Wietnam jest jednym z krajów o najwyższym na świecie wskaźniku rozwoju i adopcji Internetu, z którego korzysta blisko 80% populacji. Dane osobowe dwóch trzecich mieszkańców Wietnamu są przechowywane, przesyłane, udostępniane i gromadzone online w różnych formach i z różnym poziomem szczegółowości.
W latach 2022 i 2023 Wietnam prowadził pięć spraw karnych dotyczących kupna i sprzedaży tysięcy GB danych i miliardów danych osobowych. Podkreśla to pilną potrzebę udoskonalenia przepisów dotyczących ochrony danych osobowych w oparciu o badania i odniesienia do prawa międzynarodowego.
Międzynarodowe prawo ochrony danych osobowych
 |
| RODO jest uważane za ważny krok naprzód pod względem prawnym, tworzący najbardziej rygorystyczny na świecie mechanizm ochrony danych osobowych. |
Przyjęte przez Unię Europejską (UE) Ogólne rozporządzenie o ochronie danych (RODO) jest uważane za ważny krok naprzód pod względem prawnym, tworzący najbardziej rygorystyczny na świecie mechanizm ochrony danych osobowych i mający zastosowanie do wszystkich organizacji i przedsiębiorstw przetwarzających dane osobowe obywateli UE.
RODO nakłada jednolite kary za naruszenia przepisów w całej Unii Europejskiej. Maksymalna kara wynosi 2% przychodów lub 10 milionów euro za drobne naruszenia oraz 4% przychodów lub 20 milionów euro za poważne naruszenia. Oprócz grzywien, firmy naruszające przepisy RODO mogą również spotkać się z innymi sankcjami, takimi jak przymusowe zaprzestanie przetwarzania danych lub usunięcie danych przetwarzanych z naruszeniem RODO.
Organem ochrony danych osobowych w UE jest Europejski Urząd Nadzoru Ochrony Danych (EIOD) – niezależny organ, którego członkami są doświadczeni prawnicy, specjaliści ds. IT i administratorzy.
Głównym zadaniem tej agencji jest nadzór nad przetwarzaniem danych osobowych w instytucjach UE oraz doradztwo w kwestiach związanych z danymi osobowymi. RODO wymaga również utworzenia organu ochrony danych osobowych w każdym państwie członkowskim, takiego jak Krajowa Komisja Ochrony Danych Osobowych (Francja, Irlandia itp.) lub inspektorat ochrony danych (Finlandia, Łotwa itp.).
Oprócz Europejskiego Inspektora Ochrony Danych (EDPS), UE powołała również Europejską Komisję Ochrony Danych (EROD), w skład której wchodzą przedstawiciele krajowych agencji ochrony danych państw członkowskich oraz przedstawiciele UE. Jej zadaniem jest pełnienie funkcji głównego, niezależnego organu doradczego w kwestiach ochrony danych osobowych, odpowiedzialnego za spójne stosowanie RODO w całej Unii.
RODO przewiduje surowe kary odstraszające, zarówno materialne, jak i niematerialne. Ponadto unijna agencja ochrony danych osobowych działa w modelu Komisja/Komisarz, co daje jej znaczną swobodę i niezależność w nakładaniu sankcji na organizacje naruszające przepisy o ochronie danych osobowych oraz w niezależnej ocenie i podejmowaniu decyzji w sprawie przetwarzania danych osobowych.
Chińska ustawa o ochronie danych osobowych (PIPL), uchwalona w 2021 roku, jest uważana za pierwszą kompleksową ustawę o ochronie danych osobowych na szczeblu krajowym w Chinach. PIPL zapewnia stosunkowo ujednolicone spojrzenie na dane osobowe jako informacje służące identyfikacji lub rozpoznaniu konkretnej osoby, w szczególności osób w Chinach (artykuł 4, rozdział 1 PIPL). Jednocześnie reguluje ona wrażliwe dane osobowe, ustanawiając w ten sposób zasady dotyczące praw i obowiązków stron w odniesieniu do bardziej szczegółowych grup danych.
Kary za naruszenia praw do danych osobowych zgodnie z przepisami PIPL są bardzo surowe i obejmują obowiązkowe naprawy, konfiskatę nielegalnych dochodów, zawieszenie usług, cofnięcie licencji operacyjnych lub biznesowych oraz grzywny w wysokości do 50 milionów RMB lub 5% rocznych przychodów organizacji w poprzednim roku podatkowym. Ponadto naruszenia mogą zostać odnotowane w „rejestrze kredytowym” jednostki przetwarzającej w ramach krajowego systemu kredytu społecznego.
Ponadto, jednostki przetwarzające będą ponosić odpowiedzialność za szkody, jeśli naruszą prawa i interesy organizacji i osób fizycznych. Kary karne za tego typu naruszenia są również szczegółowo określone w chińskim kodeksie karnym, który przewiduje surowszą odpowiedzialność karną dla osób zobowiązanych do zachowania poufności, dodaje formę konfiskaty mienia i ustanawia karę dożywotniego pozbawienia wolności jako najwyższą karę pozbawienia wolności.
Ustawa o ochronie danych osobowych (PDPA) w Singapurze , uchwalona w 2012 r. (znowelizowana w 2020 r.), uznaje prawo do ochrony danych osobowych oraz konieczność gromadzenia, wykorzystywania i ujawniania informacji przez organizacje w celach odpowiednich do konkretnych okoliczności.
Ustawa o ochronie danych osobowych (PDPA) przewiduje również surowe kary finansowe za naruszenia danych. Osoby naruszające prawo podlegają grzywnom lub karze pozbawienia wolności. Wysokość grzywny zależy od rodzaju i wagi przestępstwa i waha się od 2000 do 100 000 dolarów singapurskich (około 1,6 miliarda VND) i/lub kary pozbawienia wolności do 12 miesięcy lub do 3 lat w poważnych przypadkach; za naruszenia w organizacjach i firmach kara może wynieść do 10% ich rocznych przychodów.
Agencją odgrywającą kluczową rolę w egzekwowaniu ustawy o ochronie danych osobowych (PDPA) jest Komisja Ochrony Danych Osobowych (PDPC). Ta wyspecjalizowana agencja posiada szerokie uprawnienia i szerokie możliwości egzekwowania prawa, w tym prawo do żądania od osób fizycznych i organizacji informacji i dokumentów związanych z przetwarzaniem danych osobowych, nakładania kar finansowych za naruszenia oraz podejmowania innych środków zaradczych.
Jednym z warunków skutecznej ochrony danych osobowych w Singapurze jest powołanie specjalnej agencji, Komisji Ochrony Danych Osobowych w Singapurze, która będzie działać niezależnie i proaktywnie w zakresie wykrywania i reagowania na naruszenia oraz nakładania sankcji.
Rekomendacje dotyczące ulepszenia przepisów o ochronie danych osobowych w Wietnamie
Obecnie w Wietnamie obowiązuje 69 dokumentów prawnych bezpośrednio związanych z kwestią ochrony danych osobowych, regulowanych w różnych dokumentach, w tym w Konstytucji, Kodeksie (4), Ustawie (39), Rozporządzeniu (1), Dekrecie (2), Okólniku/Wspólnym Okólniku (4) i Decyzji Ministra (1).
Dokumenty te zasadniczo poruszają kwestię ochrony danych osobowych, kładąc nacisk na zasadę zapewnienia prywatności osób fizycznych; zawierają jednak różne regulacje dotyczące informacji związanych z danymi osobowymi, poruszając kwestie praw i obowiązków osób fizycznych, przetwarzania informacji oraz metod ochrony danych osobowych. Wietnamskie prawo regulujące ochronę danych osobowych przyniosło pewne godne uwagi rezultaty, w szczególności wydanie Dekretu nr 12/2023/ND-CP w sprawie ochrony danych osobowych z dnia 17 kwietnia 2023 r. – unikatowego dokumentu regulującego tę kwestię w naszym kraju. Te dokumenty prawne stworzyły ramy prawne dla ochrony danych osobowych. Określają prawa osób, których dane dotyczą, jak i podmiotów przetwarzających, przewidują sankcje za naruszenia ochrony danych osobowych oraz wskazują wyspecjalizowaną agencję ochrony danych osobowych – Departament Cyberbezpieczeństwa i Zapobiegania Przestępczości Zaawansowanej Technologicznie w Ministerstwie Bezpieczeństwa Publicznego …
 |
| Wietnam zmaga się z licznymi niebezpieczeństwami, wyzwaniami i zagrożeniami ze strony cyberprzestrzeni, zwłaszcza wyciekiem i kradzieżą danych osobowych, co powoduje znaczne szkody dla obywateli i społeczeństwa. |
Jednak praktyczne wdrożenie tych dokumentów ujawniło również wiele ograniczeń. Na przykład fakt, że obecne odrębne dokumenty prawne znajdują się jedynie na poziomie dekretów, co nie uwzględnia potrzeby ochrony danych osobowych. Wiele obowiązujących przepisów jest niejasnych i niejasnych, co prowadzi do braku szczegółowych wytycznych w każdym przypadku. Kary są nadal zbyt łagodne i niewystarczająco odstraszające…
W tej sytuacji, dalsza poprawa ram prawnych dotyczących ochrony danych osobowych w Wietnamie była i nadal jest kwestią wymagającą uwagi i badań, w oparciu o doświadczenia innych krajów. W szczególności:
Po pierwsze, konieczne jest uchwalenie ustawy o ochronie danych osobowych . W kontekście Czwartej Rewolucji Przemysłowej, 80 krajów na szczeblu regionalnym i krajowym uchwaliło już własne akty prawne chroniące dane osobowe. Wietnam musi pilnie zbadać i uchwalić ogólne, specjalistyczne prawo dotyczące danych, podobne do przepisów o ochronie danych w UE, Chinach i Singapurze, które określałoby podstawowe kwestie i zasady ochrony danych osobowych. Uchwalenie odrębnej ustawy o danych osobowych stanowiłoby kluczową podstawę prawną dla ochrony danych osobowych, ponieważ obecne dokumenty prawne w Wietnamie nie są jednolite pod względem terminologii i treści.
Po drugie, kary za naruszenia ochrony danych osobowych powinny zostać zrewidowane i uzupełnione, aby były surowsze, współmierne do charakteru i wagi naruszeń. Chociaż kary za naruszenia danych osobowych w naszym kraju obejmują sankcje administracyjne, cywilne i karne, są one generalnie dość łagodne i nie mają silnego efektu odstraszającego. Obecnie główną metodą jest nadal stosowanie kar administracyjnych, ale są one rozproszone w wielu dekretach i obejmują stosunkowo niskie grzywny, z których najwyższa wynosi 100 milionów VND dla osób fizycznych i 200 milionów VND dla organizacji.
Chociaż szkody wyrządzone przez administracyjne naruszenia danych osobowych nie ograniczają się do strat materialnych, ale dotykają również honoru i godności, sankcje karne za naruszenia danych osobowych znajdują się obecnie jedynie w przepisach dotyczących prywatności, technologii informacyjnej i cyberbezpieczeństwa, a konkretnie w artykułach 159 i 288 obowiązującego Kodeksu karnego, z relatywnie niskimi wyrokami więzienia nieprzekraczającymi 7 lat i grzywnami nieprzekraczającymi 1 miliarda VND. W porównaniu z 20 milionami euro w UE, 1 milionem SGD w Singapurze lub dożywotnim pozbawieniem wolności w Chinach, kary te są nadal bardzo niskie i niewspółmierne do wielu naruszeń.
Jednocześnie konieczne jest uregulowanie większej liczby kategorii zachowań, które obecnie nie są ujęte w prawie, takich jak handel danymi na dużą skalę, tworzenie systemów umożliwiających naruszanie bezpieczeństwa danych, naruszenia w usługach marketingowych itp.
Po trzecie, w odniesieniu do modelu agencji ochrony danych osobowych w Wietnamie : Obecnie Departament Bezpieczeństwa Cybernetycznego i Zapobiegania Przestępczości Zaawansowanej Technologicznie w Ministerstwie Bezpieczeństwa Publicznego jest wyspecjalizowaną agencją ochrony danych osobowych. Odnosząc się do przepisów międzynarodowych, moglibyśmy rozważyć utworzenie niezależnej agencji ochrony danych osobowych, odpowiedzialnej za egzekwowanie ustawy o ochronie danych osobowych, przeprowadzanie inspekcji i audytów, wydawanie wytycznych, formułowanie zaleceń i nakładanie sankcji za naruszenia.
Możemy uczyć się od tych modeli w UE czy Singapurze, aby zapewnić wysoką skuteczność działań organów ścigania chroniących dane osobowe, równoważąc ochronę praw jednostki i zapewnienie cyberbezpieczeństwa.
Ochrona danych osobowych nie jest prostą sprawą, zwłaszcza w kontekście integracji, gdzie na szeroką skalę prowadzi się monitoring i gromadzenie danych osobowych, a wietnamski system prawny regulujący tę kwestię wciąż znajduje się w fazie rozwoju i udoskonalania.
Zapoznanie się z prawem międzynarodowym w tym zakresie, łącznie z praktyczną sytuacją w Wietnamie, pomoże nam szybko opracować kompleksowe ramy prawne dotyczące ochrony danych osobowych, które będą zgodne z prawem międzynarodowym i skutecznie egzekwowane.
1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html
Źródło
![[Zdjęcie] Odkryj okręt wojenny USS Robert Smalls należący do Marynarki Wojennej USA](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F10%2F1765341533272_11212121-8303-jpg.webp&w=3840&q=75)
Komentarz (0)