พระราชกฤษฎีกาฉบับที่ 13/2023/ND-CP เป็นเอกสารทางกฎหมายฉบับแรกในเวียดนามที่ใช้แนวคิดข้อมูลส่วนบุคคลอย่างเป็นทางการ เพื่อควบคุมภาระผูกพันในการปกป้องข้อมูลส่วนบุคคลสำหรับหน่วยงานที่รวบรวมและประมวลผลข้อมูลส่วนบุคคล (ภาพประกอบ: รอยเตอร์)

วันนี้ (1 กรกฎาคม) พระราชกฤษฎีกาหมายเลข 13/2023/ND-CP ของ รัฐบาล ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลมีผลบังคับใช้อย่างเป็นทางการ โดยสร้างช่องทางทางกฎหมายเพื่อคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิผลในเวียดนาม ลดความเสี่ยงและผลที่ตามมาจากการละเมิดข้อมูลส่วนบุคคลให้เหลือน้อยที่สุด

พระราชกฤษฎีกานี้ประกาศใช้โดยรัฐบาลเมื่อวันที่ 17 เมษายน พ.ศ. 2566 โดยมีกฎระเบียบที่เข้มงวดมากมายเกี่ยวกับการคุ้มครองข้อมูลและความรับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน องค์กร และบุคคลที่เกี่ยวข้อง

ข้อมูลส่วนตัวประกอบด้วยอะไรบ้าง?

พระราชกฤษฎีกาดังกล่าวระบุไว้ชัดเจนว่าข้อมูลส่วนบุคคล คือ ข้อมูลที่อยู่ในรูปแบบสัญลักษณ์ ตัวอักษร ตัวเลข รูปภาพ เสียง หรือรูปแบบอื่นๆ ที่คล้ายกันในสภาพแวดล้อมทางอิเล็กทรอนิกส์ที่เกี่ยวข้องกับบุคคลใดบุคคลหนึ่ง หรือช่วยระบุบุคคลใดบุคคลหนึ่งโดยเฉพาะ

ข้อมูลส่วนบุคคลรวมถึงข้อมูลส่วนบุคคลพื้นฐานและข้อมูลส่วนบุคคลที่ละเอียดอ่อน

ข้อมูลส่วนบุคคลพื้นฐาน ประกอบด้วย: นามสกุล ชื่อกลาง ชื่อเกิด ชื่ออื่น ๆ (ถ้ามี); วันเกิด; วันที่ เดือน ปี ที่เกิดการเสียชีวิตหรือสูญหาย; เพศ; สถานที่เกิด, สถานที่จดทะเบียนเกิด, ถิ่นที่อยู่ถาวร, ถิ่นที่อยู่ชั่วคราว, ถิ่นที่อยู่ปัจจุบัน, บ้านเกิด, ที่อยู่ติดต่อ; สัญชาติ; ภาพลักษณ์ส่วนบุคคล; หมายเลขโทรศัพท์, หมายเลขบัตรประชาชน, หมายเลขประจำตัวประชาชน, หมายเลขหนังสือเดินทาง, หมายเลขใบขับขี่, หมายเลขป้ายทะเบียนรถ, หมายเลขรหัสภาษีบุคคล, หมายเลขประกันสังคม, หมายเลขบัตรประกัน สุขภาพ ; สถานภาพสมรส; ข้อมูลเกี่ยวกับความสัมพันธ์ในครอบครัว (พ่อแม่ ลูก) ข้อมูลเกี่ยวกับหมายเลขบัญชีรายบุคคล; ข้อมูลส่วนบุคคลสะท้อนถึงกิจกรรมและประวัติกิจกรรมบนโลกไซเบอร์...

ข้อมูลส่วนบุคคลที่ละเอียดอ่อน มีความเชื่อมโยงอย่างใกล้ชิดกับความเป็นส่วนตัวของบุคคล ซึ่งหากถูกละเมิด จะส่งผลกระทบโดยตรงต่อสิทธิและผลประโยชน์ที่ถูกต้องตามกฎหมายของบุคคลนั้น เช่น ทัศนคติ ทางการเมือง ทัศนคติทางศาสนา สถานะสุขภาพ; เชื้อชาติ, ชาติพันธุ์; ลักษณะทางพันธุกรรม; ลักษณะทางชีวภาพที่มีเอกลักษณ์เฉพาะ; ชีวิตทางเพศ; ข้อมูลตำแหน่ง; ข้อมูลเกี่ยวกับอาชญากรรมและการกระทำผิดทางอาญาที่รวบรวมและจัดเก็บโดยหน่วยงานบังคับใช้กฎหมาย ข้อมูลลูกค้าสถาบันสินเชื่อ…

การกระทำที่ต้องห้าม

การคุ้มครองข้อมูลส่วนบุคคลเป็นกิจกรรมการป้องกัน ตรวจจับ หยุด และจัดการการละเมิดที่เกี่ยวข้องกับข้อมูลส่วนบุคคลตามบทบัญญัติของกฎหมาย

มาตรา 8 แห่งพระราชกฤษฎีกากำหนดการกระทำที่ต้องห้าม ได้แก่ การประมวลผลข้อมูลส่วนบุคคลโดยขัดต่อบทบัญญัติของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล การประมวลผลข้อมูลส่วนบุคคลเพื่อสร้างข้อมูลและข้อมูลที่มุ่งเป้าไปที่การต่อต้านสาธารณรัฐสังคมนิยมเวียดนาม การประมวลผลข้อมูลส่วนบุคคลเพื่อสร้างข้อมูลและข้อมูลที่ส่งผลต่อความมั่นคงของชาติ ความสงบเรียบร้อยและความปลอดภัยทางสังคม และสิทธิและผลประโยชน์ที่ถูกต้องตามกฎหมายขององค์กรและบุคคลอื่นๆ

นอกจากนี้ พระราชกฤษฎีกายังห้ามการกระทำอันเป็นการขัดขวางกิจกรรมการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานที่มีอำนาจ รวมถึงการใช้ประโยชน์จากกิจกรรมการคุ้มครองข้อมูลส่วนบุคคลเพื่อละเมิดกฎหมายอีกด้วย

กรณีการประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล

มาตรา 17 แห่งพระราชกฤษฎีกากำหนดกรณีการประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล ได้แก่ กรณีฉุกเฉินซึ่งจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องโดยทันทีเพื่อปกป้องชีวิตและสุขภาพของเจ้าของข้อมูลหรือบุคคลอื่น การเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด

พร้อมทั้งกรณีการประมวลผลข้อมูลโดยหน่วยงานรัฐที่มีอำนาจหน้าที่ในสถานการณ์ฉุกเฉินเกี่ยวกับการป้องกันประเทศ ความมั่นคงของชาติ ความสงบเรียบร้อยและความปลอดภัยทางสังคม ภัยพิบัติร้ายแรง และโรคระบาดอันตราย เมื่อมีภัยคุกคามต่อความมั่นคงหรือการป้องกันประเทศ แต่ไม่ถึงขั้นต้องประกาศสถานการณ์ฉุกเฉิน ป้องกันและปราบปรามการจลาจล การก่อการร้าย ป้องกันและปราบปรามอาชญากรรมและการฝ่าฝืนกฎหมาย ตามที่กฎหมายกำหนด

นอกจากนี้ ผู้ควบคุมและผู้ประมวลผลข้อมูลส่วนบุคคลอาจประมวลผลข้อมูลส่วนบุคคลโดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลเพื่อปฏิบัติตามภาระผูกพันตามสัญญาของเจ้าของข้อมูลกับหน่วยงาน องค์กร และบุคคลที่เกี่ยวข้องตามที่กฎหมายกำหนด รวมถึงกรณีการปฏิบัติหน้าที่การงานของหน่วยงานของรัฐตามกฎหมายเฉพาะทาง

ต้องตรวจสอบอายุเด็กก่อนดำเนินการประมวลผลข้อมูลส่วนบุคคลของเด็ก

พระราชกฤษฎีการะบุว่าการประมวลผลข้อมูลส่วนบุคคลของเด็กจะดำเนินการตามหลักการคุ้มครองสิทธิและคำนึงถึงผลประโยชน์สูงสุดของเด็กเสมอ

ดังนั้นการประมวลผลข้อมูลส่วนบุคคลของเด็กจะต้องได้รับความยินยอมจากเด็กในกรณีที่เด็กอายุ 7 ปีขึ้นไปและได้รับความยินยอมจากผู้ปกครองหรือผู้ดูแลตามที่กำหนด ยกเว้นในกรณีที่กำหนดไว้ในมาตรา 17

ผู้ควบคุมข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคล ผู้ควบคุมและประมวลผลข้อมูลส่วนบุคคล และบุคคลที่สาม จะต้องตรวจสอบอายุของเด็กก่อนที่จะประมวลผลข้อมูลส่วนบุคคลของเด็ก

พระราชกฤษฎีกายังกำหนดกรณีต่างๆ อีกหลายกรณีที่ฝ่ายต่างๆ จะต้องหยุดประมวลผลข้อมูลส่วนบุคคลของเด็ก ลบหรือทำลายข้อมูลส่วนบุคคลของเด็กอย่างถาวร (ยกเว้นในกรณีที่กฎหมายกำหนดไว้เป็นอย่างอื่น)

โดยเฉพาะอย่างยิ่งในกรณีที่การประมวลผลข้อมูลไม่ได้เป็นไปตามวัตถุประสงค์ที่ตั้งใจไว้หรือวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลได้รับการตอบสนองโดยมีความยินยอมของเจ้าของข้อมูล ผู้ปกครองหรือผู้ดูแลของเด็กถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของเด็ก หรือตามคำร้องขอของหน่วยงานที่มีอำนาจเมื่อมีหลักฐานเพียงพอที่จะพิสูจน์ได้ว่าการประมวลผลข้อมูลส่วนบุคคลส่งผลกระทบต่อสิทธิและผลประโยชน์ที่ถูกต้องตามกฎหมายของเด็ก