พระราชกฤษฎีกาคุ้มครองข้อมูลส่วนบุคคลมีผลใช้บังคับอย่างเป็นทางการแล้ว

พระราชกฤษฎีกาฉบับที่ 13/2023/ND-CP เป็นเอกสารทางกฎหมายฉบับแรกในเวียดนามที่ใช้แนวคิดเรื่องข้อมูลส่วนบุคคลอย่างเป็นทางการ โดยกำหนดภาระผูกพันในการปกป้องข้อมูลส่วนบุคคลสำหรับหน่วยงานที่รวบรวมและประมวลผลข้อมูลส่วนบุคคล (ภาพประกอบ: รอยเตอร์)

วันนี้ (1 กรกฎาคม) พระราชกฤษฎีกาฉบับที่ 13/2023/ND-CP ของ รัฐบาล ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้อย่างเป็นทางการ โดยสร้างช่องทางทางกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิผลในเวียดนาม ลดความเสี่ยงและผลที่ตามมาจากการละเมิดข้อมูลส่วนบุคคลให้น้อยที่สุด

รัฐบาลได้ออกพระราชกฤษฎีกาดังกล่าวเมื่อวันที่ 17 เมษายน พ.ศ. 2566 โดยมีข้อกำหนดที่เข้มงวดมากมายเกี่ยวกับการคุ้มครองข้อมูลและความรับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน องค์กร และบุคคลที่เกี่ยวข้อง

ข้อมูลส่วนบุคคลรวมถึงอะไรบ้าง?

พระราชกฤษฎีกาดังกล่าวระบุอย่างชัดเจนว่าข้อมูลส่วนบุคคลคือข้อมูลในรูปแบบสัญลักษณ์ ตัวอักษร ตัวเลข รูปภาพ เสียง หรือรูปแบบที่คล้ายคลึงกันในสภาพแวดล้อมอิเล็กทรอนิกส์ที่เกี่ยวข้องกับบุคคลใดบุคคลหนึ่งหรือช่วยระบุบุคคลใดบุคคลหนึ่งโดยเฉพาะ

ข้อมูลส่วนบุคคลรวมถึงข้อมูลส่วนบุคคลพื้นฐานและข้อมูลส่วนบุคคลที่ละเอียดอ่อน

ข้อมูลส่วนบุคคลพื้นฐาน ได้แก่ นามสกุล ชื่อกลาง และชื่อเกิด ชื่ออื่นๆ (ถ้ามี) วันเกิด วันเสียชีวิตหรือสูญหาย เพศ สถานที่เกิด สถานที่จดทะเบียนเกิด ถิ่นที่อยู่ถาวร ถิ่นที่อยู่ชั่วคราว ถิ่นที่อยู่ปัจจุบัน บ้านเกิด ที่อยู่ติดต่อ สัญชาติ ภาพลักษณ์ส่วนบุคคล หมายเลขโทรศัพท์ หมายเลขบัตรประจำตัวประชาชน หมายเลขบัตรประจำตัวประชาชน หมายเลขหนังสือเดินทาง หมายเลขใบขับขี่ หมายเลขทะเบียนรถ หมายเลขรหัสภาษีบุคคล หมายเลขประกันสังคม หมายเลขบัตรประกัน สุขภาพ สถานภาพสมรส ข้อมูลเกี่ยวกับความสัมพันธ์ในครอบครัว (พ่อแม่ บุตร) ข้อมูลเกี่ยวกับบัญชีดิจิทัลส่วนบุคคล ข้อมูลส่วนบุคคลที่สะท้อนถึงกิจกรรมและประวัติกิจกรรมในโลกไซเบอร์...

ข้อมูลส่วนบุคคลที่ละเอียดอ่อน มีความเกี่ยวข้องอย่างใกล้ชิดกับความเป็นส่วนตัวของบุคคล ซึ่งหากถูกละเมิดจะส่งผลโดยตรงต่อสิทธิและผลประโยชน์อันชอบธรรมของบุคคลนั้น ตัวอย่างเช่น มุมมอง ทางการเมือง ความเชื่อทางศาสนา สถานะสุขภาพ เชื้อชาติ ชาติพันธุ์ ลักษณะทางพันธุกรรม ลักษณะทางชีววิทยาเฉพาะ ชีวิตทางเพศ ข้อมูลตำแหน่งที่ตั้ง ข้อมูลเกี่ยวกับอาชญากรรมและการกระทำผิดทางอาญาที่รวบรวมและจัดเก็บโดยหน่วยงานบังคับใช้กฎหมาย ข้อมูลลูกค้าของสถาบันสินเชื่อ...

การกระทำที่ต้องห้าม

การคุ้มครองข้อมูลส่วนบุคคล คือ การป้องกัน ตรวจจับ หยุด และจัดการการละเมิดที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามบทบัญญัติของกฎหมาย

มาตรา 8 ของพระราชกฤษฎีกากำหนดการกระทำที่ห้ามไว้ รวมถึง: การประมวลผลข้อมูลส่วนบุคคลที่ขัดต่อบทบัญญัติของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล การประมวลผลข้อมูลส่วนบุคคลเพื่อสร้างข้อมูลและข้อมูลที่ต่อต้านสาธารณรัฐสังคมนิยมเวียดนาม การประมวลผลข้อมูลส่วนบุคคลเพื่อสร้างข้อมูลและข้อมูลที่กระทบต่อความมั่นคงของชาติ ความสงบเรียบร้อยและความปลอดภัยของสังคม และสิทธิและผลประโยชน์ที่ถูกต้องตามกฎหมายขององค์กรและบุคคลอื่น

นอกจากนี้พระราชกฤษฎีกายังห้ามการกระทำอันเป็นการขัดขวางกิจกรรมการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานที่มีอำนาจหน้าที่ ตลอดจนห้ามใช้ประโยชน์จากกิจกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อละเมิดกฎหมายอีกด้วย

กรณีการประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล

มาตรา 17 แห่งพระราชกฤษฎีกากำหนดกรณีการประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล ได้แก่ กรณีฉุกเฉินซึ่งจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องทันทีเพื่อปกป้องชีวิตและสุขภาพของเจ้าของข้อมูลหรือบุคคลอื่น และการเปิดเผยข้อมูลส่วนบุคคลตามบทบัญญัติของกฎหมาย

พร้อมทั้งกรณีการประมวลผลข้อมูลโดยหน่วยงานรัฐที่มีอำนาจหน้าที่ในภาวะฉุกเฉินเกี่ยวกับการป้องกันประเทศ ความมั่นคงของชาติ ความสงบเรียบร้อยและความปลอดภัยทางสังคม ภัยพิบัติร้ายแรง โรคระบาดร้ายแรง เมื่อมีภัยคุกคามต่อความมั่นคงและการป้องกันประเทศแต่ไม่ถึงขั้นต้องประกาศภาวะฉุกเฉิน การป้องกันและปราบปรามการจลาจล การก่อการร้าย การป้องกันและปราบปรามอาชญากรรมและการละเมิดกฎหมายตามบทบัญญัติของกฎหมาย

นอกจากนี้ ผู้ควบคุมและประมวลผลข้อมูลส่วนบุคคลอาจประมวลผลข้อมูลส่วนบุคคลโดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลเพื่อปฏิบัติตามภาระผูกพันตามสัญญาของเจ้าของข้อมูลกับหน่วยงาน องค์กร และบุคคลที่เกี่ยวข้องตามที่กฎหมายกำหนด รวมถึงในกรณีที่ต้องปฏิบัติหน้าที่ของหน่วยงานของรัฐตามที่กฎหมายเฉพาะกำหนด

ต้องตรวจสอบอายุของเด็กก่อนดำเนินการประมวลผลข้อมูลส่วนบุคคลของเด็ก

พระราชกฤษฎีการะบุว่าการประมวลผลข้อมูลส่วนบุคคลของเด็กจะดำเนินการตามหลักการคุ้มครองสิทธิและเพื่อผลประโยชน์สูงสุดของเด็กเสมอ

ดังนั้นการประมวลผลข้อมูลส่วนบุคคลของเด็กจะต้องได้รับความยินยอมจากเด็กในกรณีที่เด็กอายุ 7 ปีขึ้นไปและได้รับความยินยอมจากผู้ปกครองตามที่กำหนด ยกเว้นในกรณีที่ระบุไว้ในมาตรา 17

ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ผู้ควบคุมและประมวลผลข้อมูลส่วนบุคคล และบุคคลที่สาม จะต้องตรวจสอบอายุของเด็กก่อนที่จะประมวลผลข้อมูลส่วนบุคคลของเด็ก

พระราชกฤษฎีกายังกำหนดกรณีจำนวนหนึ่งที่บุคคลต่างๆ จะต้องหยุดประมวลผลข้อมูลส่วนบุคคลของเด็ก ลบหรือทำลายข้อมูลส่วนบุคคลของเด็กอย่างถาวร (ยกเว้นในกรณีที่กฎหมายกำหนดไว้เป็นอย่างอื่น)

โดยเฉพาะอย่างยิ่งในกรณีที่การประมวลผลข้อมูลไม่ได้เป็นไปตามวัตถุประสงค์ที่ตั้งใจไว้หรือได้บรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลโดยได้รับความยินยอมจากเจ้าของข้อมูล ผู้ปกครองหรือผู้ดูแลของเด็กเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของเด็ก หรือตามคำร้องขอของหน่วยงานที่มีอำนาจเมื่อมีหลักฐานเพียงพอที่จะพิสูจน์ได้ว่าการประมวลผลข้อมูลส่วนบุคคลมีผลกระทบต่อสิทธิและผลประโยชน์ที่ถูกต้องตามกฎหมายของเด็ก