Dreptul internațional privind protecția datelor cu caracter personal și implicațiile pentru Vietnam

Fiind una dintre țările cu cea mai mare dezvoltare a internetului și viteză de aplicații din lume , cu aproape 80% din populație utilizându-l, datele personale a 2/3 din populația Vietnamului sunt stocate, postate, partajate și colectate în spațiul cibernetic în diverse forme și niveluri de detaliu.

În 2022 și 2023, Vietnamul a urmărit penal 5 cazuri penale care implică mii de GB de date și miliarde de informații personale cumpărate și vândute. Acest lucru demonstrează că este urgentă îmbunătățirea legislației privind protecția datelor cu caracter personal, bazată pe cercetări și pe trimiteri la dreptul internațional.

Dreptul internațional privind protecția datelor cu caracter personal

GDPR este considerat un pas juridic major înainte, creând cel mai strict mecanism de protecție a informațiilor personale din lume astăzi.

Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene (UE) este considerat un pas juridic major înainte, creând cel mai strict mecanism de protecție a informațiilor cu caracter personal din lume în prezent și se aplică tuturor organizațiilor și întreprinderilor care prelucrează date cu caracter personal ale cetățenilor UE.

GDPR impune sancțiuni uniforme companiilor din întreg blocul comunitar. Mai exact, amenzile sunt de până la 2% din cifra de afaceri sau 10 milioane de euro pentru încălcări minore și 4% din cifra de afaceri sau 20 de milioane de euro pentru încălcări majore. Pe lângă amenzi, companiile care încalcă GDPR pot fi supuse și altor sancțiuni, cum ar fi obligarea la încetarea prelucrării datelor sau ștergerea datelor care au fost prelucrate cu încălcarea GDPR.

Autoritatea UE pentru protecția datelor cu caracter personal este Autoritatea Europeană pentru Protecția Datelor (AEPD) - un organism independent ai cărui membri includ avocați cu experiență, experți IT și administratori.

Acest organism are funcția principală de supraveghere a prelucrării datelor cu caracter personal în cadrul agențiilor și organizațiilor UE, precum și de consiliere cu privire la aspecte legate de datele cu caracter personal. GDPR impune, de asemenea, înființarea unei Autorități pentru Protecția Datelor cu Caracter Personal în fiecare stat membru, cum ar fi o Comisie Națională pentru Protecția Datelor cu Caracter Personal (Franța, Irlanda...) sau un Inspectorat pentru Protecția Datelor (Finlanda, Letonia...).

Pe lângă AEPD, UE a înființat și Comitetul european pentru protecția datelor (CEPD), care este alcătuit din reprezentanți ai autorităților naționale pentru protecția datelor din statele membre și reprezentanți ai UE și funcționează ca principalul organism consultativ independent privind aspectele legate de protecția datelor cu caracter personal, responsabil pentru aplicarea consecventă a RGPD în întreaga Uniune.

RGPD prevede sancțiuni cu un grad ridicat de descurajare, atât materiale, cât și nemateriale. În plus, autoritatea UE pentru protecția datelor cu caracter personal, care este implementată pe modelul Comisiei/Comisarului, are competențe largi și independente de a impune sancțiuni dacă organizațiile încalcă reglementările privind protecția datelor cu caracter personal și este capabilă să evalueze și să decidă în mod independent cu privire la prelucrarea datelor cu caracter personal.

Legea privind protecția informațiilor personale din China (PIPL), adoptată în 2021, este considerată prima lege cuprinzătoare, la nivel național, privind protecția informațiilor personale din China. PIPL oferă o viziune relativ unificată asupra datelor cu caracter personal/informațiilor personale ca informații care identifică o anumită persoană fizică, vizând un grup restrâns de persoane de pe teritoriul Chinei (Articolul 4 Capitolul 1 PIPL). În același timp, reglementează problema datelor cu caracter personal sensibile pentru a stabili reglementări privind drepturile și obligațiile părților cu privire la grupuri de date mai specifice.

Sancțiunile pentru încălcarea drepturilor privind datele cu caracter personal în temeiul PIPL sunt foarte severe, inclusiv remedierea forțată, confiscarea veniturilor ilegale, suspendarea serviciilor, revocarea licențelor de funcționare sau comerciale și amenzi de până la 50 de milioane de yuani sau 5% din veniturile anuale ale unei organizații din anul fiscal precedent. În plus, încălcările pot fi înregistrate și în „dosarul de credit” al unității de procesare din cadrul sistemului național de credit social.

În plus, unitățile de procesare vor fi responsabile pentru compensarea daunelor dacă acestea încalcă drepturile și interesele organizațiilor și persoanelor. Sancțiunile penale pentru aceste tipuri de încălcări sunt, de asemenea, reglementate în mod specific de Legea penală chineză, care prevede o răspundere penală mai gravă pentru cei care sunt obligați să păstreze confidențialitatea informațiilor, adaugă forma confiscării proprietății și prevede închisoarea pe viață ca fiind cea mai mare pedeapsă cu închisoarea.

Legea privind protecția datelor cu caracter personal (PDPA) din Singapore a fost adoptată în 2012 (modificată în 2020). Legislația din Singapore recunoaște dreptul la protecția datelor cu caracter personal, precum și necesitatea de a organiza colectarea, utilizarea și divulgarea informațiilor în scopuri adecvate în anumite circumstanțe.

PDPA prevede, de asemenea, sancțiuni financiare severe pentru încălcările de date. Persoanele care încalcă legea vor fi supuse amenzilor sau închisorii. Amenzile depind de natura și gravitatea încălcării, variind de la 2.000 SGD la 100.000 SGD (echivalentul a 1,6 miliarde VND) și/sau închisoare de cel mult 12 luni sau până la 3 ani în cazuri grave1; agențiile și companiile care încalcă legea pot fi amendate cu până la 10% din cifra de afaceri anuală.

Organismul care joacă un rol important în asigurarea implementării PDPA este Comisia pentru Protecția Datelor cu Caracter Personal (PDPC). Acesta este un organism specializat cu puteri extinse și capacități extinse de aplicare a legii, cu dreptul de a solicita persoanelor fizice și organizațiilor să furnizeze informații și documente legate de prelucrarea datelor cu caracter personal, de a impune sancțiuni financiare pentru încălcări, precum și de a le gestiona prin alte măsuri.

Înființarea unei agenții specializate, Comisia pentru Protecția Datelor cu Caracter Personal din Singapore, care acționează independent și proactiv în detectarea, gestionarea încălcărilor și aplicarea sancțiunilor, este, de asemenea, una dintre condițiile pentru aplicarea eficientă a protecției datelor cu caracter personal în Singapore.

Recomandări pentru îmbunătățirea legislației privind protecția datelor cu caracter personal în Vietnam

În prezent, în Vietnam există 69 de documente juridice legate direct de problema protecției datelor cu caracter personal, stipulate în diferite documente, inclusiv Constituția, Codul (4), Legea (39), Ordonanța (1), Decretul (2), Circulara/Circulara comună (4), Decizia ministrului (1).

Aceste documente abordează în principal problema protecției datelor cu caracter personal în direcția promovării principiului asigurării vieții private a subiectului, dar au reglementări diferite privind informațiile legate de datele cu caracter personal, referindu-se la aspecte legate de drepturile și obligațiile subiecților, prelucrarea informațiilor și metodele de protecție a datelor cu caracter personal. Legea care reglementează problema protecției datelor cu caracter personal în Vietnam a obținut unele rezultate remarcabile, în special la 17 aprilie 2023, Guvernul a emis Decretul nr. 12/2023/ND-CP privind protecția datelor cu caracter personal - acesta este un document separat care reglementează această problemă în țara noastră. Aceste documente juridice au creat un coridor juridic în activitatea de protecție a datelor cu caracter personal; specifică drepturile persoanelor vizate, precum și ale părților care prelucrează datele, prevăd sancțiuni pentru încălcările protecției datelor cu caracter personal și identifică agenția specializată pentru protecția datelor cu caracter personal ca fiind Departamentul de Securitate Cibernetică și Prevenirea Criminalității de Înaltă Tehnologie din cadrul Ministerului Securității Publice ...

Vietnamul se confruntă cu numeroase riscuri, provocări și pericole din spațiul cibernetic, în special scurgerea și însușirea de informații și date personale, provocând numeroase efecte dăunătoare asupra cetățenilor și societății.

Cu toate acestea, implementarea efectivă a acestor documente a relevat și numeroase limitări, cum ar fi faptul că actualele documente juridice separate sunt doar la nivel de decret, neîndeplinind importanța protejării datelor cu caracter personal, multe conținuturi sunt reglementate în prezent în general și neclare, ceea ce duce la lipsa unor îndrumări specifice pentru fiecare caz în parte, iar sancțiunile sunt încă ușoare și insuficient de descurajante...

În această situație, îmbunătățirea continuă a legislației privind protecția datelor cu caracter personal în Vietnam a fost și este o problemă care trebuie studiată pe baza experienței altor țări. Mai exact:

În primul rând, elaborarea unei legi privind protecția datelor cu caracter personal . În contextul revoluției industriale 4.0, la scară regională și națională, 80 de țări au emis documente juridice separate pentru a proteja datele cu caracter personal. Vietnamul trebuie să cerceteze și să emită în curând o lege generală, specializată, privind datele, cum ar fi Legea privind confidențialitatea datelor, la fel ca UE, China sau Singapore, care să identifice aspectele și principiile de bază pentru protejarea datelor cu caracter personal. Emiterea unei legi separate privind datele cu caracter personal va reprezenta o bază juridică importantă pentru protejarea datelor cu caracter personal, având în vedere că, în prezent, documentele juridice legate de această problemă în țara noastră nu sunt unificate în ceea ce privește terminologia și reglementările privind conținutul.

În al doilea rând, modificarea și completarea sancțiunilor pentru încălcările datelor cu caracter personal într-un mod mai sever, pentru a corespunde naturii și gravității încălcării. Deși sancțiunile pentru încălcările datelor cu caracter personal în țara noastră includ sancțiuni administrative, civile și penale, acestea sunt în general destul de ușoare și nu au un efect descurajator ridicat. Principala metodă în prezent este încă aplicarea de sancțiuni pentru încălcările administrative, însă reglementările sunt dispersate în multe decrete cu amenzi destul de mici, cea mai mare fiind: 100 de milioane VND pentru persoane fizice și 200 de milioane VND pentru organizații.

Deși prejudiciul pe care îl pot cauza încălcările administrative ale datelor cu caracter personal nu este doar prejudiciu material, ci și prejudiciu adus onoarei și demnității. Pe lângă sancțiunile administrative, sancțiunile penale pentru încălcarea datelor cu caracter personal sunt reflectate în reglementările privind viața privată și domeniul tehnologiei informației și securității rețelelor doar în articolele 159 și 288 din actualul Cod Penal, cu o pedeapsă cu închisoarea relativ mică, de maximum 7 ani de închisoare, și o amendă de maximum 1 miliard de VND. Această amendă, comparativ cu nivelul UE de 20 de milioane de euro, cel din Singapore de 1 milion de SGD sau pedeapsa cu închisoarea pe viață din China, este încă foarte mică, necomparabilă cu numeroasele încălcări.

În același timp, este necesară reglementarea multor grupuri de comportamente care nu sunt menționate în prezent în lege, cum ar fi tranzacționarea de date la scară largă, configurarea sistemelor de încălcare a datelor, încălcările în activitatea de servicii de marketing etc.

În al treilea rând, pe modelul agenției pentru protecția datelor cu caracter personal din Vietnam . În prezent, Departamentul de Securitate Cibernetică și Prevenirea Criminalității de Înaltă Tehnologie din cadrul Ministerului Securității Publice este agenția specializată pentru protecția datelor cu caracter personal. Referindu-ne la reglementările internaționale, putem lua în considerare înființarea unei agenții independente pentru protecția datelor cu caracter personal, responsabilă de aplicarea Legii privind protecția datelor cu caracter personal, efectuarea de inspecții, examinări, emiterea de îndrumări și recomandări și aplicarea de sancțiuni pentru încălcări, dacă există.

Ne putem referi la aceste modele din UE sau Singapore... pentru a aplica eficient legile privind protecția datelor cu caracter personal, echilibrând protecția drepturilor personale și asigurarea securității rețelei.

Protejarea datelor cu caracter personal nu este o problemă simplă, mai ales atunci când este plasată în contextul integrării, când activitățile de monitorizare și colectare a datelor cu caracter personal au loc la scară largă, iar sistemul juridic vietnamez care reglementează această problemă este încă în curs de construire și perfecționare.

Cercetarea dreptului internațional pe această temă, în raport cu situația practică din Vietnam, ne va ajuta să construim în curând un cadru juridic pentru o protecție cuprinzătoare a datelor cu caracter personal, compatibilă cu dreptul internațional și cu o aplicare eficientă a acestuia.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html