Ta ett steg framåt för att säkerställa mänskliga rättigheter i den digitala transformationen

Skydd av personuppgifter är skyddet av grundläggande mänskliga rättigheter och friheter i samband med data.

Den 17 april 2023 utfärdade regeringen dekret nr 13/2023/ND-CP (dekret) om skydd av personuppgifter, med verkan från och med den 1 juli 2023, som uppfyller kraven för att skydda rättigheter till personuppgifter; förhindra intrång i personuppgifter som påverkar individers och organisationers rättigheter och intressen.

Höjdpunkter

Dekretet är ett rättsligt dokument som reglerar skyddet av personuppgifter och ansvaret för berörda myndigheter, organisationer och individer att skydda personuppgifter.

För det första är skydd av personuppgifter skyddet av grundläggande mänskliga rättigheter och friheter som rör data. Bestämmelserna i förordningen om skydd av personuppgifter syftar till att förhindra att varje persons personliga rättigheter och friheter kränks när den tillämpas.

Samtidigt är säkerheten för personuppgifter av särskild vikt eftersom om uppgifter stjäls kan det orsaka ekonomiska och sociala förluster, risker såsom: utpressning, bedrägeri, tillägnande av egendom, förtal, kränkning av heder, värdighet, sexuella övergrepp..., vilket orsakar både materiella och andliga konsekvenser och direkt påverkar rättigheter och legitima intressen hos myndigheter, organisationer, företag och individer.

För det andra, främja och respektera de registrerades rättigheter. De registrerades rättigheter inkluderar rätten till tillgång, rätten att samtycka till eller inte behandla personuppgifter, rätten att bli informerad och rätten att begära radering av uppgifter...

Dessutom har registrerade rätt att skydda sig mot att andra registrerade bryter mot deras personuppgifter. Registrerade har rätt att begära ersättning för skador när det föreligger en överträdelse av bestämmelserna i förordningen som orsakar skada på rätten till skydd av personuppgifter. Förordningen föreskriver också tydligt att insamling, överföring eller köp och försäljning av personuppgifter utan den registrerades samtycke är ett lagbrott.

Den registrerades rätt att skydda personuppgifter är dock inte en absolut rättighet, utan kan begränsas i nödfall för att skydda individens eller andras liv och hälsa; nödsituationer som rör nationellt försvar, säkerhet, social ordning och trygghet; fullgörande av fastställda avtalsförpliktelser eller utförande av statliga myndigheters verksamhet enligt vad som föreskrivs i speciallagar.

Bestämmelsen om undantag syftar till att genomföra principen om att säkerställa individers och organisationers rättigheter men inte kränka andra individers och organisationers legitima rättigheter och intressen eller nationella intressen i utövandet av dessa rättigheter.

För det tredje, främja den internationella integrationsprocessen i frågan om skydd av personuppgifter. Dekretet är förenligt med internationell praxis och förordningar om skydd av personuppgifter. Många utvecklade länder har legaliserat frågan om skydd av personuppgifter, vilket är grunden för Vietnams studier och hänvisningar.

Dessutom har internationella organisationer som Vietnam är medlem i eller samarbetar med Vietnam utfärdat konventioner, rekommendationer och standarder om integritet och skydd av information och personuppgifter. Dessa inkluderar integritetsprinciperna från Organisationen för ekonomiskt samarbete och utveckling (OECD), Europarådets konvention om skydd för enskilda personer med avseende på automatisk behandling av information och personuppgifter, FN:s riktlinjer om datoriserade personuppgifter och informationsfiler, Asien- Stillahavsområdets ekonomiska samarbete (APEC) integritetsramverk, internationella standarder för integritet och skydd av information och personuppgifter (Madridresolutionen), EU:s allmänna dataskyddsförordning (GDPR)...

Dessutom har mer än 80 länder, i arbetet med att främja samarbetet mellan vårt land och andra länder och territorier, utfärdat rättsliga dokument om skydd av personuppgifter, av vilka många innehåller bestämmelser som gäller för vietnamesiska organisationer och individer. Därför syftar specifika och detaljerade bestämmelser om skydd av personuppgifter till att skapa en miljö av jämlikhet och respekt för lagen i Vietnam, inklusive för utländska individer och organisationer.

Utmaningarna

För närvarande finns det fortfarande många betydande utmaningar med att genomföra dekretet.

För det första, utmaningen i hanteringen av företagens anställda. För närvarande bygger många företag en modell med moderbolag och dotterbolag med samma ledningsekosystem, där medarbetarinformation enkelt kan nås från det gemensamma systemet.

Enligt vietnamesisk lag betraktas dock varje företag (inklusive moderbolag och dotterbolag) som en separat och oberoende juridisk enhet, så överföring av anställdas personuppgifter av företag i samma ekosystem för att tjäna företagets interna ledningsprocess kan också betraktas som ett brott mot företagets ansvar att skydda personuppgifter.

Å andra sidan har många företag för närvarande svårigheter med att genomföra dekretet och har ännu inte slutfört mekanismen och reglerna för att hantera och skydda anställdas personuppgifter i enlighet med dekretet.

För det andra är det inte förenligt med de lagstadgade bestämmelserna om kreditinstituts verksamhet. För närvarande regleras kreditinstituts verksamhet av specialiserade lagbestämmelser såsom: Lag om kreditinstitut 2010 (ändrad och kompletterad 2014); Lag om bekämpning av penningtvätt; Dekret 117/2018/ND-CP om konfidentiell behandling och tillhandahållande av kundinformation från kreditinstitut och utländska bankfilialer; Cirkulär 09/2020/TT-NHNN från Statsbanken som reglerar säkerheten för informationssystem i bankverksamhet på nivån under lagen.

Å andra sidan, för bankverksamhet, påverkar databehandling personuppgifter, såsom: Insamling, registrering, analys, bekräftelse, lagring, redigering, publicering, kombination, åtkomst till, hämtning, återkallelse, kodning, avkodning, kopiering, delning, överföring, tillhandahållande, överföring, radering, förstörelse av personuppgifter eller andra relaterade åtgärder är avgörande för att tillhandahålla tjänster till kunder och hantera risker i bankverksamhet, vilket säkerställer det monetära systemets säkerhet. Därför kan och kräver många aktiviteter för behandling av kundpersonuppgifter inte kundernas samtycke, medan klausul 2, artikel 3 och klausul 1, artikel 9 i dekretet föreskriver att registrerade har rätt att få veta om behandlingen av deras personuppgifter, utom i de fall där andra lagar föreskriver annat.

Eller i klausul 2, artikel 9, föreskriver att den registrerade har rätt att inte samtycka till behandling av sina personuppgifter; den registrerade har rätt att radera, få tillgång till, begära begränsning av databehandling och invända mot databehandling, utom i de fall där en annan lag har andra bestämmelser i artikel 9. Det kommer således att vara förvirrande och olämpligt om dekretet tillämpas strikt och utan enhetlig vägledning.

Dessutom utförs tillhandahållandet av tjänster och produkter av kreditinstitut genom många processer på en produkt, varje process på en produkt innefattar många olika steg och är relaterad till insamling, utvärdering, analys och tillhandahållande av data om mycket stora kundfiler, medan dekretet kräver att den personuppgiftsansvarige och personuppgiftsbehandlaren inhämtar den registrerades (kunden) samtycke i alla behandlingsförfaranden när de utför någon databehandlingsverksamhet (artikel 11); och innan databehandlingsverksamhet utförs måste de underrätta den registrerade (artikel 13). Detta fortsätter att vara ytterligare ett hinder för kreditinstitutens verksamhet.

Dessutom måste kreditinstitut anpassa sina IT-system och andra underlagsdokument som rör kreditinstitutens verksamhet; avtals- och kontraktsmallar måste revideras för att följa dekretet, vilket skapar betydande svårigheter för bankverksamheten.

För det tredje förstår ett antal människor inte och är inte medvetna om att skydda sina personuppgifter, så de delar lätt personlig information på sociala nätverksplattformar, vilket oavsiktligt låter skurkar utnyttja den för orättvisa syften.

Vissa personer ser inte tydligt värdet av personuppgiftsskydd som ett sätt att garantera den personliga integriteten, och är också rädda för att lämna ut personlig information, vilket orsakar svårigheter för myndigheter att utföra statlig hantering av personuppgiftsskydd samt att utreda och hantera brott mot lagen om personuppgiftsskydd.

Dessutom skapar situationen med köp och försäljning av personuppgifter, risken för informationsläckage, stora konsekvenser som påverkar ekonomiska och sociala frågor. Bedrägerier, spamannonser via samtal och meddelanden är fortfarande komplicerade och påverkar människors liv.

Säkerheten för personuppgifter är av särskild vikt eftersom om uppgifter stjäls kan det orsaka ekonomiska och sociala förluster, vilket direkt påverkar rättigheter och legitima intressen för myndigheter, organisationer, företag och individer. (Källa: Shutterstock)

Att omsätta dekretet i praktiken

Vietnam är ett av de länder i världen med den högsta internetutvecklingen och applikationshastigheten med mer än 70 miljoner användare. Personuppgifter för mer än 2/3 av vårt lands befolkning har lagrats, publicerats, delats och samlats in i den digitala miljön, cyberrymden, med olika former och detaljnivåer.

Dekretet är ett genombrott i att säkerställa mänskliga rättigheter i den digitala transformationen, övervinna brister och otillräckligheter i praktiken att säkerställa, skydda och säkra personuppgifter, och öka ansvaret för inhemska och utländska myndigheter, organisationer och individer som direkt deltar i eller är relaterade till behandling av personuppgifter i Vietnam.

För att dekretet ska bli verkligt effektivt i praktiken är det nödvändigt att fokusera på följande frågor:

För det första, öka företagens ansvar för att skydda arbetstagarnas rättigheter. Vid användning av arbetskraft måste företag samla in och lagra information om anställda. För att kunna hantera arbetskraften tar arbetsgivare och företag emot och hanterar mycket personlig information från anställda, men om de är slarviga i hanteringen och bearbetningen av information kommer det att leda till oförutsägbara konsekvenser.

Företag behöver noggrant studera och omfattande utvärdera dekretets effekter, snabbt granska och uppdatera rutiner och instruktioner för hantering av personuppgifter i enlighet med de nya bestämmelserna, överväga att inrätta mekanismer och bygga styrningsföreskrifter baserade på bestämmelserna i dekretet samt upprätthålla och följa dessa mekanismer och bestämmelser under hela verksamhetsprocessen.

För det andra, undanröja svårigheter för kreditinstitutens kreditverksamhet . Statsbanken behöver nära samordna med relevanta ministerier, särskilt ministeriet för offentlig säkerhet, för att utfärda enhetliga riktlinjer för skydd av personuppgifter inom kreditsektorn, både för att säkerställa främjandet av kreditinstitutens operativa ansvar för att skydda kunduppgifter och för att uppfylla specialiserade krav och uppgifter.

För det tredje, för att dekretet verkligen ska kunna träda i kraft, är det nödvändigt att göra ett bra jobb med propaganda och utbildning för att popularisera lagen. I synnerhet är det nödvändigt att betona behovet av att kungöra dekretet med det högsta syftet att respektera och skydda medborgerliga rättigheter och mänskliga rättigheter. Och framför allt måste den registrerade själv noggrant förstå och öka sin medvetenhet och sitt ansvar för att skydda personuppgifter.