সম্মতি১ মে, ২০২৬ | FlexyConsent

ভিয়েতনামের ব্যক্তিগত তথ্য সুরক্ষা ডিক্রি ও আইন: ২০২৬ সালের কুকি সম্মতি ও প্রকাশকদের সম্মতি নির্দেশিকা

ভিয়েতনাম মাত্র তিন বছরেরও বেশি সময়ের মধ্যে প্রায় কোনো একীভূত ব্যক্তিগত তথ্য কাঠামো না থাকা অবস্থা থেকে দক্ষিণ-পূর্ব এশিয়ার সবচেয়ে কঠোর সম্মতি ব্যবস্থাগুলির একটিতে পরিণত হয়েছে। ডিক্রি ১৩/২০২৩/ND-CP, ব্যক্তিগত তথ্য সুরক্ষা ডিক্রি (PDPD) ২০২৩ সালের জুলাই মাসে কার্যকর হয়েছিল। ২০২৫ সালে জাতীয় পরিষদ কর্তৃক পাস হওয়া ব্যক্তিগত তথ্য সুরক্ষা আইন (PDPL) ১ জানুয়ারি ২০২৬ থেকে কার্যকর হয়েছে এবং ডিক্রির বেশিরভাগ নীতিকে শক্তিশালী প্রয়োগ ও বিস্তৃত পরিসরের সাথে প্রাথমিক আইনে উন্নীত করেছে। ভিয়েতনামে বা বাইরে অবস্থিত যেকোনো প্রকাশক, বিজ্ঞাপনদাতা বা প্ল্যাটফর্মের জন্য যারা ভিয়েতনামি ব্যবহারকারীদের ডেটা প্রক্রিয়া করে — ২০২৬ সালের পরিবেশ মাত্র এক বছর আগের তুলনায় উল্লেখযোগ্যভাবে ভিন্ন। এই নির্দেশিকাটি আলোচনা করে যে আইন আসলে কী প্রয়োজন করে, কুকি সম্মতি কীভাবে কনফিগার করতে হবে, আন্তঃসীমান্ত স্থানান্তর কীভাবে কাজ করে এবং বাস্তবে প্রয়োগ কেমন দেখায়।

২০২৬ সালে ভিয়েতনামি তথ্য সুরক্ষা আইনের কাঠামো

ভিয়েতনামের ব্যবস্থা এখন দুই স্তরবিশিষ্ট: ২০২৩ সালের PDPD এবং ২০২৬ সালের PDPL। উভয়ই কার্যকর, এবং প্রকাশকদের বুঝতে হবে কোন স্তর কোন বাধ্যবাধকতা নিয়ন্ত্রণ করে।

PDPD — ডিক্রি ১৩/২০২৩/ND-CP

ডিক্রিটি ভিয়েতনামের প্রথম ব্যাপক ব্যক্তিগত তথ্যের সংজ্ঞা, তথ্য বিষয়কদের অধিকারের তালিকা, সম্মতির প্রয়োজনীয়তা, আন্তঃসীমান্ত তথ্য স্থানান্তরের নিয়ম এবং মৌলিক ব্যক্তিগত তথ্য প্রক্রিয়াকরণ প্রভাব মূল্যায়ন (DPIA) বাধ্যবাধকতা প্রবর্তন করেছে। এটি কার্যকর থাকে এবং অপারেশনাল বিস্তারিত বিষয় নিয়ন্ত্রণ করতে থাকে।

PDPL — ২০২৬ সাল থেকে কার্যকর

PDPL কাঠামোটিকে উচ্চতর জরিমানা এবং বিস্তৃত পরিসরের সাথে প্রাথমিক আইনে উন্নীত করে। এটি সম্মতি-কেন্দ্রিক মডেলকে শক্তিশালী করে, তথ্য বিষয়কদের অধিকার উন্নত করে এবং গণনিরাপত্তা মন্ত্রণালয় (MPS)-এর জন্য প্রয়োগের ক্ষমতা প্রসারিত করে, যা প্রাথমিক নিয়ন্ত্রক হিসেবে থাকে। PDPL সংবেদনশীল ব্যক্তিগত তথ্য, স্বয়ংক্রিয় সিদ্ধান্ত গ্রহণ এবং অপ্রাপ্তবয়স্কদের তথ্য প্রক্রিয়াকরণের জন্য আরও স্পষ্ট নিয়মও প্রবর্তন করে।

কে নিয়ন্ত্রিত

আইনটি প্রক্রিয়াকারী যেখানে অবস্থিত তা নির্বিশেষে ভিয়েতনামি ব্যক্তিগত তথ্যের যেকোনো প্রক্রিয়াকরণে প্রযোজ্য। একটি স্থানীয়করণ করা সাইটের মাধ্যমে ভিয়েতনামি ব্যবহারকারীদের সেবা প্রদানকারী মার্কিন-ভিত্তিক প্রকাশক বা ভিয়েতনামি ইনভেন্টরিতে বিড করা একজন প্রোগ্র্যামাটিক ক্রেতা পরিধিভুক্ত। এই বহির্ভৌগোলিক নাগাল GDPR নমুনার প্রতিফলন করে এবং ভিয়েতনামি কাঠামোর আরও আক্রমণাত্মক উপাদানগুলির একটি।

ব্যক্তিগত তথ্য হিসেবে কী গণনা করা হয়

ব্যক্তিগত তথ্যের ভিয়েতনামি সংজ্ঞা বিস্তৃত এবং আন্তর্জাতিক মানের সাথে ঘনিষ্ঠভাবে সঙ্গতিপূর্ণ। ব্যক্তিগত তথ্য হলো এমন যেকোনো তথ্য যা একটি নির্দিষ্ট প্রাকৃতিক ব্যক্তিকে সনাক্ত করে বা সনাক্ত করতে পারে, এবং এটি দুটি বিভাগে বিভক্ত যা কুকি সম্মতির জন্য অত্যন্ত গুরুত্বপূর্ণ।

মৌলিক ব্যক্তিগত তথ্য

মৌলিক ব্যক্তিগত তথ্যের মধ্যে রয়েছে নাম, জন্ম তারিখ, সনাক্তকরণ নম্বর, যোগাযোগের বিবরণ, ডিভাইস সনাক্তকারী, IP ঠিকানা এবং অনলাইন কার্যকলাপ ডেটা। কুকি-সংগৃহীত বেশিরভাগ ডেটা এখানে পড়ে, যার মধ্যে রয়েছে বিজ্ঞাপন সনাক্তকারী, সেশন আইডি এবং ব্রাউজিং ইতিহাস থেকে তৈরি আচরণগত প্রোফাইল।

সংবেদনশীল ব্যক্তিগত তথ্য

সংবেদনশীল ব্যক্তিগত তথ্যের মধ্যে রয়েছে রাজনৈতিক ও ধর্মীয় মতামত, স্বাস্থ্য তথ্য, জেনেটিক ডেটা, বায়োমেট্রিক ডেটা, যৌন অভিমুখীতা, ফৌজদারি রেকর্ড, আর্থিক ডেটা এবং — গুরুত্বপূর্ণভাবে — অবস্থান ডেটা যা একটি নির্দিষ্ট ব্যক্তিকে সনাক্ত করতে ব্যবহার করা যায়। সংবেদনশীল ডেটা সবচেয়ে কঠোর সম্মতির প্রয়োজনীয়তাগুলি সক্রিয় করে, যার মধ্যে রয়েছে নির্দিষ্ট, পৃথক এবং কিছু ক্ষেত্রে লিখিত বা ইলেকট্রনিকভাবে যাচাইযোগ্য সম্মতি।

কুকির জন্য কেন এটি গুরুত্বপূর্ণ

একটি কুকি যা শুধুমাত্র একটি মৌলিক সেশন সনাক্তকারী সংগ্রহ করে তা মৌলিক ব্যক্তিগত তথ্য। একটি কুকি যা অবস্থান-ভিত্তিক বিজ্ঞাপন দর্শক তৈরি করে — রিটার্গেটিং এবং জিও-টার্গেটেড প্রচারাভিযানে সাধারণ — সম্ভবত সংবেদনশীল ব্যক্তিগত তথ্য স্পর্শ করছে যখন অবস্থান সনাক্তকারী হয়ে ওঠে। CMP কনফিগারেশনকে এই উদ্দেশ্যগুলি পৃথক করতে হবে।

ভিয়েতনামি আইনের অধীনে কুকি সম্মতি

ভিয়েতনাম অপ্ট-ইন সম্মতি মডেল অনুসরণ করে। ব্যক্তিগত তথ্য সংগ্রহকারী কুকির জন্য কোনো নোটিস-এবং-পছন্দ ফলব্যাক নেই, এবং বৈধ সম্মতির মান GDPR মানের অনুরূপ।

চারটি সম্মতির প্রয়োজনীয়তা

ভিয়েতনামি আইনের অধীনে সম্মতি হতে হবে:

একটি সম্মত CMP কেমন দেখায়

২০২৬ সালে ভিয়েতনামি ট্রাফিকের জন্য কনফিগার করা CMP উপস্থাপন করা উচিত:

সম্মতির রেকর্ড

প্রক্রিয়াকারীদের সম্মতির রেকর্ড বজায় রাখতে হবে — কে সম্মতি দিয়েছেন, কখন, কীসের জন্য, কোন ইন্টারফেসের মাধ্যমে। ভিয়েতনামি প্রয়োগ পদক্ষেপগুলি ইতিমধ্যে অনুপস্থিত বা অযাচাইযোগ্য সম্মতি লগ উদ্ধৃত করেছে, এবং PDPL এই বাধ্যবাধকতাকে আনুষ্ঠানিক রূপ দেয়। একটি CMP যা রপ্তানিযোগ্য, টাইমস্ট্যাম্পযুক্ত সম্মতি লগ তৈরি করে না তা সম্মত নয়।

আন্তঃসীমান্ত তথ্য স্থানান্তর — সবচেয়ে কঠিন অংশ

ভিয়েতনামের আন্তঃসীমান্ত স্থানান্তর ব্যবস্থা অঞ্চলের সবচেয়ে কঠোর এবং এটি সেই উপাদান যা বেশিরভাগ বিদেশী প্রকাশক সংগ্রাম করে।

স্থানান্তর প্রভাব মূল্যায়ন

বিদেশে ভিয়েতনামি ব্যক্তিগত তথ্য স্থানান্তর করার আগে — যার মধ্যে রয়েছে একটি বিদেশী বিজ্ঞাপন এক্সচেঞ্জ বা বিশ্লেষণ বিক্রেতার কাছে কুকি-প্রাপ্ত সনাক্তকারী পাঠানো — নিয়ন্ত্রককে একটি স্থানান্তর প্রভাব মূল্যায়ন প্রস্তুত করতে হবে। মূল্যায়নটি উদ্দেশ্য, ডেটার বিভাগ, প্রাপক দেশ ও প্রাপক, প্রযুক্তিগত ও সাংগঠনিক সুরক্ষা এবং স্থানান্তরের আইনি ভিত্তি নথিভুক্ত করতে হবে।

MPS-এর সাথে দাখিল করা

প্রক্রিয়াকরণ শুরু হওয়ার ৬০ দিনের মধ্যে মূল্যায়নটি গণনিরাপত্তা মন্ত্রণালয়ে দাখিল করতে হবে। MPS আন্তঃসীমান্ত স্থানান্তর স্থগিত করার ক্ষমতা রাখে যদি মূল্যায়ন অপর্যাপ্ত হয় বা গন্তব্য এখতিয়ার অপর্যাপ্ত বিবেচিত হয়।

প্রকাশকদের জন্য ব্যবহারিক প্রভাব

একটি সাধারণ প্রোগ্র্যামাটিক বিজ্ঞাপন স্ট্যাক মিলিসেকেন্ডে ডজন ডজন বিদেশী বিক্রেতার মাধ্যমে ব্যবহারকারী ডেটা রুট করে। সেই প্রবাহগুলির প্রতিটি, কঠোরভাবে বলতে গেলে, ভিয়েতনামি ব্যক্তিগত তথ্যের একটি আন্তঃসীমান্ত স্থানান্তর। ২০২৬ সালের বাস্তবতা হলো যে বেশিরভাগ বিদেশী প্রকাশক হয় তাদের সম্পূর্ণ বিক্রেতা তালিকার জন্য একত্রিত মূল্যায়ন দাখিল করছে বা মূল্যায়নের বোঝা কমাতে তাদের বিক্রেতা সেট ছাঁটছে। কোনোটিই তুচ্ছ নয়, এবং MPS সংকেত দিয়েছে যে এটি ২০২৬ সালে আন্তঃসীমান্ত প্রবাহে আরও সক্রিয় প্রয়োগ শুরু করবে।

তথ্য বিষয়কদের অধিকার

PDPL ডিক্রির অধীনে প্রদত্ত অধিকারগুলি একত্রিত করে এবং শক্তিশালী করে। ভিয়েতনামি তথ্য বিষয়কদের অধিকার রয়েছে:

প্রতিক্রিয়ার সময়সীমা

নিয়ন্ত্রকদের বেশিরভাগ ক্ষেত্রে তথ্য বিষয়কদের অনুরোধের ৭২ ঘণ্টার মধ্যে সাড়া দিতে হবে — GDPR-এর ৩০-দিনের মানের চেয়ে উল্লেখযোগ্যভাবে সংকীর্ণ উইন্ডো। এই সময়সীমার জন্য অপারেশনাল প্রস্তুতি বিদেশী প্রকাশকদের জন্য আরও সাধারণ সম্মতি ফাঁকগুলির একটি এবং অন্যান্য অঞ্চলে সাধারণের চেয়ে দ্রুত টুলিং এবং রানবুক প্রয়োজন।

অপ্রাপ্তবয়স্কদের জন্য বিশেষ নিয়ম

PDPL অপ্রাপ্তবয়স্কদের ব্যক্তিগত তথ্য প্রক্রিয়াকরণের জন্য নিবেদিত সুরক্ষা প্রবর্তন করে। ১৫ বছরের কম বয়সী ব্যক্তির ডেটা প্রক্রিয়াকরণের সম্মতি পিতামাতা বা আইনি অভিভাবকের দ্বারা দেওয়া হতে হবে। ১৫ থেকে ১৮ বছর বয়সীদের জন্য ডেটা প্রক্রিয়াকরণের জন্য অপ্রাপ্তবয়স্কের নিজের সম্মতি প্রয়োজন, তবে স্বচ্ছতা ও যত্নের উচ্চতর কর্তব্য সহ। উল্লেখযোগ্য ১৮ বছরের কম বয়সী দর্শক আকর্ষণকারী সাইটে কুকি সম্মতি UI-গুলিতে বয়স-সচেতন প্রবাহ দরকার, যা বেশিরভাগ বিদেশী প্রকাশক ডিফল্টরূপে তৈরি করেননি।

জরিমানা ও প্রয়োগ

PDPL প্রশাসনিক জরিমানার সীমা উল্লেখযোগ্যভাবে বাড়িয়ে দেয়। নিষেধাজ্ঞাগুলির মধ্যে রয়েছে:

প্রয়োগের প্রবণতা

MPS ২০২৩ সাল এবং ২০২৪ সালের শুরুতে তুলনামূলকভাবে শান্ত ছিল যখন ডিক্রি প্রতিষ্ঠিত হচ্ছিল, কিন্তু ২০২৫ জুড়ে এবং ২০২৬ সালে প্রয়োগ ত্বরান্বিত হয়েছে। বিদেশী প্রকাশকরা বেশ কয়েকটি প্রচারিত পদক্ষেপে উদ্ধৃত হয়েছেন, প্রায় সবসময় তিনটি সমস্যার একটিতে কেন্দ্রীভূত: অনুপস্থিত বা অপর্যাপ্ত সম্মতি, অদায়কৃত আন্তঃসীমান্ত স্থানান্তর মূল্যায়ন, বা ৭২-ঘণ্টার উইন্ডোর মধ্যে তথ্য বিষয়কদের অনুরোধের উত্তর দিতে ব্যর্থতা।

২০২৬ সালে ভিয়েতনামি ট্রাফিকের জন্য অডিট চেকলিস্ট

২০২৬ সালের দৃষ্টিভঙ্গি

ভিয়েতনামের নিয়ন্ত্রক গতিপথ স্পষ্ট। PDPD কাঠামো প্রতিষ্ঠা করেছে। PDPL এটিকে শক্ত করেছে। প্রয়োগ প্রসারিত হচ্ছে। যে প্রকাশক ও বিজ্ঞাপনদাতারা ভিয়েতনামকে হালকা বাজার হিসেবে বিবেচনা করেছেন, ২০২৬ সাল সেই পদ্ধতিটি ব্যয়বহুল হয়ে ওঠার বছর। সুসংবাদ হলো যে একটি আধুনিক GDPR-গ্রেড সম্মতি স্ট্যাক বেশিরভাগ প্রয়োজনীয় — ফাঁকগুলি সাধারণত ৭২-ঘণ্টার প্রতিক্রিয়া উইন্ডো, স্থানান্তর প্রভাব মূল্যায়ন দাখিল এবং CMP ও গোপনীয়তা নীতির ভিয়েতনামি-ভাষা স্থানীয়করণ। সেই ফাঁকগুলি অপারেশনাল, স্থাপত্যগত নয়, এবং সেগুলি কোয়ার্টারের পরিবর্তে সপ্তাহে বন্ধ করা যায়। যে প্রকাশকরা MPS তাদের দরজায় আসার আগে সেগুলি বন্ধ করবেন তারা রূপান্তরটি লক্ষ্য করবেন না। যারা অপেক্ষা করবেন তারা করবেন।

← ব্লaderegistrdelays delays সবগুলো পড়ুন →