Створення правової бази для захисту персональних даних

Продовжуючи програму 43-ї сесії, 11 березня вдень Постійний комітет Національних зборів надав висновки щодо проекту Закону про захист персональних даних.

7 принципів захисту персональних даних

У заяві уряду зазначалося, що хоча у В'єтнамі існує до 69 правових документів, безпосередньо пов'язаних із захистом персональних даних, усі вони ще не узгодили концепцію та зміст персональних даних та захисту персональних даних. Лише Урядовий указ № 13/2023/ND-CP від ​​17 квітня 2024 року про захист персональних даних містить визначення цих двох понять.

Однак, це лише Указ, а не Закон, тому його потрібно однаково застосовувати на практиці. Потрібен Закон як «оригінальний закон» з принципами, що сприятимуть подальшому інституціоналізації положень Конституції та законів щодо права на захист особистої недоторканності та прав людини.

Розробка Закону про захист персональних даних має на меті вдосконалити правову систему захисту персональних даних у нашій країні, створити правовий коридор для захисту персональних даних, покращити можливості захисту персональних даних для вітчизняних організацій та фізичних осіб на міжнародному та регіональному рівнях; сприяти законному використанню персональних даних для соціально -економічного розвитку.

Проект Закону про захист персональних даних складається з 7 розділів та 69 статей; вони регулюють захист персональних даних та відповідальність відповідних органів, організацій та фізичних осіб за захист персональних даних, і мають 7 основних змістів, зокрема:

Уніфікувати термінологію та розвинути деякі важливі концепції щодо захисту персональних даних, такі як: персональні дані; захист персональних даних; уточнити поняття та зміст основних персональних даних, чутливих персональних даних, неперсональних даних, анонімізація персональних даних; точно та повно визначити діяльність з обробки персональних даних; ролі сторін у діяльності з обробки.

Розробити 7 принципів захисту персональних даних, зокрема: законність, прозорість, цілеспрямованість, обмеження, точність, безпека, обмежений час зберігання та підзвітність.

Визначає права та обов'язки суб'єктів даних.

Положення про умови захисту персональних даних для організацій, що надають послуги з обробки персональних даних; послуги, що надають послуги з захисту персональних даних, організації та експерти з захисту персональних даних; послуги з кредитного рейтингу захисту персональних даних; послуги з сертифікації кваліфікації у сфері захисту персональних даних.

Вимагає оцінки впливу обробки персональних даних та передачі персональних даних за кордон як юридичного зобов'язання щодо діяльності з обробки персональних даних. Для відповідності розвитку науки і техніки, сучасним типам підприємств, проект не передбачає форму попередньої перевірки (реєстрації), але проводить пост-інспекцію (перевірку, оцінку) обробки персональних даних та передачі персональних даних через кордон.

Повні положення про основні заходи захисту персональних даних, чутливі персональні дані, умови забезпечення діяльності із захисту персональних даних, спеціалізовані органи із захисту персональних даних та Національний інформаційний портал із захисту персональних даних.

Положення про державне управління захистом персональних даних, обов'язки відповідних міністерств та галузей у напрямку Уряду, що уніфікують здійснення державного управління захистом персональних даних; Міністерство громадської безпеки є центральним органом, відповідальним перед Урядом за здійснення державного управління персональними даними, за винятком сфери діяльності Міністерства національної оборони; обов'язки контролера персональних даних, обробника даних, контролера та обробника даних, третіх осіб, відповідних організацій та фізичних осіб.

Перегляд та доповнення заборонених дій

Під час попереднього розгляду проекту Закону Комітет Національної Асамблеї з питань національної оборони, безпеки та закордонних справ зазначив, що персональні дані відіграють особливо важливу роль, є стратегічним джерелом даних та мають прямий і всебічний вплив на політику, економіку, суспільство, національну оборону, безпеку та закордонні справи країни. Однак робота із захисту персональних даних у минулому була неефективною, що дозволяло здійснювати діяльність зі збору, атаки, привласнення та незаконної купівлі-продажу персональних даних.

Голова Комітету з питань національної оборони, безпеки та закордонних справ Ле Тан Той.

Хоча наразі існує багато правових документів, пов’язаних із захистом персональних даних, їхній зміст все ще є розрізненим та суперечливим. Постанова Уряду № 13/2023/ND-CP від ​​17 квітня 2024 року про захист персональних даних спочатку набула чинності, але є підзаконним документом, не гарантує юридичної сили, не відповідає положенням Конституції та не є достатньо сильною для запобігання порушенням та їх вирішення.

Тому вкрай необхідною є розробка Закону про захист персональних даних, який би відповідав вимогам захисту персональних даних; запобігав актам порушення конфіденційності персональних даних; посилював відповідальність органів, організацій та фізичних осіб; забезпечував юридичну силу для єдиного впровадження.

Щодо заборонених дій (стаття 7), Голова Комітету Ле Тан Той зазначив, що в деяких висновках пропонується переглянути та доповнити інші заборонені дії, щоб повністю охопити кожну групу діяльності та кожен тип суб'єкта захисту персональних даних. Були висновки, що пропонують доповнити заборонені дії, пов'язані з 5 формами купівлі-продажу персональних даних, як зазначено у поданні Уряду.

Щодо захисту персональних даних у маркетингових та рекламних послугах, Постійний комітет Комітету з питань національної оборони, безпеки та закордонних справ загалом погоджується з цим положенням. Однак є думки, що положення, яке забороняє найм третіх сторін, є непрактичним та непридатним для практики, оскільки маркетингова та рекламна галузь залежить від цифрової екосистеми.

Існують пропозиції, що третій стороні можна дозволити це робити, якщо гарантовано безпеку, є договір із чіткими обов’язками, а також мають бути перехідні положення, подібні до положень про організації із захисту персональних даних та експертів із захисту персональних даних у статті 68 проекту Закону.

Крім того, інспекційне відомство також запропонувало ретельно переглянути положення про організації із захисту персональних даних (стаття 39), експертів із захисту персональних даних (стаття 40), бізнес-послуги організацій із захисту персональних даних, експертів із захисту персональних даних (стаття 41), щоб забезпечити виконання вимог державного управління та заохотити творчість, вивільнити всі виробничі потужності та відкрити всі ресурси для розвитку; ретельно скоротити та спростити адміністративні процедури, інвестиційні умови для виробництва та бізнесу, зменшити витрати на дотримання вимог та створити максимально сприятливі умови для людей та бізнесу.