Membuat kerangka hukum untuk perlindungan data pribadi

Melanjutkan Sidang ke-43, pada sore hari tanggal 11 Maret, Panitia Tetap Majelis Nasional memberikan pendapat terhadap rancangan Undang-Undang tentang Perlindungan Data Pribadi.

7 prinsip perlindungan data pribadi

Pengajuan Pemerintah menyatakan bahwa meskipun terdapat hingga 69 dokumen hukum yang terkait langsung dengan perlindungan data pribadi di Vietnam, semuanya belum menyepakati konsep dan isi data pribadi serta perlindungan data pribadi. Hanya Keputusan Pemerintah No. 13/2023/ND-CP tanggal 17 April 2024 tentang perlindungan data pribadi yang memberikan definisi untuk kedua isi tersebut.

Namun, ini hanyalah dokumen Ketetapan, bukan dokumen Undang-Undang, sehingga perlu diimplementasikan secara seragam dalam praktik. Perlu ada dokumen Undang-Undang sebagai "hukum asli", dengan prinsip-prinsip yang berkontribusi untuk terus melembagakan ketentuan Konstitusi dan undang-undang tentang hak untuk melindungi privasi pribadi dan hak asasi manusia.

Pembangunan Undang-Undang tentang Perlindungan Data Pribadi bertujuan untuk menyempurnakan sistem hukum perlindungan data pribadi di negara kita, menciptakan koridor hukum perlindungan data pribadi, meningkatkan kapasitas perlindungan data pribadi organisasi dan individu dalam negeri agar menjangkau tingkat internasional dan regional; mendorong pemanfaatan data pribadi secara sah untuk melayani pembangunan sosial ekonomi.

Rancangan Undang-Undang tentang Perlindungan Data Pribadi terdiri dari 7 bab dan 69 pasal; mengatur tentang perlindungan data pribadi dan tanggung jawab instansi, organisasi, dan perseorangan terkait untuk melindungi data pribadi dengan 7 pokok isi, yaitu:

Menyatukan terminologi dan mengembangkan beberapa konsep penting tentang perlindungan data pribadi, seperti: data pribadi; perlindungan data pribadi; mengklarifikasi konsep dan isi data pribadi dasar, data pribadi sensitif, data non-pribadi, de-identifikasi data pribadi; mengidentifikasi secara akurat dan lengkap kegiatan pemrosesan data pribadi; peran para pihak dalam kegiatan pemrosesan.

Mengembangkan 7 prinsip perlindungan data pribadi, termasuk: legalitas, transparansi, tujuan, pembatasan, akurasi, keamanan, waktu penyimpanan terbatas, dan akuntabilitas.

Menentukan hak dan kewajiban subjek data.

Peraturan tentang kondisi perlindungan data pribadi untuk organisasi yang menyediakan layanan pemrosesan data pribadi; layanan yang menyediakan organisasi perlindungan data pribadi dan pakar perlindungan data pribadi; layanan pemeringkatan kredit perlindungan data pribadi; dan layanan yang menyatakan kelayakan untuk kapasitas perlindungan data pribadi.

Mensyaratkan penilaian dampak pemrosesan data pribadi dan transfer data pribadi ke luar negeri sebagai komitmen hukum terhadap aktivitas pemrosesan data pribadi. Agar konsisten dengan perkembangan ilmu pengetahuan dan teknologi serta jenis perusahaan saat ini, rancangan ini tidak menetapkan bentuk pra-inspeksi (pendaftaran) tetapi melakukan pasca-inspeksi (pemeriksaan, evaluasi) pemrosesan data pribadi dan transfer data pribadi lintas batas.

Peraturan lengkap tentang langkah-langkah perlindungan data pribadi dasar, data pribadi sensitif, ketentuan untuk memastikan kegiatan perlindungan data pribadi, badan perlindungan data pribadi khusus, dan Portal Informasi Perlindungan Data Pribadi Nasional.

Peraturan tentang pengelolaan negara atas perlindungan data pribadi, tanggung jawab kementerian dan lembaga terkait dalam arahan Pemerintah yang menyatukan pelaksanaan pengelolaan negara atas perlindungan data pribadi; Kementerian Keamanan Publik merupakan lembaga fokus yang bertanggung jawab kepada Pemerintah untuk melaksanakan pengelolaan negara atas data pribadi, kecuali lingkup Kementerian Pertahanan Nasional; tanggung jawab pengendali data pribadi, pemroses data, pengendali dan pemroses data, pihak ketiga, organisasi dan individu terkait.

Meninjau dan melengkapi tindakan terlarang

Dalam tinjauan awal rancangan Undang-Undang tersebut, Komite Pertahanan, Keamanan, dan Luar Negeri Majelis Nasional menyatakan bahwa data pribadi memainkan peran yang sangat penting, merupakan sumber data yang strategis, dan memiliki dampak langsung dan menyeluruh terhadap politik, ekonomi, masyarakat, pertahanan, keamanan, dan hubungan luar negeri suatu negara. Namun, perlindungan data pribadi di masa lalu masih lemah, sehingga memungkinkan terjadinya pengumpulan, penyerangan, perampasan, dan perdagangan ilegal data pribadi.

Ketua Komite Pertahanan, Keamanan, dan Luar Negeri Nasional Le Tan Toi.

Meskipun saat ini terdapat banyak dokumen hukum terkait perlindungan data pribadi, isinya masih tersebar dan tidak konsisten. Peraturan Pemerintah No. 13/2023/ND-CP tanggal 17 April 2024 tentang Perlindungan Data Pribadi telah mulai berlaku, tetapi merupakan dokumen turunan, tidak menjamin nilai hukum, tidak konsisten dengan ketentuan Konstitusi, dan tidak cukup kuat untuk mencegah dan menangani pelanggaran.

Oleh karena itu, pengembangan Undang-Undang tentang Perlindungan Data Pribadi menjadi sangat diperlukan, yang memenuhi kebutuhan perlindungan data pribadi; pencegahan tindakan pelanggaran data pribadi; peningkatan tanggung jawab instansi, organisasi, dan perseorangan; menjamin nilai hukum untuk kesatuan pelaksanaan.

Terkait tindakan terlarang (Pasal 7), Ketua Komite Le Tan Toi mengatakan bahwa beberapa pendapat menyarankan peninjauan dan penambahan tindakan terlarang lainnya agar mencakup sepenuhnya setiap kelompok kegiatan dan setiap jenis subjek yang melindungi data pribadi. Terdapat pula pendapat yang menyarankan penambahan tindakan terlarang terkait 5 bentuk jual beli data pribadi sebagaimana tercantum dalam Pengajuan Pemerintah.

Terkait perlindungan data pribadi dalam layanan pemasaran dan periklanan, Komite Tetap Pertahanan, Keamanan, dan Luar Negeri pada dasarnya sependapat dengan peraturan ini. Namun, terdapat pendapat bahwa peraturan yang melarang penggunaan pihak ketiga ini tidak layak dan tidak sesuai praktik karena industri pemasaran dan periklanan bergantung pada ekosistem digital.

Ada usulan bahwa pihak ketiga dapat diperkenankan melakukan hal tersebut jika kerahasiaan terjamin, ada kontrak dengan tanggung jawab yang jelas, dan harus ada ketentuan peralihan yang serupa dengan ketentuan tentang Organisasi Perlindungan Data Pribadi dan Pakar Perlindungan Data Pribadi dalam Pasal 68 RUU tersebut.

Selain itu, lembaga inspeksi juga mengusulkan untuk meninjau secara cermat peraturan tentang organisasi perlindungan data pribadi (Pasal 39), pakar perlindungan data pribadi (Pasal 40), layanan bisnis organisasi perlindungan data pribadi, pakar perlindungan data pribadi (Pasal 41) untuk memastikan persyaratan manajemen negara dan mendorong kreativitas, membebaskan semua kekuatan produktif, dan membuka semua sumber daya untuk pembangunan; memangkas dan menyederhanakan prosedur administratif, kondisi investasi untuk produksi dan bisnis, mengurangi biaya kepatuhan, dan menciptakan kondisi yang paling menguntungkan bagi masyarakat dan bisnis.