az Európai Adatvédelmi Felügyeleti Hatóság (EDPS) – egy független szerv, amelynek tagjai tapasztalt jogászok, informatikai szakemberek és adminisztrátorok.

Ennek az ügynökségnek a fő feladata a személyes adatok uniós intézményeken belüli feldolgozásának felügyelete, valamint a személyes adatokkal kapcsolatos kérdésekben való tanácsadás. A GDPR előírja továbbá egy személyesadat-védelmi hatóság létrehozását minden tagállamban, például egy nemzeti személyesadat-védelmi bizottságot (Franciaország, Írország stb.) vagy egy adatvédelmi felügyelőséget (Finnország, Lettország stb.).

Az európai adatvédelmi biztos (EDPB) mellett az EU létrehozta az Európai Adatvédelmi Bizottságot (EDPB) is, amely a tagállamok nemzeti adatvédelmi ügynökségeinek és az EU képviselőiből áll. Feladata, hogy a személyes adatok védelmével kapcsolatos kérdésekben a fő független tanácsadó testületként működjön, és felelős a GDPR egységes alkalmazásáért az egész Unióban.

A GDPR erős, visszatartó erejű szankciókat ír elő, mind anyagi, mind nem anyagi szinten. Továbbá az EU személyesadat-védelmi ügynöksége bizottsági/biztosi modell alapján működik, ami jelentős felhatalmazást és függetlenséget biztosít számára a személyesadat-védelmi szabályozásokat megsértő szervezetekkel szembeni szankciók kiszabásában, valamint a személyes adatok kezelésének független értékelésében és eldöntésében.

Kína 2021-ben elfogadott személyesadat-védelmi törvénye (PIPL) az első átfogó, nemzeti szintű személyesadat-védelmi törvénynek számít Kínában. A PIPL viszonylag egységes képet ad a személyes adatokról/személyes információkról, mint egy adott személy azonosítására vagy felismerésére szolgáló információkról, különösen a Kínán belüli egyéneket megcélozva (a PIPL 1. fejezetének 4. cikke). Ezzel egyidejűleg szabályozza az érzékeny személyes adatokat, ezáltal szabályokat állapítva meg a felek jogaira és kötelezettségeire vonatkozóan a konkrétabb adatcsoportokkal kapcsolatban.

A PIPL szabályozása értelmében a személyes adatokhoz való jogok megsértéséért kiszabható büntetések nagyon súlyosak, beleértve a kötelező kármentesítést, az illegális jövedelem elkobzását, a szolgáltatások felfüggesztését, a működési vagy üzleti engedélyek visszavonását, valamint akár 50 millió RMB vagy a szervezet előző pénzügyi évi éves bevételének 5%-át kitevő bírságot. Ezenkívül a jogsértések a nemzeti szociális kreditrendszer keretében a feldolgozó egység „hitelnyilvántartásában” is rögzíthetők.

Továbbá a feldolgozó egységek kártérítési felelősségre vonhatók lesznek, ha szervezetek és magánszemélyek jogait és érdekeit sértik. Az ilyen típusú jogsértések büntetőjogi szankcióit a kínai Büntető Törvénykönyv is kifejezetten előírja, amely szigorúbb büntetőjogi felelősségre vonást ír elő a titoktartásra kötelezettek számára, bevezeti a vagyonelkobzás formáját, és a legsúlyosabb büntetésként életfogytiglani szabadságvesztést határozza meg.

Szingapúrban a 2012-ben elfogadott (és 2020-ban módosított) személyesadat-védelmi törvény (PDPA) elismeri a személyes adatok védelméhez való jogot, valamint azt, hogy a szervezeteknek az adott körülményeknek megfelelő célokra kell információkat gyűjteniük, felhasználniuk és nyilvánosságra hozniuk.

A PDPA szigorú pénzügyi szankciókat is előír az adatvédelmi incidensek esetén. A törvényt megszegők pénzbírsággal vagy szabadságvesztéssel nézhetnek szembe. A bírság összege a bűncselekmény jellegétől és súlyosságától függ, 2000 és 100 000 szingapúri dollár között (körülbelül 1,6 milliárd vietnami dong) és/vagy legfeljebb 12 hónapig, súlyos esetekben akár 3 évig terjedő szabadságvesztéssel; a jogsértő szervezetek és vállalatok esetében a büntetés az éves bevételük akár 10%-át is elérheti.

A PDPA végrehajtásának biztosításában kulcsszerepet játszó ügynökség a Személyes Adatvédelmi Bizottság (PDPC). Ez a szakosított ügynökség széleskörű hatáskörrel és végrehajtási képességekkel rendelkezik, beleértve a jogkört arra, hogy magánszemélyektől és szervezetektől személyes adatok kezelésével kapcsolatos információk és dokumentumok benyújtását kérje, pénzbírságokat szabjon ki a jogsértések esetén, és egyéb korrekciós intézkedéseket tegyen.

Egy külön ügynökség, a Szingapúri Személyes Adatvédelmi Bizottság létrehozása, amely függetlenül és proaktívan dolgozik a jogsértések felderítésén és kezelésén, valamint a szankciók alkalmazásán, az egyik feltétele a személyes adatok hatékony védelmének Szingapúrban.

Ajánlások a személyes adatok védelmére vonatkozó vietnami törvények fejlesztésére

Vietnámban jelenleg 69 jogi dokumentum kapcsolódik közvetlenül a személyes adatok védelmének kérdéséhez, amelyeket különböző dokumentumok szabályoznak, beleértve az Alkotmányt, a Törvénykönyvet (4), a Törvényt (39), a Rendeletet (1), a Rendeletet (2), a Körlevelet/Közös Körlevelet (4), a Miniszteri Határozatot (1).

Ezek a dokumentumok lényegében az egyének magánéletének biztosítására vonatkozó elv hangsúlyozásával közelítik meg a személyes adatok védelmének kérdését; azonban eltérő szabályozásokat tartalmaznak a személyes adatokkal kapcsolatos információk tekintetében, foglalkozva az egyének jogaival és kötelezettségeivel, az információfeldolgozással és a személyes adatok védelmének módszereivel. A személyes adatok védelmét szabályozó vietnami törvények figyelemre méltó eredményeket értek el, különösen a személyes adatok védelméről szóló 12/2023/ND-CP számú, 2023. április 17-i rendelet kiadásával – amely egyedülálló dokumentum ebben a kérdésben hazánkban. Ezek a jogi dokumentumok jogi keretet teremtettek a személyes adatok védelmére. Meghatározzák az érintettek, valamint az adatfeldolgozók jogait, szankciókat írnak elő a személyes adatok védelmének megsértése esetén, és a személyes adatok védelméért felelős szakosított ügynökséget a Közbiztonsági Minisztérium alá tartozó Kiberbiztonsági és Csúcstechnológiai Bűnmegelőzési Osztályként azonosítják...

Vietnam számos kockázattal, kihívással és fenyegetéssel néz szembe a kibertérből, különösen a személyes adatok és információk kiszivárgásával és ellopásával, ami jelentős károkat okoz a polgároknak és a társadalomnak.

Ezen dokumentumok gyakorlati végrehajtása azonban számos korlátot is feltárt, például azt a tényt, hogy a jelenlegi különálló jogi dokumentumok csak rendeleti szintűek, így nem felelnek meg a személyes adatok védelmének fontosságának; számos jelenlegi rendelkezés homályos és nem egyértelmű, ami az egyes esetekre vonatkozó konkrét útmutatás hiányához vezet; és a büntetések továbbra is túl enyhék és nem kellően visszatartó erejűek…

Tekintettel erre a helyzetre, a személyes adatok védelmére vonatkozó vietnami jogi keret további fejlesztése figyelmet és kutatást igényel, más országok tapasztalatai alapján, és továbbra is az. Konkrétan:

Először is, törvényt kell alkotni a személyes adatok védelméről . A negyedik ipari forradalom kapcsán 80 ország regionális és nemzeti szinten már elfogadta saját jogi dokumentumait a személyes adatok védelméről. Vietnamnak sürgősen meg kell vizsgálnia és életbe kell léptetnie egy általános, speciális adatvédelmi törvényt, hasonlóan az EU, Kína és Szingapúr adatvédelmi törvényeihez, amely meghatározná a személyes adatok védelmének alapvető kérdéseit és elveit. Egy különálló, személyes adatokról szóló törvény elfogadása kulcsfontosságú jogalapot biztosítana a személyes adatok védelméhez, mivel a jelenlegi vietnami jogi dokumentumok terminológiája és tartalma sem egységes.

Másodszor, a személyes adatok védelmének megsértéséért kiszabható büntetéseket felül kell vizsgálni és ki kell egészíteni, hogy súlyosabbak legyenek, arányosak a jogsértések jellegével és súlyosságával. Bár hazánkban a személyes adatok megsértéséért kiszabható büntetések között szerepelnek közigazgatási, polgári és büntetőjogi szankciók, ezek általában meglehetősen enyhék és nincs erős visszatartó erejük. A jelenlegi fő módszer továbbra is a közigazgatási büntetések alkalmazása, de ezek számos rendeletben szétszórva, viszonylag alacsony bírságokkal rendelkeznek, a legmagasabb 100 millió VND magánszemélyek és 200 millió VND szervezetek számára.

Míg a személyes adatok adminisztratív megsértése által okozott kár nem korlátozódik az anyagi veszteségekre, hanem a becsületet és a méltóságot is érinti, a személyes adatok megsértéséért járó büntetőjogi szankciók jelenleg csak a magánéletre, az információs technológiára és a kiberbiztonságra vonatkozó rendelkezésekben találhatók, konkrétan a jelenlegi Büntető Törvénykönyv 159. és 288. cikkében, viszonylag alacsony, legfeljebb 7 évig terjedő börtönbüntetésekkel és 1 milliárd VND-t meghaladó pénzbírságokkal. Az EU 20 millió eurójához, Szingapúr 1 millió szingapúri dollárjához vagy Kína életfogytiglani szabadságvesztéséhez képest ezek a büntetések még mindig nagyon alacsonyak és aránytalanok számos jogsértéshez képest.

Ugyanakkor a törvényben jelenleg nem szereplő magatartási kategóriák szabályozására is szükség van, mint például a nagymértékű adatkereskedelem, az adatvédelmi incidensek elkövetésére szolgáló rendszerek létrehozása, a marketingszolgáltatásokban elkövetett jogsértések stb.

Harmadszor, a vietnami személyesadat-védelmi ügynökség modelljével kapcsolatban : Jelenleg a Közbiztonsági Minisztérium alá tartozó Kiberbiztonsági és Csúcstechnológiai Bűnmegelőzési Osztály a személyes adatok védelmére szakosodott ügynökség. A nemzetközi szabályozásra hivatkozva megfontolhatnánk egy független személyesadat-védelmi ügynökség létrehozását, amely a személyes adatok védelméről szóló törvény betartatásáért, ellenőrzések és auditok lefolytatásáért, iránymutatások kiadásáért, ajánlások megtételéért és a jogsértések esetén szankciók alkalmazásáért felelne.

Tanulhatunk ezekből az EU-s vagy szingapúri modellekből… annak biztosítására, hogy a személyes adatokat védő bűnüldözési tevékenységek rendkívül hatékonyak legyenek, egyensúlyt teremtve az egyéni jogok védelme és a kiberbiztonság biztosítása között.

A személyes adatok védelme nem egyszerű kérdés, különösen az integráció kontextusában, ahol nagymértékű személyes adatok megfigyelése és gyűjtése történik, és a kérdést szabályozó vietnami jogrendszer még fejlesztés és finomítás alatt áll.

A nemzetközi jognak a vietnami gyakorlati helyzettel együttes tanulmányozása segíteni fog nekünk abban, hogy gyorsan kidolgozzunk egy átfogó jogi keretet a személyes adatok védelmére, amely összeegyeztethető a nemzetközi joggal és hatékonyan érvényesül.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html