Меры по обеспечению прав человека в условиях цифровой трансформации

Защита персональных данных — это защита основных прав и свобод человека в отношении данных.

17 апреля 2023 года Правительство издало Постановление № 13/2023/ND-CP (далее — Постановление) о защите персональных данных, вступающее в силу с 1 июля 2023 года, отвечающее требованиям по защите прав субъектов персональных данных; Предотвращать нарушения прав на персональные данные, затрагивающие права и интересы граждан и организаций.

Основные моменты

Постановление является правовым документом, регламентирующим защиту персональных данных и ответственность соответствующих органов, организаций и лиц за защиту персональных данных.

Во-первых, защита персональных данных заключается в защите основных прав и свобод человека в отношении данных. Действующие положения Декрета о защите персональных данных направлены на предотвращение нарушения личных прав и свобод каждого человека.

При этом безопасность персональных данных имеет особое значение, поскольку кража данных может повлечь за собой экономические и социальные потери, такие риски, как: шантаж, мошенничество, присвоение имущества, клевета, посягательство на честь, достоинство, сексуальное насилие..., вызывающие как материальные, так и духовные последствия, напрямую затрагивающие права и законные интересы учреждений, организаций, предприятий и граждан.

Во-вторых, поощрять и уважать права субъектов персональных данных. Права субъектов персональных данных включают право на доступ, право давать согласие или возражать против обработки персональных данных, право быть информированным и право требовать удаления данных…

Кроме того, субъекты данных также имеют право защищать себя от посягательств на их персональные данные со стороны других субъектов. Субъект имеет право требовать возмещения ущерба в случае нарушения положений Указа, повлекшего за собой ущерб праву на защиту персональных данных. В Указе также четко указано, что сбор, передача или купля-продажа персональных данных без согласия субъекта является нарушением закона.

Однако право субъекта на защиту персональных данных не является абсолютным правом, а может быть ограничено в экстренных случаях для защиты жизни и здоровья самого человека или других лиц; чрезвычайное положение в интересах национальной обороны, национальной безопасности, общественного порядка и безопасности; выполнять договорные обязательства в порядке, установленном законодательством, или осуществлять деятельность государственных органов в порядке, установленном специальными законами.

Предоставление исключений направлено на реализацию принципа обеспечения прав отдельных лиц и организаций, но не ущемления законных интересов других лиц, организаций или национальных интересов при осуществлении этих прав.

В-третьих, содействовать международной интеграции в области защиты персональных данных. Указ соответствует международной практике и нормам в области защиты персональных данных. Во многих развитых странах вопрос защиты персональных данных узаконен, что является для Вьетнама основой для исследований и ссылок.

Кроме того, международные организации, членом которых является Вьетнам или с которыми он сотрудничает, выпустили конвенции, рекомендации и стандарты по вопросам конфиденциальности и защиты личной информации и данных. К ним относятся принципы конфиденциальности Организации экономического сотрудничества и развития (ОЭСР), Конвенция Совета Европы о защите лиц при автоматизированной обработке информации и персональных данных, Руководящие принципы ООН в отношении компьютеризированных персональных данных и информационных файлов, Рамочная основа конфиденциальности Азиатско-Тихоокеанского экономического сотрудничества (АТЭС), международные стандарты конфиденциальности и защиты информации и персональных данных (Мадридская резолюция), Общий регламент ЕС по защите данных (GDPR)...

Кроме того, в процессе развития сотрудничества нашей страны с другими странами и территориями более 80 стран выпустили правовые документы о защите персональных данных, многие из которых содержат положения, применимые к вьетнамским организациям и частным лицам. Таким образом, конкретные и подробные правила защиты персональных данных направлены на создание равноправной и законопослушной среды во Вьетнаме, в том числе для иностранных лиц и организаций.

Проблемы

В настоящее время сохраняются значительные трудности в реализации Указа.

Во-первых, проблема управления трудовыми ресурсами на предприятиях. В настоящее время многие предприятия выстраивают модель, в которой материнская компания и дочерние компании используют одну и ту же экосистему управления, а доступ к информации о сотрудниках можно легко получить из общей системы.

Однако в соответствии с вьетнамским законодательством каждая компания (включая материнские компании и дочерние компании) считается отдельным и независимым юридическим лицом, поэтому передача персональных данных сотрудников компаниями в той же экосистеме для обслуживания внутреннего процесса управления предприятием также может считаться нарушением обязанности предприятия по защите персональных данных.

С другой стороны, в настоящее время многие предприятия сталкиваются с трудностями в реализации Указа и до сих пор не доработали механизм и регламенты управления и защиты персональных данных работников в соответствии с Указом.

Во-вторых, это не соответствует правовым нормам, регулирующим деятельность кредитных организаций. В настоящее время деятельность кредитных организаций регулируется специализированными правовыми актами, такими как: Закон «О кредитных организациях» 2010 года (с изменениями и дополнениями 2014 года); Закон о противодействии отмыванию денег; Постановление 117/2018/ND-CP о конфиденциальности и предоставлении информации о клиентах кредитных организаций и филиалов иностранных банков; Циркуляр 09/2020/TT-NHNN Государственного банка, регулирующий безопасность информационных систем в банковской деятельности на уровне ниже Закона.

С другой стороны, для банковской деятельности обработка данных затрагивает персональные данные, такие как: сбор, запись, анализ, подтверждение, хранение, редактирование, публикация, объединение, доступ, извлечение, отзыв, шифрование, расшифровка, копирование, обмен, передача, предоставление, перенос, удаление, уничтожение персональных данных или иные связанные с этим действия необходимы для предоставления услуг клиентам и управления рисками в банковской деятельности, обеспечения безопасности и защищенности денежной системы, поэтому многие виды деятельности по обработке персональных данных клиентов не могут и не требуют согласия клиентов, в то время как пункт 2 статьи 3 и пункт 1 статьи 9 Декрета предусматривают, что субъекты имеют право знать об обработке своих персональных данных, за исключением случаев, когда иное предусмотрено другими Законами.

Или в пункте 2 статьи 9 указано, что субъект имеет право не давать согласие на обработку своих персональных данных; Субъект имеет право удалять, получать доступ, запрашивать ограничение обработки данных и возражать против обработки данных, за исключением случаев, когда другие законы предусматривают иное в статье 9. Таким образом, будет запутанным и нецелесообразным, если Указ будет применяться жестко и без единых указаний.

Кроме того, предоставление услуг и продуктов кредитными организациями осуществляется по многим процессам по одному продукту, каждый процесс по одному продукту включает в себя множество различных шагов и связан со сбором, оценкой, анализом и предоставлением данных по очень большим клиентским файлам, при этом Декрет требует, чтобы Сторона, контролирующая и обрабатывающая персональные данные, при осуществлении любых действий по обработке данных имела согласие субъекта данных (клиента) на все процедуры обработки (статья 11); и обязан уведомить субъекта персональных данных до начала осуществления деятельности по обработке данных (статья 13). Это продолжает оставаться еще одним препятствием для деятельности кредитных организаций.

Кроме того, кредитные организации должны скорректировать свои информационно-технологические системы и другие подзаконные акты, касающиеся деятельности кредитных организаций; Договорные и соглашенные документы должны быть отредактированы в соответствии с Указом, что создает немалые трудности для банковских операций.

В-третьих, часть населения не понимает и не осознает необходимости защиты своих персональных данных, поэтому они с легкостью делятся личной информацией в социальных сетях, непреднамеренно позволяя злоумышленникам использовать ее в неблаговидных целях.

Некоторые люди не осознают четко ценность защиты персональных данных как обеспечения личной неприкосновенности, а также опасаются предоставлять персональные данные, что создает трудности для органов власти при осуществлении государственного управления защитой персональных данных, а также при расследовании и рассмотрении нарушений законодательства о защите персональных данных.

Кроме того, ситуация купли-продажи персональных данных, риск утечки информации создают серьезные последствия, затрагивая социально-экономические вопросы. Мошенничество и спам-реклама посредством звонков и текстовых сообщений по-прежнему сложны и оказывают влияние на жизни людей.

Безопасность персональных данных имеет особое значение, поскольку кража данных может повлечь за собой экономические и социальные потери, напрямую затрагивая права и законные интересы учреждений, организаций, предприятий и отдельных лиц. (Источник: Shutterstock)

Реализация Указа на практике

Вьетнам является одной из стран с самой высокой скоростью развития и использования Интернета в мире: число пользователей превышает 70 миллионов. Персональные данные более 2/3 населения нашей страны хранились, размещались, передавались и собирались в цифровой среде и киберпространстве в различных формах и с разной степенью детализации.

Указ представляет собой прорыв в обеспечении прав человека в условиях цифровой трансформации, преодолении недостатков и несоответствий в практике обеспечения, защиты и обеспечения безопасности персональных данных, а также повышении ответственности отечественных и иностранных учреждений, организаций и лиц, непосредственно участвующих или связанных с деятельностью по обработке персональных данных во Вьетнаме.

Для того чтобы Указ был действительно эффективным на практике, необходимо сосредоточить внимание на следующих вопросах:

Одна из них — повышение ответственности предприятий за защиту прав трудящихся. При найме рабочей силы предприятия обязаны собирать и хранить информацию о сотрудниках. В целях управления трудовыми ресурсами работодатели и предприятия получают и обрабатывают большой объем личной информации от сотрудников, но если они будут небрежны в управлении и обработке информации, это приведет к непредсказуемым последствиям.

Предприятиям необходимо тщательно изучить и всесторонне оценить последствия Указа, оперативно пересмотреть и обновить процедуры и инструкции по работе с персональными данными в соответствии с новыми правилами; Рассмотреть возможность создания механизмов и разработки правил управления на основе положений Указа; поддерживать и соблюдать эти механизмы и правила на протяжении всей операции.

Во-вторых, устранить затруднения в кредитной деятельности кредитных организаций . Государственному банку необходимо тесно взаимодействовать с соответствующими министерствами, особенно с Министерством общественной безопасности, для разработки единых рекомендаций по защите персональных данных в кредитном секторе, одновременно обеспечивая повышение оперативной ответственности кредитных организаций за защиту данных клиентов и выполнение специализированных требований и задач.

В-третьих, для того чтобы Указ действительно воплотился в жизнь, необходимо провести хорошую пропагандистскую и просветительскую работу по популяризации закона. В частности, необходимо подчеркнуть необходимость издания Указа, высшей целью которого является соблюдение и защита гражданских прав и прав человека. И прежде всего сам субъект персональных данных должен полностью осознавать и повышать свою осведомленность и ответственность в вопросах защиты персональных данных.