Меры по обеспечению прав человека в условиях цифровой трансформации

Защита персональных данных — это защита основных прав и свобод человека в отношении данных.

17 апреля 2023 года Правительством издано Постановление № 13/2023/ND-CP (далее — Постановление) «О защите персональных данных», вступающее в силу с 1 июля 2023 года, в целях обеспечения требований по защите прав субъектов персональных данных, предупреждения правонарушений в сфере персональных данных, затрагивающих права и интересы граждан и организаций.

Основные моменты

Постановление является правовым документом, регламентирующим защиту персональных данных и ответственность соответствующих органов, организаций и лиц за защиту персональных данных.

Во-первых, защита персональных данных — это защита основных прав и свобод человека, связанных с данными. Положения Декрета о защите персональных данных при его эксплуатации направлены на предотвращение нарушения личных прав и свобод каждого человека.

При этом безопасность персональных данных имеет особое значение, поскольку кража данных может повлечь за собой экономические и социальные потери, такие риски, как: шантаж, мошенничество, присвоение имущества, клевета, посягательство на честь, достоинство, сексуальное насилие..., вызывающие как материальные, так и духовные последствия, напрямую затрагивающие права и законные интересы учреждений, организаций, предприятий и граждан.

Во-вторых, поощрять и уважать права субъектов персональных данных. Права субъектов персональных данных включают право на доступ, право давать согласие или не давать согласие на обработку персональных данных, право быть информированным и право требовать удаления данных...

Кроме того, субъекты данных также имеют право защищать себя от других субъектов, нарушающих их персональные данные. Субъекты имеют право требовать возмещения ущерба в случае нарушения положений Декрета, которое наносит ущерб праву на защиту персональных данных. Декрет также четко устанавливает, что сбор, передача или купля-продажа персональных данных без согласия субъекта является нарушением закона.

Однако право субъекта на защиту персональных данных не является абсолютным правом, а может быть ограничено в случаях, когда это необходимо для защиты жизни и здоровья самого человека или других лиц; в чрезвычайных ситуациях, связанных с обороной страны, безопасностью государства, общественным порядком и безопасностью; для исполнения договорных обязательств, определенных специальными законами, или для обеспечения деятельности государственных органов, предусмотренной специальными законами.

Предоставление исключений направлено на реализацию принципа обеспечения прав отдельных лиц и организаций, но не ущемления законных интересов других лиц, организаций или национальных интересов в целях осуществления этих прав.

В-третьих, содействовать процессу международной интеграции в вопросе защиты персональных данных. Указ соответствует международной практике и правилам защиты персональных данных. Многие развитые страны легализовали вопрос защиты персональных данных, что является основой для изучения и ссылок во Вьетнаме.

Кроме того, международные организации, членом которых является Вьетнам или с которыми он сотрудничает, выпустили конвенции, рекомендации и стандарты по вопросам конфиденциальности и защиты информации и персональных данных. К ним относятся принципы конфиденциальности Организации экономического сотрудничества и развития (ОЭСР), Конвенция Совета Европы о защите лиц при автоматизированной обработке информации и персональных данных, руководящие принципы ООН по компьютеризированным персональным данным и информационным файлам, Рамочная основа конфиденциальности Азиатско- Тихоокеанского экономического сотрудничества (АТЭС), международные стандарты конфиденциальности и защиты информации и персональных данных (Мадридская резолюция), Общий регламент ЕС по защите данных (GDPR)...

Кроме того, в процессе развития сотрудничества между нашей страной и другими странами и территориями, более 80 стран выпустили правовые документы о защите персональных данных, многие из которых содержат положения, применимые к вьетнамским организациям и лицам. Таким образом, конкретные и подробные положения о защите персональных данных направлены на создание среды равенства и верховенства закона во Вьетнаме, в том числе для иностранных лиц и организаций.

Проблемы

В настоящее время сохраняются значительные трудности в реализации Указа.

Во-первых, проблема в управлении сотрудниками предприятий. В настоящее время многие предприятия строят модель материнской компании, дочерних компаний с одинаковой экосистемой управления, информация о сотрудниках может быть легко доступна из общей системы.

Однако в соответствии с вьетнамским законодательством каждая компания (включая материнские компании и дочерние компании) считается отдельным и независимым юридическим лицом, поэтому передача персональных данных сотрудников компаниями в той же экосистеме для обслуживания внутреннего процесса управления предприятием также может считаться нарушением обязанности предприятия по защите персональных данных.

С другой стороны, в настоящее время многие предприятия сталкиваются с трудностями в реализации Указа и до сих пор не доработали механизм и регламенты управления и защиты персональных данных работников в соответствии с Указом.

Во-вторых, это не соответствует правовым нормам, регулирующим деятельность кредитных организаций. В настоящее время деятельность кредитных организаций регулируется специализированными правовыми нормами, такими как: Закон о кредитных организациях 2010 года (измененный и дополненный в 2014 году); Закон о противодействии отмыванию денег; Указ 117/2018/ND-CP о сохранении конфиденциальности и предоставлении информации о клиентах кредитных организаций и филиалов иностранных банков; Циркуляр 09/2020/TT-NHNN Государственного банка, регулирующий безопасность информационных систем в банковских операциях на уровне ниже Закона.

С другой стороны, для банковской деятельности обработка данных затрагивает персональные данные, такие как: сбор, запись, анализ, подтверждение, хранение, редактирование, публикация, объединение, доступ, извлечение, отзыв, шифрование, расшифровка, копирование, обмен, передача, предоставление, перенос, удаление, уничтожение персональных данных или иные связанные с этим действия необходимы для предоставления услуг клиентам и управления рисками в банковской деятельности, обеспечения безопасности и защищенности денежной системы, поэтому многие виды деятельности по обработке персональных данных клиентов не могут и не требуют согласия клиентов, в то время как пункт 2 статьи 3 и пункт 1 статьи 9 Декрета предусматривают, что субъекты имеют право знать об обработке своих персональных данных, за исключением случаев, когда иное предусмотрено другими Законами.

Или в пункте 2 статьи 9 указано, что субъект имеет право не давать согласие на обработку своих персональных данных; субъект имеет право удалять, получать доступ, запрашивать ограничение обработки данных и возражать против обработки данных, за исключением случаев, когда в других законах предусмотрены иные положения статьи 9. Таким образом, будет запутанным и нецелесообразным, если Указ будет применяться жестко и без единых указаний.

Кроме того, предоставление услуг и продуктов кредитными организациями осуществляется в соответствии со многими процессами по одному продукту, каждый процесс по одному продукту включает в себя множество различных шагов и связан со сбором, оценкой, анализом и предоставлением данных по очень большим файлам клиентов, в то время как Декрет требует от Контролера и Обработчика персональных данных получать согласие субъекта данных (клиента) на все процедуры обработки при проведении любых действий по обработке данных (статья 11); и перед проведением действий по обработке данных субъект персональных данных должен быть уведомлен (статья 13). Это по-прежнему является еще одним препятствием для деятельности кредитных организаций.

Кроме того, кредитным организациям необходимо привести в соответствие свои информационно-технологические системы и другие подзаконные акты, касающиеся деятельности кредитных организаций; формы договоров и соглашений должны быть пересмотрены в соответствии с Указом, что создает значительные трудности для банковских операций.

В-третьих, часть населения не понимает и не осознает необходимости защиты своих персональных данных, поэтому они с легкостью делятся личной информацией в социальных сетях, непреднамеренно позволяя злоумышленникам использовать ее в неблаговидных целях.

Некоторые люди не осознают четко ценности защиты персональных данных как обеспечения личной неприкосновенности, а также опасаются предоставлять персональные данные, что затрудняет государственным органам осуществление управления защитой персональных данных, а также расследование и пресечение нарушений законодательства о защите персональных данных.

Кроме того, ситуация купли-продажи персональных данных, риск утечки информации, создает серьезные последствия, затрагивая социально-экономические проблемы. Мошеннические явления, спам-реклама через звонки и сообщения по-прежнему сложны, влияя на жизнь людей.

Безопасность персональных данных имеет особое значение, поскольку кража данных может привести к экономическим и социальным потерям, напрямую затрагивая права и законные интересы учреждений, организаций, предприятий и отдельных лиц. (Источник: Shutterstock)

Реализация Указа на практике

Вьетнам является одной из стран с самой высокой скоростью развития и применения Интернета в мире с более чем 70 миллионами пользователей. Персональные данные более 2/3 населения нашей страны хранились и хранятся, размещаются, передаются и собираются в цифровой среде, киберпространстве с различными формами и уровнями детализации.

Указ представляет собой прорыв в обеспечении прав человека в условиях цифровой трансформации, преодолении недостатков и несоответствий в практике обеспечения, защиты и обеспечения безопасности персональных данных, а также повышении ответственности отечественных и иностранных учреждений, организаций и лиц, непосредственно участвующих или связанных с деятельностью по обработке персональных данных во Вьетнаме.

Для того чтобы Указ был действительно эффективным на практике, необходимо сосредоточить внимание на следующих вопросах:

Во-первых, повысить ответственность предприятий в защите прав работников. При использовании труда предприятия должны собирать и хранить информацию о работниках. Для целей управления трудом работодатели и предприятия получают и управляют большим количеством личной информации от работников, но если управление и обработка информации будут небрежными, это приведет к непредсказуемым последствиям.

Предприятиям необходимо тщательно изучить и оценить общее воздействие Декрета, оперативно пересмотреть и обновить процедуры и инструкции по работе с персональными данными в соответствии с новыми правилами; рассмотреть возможность создания механизмов и разработки правил управления на основе положений Декрета; поддерживать и соблюдать эти механизмы и правила на протяжении всего процесса работы.

Во-вторых, устранить трудности для кредитной деятельности кредитных организаций . Госбанку необходимо тесно взаимодействовать с соответствующими министерствами, особенно с Министерством общественной безопасности, для предоставления единых рекомендаций по защите персональных данных в кредитном секторе, как обеспечивающих повышение оперативной ответственности кредитных организаций по защите данных клиентов, так и отвечающих специализированным требованиям и задачам.

В-третьих, для того, чтобы Указ действительно вступил в силу, необходимо провести хорошую работу по распространению и обучению закону. В частности, необходимо подчеркнуть необходимость издания Указа с высшей целью соблюдения и защиты гражданских прав и прав человека. И, прежде всего, субъект персональных данных должен сам досконально понимать и повышать свою осведомленность и ответственность в области защиты персональных данных.