Dreptul internațional privind protecția datelor cu caracter personal și implicațiile sale pentru Vietnam.

Fiind una dintre țările cu cele mai mari rate de dezvoltare și adoptare a internetului din lume , cu aproape 80% din populație utilizând internetul, datele personale a două treimi din populația Vietnamului sunt stocate, încărcate, partajate și colectate online în diverse forme și cu niveluri variate de detaliu.

În 2022 și 2023, Vietnamul a inițiat cinci procese penale care au implicat cumpărarea și vânzarea a mii de GB de date și miliarde de informații personale. Acest lucru subliniază nevoia urgentă de a îmbunătăți legislația privind protecția datelor cu caracter personal, pe baza cercetărilor și a trimiterilor la dreptul internațional.

Dreptul internațional privind protecția datelor cu caracter personal

GDPR este considerat un pas legal major înainte, creând cel mai strict mecanism din lume pentru protejarea informațiilor personale în prezent.

Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene (UE) este considerat un pas juridic major înainte, creând cel mai strict mecanism din lume pentru protejarea informațiilor cu caracter personal și aplicându-se tuturor organizațiilor și întreprinderilor care prelucrează date cu caracter personal ale cetățenilor UE.

GDPR aplică sancțiuni uniforme pentru încălcările companiilor în întregul bloc comunitar. Mai exact, sancțiunea maximă este de 2% din venituri sau 10 milioane de euro pentru încălcări minore și de 4% din venituri sau 20 de milioane de euro pentru încălcări majore. Pe lângă amenzi, companiile care încalcă GDPR se pot confrunta și cu alte sancțiuni, cum ar fi obligarea la încetarea operațiunilor de prelucrare a datelor sau la ștergerea datelor care au fost prelucrate cu încălcarea GDPR.

Autoritatea UE pentru protecția datelor cu caracter personal este Autoritatea UE de Supraveghere a Protecției Datelor (AEPD) – un organism independent ai cărui membri sunt avocați cu experiență, profesioniști IT și administratori.

Funcția principală a acestei agenții este de a supraveghea prelucrarea datelor cu caracter personal în cadrul instituțiilor UE și de a oferi consultanță cu privire la aspecte legate de datele cu caracter personal. GDPR impune, de asemenea, înființarea unei Autorități pentru Protecția Datelor cu Caracter Personal în fiecare stat membru, cum ar fi o Comisie Națională pentru Protecția Datelor cu Caracter Personal (Franța, Irlanda etc.) sau un inspectorat pentru protecția datelor (Finlanda, Letonia etc.).

Împreună cu AEPD, UE a înființat și Comisia Europeană pentru Protecția Datelor (CEPD), formată din reprezentanți ai agențiilor naționale pentru protecția datelor din statele membre și reprezentanți ai UE. Funcția sa este de a acționa ca principal organism consultativ independent privind aspectele legate de protecția datelor cu caracter personal, responsabil pentru aplicarea consecventă a RGPD în întreaga Uniune.

GDPR prevede sancțiuni disuasive puternice, atât materiale, cât și nemateriale. În plus, agenția UE pentru protecția datelor cu caracter personal funcționează pe un model Comisie/Comisar, ceea ce îi conferă autoritate și independență semnificative pentru a impune sancțiuni organizațiilor care încalcă reglementările privind protecția datelor cu caracter personal și pentru a evalua și decide independent cu privire la gestionarea datelor cu caracter personal.

Legea chineză privind protecția informațiilor personale (PIPL), adoptată în 2021, este considerată prima lege cuprinzătoare la nivel național privind protecția informațiilor personale din China. PIPL oferă o viziune relativ unificată asupra datelor cu caracter personal/informațiilor personale ca informații destinate identificării sau recunoașterii unei anumite persoane, vizând în mod specific persoanele din China (Articolul 4, Capitolul 1 din PIPL). Simultan, reglementează datele cu caracter personal sensibile, stabilind astfel reguli privind drepturile și obligațiile părților în ceea ce privește grupuri de date mai specifice.

Sancțiunile pentru încălcarea drepturilor privind datele cu caracter personal în temeiul reglementărilor PIPL sunt foarte severe, inclusiv remedierea obligatorie, confiscarea veniturilor ilegale, suspendarea serviciilor, revocarea licențelor de funcționare sau comerciale și amenzi de până la 50 de milioane de RMB sau 5% din veniturile anuale ale unei organizații din anul fiscal precedent. În plus, încălcările pot fi înregistrate și în „registrul de credit” al unității de procesare în cadrul sistemului național de credit social.

În plus, unitățile de procesare vor fi răspunzătoare pentru daune dacă încalcă drepturile și interesele organizațiilor și persoanelor. Sancțiunile penale pentru aceste tipuri de încălcări sunt, de asemenea, prevăzute în mod specific în Codul Penal Chinez, care prevede o răspundere penală mai dură pentru cei care au obligația de a păstra confidențialitatea, adaugă forma confiscării activelor și stabilește închisoarea pe viață ca fiind cea mai mare pedeapsă cu închisoarea.

Legea privind protecția datelor cu caracter personal (PDPA) din Singapore , adoptată în 2012 (modificată în 2020), recunoaște dreptul de a proteja datele cu caracter personal și necesitatea ca organizațiile să colecteze, să utilizeze și să divulge informații în scopuri adecvate circumstanțelor specifice.

PDPA prevede, de asemenea, sancțiuni financiare stricte pentru încălcările de date. Persoanele care încalcă legea se vor confrunta cu amenzi sau închisoare. Cuantumul amenzii depinde de natura și gravitatea infracțiunii, variind de la 2.000 S$ la 100.000 S$ (aproximativ 1,6 miliarde VND) și/sau închisoare de până la 12 luni sau până la 3 ani în cazuri grave; pentru organizațiile și companiile care încalcă legea, sancțiunea poate fi de până la 10% din veniturile lor anuale.

Agenția care joacă un rol crucial în asigurarea aplicării Legii privind protecția datelor cu caracter personal (PDPA) este Comisia pentru protecția datelor cu caracter personal (PDPC). Această agenție specializată are autoritate extinsă și capacități extinse de aplicare a legii, inclusiv puterea de a solicita persoanelor fizice și organizațiilor să furnizeze informații și documente legate de prelucrarea datelor cu caracter personal, de a impune sancțiuni financiare pentru încălcări și de a lua alte măsuri corective.

Înființarea unei agenții dedicate, Comisia pentru Protecția Datelor cu Caracter Personal din Singapore, care acționează independent și proactiv în detectarea și gestionarea încălcărilor și aplicarea sancțiunilor, este una dintre condițiile pentru protecția eficientă a datelor cu caracter personal în Singapore.

Recomandări pentru îmbunătățirea legislației privind protecția datelor cu caracter personal în Vietnam

În prezent, în Vietnam există 69 de documente juridice legate direct de problema protecției datelor cu caracter personal, reglementate în diferite documente, inclusiv Constituția, Codul (4), Legea (39), Ordonanța (1), Decretul (2), Circulara/Circulara comună (4), Decizia ministrului (1).

Aceste documente abordează în esență problema protecției datelor cu caracter personal subliniind principiul asigurării vieții private a persoanelor; cu toate acestea, ele conțin reglementări diferite privind informațiile legate de datele cu caracter personal, abordând aspecte legate de drepturile și obligațiile persoanelor, prelucrarea informațiilor și metodele de protejare a datelor cu caracter personal. Legislația vietnameză care reglementează protecția datelor cu caracter personal a obținut unele rezultate notabile, în special emiterea Decretului nr. 12/2023/ND-CP privind protecția datelor cu caracter personal la 17 aprilie 2023 - un document unic care reglementează această problemă în țara noastră. Aceste documente juridice au creat un cadru juridic pentru protecția datelor cu caracter personal. Specifică drepturile persoanelor vizate, precum și ale părților care prelucrează datele, prevăd sancțiuni pentru încălcările protecției datelor cu caracter personal și identifică agenția specializată pentru protecția datelor cu caracter personal ca fiind Departamentul de Securitate Cibernetică și Prevenirea Criminalității de Înaltă Tehnologie din cadrul Ministerului Securității Publice ...

Vietnamul se confruntă cu numeroase riscuri, provocări și amenințări din spațiul cibernetic, în special scurgerea și furtul de informații și date personale, cauzând daune semnificative cetățenilor și societății.

Cu toate acestea, implementarea practică a acestor documente a relevat și numeroase limitări, cum ar fi faptul că documentele juridice separate actuale sunt doar la nivel de decret, nerespectând importanța protejării datelor cu caracter personal; multe prevederi actuale sunt vagi și neclare, ceea ce duce la lipsa unor îndrumări specifice pentru fiecare caz în parte; iar sancțiunile sunt încă prea ușoare și insuficient de descurajante...

Având în vedere această situație, îmbunătățirea în continuare a cadrului juridic pentru protecția datelor cu caracter personal în Vietnam a fost și continuă să fie o chestiune care necesită atenție și cercetare, bazată pe experiențele altor țări. Mai exact:

În primul rând, este necesară adoptarea unei legi privind protecția datelor cu caracter personal . În contextul celei de-a patra revoluții industriale, 80 de țări, la nivel regional și național, au adoptat deja propriile documente juridice care protejează datele cu caracter personal. Vietnamul trebuie să cerceteze și să adopte urgent o lege generală și specializată privind datele, similară cu legile privind confidențialitatea datelor din UE, China și Singapore, care ar defini aspectele și principiile fundamentale pentru protejarea datelor cu caracter personal. Adoptarea unei legi separate privind datele cu caracter personal ar oferi o bază juridică crucială pentru protejarea datelor cu caracter personal, deoarece documentele juridice actuale din Vietnam duc lipsă de uniformitate în ceea ce privește terminologia și conținutul.

În al doilea rând, sancțiunile pentru încălcarea protecției datelor cu caracter personal ar trebui revizuite și completate pentru a fi mai severe, proporționale cu natura și gravitatea încălcărilor. Deși sancțiunile pentru încălcarea datelor cu caracter personal în țara noastră includ sancțiuni administrative, civile și penale, acestea sunt în general destul de blânde și nu au un efect descurajator puternic. Principala metodă în prezent este încă aplicarea de sancțiuni administrative, dar acestea sunt dispersate în numeroase decrete cu amenzi relativ mici, cea mai mare fiind de 100 de milioane VND pentru persoane fizice și 200 de milioane VND pentru organizații.

Deși prejudiciile cauzate de încălcările administrative ale datelor cu caracter personal nu se limitează la pierderi materiale, ci afectează și onoarea și demnitatea, sancțiunile penale pentru încălcarea datelor cu caracter personal se regăsesc în prezent doar în prevederile privind viața privată, tehnologia informației și securitatea cibernetică, în special în articolele 159 și 288 din actualul Cod Penal, cu pedepse cu închisoarea relativ mici, de maximum 7 ani, și amenzi care nu depășesc 1 miliard VND. Comparativ cu cele 20 de milioane de euro ale UE, 1 milion de SGD al Singapore sau închisoarea pe viață a Chinei, aceste pedepse sunt încă foarte mici și disproporționate față de multe încălcări.

În același timp, este necesară reglementarea mai multor categorii de comportamente care nu sunt menționate în prezent în lege, cum ar fi tranzacționarea de date la scară largă, stabilirea de sisteme pentru comiterea de încălcări ale securității datelor, încălcările în serviciile de marketing etc.

În al treilea rând, în ceea ce privește modelul unei agenții pentru protecția datelor cu caracter personal din Vietnam : În prezent, Departamentul de Securitate Cibernetică și Prevenire a Criminalității de Înaltă Tehnologie din cadrul Ministerului Securității Publice este agenția specializată pentru protecția datelor cu caracter personal. Referindu-ne la reglementările internaționale, am putea lua în considerare înființarea unei agenții independente pentru protecția datelor cu caracter personal, responsabilă de aplicarea Legii privind protecția datelor cu caracter personal, efectuarea de inspecții și audituri, emiterea de linii directoare, formularea de recomandări și aplicarea de sancțiuni pentru încălcări.

Putem învăța din aceste modele din UE sau Singapore... pentru a ne asigura că activitățile de aplicare a legii care protejează datele cu caracter personal sunt extrem de eficiente, echilibrând protejarea drepturilor individuale și asigurarea securității cibernetice.

Protejarea datelor cu caracter personal nu este o chestiune simplă, mai ales în contextul integrării, unde au loc monitorizarea și colectarea la scară largă a datelor cu caracter personal, iar sistemul juridic vietnamez care reglementează această problemă este încă în curs de dezvoltare și perfecționare.

Studierea dreptului internațional pe această temă, coroborată cu situația practică din Vietnam, ne va ajuta să dezvoltăm rapid un cadru juridic cuprinzător pentru protecția datelor cu caracter personal, compatibil cu dreptul internațional și aplicat eficient.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html