Крок вперед для забезпечення прав людини в цифровій трансформації

Захист персональних даних – це захист основних прав і свобод людини стосовно даних.

17 квітня 2023 року Уряд видав Постанову № 13/2023/ND-CP (Постанова) про захист персональних даних, яка набула чинності з 1 липня 2023 року, що відповідає вимогам захисту прав на персональні дані; запобігання актам порушення персональних даних, що впливають на права та інтереси фізичних осіб та організацій.

Основні моменти

Цей Декрет є правовим документом, що регулює захист персональних даних та відповідальність відповідних органів, організацій та осіб за захист персональних даних.

По-перше, захист персональних даних – це захист основних прав і свобод людини, пов’язаних з даними. Положення Декрету про захист персональних даних під час їхньої чинності спрямовані на запобігання порушенню особистих прав і свобод кожної особи.

Водночас, безпека персональних даних має особливе значення, оскільки крадіжка даних може спричинити економічні та соціальні втрати, такі ризики, як: шантаж, шахрайство, привласнення майна, наклеп, порушення честі, гідності, сексуальне насильство..., що спричиняє як матеріальні, так і духовні наслідки, безпосередньо впливаючи на права та законні інтереси установ, організацій, підприємств та фізичних осіб.

По-друге, заохочувати та поважати права суб’єктів персональних даних. Права суб’єктів персональних даних включають право на доступ, право на згоду чи відмову від обробки персональних даних, право на отримання інформації та право вимагати видалення даних...

Крім того, суб’єкти даних також мають право захищати себе від порушення їхніх персональних даних іншими суб’єктами. Суб’єкти мають право вимагати відшкодування збитків, якщо порушення положень Декрету завдає шкоди праву на захист персональних даних. Декрет також чітко передбачає, що збір, передача або купівля та продаж персональних даних без згоди суб’єкта є порушенням закону.

Однак право суб'єкта на захист персональних даних не є абсолютним правом, а може бути обмежене у надзвичайних випадках для захисту життя та здоров'я особи або інших осіб; надзвичайних ситуацій, пов'язаних з національною обороною, безпекою, соціальним порядком та безпекою; виконанням визначених договірних зобов'язань або обслуговуванням діяльності державних органів, як це передбачено спеціальними законами.

Надання винятків спрямоване на реалізацію принципу забезпечення прав окремих осіб та організацій, але не порушення законних прав та інтересів інших осіб та організацій чи національних інтересів під час здійснення цих прав.

По-третє, сприяти процесу міжнародної інтеграції з питань захисту персональних даних. Указ сумісний з міжнародною практикою та нормами щодо захисту персональних даних. Багато розвинених країн легалізували питання захисту персональних даних, що є основою для вивчення та посилання на нього у В'єтнамі.

Крім того, міжнародні організації, членом яких є В'єтнам або з якими В'єтнам співпрацює, видали конвенції, рекомендації та стандарти щодо конфіденційності та захисту інформації та персональних даних. До них належать принципи конфіденційності Організації економічного співробітництва та розвитку (ОЕСР), Конвенція Ради Європи про захист фізичних осіб стосовно автоматизованої обробки інформації та персональних даних, керівні принципи ООН щодо комп'ютеризованих персональних даних та інформаційних файлів, Рамкова програма конфіденційності Азіатсько- Тихоокеанського економічного співробітництва (АТЕС), міжнародні стандарти щодо конфіденційності та захисту інформації та персональних даних (Мадридська резолюція), Загальний регламент ЄС про захист даних (GDPR)...

Крім того, у процесі сприяння співпраці між нашою країною та іншими країнами та територіями понад 80 країн видали правові документи щодо захисту персональних даних, багато з яких містять положення, що застосовуються до в'єтнамських організацій та фізичних осіб. Тому конкретні та детальні правила захисту персональних даних спрямовані на створення середовища рівності та поваги до закону у В'єтнамі, зокрема для іноземних фізичних осіб та організацій.

Виклики

Наразі існує багато суттєвих труднощів у виконанні Указу.

По-перше, це проблема управління працівниками підприємств. Наразі багато підприємств будують модель материнської компанії, дочірньої компанії з однаковою екосистемою управління, інформація про працівників може бути легко доступна із спільної системи.

Однак, згідно з в'єтнамським законодавством, кожна компанія (включаючи материнські компанії та дочірні компанії) вважається окремою та незалежною юридичною особою, тому передача персональних даних співробітників компаніями в одній екосистемі для обслуговування внутрішнього процесу управління підприємством також може вважатися порушенням обов'язку підприємства щодо захисту персональних даних.

З іншого боку, наразі багато підприємств стикаються з труднощами у впровадженні Декрету та ще не завершили механізм та нормативні акти щодо управління та захисту персональних даних працівників відповідно до Декрету.

По-друге, це не відповідає правовим нормам щодо діяльності кредитних установ. Наразі діяльність кредитних установ регулюється спеціалізованими правовими нормами, такими як: Закон про кредитні установи 2010 року (зі змінами та доповненнями у 2014 році); Закон про боротьбу з відмиванням грошей; Декрет 117/2018/ND-CP про збереження конфіденційності та надання інформації про клієнтів кредитних установ та філій іноземних банків; Циркуляр 09/2020/TT-NHNN Державного банку, що регулює безпеку інформаційних систем у банківських операціях на рівні, нижчому за Закон.

З іншого боку, для банківської діяльності обробка даних стосується персональних даних, таких як: збір, запис, аналіз, підтвердження, зберігання, редагування, оприлюднення, об'єднання, доступ, пошук, відкликання, кодування, декодування, копіювання, обмін, передача, надання, перенесення, видалення, знищення персональних даних або інші пов'язані з цим дії є важливими для надання послуг клієнтам та управління ризиками в банківській діяльності, забезпечення безпеки та захисту грошової системи, тому багато видів діяльності з обробки персональних даних клієнтів не можуть і не вимагають згоди клієнтів, тоді як пункт 2 статті 3 та пункт 1 статті 9 Декрету передбачають, що суб'єкти мають право знати про обробку своїх персональних даних, крім випадків, коли інші закони передбачають інше.

Або ж у пункті 2 статті 9 зазначено, що суб’єкт має право не давати згоди на обробку своїх персональних даних; суб’єкт має право на видалення, доступ, вимагання обмеження обробки даних та заперечення проти обробки даних, крім випадків, коли інший закон містить інші положення у статті 9. Таким чином, жорстке застосування Декрету без єдиного керівництва призведе до плутанини та недоречності.

Крім того, надання послуг та продуктів кредитними установами здійснюється через багато процесів на одному продукті, кожен процес на одному продукті включає багато різних кроків та пов'язаний зі збором, оцінкою, аналізом та наданням даних про дуже великі файли клієнтів, тоді як Декрет вимагає від Контролера та Обробника персональних даних отримувати згоду суб'єкта даних (клієнта) на всі процедури обробки під час проведення будь-яких дій з обробки даних (Стаття 11); та перед проведенням дій з обробки даних повинні повідомити суб'єкта персональних даних (Стаття 13). Це продовжує бути ще однією перешкодою для діяльності кредитних установ.

Крім того, кредитні установи повинні адаптувати свої інформаційно-технологічні системи та інші підзаконні документи, що стосуються діяльності кредитних установ; шаблони договорів та угод мають бути переглянуті відповідно до Указу, що створює значні труднощі для банківських операцій.

По-третє, багато людей не розуміють і не усвідомлюють захисту своїх персональних даних, тому вони легко діляться особистою інформацією в соціальних мережах, ненавмисно дозволяючи зловмисникам використовувати її у злих цілях.

Деякі люди не чітко розуміють цінність захисту персональних даних як забезпечення особистої конфіденційності, а також бояться надавати персональну інформацію, що створює труднощі для органів влади у здійсненні державного управління захистом персональних даних, а також у розслідуванні та вирішенні справ про порушення законодавства про захист персональних даних.

Крім того, ситуація з купівлею та продажем персональних даних, ризик витоку інформації, створює серйозні наслідки, впливаючи на економічні та соціальні проблеми. Шахрайські явища, спам-реклама через дзвінки та повідомлення, все ще залишаються складними, впливаючи на життя людей.

Безпека персональних даних має особливе значення, оскільки крадіжка даних може спричинити економічні та соціальні втрати, безпосередньо впливаючи на права та законні інтереси установ, організацій, підприємств та окремих осіб. (Джерело: Shutterstock)

Впровадження Указу на практиці

В'єтнам є однією з країн з найвищим рівнем розвитку Інтернету та швидкості роботи додатків у світі, маючи понад 70 мільйонів користувачів. Персональні дані понад 2/3 населення нашої країни зберігалися, публікувалися, поширювалися та збиралися в цифровому середовищі, кіберпросторі з різними формами та рівнями деталізації.

Цей Указ є проривом у забезпеченні прав людини в умовах цифрової трансформації, подоланні недоліків та неадекватності в практиці забезпечення, захисту та захисту персональних даних, підвищенні відповідальності вітчизняних та іноземних органів, організацій та осіб, які безпосередньо беруть участь у діяльності з обробки персональних даних у В'єтнамі або пов'язані з нею.

Для того, щоб Указ був справді ефективним на практиці, необхідно зосередитися на таких питаннях:

По-перше, підвищити відповідальність підприємств щодо захисту прав працівників. При використанні робочої сили підприємства повинні збирати та зберігати інформацію про працівників. Для управління трудовими ресурсами роботодавці та підприємства отримують та керують великою кількістю особистої інформації від працівників, але якщо вони недбало поводяться з інформацією та обробляють її, це призведе до непередбачуваних наслідків.

Підприємствам необхідно ретельно вивчити та всебічно оцінити вплив Указу, оперативно переглянути та оновити процедури й інструкції щодо обробки персональних даних відповідно до нових правил; розглянути можливість створення механізмів та правил управління на основі положень Указу; підтримувати та дотримуватися цих механізмів та правил протягом усього процесу діяльності.

По-друге, усунути труднощі для кредитної діяльності кредитних установ . Державному банку необхідно тісно координувати свою діяльність з відповідними міністерствами, особливо з Міністерством громадської безпеки, для видання єдиних інструкцій щодо захисту персональних даних у кредитному секторі, забезпечуючи як просування операційної відповідальності кредитних установ щодо захисту даних клієнтів, так і виконання спеціалізованих вимог та завдань.

По-третє, для того, щоб Указ справді набув чинності, необхідно провести якісну пропагандистську та освітню роботу з популяризації закону. Зокрема, необхідно наголосити на необхідності оприлюднення Указу з найвищою метою поваги та захисту громадянських прав та прав людини. І, перш за все, суб'єкт персональних даних повинен сам глибоко розуміти та підвищувати свою обізнаність та відповідальність щодо захисту персональних даних.