Stap voorwaarts om mensenrechten te waarborgen bij digitale transformatie

Onder bescherming van persoonsgegevens wordt verstaan ​​de bescherming van fundamentele mensenrechten en vrijheden met betrekking tot gegevens.

Op 17 april 2023 heeft de regering decreet nr. 13/2023/ND-CP (decreet) betreffende de bescherming van persoonsgegevens uitgevaardigd, dat van kracht is vanaf 1 juli 2023. Het decreet voldoet aan de vereisten voor de bescherming van de rechten op het gebied van persoonsgegevens en voorkomt inbreuken op de bescherming van persoonsgegevens die de rechten en belangen van individuen en organisaties aantasten.

Hoogtepunten

Het besluit is een juridisch document dat de bescherming van persoonsgegevens en de verantwoordelijkheid van relevante instanties, organisaties en individuen om persoonsgegevens te beschermen, regelt.

Ten eerste is de bescherming van persoonsgegevens de bescherming van fundamentele mensenrechten en vrijheden met betrekking tot gegevens. De bepalingen van het Besluit bescherming persoonsgegevens zijn er in hun werking op gericht te voorkomen dat de persoonlijke rechten en vrijheden van eenieder worden geschonden.

Tegelijkertijd is de beveiliging van persoonsgegevens van bijzonder belang, want diefstal van gegevens kan economische en sociale verliezen veroorzaken, risico's zoals: chantage, fraude, toe-eigening van eigendommen, smaad, schending van de eer, waardigheid, seksueel misbruik..., met zowel materiële als geestelijke gevolgen, die rechtstreeks van invloed zijn op de rechten en legitieme belangen van instanties, organisaties, bedrijven en individuen.

Ten tweede, de rechten van betrokkenen bij persoonsgegevens bevorderen en respecteren. De rechten van betrokkenen bij persoonsgegevens omvatten het recht op toegang, het recht om al dan niet toestemming te geven voor de verwerking van persoonsgegevens, het recht op informatie en het recht om gegevenswissing te verzoeken...

Bovendien hebben betrokkenen ook het recht om zichzelf te beschermen tegen schending van hun persoonsgegevens door anderen. Betrokkenen hebben het recht om schadevergoeding te eisen wanneer er sprake is van een schending van de bepalingen van het besluit die het recht op bescherming van persoonsgegevens schaadt. Het besluit bepaalt ook duidelijk dat het verzamelen, overdragen, kopen en verkopen van persoonsgegevens zonder toestemming van de betrokkene een schending van de wet is.

Het recht van de betrokkene om persoonsgegevens te beschermen is echter geen absoluut recht, maar kan in noodgevallen worden beperkt om het leven en de gezondheid van het individu of anderen te beschermen; noodsituaties met betrekking tot de nationale defensie, veiligheid, maatschappelijke orde en veiligheid; de uitvoering van vastgestelde contractuele verplichtingen of het dienen van de activiteiten van overheidsinstanties zoals voorgeschreven door bijzondere wetten.

Met het toestaan ​​van uitzonderingen wordt uitvoering gegeven aan het beginsel dat de rechten van personen en organisaties gewaarborgd moeten worden, maar dat de legitieme rechten en belangen van andere personen en organisaties, of nationale belangen bij de uitoefening van die rechten, niet mogen worden geschaad.

Ten derde, het bevorderen van het proces van internationale integratie op het gebied van de bescherming van persoonsgegevens. Het decreet is verenigbaar met internationale praktijken en regelgeving inzake de bescherming van persoonsgegevens. Veel ontwikkelde landen hebben de bescherming van persoonsgegevens gelegaliseerd, wat de basis vormt voor Vietnam om te bestuderen en te raadplegen.

Daarnaast hebben internationale organisaties waarvan Vietnam lid is of waarmee het samenwerkt, verdragen, aanbevelingen en normen opgesteld over privacy en de bescherming van informatie en persoonsgegevens. Hieronder vallen de privacybeginselen van de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO), het Verdrag van de Raad van Europa inzake de bescherming van personen met betrekking tot de geautomatiseerde verwerking van informatie en persoonsgegevens, de VN-richtlijnen inzake geautomatiseerde persoonsgegevens en informatiebestanden, het privacykader van de Economische Samenwerking Azië- Pacific (APEC), internationale normen voor privacy en de bescherming van informatie en persoonsgegevens (de Resolutie van Madrid) en de Algemene Verordening Gegevensbescherming (AVG) van de EU.

Bovendien hebben meer dan 80 landen, in het kader van de samenwerking tussen ons land en andere landen en gebieden, juridische documenten over de bescherming van persoonsgegevens uitgegeven, waarvan vele bepalingen bevatten die van toepassing zijn op Vietnamese organisaties en personen. Specifieke en gedetailleerde regelgeving inzake de bescherming van persoonsgegevens is er dan ook op gericht een klimaat van gelijkheid en respect voor de wet in Vietnam te creëren, ook voor buitenlandse personen en organisaties.

De uitdagingen

Er zijn momenteel nog steeds grote uitdagingen bij de uitvoering van het besluit.

Ten eerste is er de uitdaging in het personeelsmanagement van ondernemingen. Veel ondernemingen hanteren momenteel een model met moeder- en dochterbedrijven met hetzelfde managementecosysteem, waarbij personeelsinformatie eenvoudig toegankelijk is vanuit het gemeenschappelijke systeem.

Volgens de Vietnamese wet wordt elk bedrijf (inclusief moeder- en dochterondernemingen) beschouwd als een aparte en onafhankelijke juridische entiteit. De overdracht van persoonsgegevens van werknemers door bedrijven in hetzelfde ecosysteem ten behoeve van het interne beheerproces van de onderneming kan dan ook worden beschouwd als een schending van de verantwoordelijkheid van de onderneming om persoonsgegevens te beschermen.

Anderzijds ondervinden veel ondernemingen momenteel moeilijkheden bij de implementatie van het Besluit en hebben zij het mechanisme en de regelgeving voor het beheer en de bescherming van de persoonsgegevens van werknemers nog niet voltooid in overeenstemming met het Besluit.

Ten tweede is het niet in overeenstemming met de wettelijke voorschriften voor de bedrijfsvoering van kredietinstellingen. Momenteel worden de werkzaamheden van kredietinstellingen gereguleerd door gespecialiseerde wettelijke voorschriften, zoals: de Wet op kredietinstellingen 2010 (gewijzigd en aangevuld in 2014); de Wet ter bestrijding van het witwassen van geld; Besluit 117/2018/ND-CP betreffende het vertrouwelijk houden en verstrekken van klantgegevens van kredietinstellingen en buitenlandse bankfilialen; Circulaire 09/2020/TT-NHNN van de Staatsbank ter regulering van de beveiliging van informatiesystemen in bankactiviteiten op een lager niveau dan de wet.

Aan de andere kant heeft gegevensverwerking bij bankactiviteiten invloed op persoonsgegevens, zoals: het verzamelen, vastleggen, analyseren, bevestigen, opslaan, bewerken, openbaar maken, combineren, openen, ophalen, terugroepen, coderen, decoderen, kopiëren, delen, doorgeven, verstrekken, overdragen, verwijderen, vernietigen van persoonsgegevens of andere gerelateerde handelingen zijn essentieel om diensten aan klanten te verlenen en risico's bij bankactiviteiten te beheren, en om de veiligheid en beveiliging van het monetaire systeem te waarborgen. Daarom kunnen en hoeven veel activiteiten voor het verwerken van persoonsgegevens van klanten geen toestemming van klanten te vereisen, terwijl clausule 2, artikel 3 en clausule 1, artikel 9 van het decreet bepalen dat betrokkenen het recht hebben om te weten over de verwerking van hun persoonsgegevens, behalve in gevallen waarin andere wetten anders bepalen.

Of in Clausule 2, Artikel 9 bepaalt dat de betrokkene het recht heeft om geen toestemming te geven voor de verwerking van zijn/haar persoonsgegevens; de betrokkene heeft het recht op verwijdering, toegang, beperking van de gegevensverwerking en bezwaar tegen gegevensverwerking, behalve in gevallen waarin een andere wet andere bepalingen bevat in Artikel 9. Het zou dus verwarrend en ongepast zijn als het Besluit strikt en zonder uniforme richtlijnen wordt toegepast.

Bovendien worden de levering van diensten en producten door kredietinstellingen uitgevoerd via vele processen op één product. Elk proces op één product omvat vele verschillende stappen en is gerelateerd aan het verzamelen, evalueren, analyseren en verstrekken van gegevens over zeer grote klantbestanden. Het besluit vereist dat de verwerkingsverantwoordelijke en de verwerker van persoonsgegevens de toestemming van de betrokkene (klant) verkrijgen in alle verwerkingsprocedures bij het uitvoeren van gegevensverwerkingsactiviteiten (artikel 11); en vóór het uitvoeren van gegevensverwerkingsactiviteiten, de betrokkene op de hoogte stellen (artikel 13). Dit blijft een ander obstakel voor de bedrijfsvoering van kredietinstellingen.

Bovendien moeten kredietinstellingen hun informatietechnologiesystemen en andere subwetdocumenten met betrekking tot de activiteiten van kredietinstellingen aanpassen. Ook moeten contract- en overeenkomstmodellen worden herzien om te voldoen aan het besluit, hetgeen aanzienlijke problemen oplevert voor de bankactiviteiten.

Ten derde zijn veel mensen zich niet bewust van de manier waarop zij hun persoonlijke gegevens beschermen. Hierdoor delen zij gemakkelijk persoonlijke informatie op sociale netwerkplatformen, waardoor kwaadwillenden deze onbedoeld kunnen misbruiken voor slechte doeleinden.

Sommige mensen beseffen niet goed hoe belangrijk de bescherming van persoonsgegevens is als het gaat om het waarborgen van de persoonlijke levenssfeer. Bovendien zijn ze bang om persoonlijke informatie te verstrekken. Hierdoor ontstaan ​​er problemen voor de autoriteiten bij het uitvoeren van het staatsbeheer van de bescherming van persoonsgegevens en bij het onderzoeken en aanpakken van schendingen van de wetgeving inzake de bescherming van persoonsgegevens.

Bovendien heeft de situatie rond het kopen en verkopen van persoonsgegevens, met het risico op informatielekken, grote gevolgen voor de economie en de maatschappij. Frauduleuze fenomenen en spamreclame via telefoongesprekken en berichten zijn nog steeds complex en hebben een grote impact op het leven van mensen.

De beveiliging van persoonsgegevens is van bijzonder belang, omdat diefstal van gegevens economische en maatschappelijke verliezen kan veroorzaken. Deze kunnen rechtstreeks van invloed zijn op de rechten en legitieme belangen van instanties, organisaties, bedrijven en individuen. (Bron: Shutterstock)

Het decreet in de praktijk brengen

Vietnam is een van de landen met de hoogste internetontwikkeling en -toepassingssnelheid ter wereld, met meer dan 70 miljoen gebruikers. Persoonsgegevens van meer dan twee derde van de bevolking van ons land zijn en worden opgeslagen, gepubliceerd, gedeeld en verzameld in de digitale omgeving, cyberspace, met verschillende vormen en niveaus van detail.

Het besluit is een doorbraak in het waarborgen van mensenrechten bij digitale transformatie, het verhelpen van tekortkomingen en onvolkomenheden in de praktijk van het waarborgen, beschermen en beveiligen van persoonsgegevens, en het vergroten van de verantwoordelijkheid voor binnenlandse en buitenlandse instanties, organisaties en personen die rechtstreeks deelnemen aan of gerelateerd zijn aan de verwerking van persoonsgegevens in Vietnam.

Om ervoor te zorgen dat het besluit in de praktijk daadwerkelijk effectief is, is het noodzakelijk om de volgende kwesties in overweging te nemen:

Ten eerste, vergroot de verantwoordelijkheid van bedrijven bij het beschermen van de rechten van werknemers. Bij het inzetten van arbeid moeten bedrijven informatie over werknemers verzamelen en opslaan. Om het doel van arbeidsbeheer te dienen, ontvangen en beheren werkgevers en bedrijven veel persoonlijke informatie van werknemers. Maar als ze onzorgvuldig omgaan met het beheer en de verwerking van informatie, zal dit onvoorspelbare gevolgen hebben.

Bedrijven moeten de gevolgen van het besluit zorgvuldig bestuderen en uitgebreid evalueren, procedures en instructies voor het verwerken van persoonsgegevens snel herzien en bijwerken in overeenstemming met de nieuwe regelgeving, overwegen om mechanismen in te stellen en governance-regelgeving op te stellen op basis van de bepalingen van het besluit en deze mechanismen en regelgeving in stand houden en naleven in het gehele operationele proces.

Ten tweede moeten de moeilijkheden voor kredietactiviteiten van kredietinstellingen worden weggenomen . De Staatsbank moet nauw samenwerken met de relevante ministeries, met name het Ministerie van Openbare Veiligheid, om uniforme richtlijnen uit te vaardigen voor de bescherming van persoonsgegevens in de kredietsector. Dit moet zowel de operationele verantwoordelijkheid van kredietinstellingen bij de bescherming van klantgegevens bevorderen als voldoen aan specifieke vereisten en taken.

Ten derde is het, om het decreet daadwerkelijk van kracht te laten worden, noodzakelijk om goed werk te leveren aan propaganda en educatie om de wetgeving te populariseren. In het bijzonder is het noodzakelijk om de noodzaak te benadrukken om het decreet af te kondigen met het hoogste doel: het respecteren en beschermen van burgerrechten en mensenrechten. En bovenal moet de betrokkene zelf zijn/haar persoonsgegevens volledig begrijpen en zich er bewust van zijn en zich verantwoordelijk voelen voor de bescherming ervan.