Beim Schutz personenbezogener Daten handelt es sich um den Schutz der grundlegenden Menschenrechte und Freiheiten in Bezug auf Daten.

Am 17. April 2023 erließ die Regierung das Dekret Nr. 13/2023/ND-CP (Dekret) zum Schutz personenbezogener Daten, das ab dem 1. Juli 2023 in Kraft tritt und die Anforderungen zum Schutz der Rechte an personenbezogenen Daten erfüllt. Verhindern Sie Verstöße gegen den Datenschutz, die die Rechte und Interessen von Einzelpersonen und Organisationen beeinträchtigen.

Highlights

Das Dekret ist ein Rechtsdokument, das den Schutz personenbezogener Daten und die Verantwortung der entsprechenden Behörden, Organisationen und Einzelpersonen zum Schutz personenbezogener Daten regelt.

Erstens geht es beim Schutz personenbezogener Daten um den Schutz grundlegender Menschenrechte und Freiheiten im Zusammenhang mit Daten. Die Bestimmungen des Dekrets zum Schutz personenbezogener Daten im Betrieb zielen darauf ab, die Verletzung der persönlichen Rechte und Freiheiten jeder Person zu verhindern.

Gleichzeitig ist die Sicherheit personenbezogener Daten von besonderer Bedeutung, da der Diebstahl von Daten wirtschaftliche und soziale Verluste verursachen kann und Risiken birgt wie: Erpressung, Betrug, Enteignung von Eigentum, Verleumdung, Verletzung der Ehre oder Würde, sexueller Missbrauch usw. Dies kann sowohl materielle als auch geistige Folgen haben und die Rechte und legitimen Interessen von Behörden, Organisationen, Unternehmen und Einzelpersonen direkt beeinträchtigen.

Zweitens: Förderung und Achtung der Rechte der Betroffenen personenbezogener Daten. Zu den Rechten der betroffenen Personen gehören das Recht auf Zugriff, das Recht auf Einwilligung oder Widerspruch gegen die Verarbeitung personenbezogener Daten, das Recht auf Information und das Recht, die Löschung von Daten zu verlangen.

Darüber hinaus haben betroffene Personen auch das Recht, sich vor der Verletzung ihrer personenbezogenen Daten durch andere Personen zu schützen. Bei Verstößen gegen die Bestimmungen der Verordnung, die eine Beeinträchtigung des Rechts auf Schutz personenbezogener Daten zur Folge haben, hat die betroffene Person das Recht, Schadensersatz zu verlangen. Das Dekret legt außerdem klar fest, dass das Sammeln, Übermitteln oder Kaufen und Verkaufen personenbezogener Daten ohne die Zustimmung der betroffenen Person einen Verstoß gegen das Gesetz darstellt.

Das Recht der betroffenen Person auf Schutz personenbezogener Daten ist jedoch kein absolutes Recht, sondern kann in Notfällen eingeschränkt werden, um das Leben und die Gesundheit der betroffenen Person oder anderer zu schützen. Ausnahmezustand hinsichtlich der Landesverteidigung, der nationalen Sicherheit, der sozialen Ordnung und Sicherheit; Erfüllung vertraglicher Verpflichtungen gemäß den Bestimmungen oder Erbringung staatlicher Aufgaben gemäß den Vorschriften der Fachgesetze.

Ziel der Ausnahmeregelungen ist es, den Grundsatz umzusetzen, die Rechte von Einzelpersonen und Organisationen zu gewährleisten, ohne jedoch die legitimen Interessen anderer Einzelpersonen oder Organisationen oder die nationalen Interessen bei der Ausübung dieser Rechte zu verletzen.

Drittens: Förderung der internationalen Integration im Bereich des Schutzes personenbezogener Daten. Das Dekret steht im Einklang mit internationalen Praktiken und Vorschriften zum Schutz personenbezogener Daten. In vielen Industrieländern ist der Schutz personenbezogener Daten gesetzlich verankert. Für Vietnam ist dies eine Grundlage für seine Forschung und Bezugnahme.

Darüber hinaus haben internationale Organisationen, denen Vietnam angehört oder mit denen unser Land zusammenarbeitet, Konventionen, Empfehlungen und Standards zum Datenschutz und zum Schutz persönlicher Informationen und Daten herausgegeben. Hierzu zählen die Datenschutzgrundsätze der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD), das Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung von Informationen und personenbezogenen Daten, die Leitlinien der UNO zu computergestützten personenbezogenen Daten und Informationsdateien, das Datenschutzrahmenwerk der Asiatisch-Pazifischen Wirtschaftsgemeinschaft (APEC), internationale Standards zum Schutz der Privatsphäre und zum Schutz von Informationen und personenbezogenen Daten (Madrid Resolution), die Datenschutz-Grundverordnung (DSGVO) der EU usw.

Darüber hinaus haben im Zuge der Förderung der Zusammenarbeit zwischen unserem Land und anderen Ländern und Gebieten mehr als 80 Länder Rechtsdokumente zum Schutz personenbezogener Daten erlassen, von denen viele Bestimmungen enthalten, die für vietnamesische Organisationen und Einzelpersonen gelten. Daher zielen spezifische und detaillierte Bestimmungen zum Schutz personenbezogener Daten darauf ab, in Vietnam ein gleichberechtigtes und gesetzestreues Umfeld zu schaffen, auch für ausländische Einzelpersonen und Organisationen.

Die Herausforderungen

Derzeit bestehen bei der Umsetzung des Dekrets noch erhebliche Herausforderungen.

Erstens die Herausforderung im Personalmanagement der Unternehmen. Heutzutage bauen viele Unternehmen ein Modell auf, bei dem Mutter- und Tochterunternehmen dasselbe Management-Ökosystem nutzen und auf Mitarbeiterinformationen über das gemeinsame System leicht zugegriffen werden kann.

Allerdings wird nach vietnamesischem Recht jedes Unternehmen (einschließlich Mutter- und Tochtergesellschaften) als separate und unabhängige juristische Person betrachtet, sodass die Übermittlung personenbezogener Daten von Mitarbeitern durch Unternehmen im selben Ökosystem zur Unterstützung des internen Managementprozesses des Unternehmens auch als Verstoß gegen die Verantwortung des Unternehmens zum Schutz personenbezogener Daten angesehen werden kann.

Andererseits haben viele Unternehmen derzeit Schwierigkeiten, das Dekret umzusetzen, und haben die Mechanismen und Vorschriften zur Verwaltung und zum Schutz der personenbezogenen Daten ihrer Mitarbeiter gemäß dem Dekret noch nicht fertiggestellt.

Zweitens steht es nicht im Einklang mit den gesetzlichen Bestimmungen zur Tätigkeit von Kreditinstituten. Derzeit wird die Tätigkeit von Kreditinstituten durch spezielle Rechtsvorschriften geregelt, wie etwa: Gesetz über Kreditinstitute 2010 (geändert und ergänzt im Jahr 2014); Gesetz zur Bekämpfung der Geldwäsche; Dekret 117/2018/ND-CP über die Vertraulichkeit und Bereitstellung von Kundeninformationen von Kreditinstituten und ausländischen Bankfilialen; Rundschreiben 09/2020/TT-NHNN der Staatsbank zur Regelung der Informationssystemsicherheit bei Bankaktivitäten auf der Ebene unterhalb des Gesetzes.

Bei Bankgeschäften hingegen betrifft die Datenverarbeitung personenbezogene Daten, etwa: Das Erfassen, Aufzeichnen, Analysieren, Bestätigen, Speichern, Bearbeiten, Veröffentlichen, Kombinieren, Zugreifen, Abrufen, Wiederaufrufen, Verschlüsseln, Entschlüsseln, Kopieren, Teilen, Übermitteln, Bereitstellen, Übermitteln, Löschen, Vernichten personenbezogener Daten oder andere damit verbundene Aktionen sind für die Bereitstellung von Dienstleistungen für Kunden und das Risikomanagement bei Bankgeschäften sowie die Gewährleistung der Sicherheit des Währungssystems unerlässlich. Daher ist für viele Aktivitäten zur Verarbeitung personenbezogener Kundendaten keine Zustimmung des Kunden erforderlich und dies auch nicht. In Absatz 2, Artikel 3 und Absatz 1, Artikel 9 des Dekrets ist festgelegt, dass die betroffenen Personen das Recht haben, über die Verarbeitung ihrer personenbezogenen Daten informiert zu werden, sofern in anderen Gesetzen nichts anderes bestimmt ist.

Oder in Absatz 2, Artikel 9 wird festgelegt, dass die betroffene Person das Recht hat, der Verarbeitung ihrer personenbezogenen Daten nicht zuzustimmen; Die betroffene Person hat das Recht auf Löschung, Zugriff, Beantragung einer Einschränkung der Datenverarbeitung und Widerspruch gegen die Datenverarbeitung, außer in Fällen, in denen andere Gesetze in Artikel 9 etwas anderes vorsehen. Daher wäre es verwirrend und unangemessen, wenn das Dekret starr und ohne einheitliche Leitlinien angewendet würde.

Darüber hinaus erfolgt die Bereitstellung von Dienstleistungen und Produkten durch Kreditinstitute gemäß vielen Prozessen an einem Produkt, wobei jeder Prozess an einem Produkt viele verschiedene Schritte umfasst und mit der Erhebung, Auswertung, Analyse und Bereitstellung von Daten aus sehr großen Kundendateien verbunden ist, während das Dekret verlangt, dass die Partei, die personenbezogene Daten kontrolliert und verarbeitet, bei der Durchführung jeglicher Datenverarbeitungsaktivitäten die Zustimmung der betroffenen Person (des Kunden) zu allen Verarbeitungsverfahren einholt (Artikel 11); und muss die betroffene Person vor der Durchführung von Datenverarbeitungstätigkeiten benachrichtigen (Artikel 13). Dies stellt weiterhin ein weiteres Hindernis für die Geschäftstätigkeit der Kreditinstitute dar.

Darüber hinaus müssen Kreditinstitute ihre Informationstechnologiesysteme und andere untergesetzliche Dokumente im Zusammenhang mit der Geschäftstätigkeit von Kreditinstituten anpassen. Vertrags- und Vereinbarungsdokumente müssen bearbeitet werden, um dem Dekret zu entsprechen, was für den Bankbetrieb erhebliche Schwierigkeiten mit sich bringt.

Drittens ist sich ein Teil der Bevölkerung nicht darüber im Klaren, wie man seine persönlichen Daten schützt, und gibt daher leichtfertig persönliche Informationen auf Social-Networking-Plattformen weiter, wodurch es unabsichtlich Kriminellen ermöglicht wird, diese Informationen für böse Zwecke auszunutzen.

Manche Menschen sind sich des Wertes des Schutzes personenbezogener Daten hinsichtlich der Wahrung der Privatsphäre nicht ganz bewusst und haben Angst, persönliche Informationen preiszugeben. Dies erschwert den Behörden die staatliche Verwaltung des Schutzes personenbezogener Daten sowie die Untersuchung und Behandlung von Verstößen gegen das Gesetz zum Schutz personenbezogener Daten.

Darüber hinaus hat der Kauf und Verkauf personenbezogener Daten und das damit verbundene Risiko eines Informationsverlusts schwerwiegende Folgen und wirkt sich auf sozioökonomische Probleme aus. Betrug und Spam-Werbung über Anrufe und Textnachrichten sind nach wie vor kompliziert und beeinträchtigen das Leben der Menschen.

Die Sicherheit personenbezogener Daten ist von besonderer Bedeutung, da der Diebstahl von Daten wirtschaftliche und soziale Verluste verursachen und die Rechte und legitimen Interessen von Behörden, Organisationen, Unternehmen und Einzelpersonen direkt beeinträchtigen kann. (Quelle: Shutterstock)

Umsetzung des Dekrets in die Praxis

Vietnam ist mit mehr als 70 Millionen Nutzern eines der Länder mit der höchsten Internetentwicklung und Anwendungsgeschwindigkeit weltweit. Personenbezogene Daten von mehr als zwei Dritteln der Bevölkerung unseres Landes wurden und werden in unterschiedlicher Form und Detailliertheit in der digitalen Umgebung und im Cyberspace gespeichert, veröffentlicht, weitergegeben und gesammelt.

Das Dekret stellt einen Durchbruch bei der Gewährleistung der Menschenrechte im digitalen Wandel dar, überwindet Mängel und Unzulänglichkeiten bei der Gewährleistung, dem Schutz und der Sicherung personenbezogener Daten und erhöht die Verantwortung in- und ausländischer Behörden, Organisationen und Einzelpersonen, die in Vietnam direkt an der Verarbeitung personenbezogener Daten beteiligt sind oder damit in Zusammenhang stehen.

Damit das Dekret in der Praxis wirklich wirksam ist, müssen folgende Punkte berücksichtigt werden:

Eine davon besteht darin, die Verantwortung der Unternehmen beim Schutz der Arbeitnehmerrechte zu stärken. Bei der Beschäftigung von Arbeitskräften müssen Unternehmen Mitarbeiterdaten erfassen und speichern. Um die Arbeitsorganisation zu gewährleisten, erhalten und verwalten Arbeitgeber und Unternehmen zahlreiche persönliche Informationen ihrer Mitarbeiter. Gehen sie bei der Verwaltung und Verarbeitung der Informationen jedoch nachlässig vor, kann dies zu unvorhersehbaren Konsequenzen führen.

Unternehmen müssen die Auswirkungen des Dekrets sorgfältig studieren und umfassend bewerten sowie Verfahren und Anweisungen zum Umgang mit personenbezogenen Daten gemäß den neuen Vorschriften umgehend überprüfen und aktualisieren. Erwägen Sie die Einrichtung von Mechanismen und die Regelung der Gebäudeverwaltung auf der Grundlage der Bestimmungen des Dekrets. diese Mechanismen und Vorschriften während des gesamten Betriebs aufrechtzuerhalten und einzuhalten.

Zweitens: Beseitigung von Schwierigkeiten bei der Kredittätigkeit der Kreditinstitute . Die Staatsbank muss eng mit den zuständigen Ministerien, insbesondere dem Ministerium für öffentliche Sicherheit, zusammenarbeiten, um einheitliche Richtlinien zum Schutz personenbezogener Daten im Kreditsektor bereitzustellen. Dabei muss sie sowohl die Förderung der operativen Verantwortung der Kreditinstitute beim Schutz von Kundendaten sicherstellen als auch spezielle Anforderungen und Aufgaben erfüllen.

Drittens: Damit das Dekret tatsächlich in die Tat umgesetzt werden kann, ist eine gute Propaganda- und Aufklärungsarbeit erforderlich, um das Gesetz bekannt zu machen. Insbesondere muss die Notwendigkeit hervorgehoben werden, ein Dekret zu erlassen, dessen oberstes Ziel die Achtung und der Schutz der Bürger- und Menschenrechte ist. Und vor allem muss der Betroffene selbst die Datenschutzbestimmungen gründlich verstehen und sich seiner Verantwortung für den Schutz personenbezogener Daten bewusst werden.