A személyes adatok védelméről szóló nemzetközi jog és annak következményei Vietnamra nézve

Mivel Vietnam a világ egyik leggyorsabb internet-fejlesztéssel és alkalmazássebességgel rendelkező országa, a lakosság közel 80%-a használja ezt az eszközt, a lakosság 2/3-ának személyes adatait sokféle formában és részletességi szinten tárolják, közzéteszik, megosztják és gyűjtik a kibertérben.

2022-ben és 2023-ban Vietnám 5 büntetőügyben indított eljárást, amelyek több ezer GB adatot és több milliárd személyes információt érintettek. Ez azt mutatja, hogy sürgősen szükség van a személyes adatok védelméről szóló törvény kutatásokon és a nemzetközi jogra való hivatkozásokon alapuló fejlesztésére.

A személyes adatok védelméről szóló nemzetközi jog

A GDPR-t jelentős jogi előrelépésnek tekintik, amely a világ legszigorúbb személyesadat-védelmi mechanizmusát hozza létre.

Az Európai Unió (EU) Általános Adatvédelmi Rendelete (GDPR) jelentős jogi előrelépésnek számít, amely a világ legszigorúbb személyesadat-védelmi mechanizmusát hozza létre, és minden olyan szervezetre és vállalkozásra vonatkozik, amely uniós polgárok személyes adatait feldolgozza.

A GDPR egységes büntetéseket szab ki a vállalkozásokra az egész blokkban. Konkrétan a bírságok a forgalom 2%-áig vagy 10 millió euróig terjedhetnek kisebb jogsértések esetén, és a forgalom 4%-áig vagy 20 millió euróig súlyos jogsértések esetén. A bírságokon túl a GDPR-t megsértő vállalkozásokra más szankciók is vonatkozhatnak, például az adatfeldolgozás leállítására vagy a GDPR megsértésével feldolgozott adatok törlésére kötelezhetik őket.

Az EU személyesadat-védelmi hatósága az EU adatvédelmi biztosa (EDPS) – egy független szerv, amelynek tagjai tapasztalt jogászok, informatikai szakértők és adminisztrátorok.

Ennek a szervnek a fő feladata a személyes adatok uniós ügynökségekben és szervezetekben történő feldolgozásának felügyelete, valamint a személyes adatokkal kapcsolatos kérdésekben való tanácsadás. A GDPR előírja továbbá egy személyesadat-védelmi hatóság létrehozását minden tagállamban, például egy nemzeti személyesadat-védelmi bizottságot (Franciaország, Írország...) vagy egy adatvédelmi felügyelőséget (Finnország, Lettország...).

Az európai adatvédelmi biztos mellett az EU létrehozta az Európai Adatvédelmi Testületet (EDPB) is, amely a tagállamok nemzeti adatvédelmi hatóságainak képviselőiből és az EU képviselőiből áll, és a személyes adatok védelmével kapcsolatos kérdésekben a fő független tanácsadó testületként működik, felelős a GDPR egységes alkalmazásáért az egész Unióban.

A GDPR rendkívül visszatartó erejű szankciókat ír elő, mind anyagi, mind nem anyagi szankciókat. Ezenkívül az EU személyesadat-védelmi hatósága, amely a bizottsági/biztosi modell alapján működik, széleskörű és független hatáskörrel rendelkezik szankciók kiszabására, ha a szervezetek megsértik a személyes adatok védelmére vonatkozó szabályokat, és képes függetlenül értékelni és dönteni a személyes adatok feldolgozásáról.

A 2021-ben elfogadott kínai személyesadat-védelmi törvény (PIPL) Kína első átfogó, nemzeti szintű személyesadat-védelmi törvényének tekinthető. A PIPL viszonylag egységes képet ad a személyes adatokról/személyes információkról, mint olyan információkról, amelyek egy adott személyt azonosítanak vagy azonosítanak, és Kína területén belüli szűk csoportot céloznak meg (PIPL 4. cikk, 1. fejezet). Ugyanakkor szabályozza az érzékeny személyes adatok kérdését, hogy szabályokat hozzon létre a felek jogaira és kötelezettségeire vonatkozóan az adatok konkrétabb csoportjaival kapcsolatban.

A személyes adatokhoz való jogok megsértéséért a PIPL értelmében kiszabható szankciók nagyon súlyosak, beleértve a kényszerintézkedéseket, az illegális jövedelem elkobzását, a szolgáltatások felfüggesztését, a működési vagy üzleti engedélyek visszavonását, valamint akár 50 millió jüan vagy a szervezet előző pénzügyi évi éves bevételének 5%-a összegű bírságot. Ezenkívül a jogsértések a nemzeti szociális kreditrendszer keretében a feldolgozó egység „jóváírási nyilvántartásában” is rögzíthetők.

Továbbá a feldolgozó egységek felelősek lesznek a károk megtérítéséért, amennyiben megsértik a szervezetek és magánszemélyek jogait és érdekeit. Az ilyen típusú jogsértések büntetőjogi szankcióit a kínai büntetőjog is konkrétan szabályozza, amely súlyosabb büntetőjogi felelősséget ír elő azok számára, akik kötelesek bizalmasan kezelni az információkat, hozzáadja a vagyonelkobzás formáját, és a legsúlyosabb büntetésként életfogytiglani szabadságvesztést ír elő.

A 2012-ben elfogadott (2020-ban módosított) szingapúri személyesadat-védelmi törvény (PDPA) . A szingapúri törvény elismeri a személyes adatok védelméhez való jogot, valamint annak szükségességét, hogy bizonyos körülmények között megfelelő célokra megszervezzék az információk gyűjtését, felhasználását és közzétételét.

A PDPA súlyos pénzbírságokat is előír az adatvédelmi incidensek esetén. Az egyes jogsértők pénzbírsággal vagy szabadságvesztéssel sújthatók. A bírságok a jogsértés jellegétől és súlyosságától függenek, 2000 és 100 000 szingapúri dollár között (ami 1,6 milliárd vietnami dongnak felel meg) és/vagy legfeljebb 12 hónapig, súlyos esetekben akár 3 évig terjedő szabadságvesztéssel1; a jogsértő ügynökségeket és vállalatokat az éves forgalmuk akár 10%-áig terjedő pénzbírsággal is sújthatják.

A Személyes Adatvédelmi Törvény végrehajtásának biztosításában fontos szerepet játszó szerv a Személyes Adatvédelmi Bizottság (PDPC). Ez egy speciális szerv, széleskörű hatáskörökkel és végrehajtási lehetőségekkel, amelynek joga van magánszemélyektől és szervezetektől a személyes adatok kezelésével kapcsolatos információk és dokumentumok átadását kérni, pénzbírságot kiszabni a jogsértésekért, valamint egyéb intézkedésekkel kezelni azokat.

Egy szakosított ügynökség, a Szingapúri Személyes Adatvédelmi Bizottság létrehozása, amely függetlenül és proaktívan dolgozik a jogsértések felderítésén, kezelésén és a szankciók alkalmazásán, szintén a személyes adatok védelmének hatékony szingapúri érvényesítésének egyik feltétele.

Ajánlások a személyes adatok védelmére vonatkozó vietnami törvények fejlesztésére

Jelenleg Vietnámban 69 jogi dokumentum kapcsolódik közvetlenül a személyes adatok védelmének kérdéséhez, amelyeket különböző dokumentumok szabályoznak, beleértve az Alkotmányt, a Törvénykönyvet (4), a Törvényt (39), a Rendeletet (1), a Rendeletet (2), a Körlevelet/Közös Körlevelet (4), a Miniszteri Határozatot (1).

Ezek a dokumentumok alapvetően az adatvédelem kérdését az adatkezelők magánéletének biztosításának elvét előmozdítva közelítik meg, de eltérő szabályozást tartalmaznak a személyes adatokkal kapcsolatos információk tekintetében, utalva az adatkezelők jogaira és kötelezettségeire, az információfeldolgozásra és a személyes adatok védelmének módszereire. A személyes adatok védelmét Vietnámban szabályozó törvény figyelemre méltó eredményeket ért el, különösen a 2023. április 17-én kiadott 12/2023/ND-CP számú kormányrendelet a személyes adatok védelméről - ez egy külön dokumentum, amely ezt a kérdést szabályozza hazánkban. Ezek a jogi dokumentumok jogi folyosót teremtettek a személyes adatok védelmével kapcsolatos munkában; Meghatározzák az érintettek, valamint az adatfeldolgozók jogait, szankciókat írnak elő a személyes adatok védelmének megsértése esetén, és a személyes adatok védelmével foglalkozó szakosított ügynökséget a Közbiztonsági Minisztérium alá tartozó Kiberbiztonsági és Csúcstechnológiai Bűnmegelőzési Osztályként azonosítják...

Vietnam számos kockázattal, kihívással és veszéllyel néz szembe a kibertérből, különösen a személyes adatok és információk kiszivárgásával és eltulajdonításával, ami számos káros hatást gyakorol a polgárokra és a társadalomra.

Ezen dokumentumok tényleges végrehajtása azonban számos korlátozást is feltárt, például a jelenlegi különálló jogi dokumentumok csak rendeleti szintűek, így nem felelnek meg a személyes adatok védelmének fontosságának, számos tartalom jelenleg általános és nem egyértelmű szabályozás alá esik, ami az egyes esetekre vonatkozó konkrét iránymutatások hiányához vezet, és a szankciók továbbra is enyhék és nem elég visszatartó erejűek...

Ebben a helyzetben a vietnami személyesadat-védelmi törvény folyamatos fejlesztése olyan kérdés volt és van, amelyet más országok tapasztalatai alapján kell tanulmányozni. Konkrétan:

Először is, létre kell hozni egy törvényt a személyes adatok védelméről . A 4.0 ipari forradalom kontextusában, regionális és nemzeti szinten, 80 ország adott ki külön jogi dokumentumokat a személyes adatok védelmére. Vietnámnak hamarosan kutatást kell végeznie és ki kell adnia egy általános, speciális adatvédelmi törvényt, mint például az EU-nak, Kínának vagy Szingapúrnak az adatvédelmi törvénye, amely meghatározza a személyes adatok védelmének alapvető kérdéseit és elveit. Egy különálló személyes adatvédelmi törvény kiadása fontos jogalapot jelent majd a személyes adatok védelméhez, mivel jelenleg az ezzel a kérdéssel kapcsolatos jogi dokumentumok hazánkban nem egységesek a terminológia és a tartalmi szabályozások tekintetében.

Másodszor, a személyes adatok megsértéséért kiszabható szankciók módosítása és kiegészítése szigorúbb módon, hogy azok megfeleljenek a jogsértés jellegének és súlyosságának. Bár hazánkban a személyes adatok megsértéséért kiszabható szankciók között szerepelnek közigazgatási, polgári és büntetőjogi szankciók, ezek általában meglehetősen enyhék és nem rendelkeznek nagy visszatartó erejűséggel. A jelenlegi fő módszer továbbra is a közigazgatási jogsértések szankcióinak alkalmazása, de a szabályozások számos rendeletben szétszórva találhatók, meglehetősen alacsony bírságokkal, a legmagasabbak: 100 millió VND magánszemélyek és 200 millió VND szervezetek számára.

Míg a személyes adatok adminisztratív megsértése által okozott kár nemcsak anyagi, hanem a becsület és a méltóság megsértése is, a közigazgatási szankciókon kívül a személyes adatok megsértéséért járó büntetőjogi szankciók csak a magánélet védelméről, valamint az információs technológia és a hálózati biztonság területéről szóló szabályozásban, a jelenlegi Büntető Törvénykönyv 159. és 288. cikkében jelennek meg, viszonylag alacsony, legfeljebb 7 év börtönbüntetéssel és legfeljebb 1 milliárd VND pénzbírsággal. Ez a bírság az EU 20 millió eurós, Szingapúr 1 millió szingapúri dolláros vagy Kína életfogytiglani börtönbüntetéséhez képest még mindig nagyon alacsony, és nem arányos számos jogsértéssel.

Ugyanakkor számos olyan magatartáscsoport szabályozására van szükség, amelyek jelenleg nem szerepelnek a törvényben, mint például a nagymértékű adatkereskedelem, az adatvédelmi jogsértő rendszerek létrehozása, a marketing szolgáltatási üzletágban elkövetett jogsértések stb.

Harmadszor, a vietnami személyesadat-védelmi ügynökség modelljéről . Jelenleg a Közbiztonsági Minisztérium alá tartozó Kiberbiztonsági és Csúcstechnológiai Bűnmegelőzési Osztály a személyes adatok védelmére szakosodott ügynökség. A nemzetközi szabályozásra hivatkozva megfontolhatjuk egy független személyesadat-védelmi ügynökség létrehozását, amely a személyes adatok védelméről szóló törvény végrehajtásáért, ellenőrzések, vizsgálatok lefolytatásáért, iránymutatások és ajánlások kiadásáért, valamint az esetleges jogsértések szankcióinak alkalmazásáért felelős.

Utalhatunk ezekre az EU-s vagy szingapúri modellekre... a személyes adatok védelmére vonatkozó törvények hatékony érvényesítése érdekében, egyensúlyt teremtve a személyes jogok védelme és a hálózati biztonság garantálása között.

A személyes adatok védelme nem egyszerű kérdés, különösen akkor, ha az integráció kontextusába helyezzük, amikor a személyes adatok monitorozása és gyűjtése nagymértékben zajlik, és a kérdést szabályozó vietnami jogrendszer még mindig építés és tökéletesítés alatt áll.

A nemzetközi jognak ebben a kérdésben a vietnami gyakorlati helyzetre való tekintettel történő kutatása segíteni fog abban, hogy hamarosan kiépítsünk egy átfogó, a nemzetközi joggal és a hatékony végrehajtással összeegyeztethető jogi keretet a személyes adatok védelmére.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html