Skritt fremover for å sikre menneskerettigheter i digital transformasjon

Vern av personopplysninger er beskyttelsen av grunnleggende menneskerettigheter og friheter i forbindelse med data.

Den 17. april 2023 utstedte regjeringen dekret nr. 13/2023/ND-CP (dekret) om vern av personopplysninger, med virkning fra 1. juli 2023, som oppfyller kravene for å beskytte rettigheter knyttet til personopplysninger; forhindrer brudd på personopplysninger som påvirker rettighetene og interessene til enkeltpersoner og organisasjoner.

Høydepunkter

Dekretet er et juridisk dokument som regulerer vernet av personopplysninger og ansvaret til relevante etater, organisasjoner og enkeltpersoner for å beskytte personopplysninger.

For det første er vern av personopplysninger beskyttelse av grunnleggende menneskerettigheter og friheter knyttet til data. Bestemmelsene i dekretet om vern av personopplysninger har som mål å forhindre at hver enkelt persons personlige rettigheter og friheter krenkes.

Samtidig er sikkerheten til personopplysninger av særlig betydning, fordi hvis data blir stjålet, kan det forårsake økonomiske og sosiale tap, risikoer som: utpressing, svindel, eiendomstilegnelse, ærekrenkelse, krenkelse av ære, verdighet, seksuelt misbruk..., noe som forårsaker både materielle og åndelige konsekvenser, som direkte påvirker rettighetene og legitime interessene til etater, organisasjoner, bedrifter og enkeltpersoner.

For det andre, fremme og respektere rettighetene til de registrerte personopplysningene. Rettighetene til de registrerte personopplysningene omfatter retten til innsyn, retten til å samtykke til eller ikke behandling av personopplysninger, retten til å bli informert og retten til å be om sletting av data...

Videre har registrerte også rett til å beskytte seg mot at andre registrerte krenker deres personopplysninger. Registrerte har rett til å kreve erstatning for skader når det foreligger et brudd på bestemmelsene i dekretet som forårsaker skade på retten til vern av personopplysninger. Dekretet fastsetter også tydelig at det å samle inn, overføre eller kjøpe og selge personopplysninger uten den registrertes samtykke er et brudd på loven.

Den registrertes rett til å beskytte personopplysninger er imidlertid ikke en absolutt rett, men kan begrenses i nødstilfeller for å beskytte den enkeltes eller andres liv og helse; nødsituasjoner knyttet til nasjonalt forsvar, sikkerhet, sosial orden og trygghet; oppfyllelse av bestemte kontraktsforpliktelser eller i forbindelse med statlige etaters aktiviteter som foreskrevet i spesiallover.

Unntaksbestemmelsene har som mål å implementere prinsippet om å sikre enkeltpersoners og organisasjoners rettigheter, men ikke å krenke andre enkeltpersoners og organisasjoners legitime rettigheter og interesser eller nasjonale interesser i utøvelsen av disse rettighetene.

For det tredje, fremme prosessen med internasjonal integrasjon i spørsmålet om vern av personopplysninger. Dekretet er forenlig med internasjonal praksis og forskrifter om vern av personopplysninger. Mange utviklede land har legalisert spørsmålet om vern av personopplysninger, som er grunnlaget for Vietnams studier og referanser.

I tillegg har internasjonale organisasjoner som Vietnam er medlem av eller samarbeider med Vietnam, utstedt konvensjoner, anbefalinger og standarder for personvern og beskyttelse av informasjon og personopplysninger. Disse inkluderer personvernprinsippene til Organisasjonen for økonomisk samarbeid og utvikling (OECD), Europarådets konvensjon om beskyttelse av individer med hensyn til automatisk behandling av informasjon og personopplysninger, FNs retningslinjer for elektroniske personopplysninger og informasjonsfiler, personvernrammeverket for Asia- Stillehavsøkonomisk samarbeid (APEC), internasjonale standarder for personvern og beskyttelse av informasjon og personopplysninger (Madrid-resolusjonen), EUs personvernforordning (GDPR)...

I tillegg har mer enn 80 land utstedt juridiske dokumenter om vern av personopplysninger i prosessen med å fremme samarbeid mellom landet vårt og andre land og territorier, hvorav mange har bestemmelser som gjelder for vietnamesiske organisasjoner og enkeltpersoner. Derfor har spesifikke og detaljerte forskrifter om vern av personopplysninger som mål å skape et miljø med likhet og respekt for loven i Vietnam, inkludert for utenlandske enkeltpersoner og organisasjoner.

Utfordringene

For tiden er det fortsatt mange betydelige utfordringer med å implementere dekretet.

For det første, utfordringen i styringen av ansatte i bedrifter. For tiden bygger mange bedrifter en modell med morselskap og datterselskap med samme styringsøkosystem, og ansattinformasjon kan enkelt nås fra det felles systemet.

I henhold til vietnamesisk lov regnes imidlertid hvert selskap (inkludert morselskaper og datterselskaper) som en separat og uavhengig juridisk enhet, så overføring av personopplysninger om ansatte av selskaper i samme økosystem for å tjene den interne styringsprosessen i bedriften kan også anses som et brudd på bedriftens ansvar for å beskytte personopplysninger.

På den annen side har mange bedrifter for tiden vanskeligheter med å implementere dekretet, og har ennå ikke fullført mekanismen og forskriftene for håndtering og beskyttelse av ansattes personopplysninger i samsvar med dekretet.

For det andre er det ikke i samsvar med lovbestemmelsene om drift av kredittinstitusjoner. For tiden er driften av kredittinstitusjoner regulert av spesialiserte lovbestemmelser som: Lov om kredittinstitusjoner 2010 (endret og supplert i 2014); Lov om hvitvasking av penger; Dekret 117/2018/ND-CP om konfidensiell behandling og utlevering av kundeinformasjon fra kredittinstitusjoner og utenlandske bankfilialer; Rundskriv 09/2020/TT-NHNN fra Statsbanken som regulerer sikkerheten til informasjonssystemer i bankvirksomhet på nivået under loven.

På den annen side, for bankvirksomhet, påvirker databehandling personopplysninger, for eksempel: Innsamling, registrering, analyse, bekreftelse, lagring, redigering, offentliggjøring, kombinering, tilgang til, henting, tilbakekalling, koding, dekoding, kopiering, deling, overføring, levering, overføring, sletting, ødeleggelse av personopplysninger eller andre relaterte handlinger er avgjørende for å tilby tjenester til kunder og håndtere risikoer i bankvirksomhet, og dermed sikre det monetære systemets sikkerhet. Derfor kan og krever mange aktiviteter knyttet til behandling av personopplysninger fra kunder ikke kundenes samtykke, mens paragraf 2, artikkel 3 og paragraf 1, artikkel 9 i dekretet fastsetter at registrerte har rett til å vite om behandlingen av deres personopplysninger, med mindre andre lover bestemmer noe annet.

Eller i paragraf 2 fastsetter artikkel 9 at den registrerte har rett til ikke å samtykke til behandling av sine personopplysninger; den registrerte har rett til å slette, få tilgang til, be om begrensning av databehandling og protestere mot databehandling, unntatt i tilfeller der en annen lov har andre bestemmelser i artikkel 9. Det vil derfor være forvirrende og upassende dersom dekretet anvendes strengt og uten enhetlig veiledning.

I tillegg utføres levering av tjenester og produkter av kredittinstitusjoner gjennom mange prosesser på ett produkt, hver prosess på ett produkt inkluderer mange forskjellige trinn og er knyttet til innsamling, evaluering, analyse og levering av data om svært store kundefiler, mens dekretet krever at den behandlingsansvarlige og databehandleren innhenter samtykke fra den registrerte (kunden) i alle behandlingsprosedyrer når de utfører databehandlingsaktiviteter (artikkel 11); og før de utfører databehandlingsaktiviteter, må de varsle den registrerte (artikkel 13). Dette fortsetter å være en annen hindring for kredittinstitusjoners drift.

Videre må kredittinstitusjoner justere sine IT-systemer og andre underordnede lovdokumenter knyttet til kredittinstitusjonenes drift; kontrakts- og avtalemaler må revideres for å være i samsvar med dekretet, noe som skaper betydelige vanskeligheter for bankvirksomheten.

For det tredje forstår ikke en rekke personer, og er ikke klar over, hvordan de skal beskytte sine personopplysninger, så de deler lett personlig informasjon på sosiale nettverksplattformer, noe som utilsiktet lar skurker utnytte det til onde formål.

Noen ser ikke helt verdien av personvern som sikring av personvernet, og er også redde for å oppgi personopplysninger, noe som skaper vanskeligheter for myndighetene med å utføre statlig forvaltning av personvern samt tjene til etterforskning og håndtering av brudd på loven om personvern.

I tillegg skaper situasjonen med kjøp og salg av personopplysninger, risikoen for informasjonslekkasje, store konsekvenser som påvirker økonomiske og sosiale problemer. Svindelfenomener, spam-reklame via anrop og meldinger er fortsatt kompliserte og påvirker folks liv.

Sikkerheten til personopplysninger er spesielt viktig fordi stjålne data kan forårsake økonomiske og sosiale tap, som direkte påvirker rettighetene og de legitime interessene til etater, organisasjoner, bedrifter og enkeltpersoner. (Kilde: Shutterstock)

Å sette dekretet ut i livet

Vietnam er et av landene med den høyeste internettutviklingen og applikasjonshastigheten i verden, med mer enn 70 millioner brukere. Personopplysninger for mer enn 2/3 av landets befolkning har blitt og blir lagret, lagt ut, delt og samlet inn i det digitale miljøet, cyberspace, med forskjellige former og detaljnivåer.

Dekretet er et gjennombrudd i å sikre menneskerettigheter i digital transformasjon, overvinne mangler og utilstrekkeligheter i praksisen med å sikre, beskytte og sikre personopplysninger, og øke ansvaret for innenlandske og utenlandske etater, organisasjoner og enkeltpersoner som direkte deltar i eller er relatert til behandling av personopplysninger i Vietnam.

For at dekretet skal være virkelig effektivt i praksis, er det nødvendig å fokusere på følgende problemstillinger:

For det første, øk bedriftenes ansvar for å beskytte arbeidstakernes rettigheter. Ved bruk av arbeidskraft må bedrifter samle inn og lagre informasjon om ansatte. For å tjene formålet med arbeidsstyring mottar og administrerer arbeidsgivere og bedrifter mye personlig informasjon fra ansatte, men hvis de er uforsiktige i håndteringen og behandlingen av informasjon, vil det føre til uforutsigbare konsekvenser.

Bedrifter må nøye studere og grundig evaluere virkningene av dekretet, raskt gjennomgå og oppdatere prosedyrer og instruksjoner for håndtering av personopplysninger i samsvar med de nye forskriftene, vurdere å etablere mekanismer og bygge styringsforskrifter basert på bestemmelsene i dekretet, og opprettholde og overholde disse mekanismene og forskriftene gjennom hele driftsprosessen.

For det andre, fjern vanskeligheter for kredittinstitusjoners kredittvirksomhet . Statsbanken må koordinere tett med relevante departementer, spesielt departementet for offentlig sikkerhet, for å utstede enhetlige retningslinjer for beskyttelse av personopplysninger i kredittsektoren, både for å sikre fremme av kredittinstitusjoners operative ansvar for å beskytte kundedata og for å oppfylle spesialiserte krav og oppgaver.

For det tredje, for at dekretet virkelig skal tre i kraft, er det nødvendig å gjøre en god jobb med propaganda og opplæring for å popularisere loven. Det er spesielt nødvendig å fremheve behovet for å kunngjøre dekretet med det høyeste formål å respektere og beskytte sivile rettigheter og menneskerettigheter. Og fremfor alt må den registrerte selv grundig forstå og øke sin bevissthet og sitt ansvar for å beskytte personopplysninger.