Struktura vietnamského práva na ochranu dat v roce 2026

Vietnamský režim je nyní dvouvrstvý: PDPD z roku 2023 a PDPL z roku 2026. Oba jsou v platnosti a vydavatelé potřebují pochopit, která vrstva upravuje kterou povinnost.

PDPD — Dekret 13/2023/ND-CP

Dekret zavedl první komplexní definici osobních údajů ve Vietnamu, katalog práv subjektů údajů, požadavky na souhlas, pravidla pro přeshraniční přenosy dat a základní povinnost posouzení dopadu zpracování osobních údajů (DPIA). Zůstává v platnosti a nadále upravuje provozní podrobnosti.

PDPL — V platnosti od roku 2026

PDPL povyšuje rámec na primární právní předpis s vyššími sankcemi a širším dosahem. Posiluje model zaměřený na souhlas, upevňuje práva subjektů údajů a rozšiřuje pravomoci k vymáhání pro Ministerstvo veřejné bezpečnosti (MPS), které zůstává hlavním regulátorem. PDPL také zavádí jasnější pravidla pro citlivé osobní údaje, automatizované rozhodování a zpracování údajů nezletilých.

Kdo je regulován

Zákon se vztahuje na jakékoli zpracování vietnamských osobních údajů bez ohledu na to, kde se zpracovatel nachází. Vydavatel se sídlem v USA obsluhující vietnamské uživatele prostřednictvím lokalizovaného webu nebo programatický kupující nabízející na vietnamský inventář je v rozsahu působnosti. Tento extrateritoriální dosah odráží vzor GDPR a je jedním z agresivnějších prvků vietnamského rámce.

Co se počítá jako osobní údaje

Vietnamská definice osobních údajů je široká a úzce sleduje mezinárodní standard. Osobní údaje jsou jakékoli informace, které identifikují nebo mohou identifikovat konkrétní fyzickou osobu, a dělí se na dvě kategorie, které jsou velmi důležité pro souhlas s cookies.

Základní osobní údaje

Základní osobní údaje zahrnují jméno, datum narození, identifikační čísla, kontaktní údaje, identifikátory zařízení, IP adresy a data o online aktivitách. Většina dat shromážděných prostřednictvím cookies patří sem, včetně reklamních identifikátorů, ID relací a behaviorálních profilů vytvořených z historie procházení.

Citlivé osobní údaje

Citlivé osobní údaje zahrnují politické a náboženské názory, zdravotní informace, genetické údaje, biometrické údaje, sexuální orientaci, záznamy o trestní minulosti, finanční data a — kriticky — lokalizační data, která lze použít k identifikaci konkrétní osoby. Citlivé údaje spouštějí nejpřísnější požadavky na souhlas, včetně konkrétního, samostatného a v některých případech písemného nebo elektronicky ověřitelného souhlasu.

Proč je to důležité pro cookies

Cookie, která shromažďuje pouze základní identifikátor relace, jsou základní osobní údaje. Cookie, která napájí reklamní publikum na základě polohy — běžné v retargetingu a geograficky cílených kampaních — se pravděpodobně dotýká citlivých osobních údajů v okamžiku, kdy se poloha stane identifikující. Konfigurace CMP musí tyto účely oddělit.

Souhlas s cookies podle vietnamského práva

Vietnam dodržuje model souhlasu opt-in. Pro cookies, které shromažďují osobní údaje, neexistuje záložní možnost oznámení a volby a hranice pro platný souhlas je podobná standardu GDPR.

Čtyři požadavky na souhlas

Souhlas podle vietnamského práva musí být:

• Konkrétní — vázaný na jasně identifikovaný účel zpracování, nikoli obecný zastřešující souhlas
• Informovaný — subjekt údajů chápe, jaké údaje jsou zpracovávány, proč, kdo je přijímá a na jak dlouho
• Dobrovolný — žádná předem zaškrtnutá políčka, žádné zdi „souhlas nebo odejít“ pro nezbytné zpracování
• Vyjádřitelný a odvolatelný — uživatel může poskytnout a odvolat souhlas prostřednictvím jasného mechanismu

Jak vypadá kompatibilní CMP

CMP nakonfigurovaná pro vietnamský provoz v roce 2026 by měla prezentovat:

• Viditelný banner před spuštěním jakéhokoli nepodstatného cookie nebo sledovače, ve vietnamštině (Tiếng Việt) jako výchozí nastavení pro vietnamské uživatele
• Samostatné akce Přijmout, Odmítnout a Přizpůsobit se stejnou vizuální prominencí — žádné temné vzory
• Podrobné ovládací prvky pro alespoň tyto účely: analýzy, reklama, personalizace, přeshraniční přenos a jakékoli zpracování citlivé kategorie, jako je přesná poloha
• Trvalý, snadno nalezitelný mechanismus pro změnu nebo odvolání souhlasu po počáteční volbě
• Zásady ochrany osobních údajů ve vietnamštině s jasným zveřejněním zpracovatelů, kategorií dat, doby uchování a práv uživatele

Záznamy souhlasu

Zpracovatelé musí uchovávat záznamy souhlasu — kdo souhlasil, kdy, s čím, prostřednictvím jakého rozhraní. Vietnamské vymáhací akce již citovaly chybějící nebo neověřitelné protokoly souhlasu a PDPL tuto povinnost formalizuje. CMP, která neprodukuje exportovatelné protokoly souhlasu s časovým razítkem, není v souladu.

Přeshraniční přenos dat — Nejtěžší část

Vietnamský režim přeshraničního přenosu je jedním z nejnáročnějších v regionu a je prvkem, se kterým se většina zahraničních vydavatelů potýká.

Posouzení dopadu přenosu

Před přenosem vietnamských osobních údajů do zahraničí — což zahrnuje odesílání identifikátorů odvozených z cookies do zahraniční reklamní burzy nebo analytického prodejce — musí správce připravit Posouzení dopadu přenosu. Posouzení musí dokumentovat účel, kategorie dat, zemi příjemce a příjemce, technická a organizační opatření a právní základ pro přenos.

Podání u MPS

Posouzení musí být podáno u Ministerstva veřejné bezpečnosti do 60 dnů od zahájení zpracování. MPS má pravomoc pozastavit přeshraniční přenosy, pokud je posouzení nedostatečné nebo pokud je cílová jurisdikce považována za nedostačující.

Praktické důsledky pro vydavatele

Typický programatický reklamní stack směruje data uživatelů prostřednictvím desítek zahraničních dodavatelů během milisekund. Každý z těchto toků je přísně vzato přeshraničním přenosem vietnamských osobních údajů. Realita roku 2026 je taková, že většina zahraničních vydavatelů buď podává konsolidovaná posouzení pro celý svůj seznam dodavatelů, nebo snižuje počet dodavatelů, aby snížila zátěž posouzení. Ani jedno není triviální a MPS naznačilo, že v roce 2026 zahájí aktivnější vymáhání přeshraničních toků.

Práva subjektů údajů

PDPL konsoliduje a posiluje práva udělená v rámci Dekretu. Vietnamské subjekty údajů mají právo:

• Být informovány o zpracování svých údajů
• Přistupovat ke zpracovávaným datům
• Opravit nepřesné údaje
• Odstranit data, kde zpracování již není odůvodněné
• Omezit zpracování za určených okolností
• Odvolat souhlas stejně snadno, jak byl udělen
• Vznést námitku proti automatizovanému rozhodování, které přináší významné účinky
• Podat stížnost k Ministerstvu veřejné bezpečnosti

Lhůty pro odpovědi

Správci musí odpovídat na žádosti subjektů údajů ve 72 hodinách ve většině případů — výrazně užší okno než 30denní standard GDPR. Provozní připravenost na tento časový rámec je jednou z běžnějších mezer v souladu pro zahraniční vydavatele a vyžaduje nástroje a příručky, které jsou rychlejší, než je typické v jiných regionech.

Zvláštní pravidla pro nezletilé

PDPL zavádí specializovanou ochranu pro zpracování osobních údajů nezletilých. Souhlas pro zpracování dat osoby mladší 15 let musí udělit rodič nebo zákonný zástupce. Zpracování dat osob ve věku 15 až 18 let vyžaduje souhlas samotného nezletilého, ale se zvýšenými povinnostmi transparentnosti a péče. Uživatelská rozhraní pro souhlas s cookies na stránkách, které přitahují výraznou skupinu uživatelů mladších 18 let, potřebují toky zohledňující věk, které většina zahraničních vydavatelů standardně nevytvořila.

Sankce a vymáhání

PDPL výrazně zvyšuje strop administrativních pokut. Sankce zahrnují:

• Pokuty až do výše 5 procent globálního ročního příjmu za závažná porušení zahrnující citlivé osobní údaje nebo systémová selhání
• Pozastavení zpracovatelských činností
• Povinné zastavení přeshraničních přenosů
• Veřejné zveřejnění porušení
• Trestní odpovědnost za flagrantní případy, včetně nezákonného prodeje osobních údajů

Trend vymáhání

MPS bylo relativně tiché v průběhu roku 2023 a začátkem roku 2024, kdy se Dekret usazoval, ale vymáhání se v průběhu roku 2025 a do roku 2026 zrychlilo. Zahraniční vydavatelé byli citováni v několika zveřejněných akcích, téměř vždy soustředěných na jeden ze tří problémů: chybějící nebo nedostatečný souhlas, nepodaná posouzení přeshraničního přenosu nebo nereagování na žádosti subjektů údajů v 72hodinovém okně.

Kontrolní seznam auditu pro vietnamský provoz v roce 2026

• Banner CMP je zobrazován ve vietnamštině pro vietnamské uživatele se stejnou prominencí Přijmout, Odmítnout a Přizpůsobit
• Účely souhlasu jsou podrobné a oddělují citlivé zpracování jako přesnou polohu
• Protokoly souhlasu jsou opatřeny časovým razítkem, exportovatelné a uchovávány po dobu zpracování plus auditovatelné rozpětí
• Zásady ochrany osobních údajů jsou k dispozici ve vietnamštině s úplným zveřejněním zpracovatelů, doby uchovávání a práv
• Posouzení dopadu přenosu je podáno u MPS pro každý probíhající přeshraniční tok
• Pracovní postup pro žádosti subjektů údajů může reagovat do 72 hodin od začátku do konce
• Tok souhlasu zohledňující věk je zaveden pro skupiny zahrnující nezletilé
• Seznam dodavatelů byl přezkoumán z hlediska nezbytnosti, přičemž nepoužívaní nebo redundantní dodavatelé byli odstraněni, aby se snížila přeshraniční plocha

Výhled na rok 2026

Regulační trajektorie Vietnamu je jasná. PDPD zavedl rámec. PDPL ho zpevňuje. Vymáhání se rozšiřuje. Pro vydavatele a inzerenty, kteří zacházeli s Vietnamem jako s trhem s mírnějšími nároky, je rok 2026 rokem, kdy se tento přístup stává nákladným. Dobrá zpráva je, že moderní zásobník souhlasu ve standardu GDPR je většina toho, co je potřeba — mezery jsou typicky 72hodinové okno pro odpovědi, podání posouzení dopadu přenosu a vietnamská lokalizace CMP a zásad ochrany osobních údajů. Tyto mezery jsou provozní, nikoli architektonické, a lze je uzavřít v týdnech, nikoli čtvrtletích. Vydavatelé, kteří je uzavřou před příchodem MPS ke svým dveřím, přechod nezaznamenají. Ti, kteří budou čekat, ano.