Międzynarodowe prawo ochrony danych osobowych i jego konsekwencje dla Wietnamu

Wietnam jest jednym z krajów o najszybszym rozwoju Internetu i szybkości jego aplikacji na świecie , z którego korzysta blisko 80% populacji. Dane osobowe 2/3 mieszkańców Wietnamu są przechowywane, publikowane, udostępniane i gromadzone w cyberprzestrzeni w wielu różnych formach i na wielu poziomach szczegółowości.

W latach 2022 i 2023 Wietnam prowadził 5 postępowań karnych dotyczących tysięcy GB danych i miliardów danych osobowych, które zostały sprzedane i sprzedane. To pokazuje, jak pilna jest potrzeba udoskonalenia prawa o ochronie danych osobowych w oparciu o badania i odniesienia do prawa międzynarodowego.

Międzynarodowe prawo ochrony danych osobowych

RODO jest uważane za ważny krok naprzód w kwestiach prawnych, wprowadzający najsurowszy na świecie mechanizm ochrony danych osobowych.

Rozporządzenie ogólne o ochronie danych (RODO) Unii Europejskiej (UE) jest uważane za ważny krok naprzód w kwestiach prawnych, tworzący najsurowszy na świecie mechanizm ochrony danych osobowych. Ma ono zastosowanie do wszystkich organizacji i przedsiębiorstw przetwarzających dane osobowe obywateli UE.

RODO nakłada jednakowe kary na przedsiębiorstwa w całej Unii. Konkretnie, grzywny wynoszą do 2% obrotu lub 10 milionów euro za drobne naruszenia oraz do 4% obrotu lub 20 milionów euro za poważne naruszenia. Oprócz grzywien, przedsiębiorstwa naruszające RODO mogą również podlegać innym sankcjom, takim jak nakaz zaprzestania przetwarzania danych lub usunięcie danych przetwarzanych z naruszeniem RODO.

Organem ochrony danych osobowych w UE jest Inspektor Ochrony Danych UE (EIOD) – niezależny organ, w którego skład wchodzą doświadczeni prawnicy, eksperci IT i administratorzy.

Głównym zadaniem tego organu jest nadzór nad przetwarzaniem danych osobowych w agencjach i organizacjach UE, a także doradztwo w kwestiach związanych z danymi osobowymi. RODO wymaga również utworzenia organu ochrony danych osobowych w każdym państwie członkowskim, takiego jak Krajowa Komisja Ochrony Danych Osobowych (Francja, Irlandia...) lub Inspektorat Ochrony Danych (Finlandia, Łotwa...).

Oprócz Europejskiego Inspektora Ochrony Danych (EDPS) UE powołała również Europejską Radę Ochrony Danych (EROD), w skład której wchodzą przedstawiciele krajowych organów ochrony danych państw członkowskich oraz przedstawiciele UE. Rada pełni funkcję głównego niezależnego organu doradczego w kwestiach ochrony danych osobowych i odpowiada za spójne stosowanie RODO w całej Unii.

RODO przewiduje wysoce odstraszające sankcje, zarówno materialne, jak i niematerialne. Ponadto unijny organ ochrony danych osobowych, działający na zasadzie Komisji/komisarza, posiada szerokie i niezależne uprawnienia do nakładania sankcji w przypadku naruszenia przepisów o ochronie danych osobowych przez organizacje oraz jest w stanie niezależnie oceniać i podejmować decyzje w sprawie przetwarzania danych osobowych.

Chińska ustawa o ochronie danych osobowych (PIPL), uchwalona w 2021 roku, jest uważana za pierwszą kompleksową ustawę o ochronie danych osobowych na szczeblu krajowym w Chinach. PIPL zapewnia stosunkowo ujednolicone spojrzenie na dane osobowe/informacje osobowe jako informacje, które identyfikują lub umożliwiają identyfikację konkretnej osoby, a także odnoszą się do wąskiej grupy osób na terytorium Chin (art. 4, rozdział 1 PIPL). Jednocześnie reguluje kwestię wrażliwych danych osobowych, ustanawiając przepisy dotyczące praw i obowiązków stron w odniesieniu do bardziej szczegółowych grup danych.

Sankcje za naruszenia praw do danych osobowych na mocy ustawy PIPL są bardzo surowe i obejmują przymusowe naprawy, konfiskatę nielegalnych dochodów, zawieszenie usług, cofnięcie licencji operacyjnych lub biznesowych oraz grzywny w wysokości do 50 milionów juanów lub 5% rocznych przychodów organizacji w poprzednim roku podatkowym. Ponadto naruszenia mogą zostać odnotowane w „karcie kredytowej” jednostki przetwarzającej w ramach krajowego systemu kredytu społecznego.

Ponadto jednostki przetwarzające będą zobowiązane do rekompensaty szkód, jeśli naruszą prawa i interesy organizacji i osób fizycznych. Sankcje karne za tego typu naruszenia są również szczegółowo regulowane przez chińskie prawo karne, które przewiduje surowszą odpowiedzialność karną dla osób zobowiązanych do zachowania poufności informacji, dodaje formę konfiskaty mienia i przewiduje karę dożywotniego pozbawienia wolności jako najwyższą karę pozbawienia wolności.

Ustawa o ochronie danych osobowych w Singapurze (PDPA) została uchwalona w 2012 roku (znowelizowana w 2020 roku). Prawo singapurskie uznaje prawo do ochrony danych osobowych, a także potrzebę organizacji gromadzenia, wykorzystywania i ujawniania informacji w odpowiednich celach w określonych okolicznościach.

Ustawa o ochronie danych osobowych (PDPA) przewiduje również surowe kary finansowe za naruszenia danych. Osoby naruszające przepisy podlegają grzywnom lub karze pozbawienia wolności. Wysokość kar zależy od rodzaju i wagi naruszenia i waha się od 2000 do 100 000 SGD (równowartość 1,6 miliarda VND) i/lub karze pozbawienia wolności nieprzekraczającej 12 miesięcy, a w poważnych przypadkach do 3 lat1; agencje i firmy naruszające przepisy mogą zostać ukarane grzywną w wysokości do 10% rocznego obrotu.

Organem odgrywającym istotną rolę w zapewnieniu wdrażania ustawy o ochronie danych osobowych (PDPA) jest Komisja Ochrony Danych Osobowych (PDPC). Jest to wyspecjalizowany organ o szerokich uprawnieniach i szerokich możliwościach egzekwowania prawa, z prawem do żądania od osób fizycznych i organizacji informacji i dokumentów związanych z przetwarzaniem danych osobowych, nakładania kar finansowych za naruszenia, a także podejmowania innych działań w związku z naruszeniami.

Jednym z warunków skutecznego egzekwowania ochrony danych osobowych w Singapurze jest również powołanie wyspecjalizowanej agencji, Komisji Ochrony Danych Osobowych w Singapurze, która będzie działać niezależnie i proaktywnie w zakresie wykrywania naruszeń, reagowania na nie i nakładania sankcji.

Rekomendacje dotyczące ulepszenia przepisów o ochronie danych osobowych w Wietnamie

Obecnie w Wietnamie istnieje 69 dokumentów prawnych bezpośrednio związanych z kwestią ochrony danych osobowych, określonych w różnych dokumentach, w tym w Konstytucji, Kodeksie (4), Ustawie (39), Rozporządzeniu (1), Dekrecie (2), Okólniku/Wspólnym Okólniku (4) i Decyzji Ministra (1).

Dokumenty te zasadniczo podchodzą do kwestii ochrony danych osobowych w kierunku promowania zasady zapewnienia prywatności podmiotu, ale zawierają różne regulacje dotyczące informacji związanych z danymi osobowymi, odnoszące się do kwestii praw i obowiązków podmiotów, przetwarzania informacji oraz metod ochrony danych osobowych. Prawo regulujące kwestię ochrony danych osobowych w Wietnamie przyniosło pewne znaczące rezultaty, zwłaszcza 17 kwietnia 2023 r., kiedy rząd wydał dekret nr 12/2023/ND-CP w sprawie ochrony danych osobowych – odrębny dokument regulujący tę kwestię w naszym kraju. Te dokumenty prawne stworzyły korytarz prawny w zakresie ochrony danych osobowych; określają prawa podmiotów danych, jak również podmiotów przetwarzających, przewidują sankcje za naruszenia ochrony danych osobowych oraz wskazują wyspecjalizowaną agencję ochrony danych osobowych, tj. Departament Cyberbezpieczeństwa i Zapobiegania Przestępczości Zaawansowanej Technologicznie w Ministerstwie Bezpieczeństwa Publicznego …

Wietnam zmaga się z wieloma ryzykami, wyzwaniami i niebezpieczeństwami płynącymi z cyberprzestrzeni, zwłaszcza z wyciekiem i przywłaszczeniem danych osobowych, co powoduje wiele negatywnych skutków dla obywateli i społeczeństwa.

Jednak faktyczne wdrożenie tych dokumentów ujawniło wiele ograniczeń, np. obecne oddzielne dokumenty prawne mają jedynie poziom dekretu, co nie uwzględnia potrzeby ochrony danych osobowych, wiele treści jest obecnie regulowanych ogólnie i niejasno, co prowadzi do braku szczegółowych wytycznych w każdym konkretnym przypadku, a sankcje są nadal łagodne i niewystarczająco odstraszające...

W tej sytuacji, ciągłe doskonalenie prawa o ochronie danych osobowych w Wietnamie było i jest kwestią, którą należy zbadać w oparciu o doświadczenia innych krajów. W szczególności:

Po pierwsze, należy opracować ustawę o ochronie danych osobowych . W kontekście rewolucji przemysłowej 4.0, w skali regionalnej i krajowej, 80 krajów wydało odrębne dokumenty prawne dotyczące ochrony danych osobowych. Wietnam musi wkrótce przeprowadzić badania i wydać ogólne, specjalistyczne prawo dotyczące danych, takie jak ustawa o ochronie danych osobowych (Data Privacy Law), podobnie jak UE, Chiny czy Singapur, które określi podstawowe kwestie i zasady ochrony danych osobowych. Wydanie odrębnej ustawy o danych osobowych będzie ważną podstawą prawną dla ochrony danych osobowych, ponieważ obecnie dokumenty prawne dotyczące tej kwestii w naszym kraju nie są ujednolicone pod względem terminologii i treści przepisów.

Po drugie, należy zmienić i uzupełnić sankcje za naruszenia danych osobowych w sposób bardziej dotkliwy, dostosowując je do charakteru i wagi naruszenia. Chociaż sankcje za naruszenia danych osobowych w naszym kraju obejmują sankcje administracyjne, cywilne i karne, są one zazwyczaj dość łagodne i nie mają silnego efektu odstraszającego. Obecnie główną metodą jest nadal stosowanie sankcji administracyjnych, ale przepisy są rozproszone w wielu dekretach z dość niskimi karami, z których najwyższa wynosi: 100 milionów VND dla osób fizycznych i 200 milionów VND dla organizacji.

Chociaż szkody, jakie mogą wyrządzić administracyjne naruszenia danych osobowych, to nie tylko szkody materialne, ale także uszczerbek na honorze i godności. Oprócz sankcji administracyjnych, sankcje karne za naruszenia danych osobowych są uwzględnione jedynie w przepisach dotyczących prywatności oraz bezpieczeństwa technologii informatycznych i sieci, w artykule 159 i artykule 288 obowiązującego Kodeksu karnego, z relatywnie niskim wyrokiem pozbawienia wolności nieprzekraczającym 7 lat i grzywną nieprzekraczającą 1 miliarda VND. Kara ta, w porównaniu z unijnym poziomem 20 milionów euro, 1 milionem SGD w Singapurze lub karą dożywocia w Chinach, jest nadal bardzo niska i niewspółmierna do wielu naruszeń.

Jednocześnie konieczne jest uregulowanie wielu grup zachowań, które obecnie nie są ujęte w prawie, takich jak handel danymi na dużą skalę, tworzenie systemów mających na celu naruszanie danych, naruszenia w działalności związanej z usługami marketingowymi itp.

Po trzecie, na wzór agencji ochrony danych osobowych w Wietnamie . Obecnie Departament Cyberbezpieczeństwa i Zapobiegania Przestępczości Zaawansowanej Technologicznie, podlegający Ministerstwu Bezpieczeństwa Publicznego, jest wyspecjalizowaną agencją ochrony danych osobowych. Odnosząc się do przepisów międzynarodowych, można rozważyć utworzenie niezależnej agencji ochrony danych osobowych, odpowiedzialnej za egzekwowanie ustawy o ochronie danych osobowych, przeprowadzanie inspekcji, analiz, wydawanie wytycznych i zaleceń oraz nakładanie sankcji za ewentualne naruszenia.

Możemy odwołać się do tych modeli w UE lub Singapurze... aby skutecznie egzekwować przepisy o ochronie danych osobowych, zapewniając równowagę między ochroną praw osobistych a zapewnieniem bezpieczeństwa sieci.

Ochrona danych osobowych nie jest prostym zagadnieniem, zwłaszcza w kontekście integracji, gdy działania związane z monitorowaniem i gromadzeniem danych osobowych odbywają się na szeroką skalę, a wietnamski system prawny regulujący tę kwestię wciąż jest w fazie tworzenia i udoskonalania.

Przeprowadzenie badań nad prawem międzynarodowym w tym zakresie, w odniesieniu do sytuacji praktycznej w Wietnamie, pomoże nam w niedługim czasie stworzyć ramy prawne dla kompleksowej ochrony danych osobowych, zgodnej z prawem międzynarodowym i skutecznie egzekwowanej.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html