Krok naprzód w zapewnieniu praw człowieka w transformacji cyfrowej

Ochrona danych osobowych oznacza ochronę podstawowych praw i wolności człowieka w odniesieniu do danych.

17 kwietnia 2023 r. Rząd wydał rozporządzenie nr 13/2023/ND-CP (Rozporządzenie) w sprawie ochrony danych osobowych, obowiązujące od 1 lipca 2023 r., spełniające wymogi ochrony praw dotyczących danych osobowych, zapobiegające naruszeniom danych osobowych, które wpływają na prawa i interesy osób fizycznych i organizacji.

Przegląd najważniejszych wydarzeń

Dekret jest dokumentem prawnym regulującym ochronę danych osobowych oraz odpowiedzialność właściwych organów, organizacji i osób fizycznych za ochronę danych osobowych.

Po pierwsze, ochrona danych osobowych to ochrona podstawowych praw i wolności człowieka związanych z danymi. Przepisy Dekretu o ochronie danych osobowych mają na celu zapobieganie naruszaniu praw i wolności osobistych każdej osoby.

Jednocześnie bezpieczeństwo danych osobowych ma szczególne znaczenie, ponieważ ich kradzież może skutkować stratami ekonomicznymi i społecznymi, takimi jak: szantaż, oszustwo, przywłaszczenie majątku, zniesławienie, naruszenie czci, godności, wykorzystywanie seksualne..., powodując zarówno konsekwencje materialne, jak i duchowe, bezpośrednio wpływając na prawa i uzasadnione interesy agencji, organizacji, przedsiębiorstw i osób fizycznych.

Po drugie, promuj i szanuj prawa osób, których dane dotyczą. Prawa osób, których dane dotyczą, obejmują prawo dostępu, prawo do wyrażenia zgody lub odmowy przetwarzania danych osobowych, prawo do bycia poinformowanym oraz prawo do żądania usunięcia danych...

Ponadto osoby, których dane dotyczą, mają również prawo do ochrony przed naruszeniem ich danych osobowych przez inne podmioty. Podmioty mają prawo do żądania odszkodowania w przypadku naruszenia postanowień Dekretu, powodującego szkodę dla prawa do ochrony danych osobowych. Dekret wyraźnie stanowi również, że gromadzenie, przekazywanie lub kupowanie i sprzedawanie danych osobowych bez zgody osoby, której dane dotyczą, stanowi naruszenie prawa.

Prawo podmiotu do ochrony danych osobowych nie jest jednak prawem absolutnym, lecz może być ograniczone w przypadkach nadzwyczajnych w celu ochrony życia i zdrowia jednostki lub innych osób; w sytuacjach nadzwyczajnych związanych z obronnością kraju, bezpieczeństwem, porządkiem społecznym i ochroną; w celu realizacji określonych zobowiązań umownych lub w celu obsługi działań agencji państwowych określonych w przepisach szczególnych.

Ustanowienie wyjątków ma na celu realizację zasady zapewnienia praw jednostek i organizacji bez naruszania uzasadnionych praw i interesów innych jednostek i organizacji lub interesów państwa w zakresie wykonywania tych praw.

Po trzecie, należy promować proces integracji międzynarodowej w zakresie ochrony danych osobowych. Dekret jest zgodny z międzynarodowymi praktykami i przepisami dotyczącymi ochrony danych osobowych. Wiele krajów rozwiniętych zalegalizowało kwestię ochrony danych osobowych, co stanowi podstawę do badań i analiz dla Wietnamu.

Ponadto organizacje międzynarodowe, których Wietnam jest członkiem lub z którymi współpracuje, wydały konwencje, zalecenia i standardy dotyczące prywatności oraz ochrony informacji i danych osobowych. Należą do nich zasady ochrony prywatności Organizacji Współpracy Gospodarczej i Rozwoju (OECD), Konwencja Rady Europy o ochronie osób fizycznych w związku z automatycznym przetwarzaniem informacji i danych osobowych, wytyczne ONZ dotyczące komputerowych baz danych osobowych i plików informacyjnych, Ramy Ochrony Prywatności APEC, międzynarodowe standardy dotyczące prywatności oraz ochrony informacji i danych osobowych (Rezolucja Madrycka ), ogólne rozporządzenie UE o ochronie danych (RODO).

Ponadto, w ramach promowania współpracy między naszym krajem a innymi krajami i terytoriami, ponad 80 krajów wydało akty prawne dotyczące ochrony danych osobowych, z których wiele zawiera przepisy mające zastosowanie do wietnamskich organizacji i osób fizycznych. Dlatego też szczegółowe i szczegółowe przepisy dotyczące ochrony danych osobowych mają na celu stworzenie w Wietnamie środowiska równości i poszanowania prawa, w tym dla osób fizycznych i organizacji zagranicznych.

Wyzwania

Obecnie nadal istnieje wiele istotnych wyzwań związanych z wdrażaniem dekretu.

Po pierwsze, wyzwaniem jest zarządzanie pracownikami w przedsiębiorstwach. Obecnie wiele przedsiębiorstw buduje model spółki-matki i spółki-córki z tym samym ekosystemem zarządzania, a dostęp do informacji o pracownikach jest łatwy i możliwy ze wspólnego systemu.

Jednak zgodnie z prawem wietnamskim każda firma (w tym spółki macierzyste i spółki zależne) jest uważana za odrębny i niezależny podmiot prawny, więc przekazywanie danych osobowych pracowników przez firmy z tego samego ekosystemu w celu obsługi wewnętrznego procesu zarządzania przedsiębiorstwem można również uznać za naruszenie obowiązku przedsiębiorstwa w zakresie ochrony danych osobowych.

Z drugiej strony obecnie wiele przedsiębiorstw boryka się z trudnościami we wdrażaniu Rozporządzenia i nie ukończyło jeszcze prac nad mechanizmem i regulacjami dotyczącymi zarządzania i ochrony danych osobowych pracowników zgodnie z Rozporządzeniem.

Po drugie, nie jest to zgodne z przepisami prawa dotyczącymi działalności instytucji kredytowych. Obecnie działalność instytucji kredytowych regulują specjalistyczne przepisy prawne, takie jak: Ustawa o instytucjach kredytowych z 2010 r. (zmieniona i uzupełniona w 2014 r.); Ustawa o przeciwdziałaniu praniu pieniędzy; Dekret 117/2018/ND-CP w sprawie zachowania poufności i udostępniania informacji o klientach instytucji kredytowych i oddziałów banków zagranicznych; Okólnik 09/2020/TT-NHNN Banku Państwowego regulujący bezpieczeństwo systemów informatycznych w działalności bankowej na poziomie niższym od ustawy.

Z drugiej strony, w przypadku działalności bankowej przetwarzanie danych dotyczy danych osobowych, takich jak: zbieranie, rejestrowanie, analizowanie, potwierdzanie, przechowywanie, edytowanie, publikowanie, łączenie, uzyskiwanie dostępu, odzyskiwanie, przywoływanie, kodowanie, dekodowanie, kopiowanie, udostępnianie, przesyłanie, udostępnianie, przekazywanie, usuwanie, niszczenie danych osobowych lub inne powiązane działania są niezbędne do świadczenia usług klientom i zarządzania ryzykiem w działalności bankowej, zapewniając bezpieczeństwo systemu monetarnego, tak więc wiele działań przetwarzania danych osobowych klientów nie może i nie wymaga zgody klientów, podczas gdy klauzula 2, artykuł 3 i klauzula 1, artykuł 9 dekretu stanowią, że podmioty mają prawo wiedzieć o przetwarzaniu ich danych osobowych, z wyjątkiem przypadków, gdy inne przepisy prawa stanowią inaczej.

Albo w artykule 9, ustęp 2, stanowi, że podmiot ma prawo nie wyrazić zgody na przetwarzanie swoich danych osobowych; podmiot ma prawo do usunięcia, dostępu, żądania ograniczenia przetwarzania danych i sprzeciwu wobec przetwarzania danych, z wyjątkiem przypadków, gdy inna ustawa zawiera inne przepisy w artykule 9. W związku z tym sztywne stosowanie dekretu bez ujednoliconych wytycznych byłoby mylące i niewłaściwe.

Ponadto świadczenie usług i oferowanie produktów przez instytucje kredytowe odbywa się za pośrednictwem wielu procesów w ramach jednego produktu. Każdy proces w ramach jednego produktu obejmuje wiele różnych kroków i wiąże się z gromadzeniem, oceną, analizą i udostępnianiem danych w bardzo obszernych bazach danych klientów. Jednocześnie Dekret nakłada na Administratora Danych Osobowych i Podmiot Przetwarzający Dane Osobowe obowiązek uzyskania zgody osoby, której dane dotyczą (klienta) na wszystkie procedury przetwarzania podczas wykonywania jakichkolwiek czynności przetwarzania danych (art. 11); a przed rozpoczęciem czynności przetwarzania danych obowiązek powiadomienia osoby, której dane dotyczą (art. 13). Stanowi to kolejną przeszkodę dla działalności instytucji kredytowych.

Ponadto instytucje kredytowe muszą dostosować swoje systemy informatyczne i inne dokumenty podrzędne związane z działalnością instytucji kredytowych; wzory umów i porozumień muszą zostać zmienione, aby były zgodne z dekretem, co stwarza znaczne trudności dla działalności bankowej.

Po trzecie, wiele osób nie rozumie i nie jest świadomych, jak chronić swoje dane osobowe, przez co łatwo udostępniają swoje dane osobowe na platformach społecznościowych, nieświadomie dając tym samym szansę złym osobom na wykorzystanie ich do złych celów.

Niektórzy ludzie nie dostrzegają wyraźnej wartości ochrony danych osobowych w zakresie zapewnienia prywatności i obawiają się udostępniania swoich danych osobowych. Utrudnia to organom sprawowanie państwowego nadzoru nad ochroną danych osobowych, a także prowadzenie dochodzeń i rozpatrywanie naruszeń prawa o ochronie danych osobowych.

Ponadto, sytuacja związana z kupowaniem i sprzedawaniem danych osobowych, a także ryzyko wycieku informacji, niesie ze sobą poważne konsekwencje, wpływając na kwestie gospodarcze i społeczne. Zjawiska oszustw, takie jak reklamy spamowe wysyłane za pośrednictwem połączeń telefonicznych i wiadomości, wciąż stanowią problem i wpływają na życie ludzi.

Bezpieczeństwo danych osobowych ma szczególne znaczenie, ponieważ ich kradzież może spowodować straty ekonomiczne i społeczne, bezpośrednio wpływając na prawa i uzasadnione interesy agencji, organizacji, przedsiębiorstw i osób fizycznych. (Źródło: Shutterstock)

Wdrażanie dekretu w życie

Wietnam jest jednym z krajów o najwyższym na świecie tempie rozwoju i szybkości aplikacji internetowych, z ponad 70 milionami użytkowników. Dane osobowe ponad 2/3 populacji naszego kraju były i są przechowywane, publikowane, udostępniane i gromadzone w środowisku cyfrowym, cyberprzestrzeni, w różnych formach i na różnym poziomie szczegółowości.

Dekret stanowi przełom w zapewnianiu praw człowieka w transformacji cyfrowej, przezwyciężając niedociągnięcia i niedoskonałości w praktyce zapewniania, ochrony i zabezpieczania danych osobowych, zwiększając odpowiedzialność krajowych i zagranicznych agencji, organizacji i osób bezpośrednio uczestniczących w działaniach związanych z przetwarzaniem danych osobowych w Wietnamie lub mających z nimi związek.

Aby Dekret był rzeczywiście skuteczny w praktyce, należy skupić się na następujących kwestiach:

Po pierwsze, należy zwiększyć odpowiedzialność przedsiębiorstw w zakresie ochrony praw pracowniczych. W ramach zatrudnienia przedsiębiorstwa muszą gromadzić i przechowywać informacje o pracownikach. Aby służyć celom zarządzania pracą, pracodawcy i przedsiębiorstwa otrzymują i przetwarzają wiele danych osobowych pracowników, ale nieostrożne zarządzanie i przetwarzanie tych informacji może prowadzić do nieprzewidywalnych konsekwencji.

Przedsiębiorstwa muszą dokładnie przeanalizować i kompleksowo ocenić wpływ dekretu, niezwłocznie dokonać przeglądu i aktualizacji procedur oraz instrukcji dotyczących przetwarzania danych osobowych zgodnie z nowymi przepisami; rozważyć ustanowienie mechanizmów i opracowanie przepisów dotyczących zarządzania w oparciu o postanowienia dekretu; utrzymywać i przestrzegać tych mechanizmów i przepisów w całym procesie operacyjnym.

Po drugie, należy usunąć trudności w działalności kredytowej instytucji kredytowych . Bank Państwowy musi ściśle współpracować z odpowiednimi ministerstwami, zwłaszcza z Ministerstwem Bezpieczeństwa Publicznego, w celu wydania ujednoliconych wytycznych dotyczących ochrony danych osobowych w sektorze kredytowym, zarówno w celu promowania odpowiedzialności operacyjnej instytucji kredytowych za ochronę danych klientów, jak i spełniania specjalistycznych wymagań i zadań.

Po trzecie, aby Dekret rzeczywiście wszedł w życie, konieczne jest prowadzenie skutecznej propagandy i edukacji w celu popularyzacji prawa. W szczególności należy podkreślić potrzebę wydania Dekretu z nadrzędnym celem poszanowania i ochrony praw obywatelskich i praw człowieka. Przede wszystkim zaś osoba, której dane dotyczą, musi sama dogłębnie zrozumieć i pogłębić swoją świadomość oraz odpowiedzialność w zakresie ochrony danych osobowych.