Menciptakan kerangka hukum untuk perlindungan data pribadi.

Melanjutkan agenda Sidang ke-43, pada sore hari tanggal 11 Maret, Komite Tetap Majelis Nasional memberikan pendapatnya tentang rancangan Undang-Undang Perlindungan Data Pribadi.

7 prinsip untuk melindungi data pribadi

Laporan Pemerintah dengan jelas menyatakan bahwa, meskipun terdapat 69 dokumen hukum yang secara langsung berkaitan dengan perlindungan data pribadi di Vietnam, tidak satu pun dari dokumen tersebut yang konsisten dalam mendefinisikan dan menentukan data pribadi dan perlindungan data pribadi. Hanya Keputusan Pemerintah Nomor 13/2023/ND-CP tanggal 17 April 2024 tentang perlindungan data pribadi yang memberikan definisi untuk kedua aspek tersebut.

Namun, ini hanyalah sebuah Keputusan, bukan Undang-Undang, sehingga perlu diimplementasikan secara konsisten dalam praktiknya. Undang-Undang diperlukan sebagai "hukum dasar," sebuah dokumen berprinsip yang berkontribusi pada pelembagaan lebih lanjut ketentuan-ketentuan Konstitusi dan undang-undang tentang hak untuk melindungi privasi pribadi dan hak asasi manusia.

Tujuan penyusunan Undang-Undang Perlindungan Data Pribadi adalah untuk menyempurnakan sistem hukum tentang perlindungan data pribadi di negara kita, menciptakan kerangka hukum untuk perlindungan data pribadi, meningkatkan kapasitas organisasi dan individu dalam negeri untuk melindungi data pribadi agar mencapai standar internasional dan regional; dan mendorong penggunaan data pribadi yang sah untuk melayani pembangunan sosial ekonomi .

Rancangan Undang-Undang tentang Perlindungan Data Pribadi terdiri dari 7 bab dan 69 pasal; undang-undang ini mengatur perlindungan data pribadi dan tanggung jawab instansi, organisasi, dan individu terkait dalam melindungi data pribadi, dengan 7 isi utama, yaitu:

Untuk menstandarisasi terminologi dan menetapkan beberapa konsep kunci terkait perlindungan data pribadi, seperti: data pribadi; perlindungan data pribadi; mengklarifikasi konsep dan makna data pribadi dasar, data pribadi sensitif, data non-pribadi, dan deidentifikasi data pribadi; mendefinisikan secara akurat dan komprehensif kegiatan pengolahan data pribadi; dan peran pihak-pihak yang terlibat dalam kegiatan pengolahan.

Tujuh prinsip untuk melindungi data pribadi telah ditetapkan, meliputi: legalitas, transparansi, penggunaan yang tepat, pembatasan, keakuratan, keamanan, batasan penyimpanan, dan akuntabilitas.

Peraturan yang mendefinisikan hak dan kewajiban subjek data.

Peraturan tentang syarat-syarat perlindungan data pribadi bagi organisasi penyedia jasa pengolahan data pribadi; jasa yang menyediakan organisasi perlindungan data pribadi dan pakar perlindungan data pribadi; jasa untuk menilai kredibilitas perlindungan data pribadi; dan jasa untuk mensertifikasi kelayakan perlindungan data pribadi.

Draf tersebut mensyaratkan penilaian dampak pemrosesan dan transfer data pribadi ke luar negeri sebagai komitmen yang mengikat secara hukum terkait kegiatan pemrosesan data pribadi. Untuk menyesuaikan dengan kemajuan ilmu pengetahuan dan teknologi serta jenis bisnis saat ini, draf tersebut tidak menetapkan persetujuan terlebih dahulu (registrasi) tetapi menerapkan persetujuan setelah pemrosesan (inspeksi dan evaluasi) terhadap pemrosesan data pribadi dan transfer data lintas batas.

Peraturan mengenai langkah-langkah dasar perlindungan data pribadi, data pribadi sensitif, kondisi untuk memastikan kegiatan perlindungan data pribadi, lembaga khusus untuk perlindungan data pribadi, dan Portal Nasional tentang Perlindungan Data Pribadi.

Peraturan tentang pengelolaan negara atas perlindungan data pribadi, tanggung jawab kementerian dan lembaga terkait, berorientasi pada implementasi terpadu pemerintah atas pengelolaan negara atas perlindungan data pribadi; Kementerian Keamanan Publik adalah lembaga utama yang bertanggung jawab kepada pemerintah untuk pengelolaan negara atas data pribadi, tidak termasuk lingkup Kementerian Pertahanan Nasional; tanggung jawab pengendali data, pengolah data, pengendali dan pengolah data, pihak ketiga, organisasi, dan individu yang terlibat.

Tinjau dan lengkapi daftar tindakan yang dilarang.

Dalam peninjauan awal rancangan undang-undang tersebut, Komite Pertahanan Nasional, Keamanan, dan Luar Negeri Majelis Nasional menyatakan bahwa data pribadi memainkan peran yang sangat penting, berfungsi sebagai sumber data strategis yang secara langsung dan komprehensif berdampak pada politik, ekonomi, masyarakat, pertahanan nasional, keamanan, dan urusan luar negeri suatu negara. Namun, perlindungan data pribadi belakangan ini menjadi longgar, sehingga memungkinkan pengumpulan, penyerangan, pengambilalihan, dan penjualan data pribadi secara ilegal.

Ketua Komite Pertahanan Nasional, Keamanan dan Luar Negeri, Le Tan Toi.

Meskipun saat ini terdapat banyak dokumen hukum terkait perlindungan data pribadi, isinya masih terfragmentasi dan tidak konsisten. Keputusan Pemerintah Nomor 13/2023/ND-CP tanggal 17 April 2024 tentang perlindungan data pribadi pada awalnya menunjukkan beberapa efektivitas, tetapi sebagai dokumen sub-hukum, dokumen tersebut kurang memiliki validitas hukum, tidak konsisten dengan ketentuan Konstitusi, dan tidak cukup kuat untuk mencegah dan menangani pelanggaran.

Oleh karena itu, pengembangan rancangan Undang-Undang tentang Perlindungan Data Pribadi mutlak diperlukan untuk memenuhi persyaratan perlindungan data pribadi; mencegah tindakan pelanggaran data pribadi; meningkatkan tanggung jawab lembaga, organisasi, dan individu; serta memastikan validitas hukum untuk implementasi yang konsisten.

Mengenai tindakan terlarang (Pasal 7), Ketua Komite Le Tan Toi menyatakan bahwa beberapa pendapat menyarankan untuk meninjau dan menambah tindakan terlarang lainnya guna memastikan kelengkapan sesuai dengan setiap kelompok kegiatan dan setiap jenis entitas yang melindungi data pribadi. Beberapa pendapat menyarankan untuk menambahkan tindakan terlarang yang berkaitan dengan lima bentuk jual beli data pribadi sebagaimana disebutkan dalam usulan Pemerintah.

Mengenai perlindungan data pribadi dalam layanan pemasaran dan periklanan, Komite Tetap Komite Pertahanan Nasional, Keamanan dan Urusan Luar Negeri pada umumnya menyetujui peraturan ini. Namun, beberapa pihak berpendapat bahwa peraturan yang melarang penggunaan pihak ketiga tidak praktis dan tidak sesuai dengan kenyataan, karena industri pemasaran dan periklanan bergantung pada ekosistem digital.

Beberapa pihak menyarankan agar pihak ketiga diizinkan untuk melaksanakan tugas ini jika keamanan terjamin, terdapat kontrak yang mengikat yang secara jelas menguraikan tanggung jawab, dan terdapat klausul transisi yang serupa dengan ketentuan tentang Organisasi Perlindungan Data Pribadi dan Pakar Perlindungan Data Pribadi dalam Pasal 68 rancangan Undang-Undang tersebut.

Selain itu, lembaga peninjau juga mengusulkan peninjauan menyeluruh terhadap peraturan tentang organisasi perlindungan data pribadi (Pasal 39), pakar perlindungan data pribadi (Pasal 40), dan bisnis penyediaan jasa perlindungan data pribadi dan pakar perlindungan data pribadi (Pasal 41) untuk memastikan manajemen negara yang efektif dan mendorong inovasi, melepaskan kapasitas produktif sepenuhnya, dan membuka semua sumber daya untuk pembangunan; secara drastis mengurangi dan menyederhanakan prosedur dan persyaratan administratif untuk investasi, produksi, dan bisnis, mengurangi biaya kepatuhan, dan menciptakan kondisi yang paling menguntungkan bagi warga dan bisnis.