Шаг вперед к обеспечению прав человека в условиях цифровой трансформации

Защита персональных данных — это защита основных прав и свобод человека в отношении данных.

17 апреля 2023 года Правительство издало Постановление № 13/2023/НД-КП (далее — Постановление) о защите персональных данных, вступающее в силу с 1 июля 2023 года, в целях обеспечения требований по защите прав субъектов персональных данных, предупреждения правонарушений в сфере персональных данных, затрагивающих права и интересы граждан и организаций.

Основные моменты

Постановление является правовым документом, регламентирующим защиту персональных данных и ответственность соответствующих органов, организаций и лиц за защиту персональных данных.

Защита персональных данных – это , прежде всего, защита основных прав и свобод человека в отношении данных. Положения Указа о защите персональных данных при их ведении направлены на предотвращение нарушения личных прав и свобод каждого человека.

При этом безопасность персональных данных имеет особое значение, поскольку кража данных может повлечь за собой экономические и социальные потери, такие риски, как: шантаж, мошенничество, присвоение имущества, клевета, посягательство на честь, достоинство, сексуальное насилие..., влекущие как материальные, так и духовные последствия, непосредственно затрагивающие права и законные интересы учреждений, организаций, предприятий и граждан.

Во-вторых, необходимо поощрять и уважать права субъектов персональных данных. Права субъектов персональных данных включают право на доступ, право давать согласие или не давать согласие на обработку персональных данных, право на получение информации и право требовать удаления данных...

Кроме того, субъекты персональных данных имеют право на защиту от других субъектов, нарушающих их персональные данные. Субъекты имеют право требовать возмещения ущерба в случае нарушения положений Декрета, повлекшего за собой ущерб праву на защиту персональных данных. В Декрете также четко указано, что сбор, передача или купля-продажа персональных данных без согласия субъекта является нарушением закона.

Однако право субъекта на защиту персональных данных не является абсолютным правом, а может быть ограничено в случаях, обусловленных крайней необходимостью защиты жизни и здоровья самого субъекта или других лиц; чрезвычайными ситуациями, связанными с обороной страны, безопасностью, общественным порядком и безопасностью; исполнением определенных договорных обязательств или обеспечением деятельности государственных органов в порядке, установленном специализированными законами.

Предоставление исключений направлено на реализацию принципа обеспечения прав отдельных лиц и организаций, но не ущемления законных прав и интересов других лиц и организаций или национальных интересов при осуществлении этих прав.

В-третьих, содействовать процессу международной интеграции в вопросах защиты персональных данных. Указ соответствует международной практике и нормам в области защиты персональных данных. Многие развитые страны легализовали вопросы защиты персональных данных, что является основой для изучения и использования Вьетнамом.

Кроме того, международные организации, членом которых является Вьетнам или с которыми он сотрудничает, разработали конвенции, рекомендации и стандарты в области конфиденциальности и защиты информации и персональных данных. К ним относятся принципы конфиденциальности Организации экономического сотрудничества и развития (ОЭСР), Конвенция Совета Европы о защите лиц при автоматизированной обработке информации и персональных данных, Руководящие принципы ООН в отношении компьютеризированных персональных данных и информационных файлов, Рамочная программа конфиденциальности Азиатско -Тихоокеанского экономического сотрудничества (АТЭС), международные стандарты конфиденциальности и защиты информации и персональных данных (Мадридская резолюция), Общий регламент ЕС по защите данных (GDPR) и т. д.

Кроме того, в рамках развития сотрудничества между нашей страной и другими странами и территориями, более 80 стран выпустили правовые документы о защите персональных данных, многие из которых содержат положения, применимые к вьетнамским организациям и гражданам. Таким образом, конкретные и подробные правила защиты персональных данных направлены на создание во Вьетнаме атмосферы равенства и уважения к закону, в том числе для иностранных граждан и организаций.

Проблемы

В настоящее время сохраняется много существенных проблем в реализации Указа.

Во-первых, это проблема управления персоналом предприятий. В настоящее время многие предприятия строят модель «головная компания – дочерняя компания» с единой экосистемой управления, при этом доступ к информации о сотрудниках осуществляется через общую систему.

Однако в соответствии с законодательством Вьетнама каждая компания (включая материнские компании и дочерние компании) считается отдельным и независимым юридическим лицом, поэтому передача персональных данных сотрудников компаниями в той же экосистеме для обслуживания внутреннего процесса управления предприятием также может считаться нарушением обязанности предприятия по защите персональных данных.

С другой стороны, в настоящее время многие предприятия сталкиваются с трудностями при реализации Указа и еще не доработали механизм и регламент управления и защиты персональных данных работников в соответствии с Указом.

Во-вторых, это противоречит правовым нормам, регулирующим деятельность кредитных организаций. В настоящее время деятельность кредитных организаций регулируется специализированными правовыми актами, такими как: Закон «О кредитных организациях» 2010 года (с изменениями и дополнениями 2014 года); Закон «О противодействии отмыванию денег»; Указ № 117/2018/ND-CP «О сохранении конфиденциальности и предоставлении информации о клиентах кредитных организаций и филиалов иностранных банков»; Циркуляр № 09/2020/TT-NHNN Государственного банка, регулирующий безопасность информационных систем при банковских операциях на уровне ниже уровня Закона.

С другой стороны, для банковской деятельности обработка данных затрагивает персональные данные, такие как: сбор, запись, анализ, подтверждение, хранение, редактирование, публикация, объединение, доступ, извлечение, отзыв, кодирование, декодирование, копирование, обмен, передача, предоставление, передача, удаление, уничтожение персональных данных или другие связанные с этим действия необходимы для предоставления услуг клиентам и управления рисками в банковской деятельности, обеспечения безопасности и защиты денежной системы, поэтому многие виды деятельности по обработке персональных данных клиентов не могут и не требуют согласия клиентов, в то время как пункт 2 статьи 3 и пункт 1 статьи 9 Указа предусматривают, что субъекты имеют право знать об обработке своих персональных данных, за исключением случаев, когда иное предусмотрено другими Законами.

Или в пункте 2 статьи 9 указано, что субъект имеет право не давать согласие на обработку своих персональных данных; субъект имеет право удалять, получать доступ, запрашивать ограничение обработки данных и возражать против обработки данных, за исключением случаев, когда в другом законе в статье 9 предусмотрены иные положения. Таким образом, будет запутанным и нецелесообразным, если Указ будет применяться жестко и без единых указаний.

Кроме того, предоставление услуг и продуктов кредитными организациями осуществляется посредством множества процессов в отношении одного продукта, каждый из которых включает множество различных этапов и связан со сбором, оценкой, анализом и предоставлением данных об очень больших клиентских досье. При этом Постановление обязывает контролера и обработчика персональных данных получать согласие субъекта персональных данных (клиента) на все процедуры обработки при осуществлении любых действий по обработке данных (статья 11); а перед осуществлением действий по обработке данных необходимо уведомить субъекта персональных данных (статья 13). Это по-прежнему является еще одним препятствием для деятельности кредитных организаций.

Кроме того, кредитным организациям необходимо привести в соответствие с Указом свои информационно-технологические системы и другие подзаконные акты, регулирующие деятельность кредитных организаций; формы договоров и соглашений должны быть пересмотрены в соответствии с ним, что создает значительные трудности для осуществления банковской деятельности.

В-третьих, многие люди не понимают и не осведомлены о защите своих персональных данных, поэтому они с легкостью делятся личной информацией в социальных сетях, непреднамеренно позволяя злоумышленникам использовать ее в неблаговидных целях.

Некоторые люди не осознают четкой ценности защиты персональных данных как обеспечения личной неприкосновенности, а также боятся предоставлять персональную информацию, что создает трудности для органов власти в осуществлении государственного управления защитой персональных данных, а также в расследовании и рассмотрении нарушений законодательства о защите персональных данных.

Кроме того, ситуация с куплей-продажей персональных данных, риск утечки информации, создаёт серьёзные последствия, затрагивая экономические и социальные проблемы. Мошенничество, спам-реклама посредством звонков и сообщений по-прежнему остаются сложными и влияют на жизнь людей.

Безопасность персональных данных имеет особое значение, поскольку кража данных может привести к экономическим и социальным потерям, напрямую затрагивая права и законные интересы учреждений, организаций, предприятий и отдельных лиц. (Источник: Shutterstock)

Реализация Указа на практике

Вьетнам — одна из стран с самой высокой скоростью развития и использования Интернета в мире, с более чем 70 миллионами пользователей. Персональные данные более 2/3 населения страны хранятся, публикуются, передаются и собираются в цифровой среде, киберпространстве, в различных формах и с различной степенью детализации.

Указ является прорывом в обеспечении прав человека в условиях цифровой трансформации, преодолении недостатков и несоответствий в практике обеспечения, защиты и обеспечения сохранности персональных данных, повышении ответственности отечественных и иностранных органов, организаций и лиц, непосредственно участвующих или связанных с деятельностью по обработке персональных данных во Вьетнаме.

Для того чтобы Указ действительно оказался эффективным на практике, необходимо сосредоточить внимание на следующих вопросах:

Во-первых, необходимо повысить ответственность предприятий за защиту прав работников. При использовании рабочей силы предприятия обязаны собирать и хранить информацию о сотрудниках. В целях управления трудовыми отношениями работодатели и предприятия получают и обрабатывают большой объём персональных данных сотрудников, но небрежное обращение с информацией может привести к непредсказуемым последствиям.

Предприятиям необходимо тщательно изучить и всесторонне оценить последствия Указа, оперативно пересмотреть и обновить процедуры и инструкции по работе с персональными данными в соответствии с новыми правилами; рассмотреть возможность создания механизмов и разработки правил управления на основе положений Указа; поддерживать и соблюдать эти механизмы и правила на протяжении всего процесса работы.

Во-вторых, устранить препятствия для кредитной деятельности кредитных организаций . Госбанку необходимо тесно взаимодействовать с соответствующими министерствами, особенно с Министерством общественной безопасности, для разработки единых руководящих принципов защиты персональных данных в кредитном секторе, что обеспечит как повышение оперативной ответственности кредитных организаций за защиту данных клиентов, так и выполнение специализированных требований и задач.

В-третьих, для реального вступления Указа в силу необходимо провести активную пропагандистскую и просветительскую работу по популяризации закона. В частности, необходимо подчеркнуть необходимость принятия Указа в высшей цели – уважении и защите прав человека и гражданина. И, прежде всего, субъект персональных данных должен сам глубоко понимать и повышать свою осведомлённость и ответственность в области защиты персональных данных.