【ベトナム】個人データ保護規則の違反に対して罰金に関する規則案(2024 年 6 月 1 日施行予定)
- 2024.05.30
- コラム
- CastGlobal
2024 年 4 月 15 日、公安省は、サイバーセキュリティ・個人データ保護分野における行政違反に対する罰則を規定する政令草案(以下、「本草案」という。)を検討のために政府に提出しました。
個人データ保護は、政令No.13/2023/ND-CPが施行されて以来、多くの企業の関心を集めています。しかし、現状具体的な罰則は規定されていません。
この政令草案は、一部不明確な内容もありますが、2024 年 6 月 1 日から施行される可能性があります。この草案が可決されれば、個人データ保護の義務に違反した企業に罰金が課せられる可能性があります。
なお、2024年6月末の段階でまだ可決されておらず、結局施行されていません。今後もまだ変更される可能性が高いと考えています。
以下では、本草案の主要な内容をまとめています。
※今後、本コラムもしくは別のコラムにより新しい情報等を随時アップデートしていきたいと思います。
目次
第1 一般条項
1.本草案の適用対象(本草案第2条)
本草案は、ベトナムの組織・個人、外国の組織・個人を対象に適用されます。
2.企業に対する罰金(本草案第5条1頃)
本草案に記載される行政違反を犯したのが企業の場合、罰金は個人の罰金の2倍となります。この記事で記載している罰金額は、企業に対するものです。
第2 個人データ保護規定の違反と罰金
違反行為とその罰則を各項目に分けて以下に記します。
1.通知義務および、データ主体からの同意の取得
個人データ管理・処理者は以下の行為により、20.000.000 VNDから40.000.000 VNDの罰金が科せられます(本草案第15条1項、第17条1項):
- データ主体の同意なく個人データを処理する。
- データ主体に対して収集目的以外での個人データの処理に対する同意を強制する。
- データ主体が処理することに同意した個人データを不適切に収集する。
- データ主体が同意した目的と異なる目的のデータ処理を誤って行う。
- データ主体の同意が、書面、音声、同意欄にチェックを入れること、テキストメッセージにる同意文、同意フォームの選択、または当該同意を示すその他の行為によっても明確かつ具体的に表現されていない。
- 個人データの修正、開示、削除、または破棄する前にデータ主体に通知しない。
- データ主体に処理目的、処理目的に関連して使用される個人データの種類、処理の方法などを適切に通知しない。
- データ主体への通知が、電子形式または検証可能な形式を含む、書面で印刷またはコピーできる形式でなされていない。
個人データ管理・処理者は以下の行為により、50.000.000 VNDから100.000.000 VNDの罰金が科せられます(本草案第15条2項):
- データ主体の意図に反して、または権限を有する国家機関の書面での要求に従わず、個人データの処理を継続する。
- データ主体が同意の要求に返答しないにもかかわらず、個人データを処理する。
- データ主体が個人データの処理に同意したことを証明できない。
2.データ主体から要求がある場合の対応
個人データ管理・処理者は以下の行為があれば、20.000.000 VNDから40.000.000 VNDの罰金が科せられます(本草案第18条1項;第19条1項;第20条1項):
- データ主体の要求に応じて、個人データを提供しない、又は提供を困難にしようとする。
- データ主体の要求を受けた後、週休日,祝日,旧正月を除き、72 時間以内に個人データを提供しない。
- データ主体の要求に同意した後、個人データを編集しない、又は意図的に編集を遅らせる。
- データ主体の個人データ編集要求を受けた後、週休日,祝日,旧正月を除き、72時間以内に個人データを編集できない旨をデータ主体に通知しない。
- データ主体の個人データ削除要求を受けた後、週休日,祝日,旧正月を除き、 72 時間以内に削除しない。
3.違反の通報
個人データ管理・処理者は以下の行為があれば、20.000.000 VNDから40.000.000 VNDの罰金が科せられます(本草案第24条1項):
- 個人データ保護規則の違反が判明した場合に、所定の期間内に通知しない。
- 個人データ保護規則の違反の記録を作成しない。
4.個人データの域外移転
個人データ管理・処理者は以下の行為があれば、140.000.000 VNDから200.000.000 VNDの罰金が科せられます(本草案第26条1項):
- 域外移転影響評価書類を作成せず、政令 13/2023/ND-CP の第 25 条3,4,5項に規定されている手続を実行しない。
- 個人データの処理が開始された時点から、域外移転影響評価書類を保管しない。
- データ処理日から60日以内に書類の原本を公安省に送付しない。
- データ移転が完了した後、データ移転の情報と担当組織・個人の連絡先詳細を書面で公安省に通知しない。
- 域外移転影響評価書類を編集、完成させるという公安省の要請に従わない。
- 海外への個人データの転送をチェックするという公安省の要請に従わない。
5.個人データ保護に関する規則の作成
個人データ管理・処理者は以下の行為があれば、20.000.000 VNDから40.000.000 VNDの罰金が科せられます(本草案第27条1項):
- 基本個人データ保護に関する規制を作成・発行しない。当該規制において通知義務、データ主体からの同意の取得義務、個人データの域外移転への影響評価義務など、政令13/2023/ND-CPの規定に従ってしなければならないことを明確に示さない。
6.個人データ保護の担当者の指定
個人データ管理・処理者は以下の行為があれば、50.000.000 VNDから100.000.000 VNDの罰金が科せられます(本草案第27条2項):
- 機密性の高い個人データを保護する部署を指定せず、機密性の高い個人データの保護の担当者を指定せず、当該部署及び担当者を公安省に通知しない。
第3 追加の罰則及び是正措置
違反者は、罰金に加えて、違反の程度に応じて追加の罰則及び是正措置も課せられる可能性があります(行政違反処分法2012年 第21条3項、第28条2項;本草案第13条~第27条)。
追加の罰則:
- 01か月から03か月までの個人データを収集する必要がある業種で経営許可を取り消す。
- 個人データの違反の証拠やその処理手段に関わるものを押収する。
- 01か月から03か月までの個人データ処理を一時停止、又は期間限定で停止する。
- その他
是正措置:
- 法律に従って義務を履行する。
- 違反の結果得られた違法な利益を返還する。
- マスコミ等を通じて公に謝罪する。
- その他
企業は上記の行政制裁のリスクを回避するために、政令No.13/2023/ND-CP号に規定されている個人データ処理規制に準拠した対応が求められます。
