Un pas înainte pentru a asigura drepturile omului în transformarea digitală

Protecția datelor cu caracter personal este protejarea drepturilor și libertăților fundamentale ale omului în legătură cu datele.

La 17 aprilie 2023, Guvernul a emis Decretul nr. 13/2023/ND-CP (Decretul) privind protecția datelor cu caracter personal, în vigoare de la 1 iulie 2023, care îndeplinește cerințele pentru protejarea drepturilor privind datele cu caracter personal; prevenirea actelor de încălcare a datelor cu caracter personal, care afectează drepturile și interesele persoanelor fizice și ale organizațiilor.

Repere

Decretul este un document legal care reglementează protecția datelor cu caracter personal și responsabilitatea agențiilor, organizațiilor și persoanelor relevante de a proteja datele cu caracter personal.

În primul rând, protecția datelor cu caracter personal este protejarea drepturilor și libertăților fundamentale ale omului legate de date. Dispozițiile Decretului privind protecția datelor cu caracter personal, atunci când sunt în vigoare, au ca scop prevenirea încălcării drepturilor și libertăților personale ale fiecărei persoane.

În același timp, securitatea datelor cu caracter personal este de o importanță deosebită, deoarece, în cazul furtului acestora, se pot produce pierderi economice și sociale, riscuri precum: șantaj, fraudă, însușire de bunuri, defăimare, atingere adusă onoarei, demnității, abuzului sexual..., provocând consecințe atât materiale, cât și spirituale, afectând în mod direct drepturile și interesele legitime ale agențiilor, organizațiilor, întreprinderilor și persoanelor fizice.

În al doilea rând, promovați și respectați drepturile persoanelor vizate. Drepturile persoanelor vizate includ dreptul de acces, dreptul de a consimți sau nu la prelucrarea datelor cu caracter personal, dreptul de a fi informat și dreptul de a solicita ștergerea datelor...

În plus, persoanele vizate au și dreptul de a se proteja de alte persoane care le încalcă datele cu caracter personal. Persoanele vizate au dreptul de a solicita despăgubiri pentru daune atunci când există o încălcare a prevederilor Decretului care provoacă prejudicii dreptului la protecția datelor cu caracter personal. Decretul stipulează, de asemenea, în mod clar că colectarea, transferul sau cumpărarea și vânzarea de date cu caracter personal fără consimțământul persoanei vizate constituie o încălcare a legii.

Totuși, dreptul persoanei vizate de a proteja datele cu caracter personal nu este un drept absolut, ci poate fi limitat în cazuri de urgență pentru a proteja viața și sănătatea persoanei sau a altora; situații de urgență legate de apărarea națională, securitatea, ordinea și siguranța socială; îndeplinirea anumitor obligații contractuale sau îndeplinirea activităților agențiilor statului, așa cum sunt prevăzute de legile specializate.

Prevederea excepțiilor vizează implementarea principiului asigurării drepturilor persoanelor și organizațiilor, dar fără a încălca drepturile și interesele legitime ale altor persoane și organizații sau interesele naționale în exercitarea acestor drepturi.

În al treilea rând, promovarea procesului de integrare internațională în ceea ce privește protecția datelor cu caracter personal. Decretul este compatibil cu practicile și reglementările internaționale privind protecția datelor cu caracter personal. Multe țări dezvoltate au legalizat problema protecției datelor cu caracter personal, aceasta fiind baza pe care Vietnamul trebuie să o studieze și să o consulte.

În plus, organizațiile internaționale din care Vietnamul este membru sau cooperează cu Vietnamul au emis convenții, recomandări și standarde privind confidențialitatea și protecția informațiilor și a datelor cu caracter personal. Acestea includ principiile de confidențialitate ale Organizației pentru Cooperare și Dezvoltare Economică (OCDE), Convenția Consiliului Europei privind protecția persoanelor în ceea ce privește prelucrarea automată a informațiilor și a datelor cu caracter personal, liniile directoare ale ONU privind datele cu caracter personal și fișierele de informații computerizate, Cadrul de confidențialitate al Cooperării Economice Asia -Pacific (APEC), standardele internaționale privind confidențialitatea și protecția informațiilor și a datelor cu caracter personal (Rezoluția de la Madrid), Regulamentul general privind protecția datelor (RGPD) al UE...

În plus, în procesul de promovare a cooperării dintre țara noastră și alte țări și teritorii, peste 80 de țări au emis documente juridice privind protecția datelor cu caracter personal, multe dintre acestea având prevederi aplicabile organizațiilor și persoanelor fizice vietnameze. Prin urmare, reglementările specifice și detaliate privind protecția datelor cu caracter personal vizează crearea unui mediu de egalitate și respect pentru lege în Vietnam, inclusiv pentru persoanele fizice și juridice străine.

Provocările

În prezent, există încă multe provocări semnificative în implementarea Decretului.

În primul rând, provocarea în gestionarea angajaților întreprinderilor. În prezent, multe întreprinderi construiesc un model de companie-mamă, companie-filială cu același ecosistem de management, informațiile despre angajați putând fi ușor accesate din sistemul comun.

Cu toate acestea, conform legislației vietnameze, fiecare companie (inclusiv companiile-mamă și filialele) este considerată o entitate juridică separată și independentă, astfel încât transferul datelor cu caracter personal ale angajaților de către companiile din același ecosistem pentru a servi procesul de management intern al întreprinderii poate fi, de asemenea, considerat o încălcare a responsabilității întreprinderii de a proteja datele cu caracter personal.

Pe de altă parte, în prezent, multe întreprinderi se confruntă cu dificultăți în implementarea Decretului și nu au finalizat încă mecanismul și reglementările privind gestionarea și protejarea datelor cu caracter personal ale angajaților în conformitate cu Decretul.

În al doilea rând, nu este în concordanță cu reglementările legale privind operațiunile instituțiilor de credit. În prezent, operațiunile instituțiilor de credit sunt reglementate de reglementări legale specializate, cum ar fi: Legea privind instituțiile de credit din 2010 (modificată și completată în 2014); Legea privind combaterea spălării banilor; Decretul 117/2018/ND-CP privind păstrarea confidențialității și furnizarea informațiilor despre clienții instituțiilor de credit și ai sucursalelor băncilor străine; Circulara 09/2020/TT-NHNN a Băncii de Stat care reglementează securitatea sistemelor informatice în operațiunile bancare la nivelul inferior Legii.

Pe de altă parte, pentru activitățile bancare, prelucrarea datelor afectează datele cu caracter personal, cum ar fi: colectarea, înregistrarea, analiza, confirmarea, stocarea, editarea, publicarea, combinarea, accesarea, extragerea, rechemarea, codificarea, decodificarea, copierea, partajarea, transmiterea, furnizarea, transferul, ștergerea, distrugerea datelor cu caracter personal sau alte acțiuni conexe sunt esențiale pentru furnizarea de servicii clienților și gestionarea riscurilor în activitățile bancare, asigurând siguranța și securitatea sistemului monetar, astfel încât multe activități de prelucrare a datelor cu caracter personal ale clienților nu pot și nu necesită consimțământul clienților, în timp ce Clauza 2, Articolul 3 și Clauza 1, Articolul 9 din Decret prevăd că persoanele vizate au dreptul de a afla despre prelucrarea datelor lor cu caracter personal, cu excepția cazurilor în care alte legi prevăd altfel.

Sau, în Clauza 2, Articolul 9 stipulează că persoana vizată are dreptul de a nu-și da consimțământul pentru prelucrarea datelor sale cu caracter personal; persoana vizată are dreptul de a șterge, de a accesa, de a solicita restricționarea prelucrării datelor și de a se opune prelucrării datelor, cu excepția cazurilor în care o altă lege are alte prevederi la Articolul 9. Prin urmare, aplicarea Decretului în mod rigid și fără îndrumări unitare va fi confuză și nepotrivită.

În plus, furnizarea de servicii și produse de către instituțiile de credit se realizează prin mai multe procese pe un singur produs, fiecare proces pe un singur produs include multe etape diferite și este legat de colectarea, evaluarea, analiza și furnizarea de date privind fișiere foarte mari ale clienților, în timp ce Decretul impune Operatorului de Date cu Caracter Personal și Persoanei Împuternicite de Operator să obțină consimțământul persoanei vizate (clientului) în toate procedurile de prelucrare atunci când desfășoară orice activități de prelucrare a datelor (articolul 11); și, înainte de a desfășura activități de prelucrare a datelor, trebuie să notifice persoana vizată cu caracter personal (articolul 13). Acesta continuă să fie un alt obstacol în calea operațiunilor instituțiilor de credit.

În plus, instituțiile de credit trebuie să își adapteze sistemele informatice și alte documente subordonate legii legate de operațiunile instituțiilor de credit; modelele de contracte și acorduri trebuie revizuite pentru a se conforma Decretului, ceea ce creează dificultăți considerabile pentru operațiunile bancare.

În al treilea rând, o serie de persoane nu înțeleg și nu sunt conștiente de protejarea datelor lor personale, așa că distribuie cu ușurință informații personale pe platformele de socializare, permițând fără intenție unor infractori să profite de acestea în scopuri rele.

Unii oameni nu înțeleg în mod clar valoarea protecției datelor cu caracter personal ca asigurare a vieții private și se tem, de asemenea, să furnizeze informații personale, ceea ce creează dificultăți autorităților în realizarea gestionării de către stat a protecției datelor cu caracter personal, precum și în investigarea și soluționarea încălcărilor legii privind protecția datelor cu caracter personal.

În plus, situația cumpărării și vânzării de date personale, riscul scurgerilor de informații, creează consecințe majore, afectând probleme economice și sociale. Fenomenele frauduloase, reclamele spam prin apeluri și mesaje sunt încă complicate, afectând viața oamenilor.

Securitatea datelor cu caracter personal este de o importanță deosebită, deoarece, dacă datele sunt furate, pot cauza pierderi economice și sociale, afectând direct drepturile și interesele legitime ale agențiilor, organizațiilor, companiilor și persoanelor fizice. (Sursa: Shutterstock)

Punerea în practică a Decretului

Vietnamul este una dintre țările cu cea mai mare viteză de dezvoltare și aplicații a internetului din lume, cu peste 70 de milioane de utilizatori. Datele personale a peste 2/3 din populația țării noastre au fost și sunt stocate, postate, partajate și colectate în mediul digital, spațiul cibernetic, în diferite forme și niveluri de detaliu.

Decretul reprezintă un progres în asigurarea drepturilor omului în transformarea digitală, depășind deficiențele și insuficiențele în practica asigurării, protejării și securizării datelor cu caracter personal, sporind responsabilitatea agențiilor, organizațiilor și persoanelor interne și străine care participă direct la sau sunt legate de activitățile de prelucrare a datelor cu caracter personal din Vietnam.

Pentru ca Decretul să fie cu adevărat eficient în practică, este necesar să se acorde atenție următoarelor aspecte:

În primul rând, creșterea responsabilității întreprinderilor în protejarea drepturilor lucrătorilor. În utilizarea forței de muncă, întreprinderile trebuie să colecteze și să stocheze informații despre angajați. Pentru a servi scopului managementului forței de muncă, angajatorii și întreprinderile primesc și gestionează o mulțime de informații personale de la angajați, dar dacă sunt neglijenți în gestionarea și prelucrarea informațiilor, acest lucru va duce la consecințe imprevizibile.

Întreprinderile trebuie să studieze cu atenție și să evalueze în mod cuprinzător impactul Decretului, să revizuiască și să actualizeze prompt procedurile și instrucțiunile de gestionare a datelor cu caracter personal în conformitate cu noile reglementări; să ia în considerare stabilirea unor mecanisme și elaborarea unor reglementări de guvernanță bazate pe prevederile Decretului; să mențină și să respecte aceste mecanisme și reglementări pe tot parcursul procesului de operare.

În al doilea rând, eliminarea dificultăților din activitățile de creditare ale instituțiilor de credit . Banca de Stat trebuie să se coordoneze îndeaproape cu ministerele relevante, în special cu Ministerul Securității Publice, pentru a emite linii directoare unificate privind protecția datelor cu caracter personal în sectorul creditelor, asigurând atât promovarea responsabilității operaționale a instituțiilor de credit în protejarea datelor clienților, cât și îndeplinirea cerințelor și sarcinilor specializate.

În al treilea rând, pentru ca Decretul să intre cu adevărat în vigoare, este necesar să se depună o bună activitate de propagandă și educație privind popularizarea legii. În special, este necesar să se sublinieze necesitatea promulgării Decretului cu scopul suprem de a respecta și proteja drepturile civile și drepturile omului. Și mai presus de toate, persoana vizată trebuie să înțeleagă pe deplin și să își sporească gradul de conștientizare și responsabilitate în ceea ce privește protejarea datelor cu caracter personal.