Η δομή του βιετναμέζικου νόμου προστασίας δεδομένων το 2026

Το καθεστώς του Βιετνάμ είναι πλέον μια διπλή στοίβα: το PDPD από το 2023 και το PDPL από το 2026. Και τα δύο ισχύουν και οι εκδότες πρέπει να κατανοήσουν ποιο επίπεδο διέπει ποια υποχρέωση.

Το PDPD — Διάταγμα 13/2023/ND-CP

Το Διάταγμα εισήγαγε τον πρώτο ολοκληρωμένο ορισμό προσωπικών δεδομένων του Βιετνάμ, έναν κατάλογο δικαιωμάτων υποκειμένων δεδομένων, απαιτήσεις συγκατάθεσης, κανόνες για διασυνοριακές μεταφορές δεδομένων και τη θεμελιώδη υποχρέωση Εκτίμησης Αντικτύπου Επεξεργασίας Προσωπικών Δεδομένων (DPIA). Παραμένει σε ισχύ και συνεχίζει να διέπει τις λειτουργικές λεπτομέρειες.

Το PDPL — Σε ισχύ από το 2026

Το PDPL αναβαθμίζει το πλαίσιο σε πρωτογενή νομοθεσία με υψηλότερες κυρώσεις και ευρύτερο πεδίο. Ενισχύει το μοντέλο που επικεντρώνεται στη συγκατάθεση, ενδυναμώνει τα δικαιώματα των υποκειμένων δεδομένων και επεκτείνει τις εξουσίες εφαρμογής για το Υπουργείο Δημόσιας Ασφάλειας (MPS), που παραμένει ο κύριος ρυθμιστής. Το PDPL εισάγει επίσης σαφέστερους κανόνες για ευαίσθητα προσωπικά δεδομένα, αυτοματοποιημένη λήψη αποφάσεων και επεξεργασία δεδομένων ανηλίκων.

Ποιοι ρυθμίζονται

Ο νόμος εφαρμόζεται σε κάθε επεξεργασία βιετναμέζικων προσωπικών δεδομένων, ανεξάρτητα από την τοποθεσία του επεξεργαστή. Ένας εκδότης με έδρα στις ΗΠΑ που εξυπηρετεί βιετναμέζους χρήστες μέσω τοπικοποιημένου ιστότοπου ή ένας προγραμματικός αγοραστής που προσφέρει για βιετναμέζικο απόθεμα εμπίπτει στο πεδίο εφαρμογής. Αυτή η εξωεδαφική εμβέλεια αντικατοπτρίζει το μοτίβο GDPR και είναι ένα από τα πιο επιθετικά στοιχεία του βιετναμέζικου πλαισίου.

Τι μετράει ως προσωπικά δεδομένα

Ο βιετναμέζικος ορισμός των προσωπικών δεδομένων είναι ευρύς και ακολουθεί στενά το διεθνές πρότυπο. Προσωπικά δεδομένα είναι κάθε πληροφορία που ταυτοποιεί ή μπορεί να ταυτοποιήσει ένα συγκεκριμένο φυσικό πρόσωπο, και διαιρείται σε δύο κατηγορίες που έχουν μεγάλη σημασία για τη συγκατάθεση cookies.

Βασικά προσωπικά δεδομένα

Τα βασικά προσωπικά δεδομένα περιλαμβάνουν όνομα, ημερομηνία γέννησης, αριθμούς ταυτοποίησης, στοιχεία επικοινωνίας, αναγνωριστικά συσκευών, διευθύνσεις IP και δεδομένα διαδικτυακής δραστηριότητας. Τα περισσότερα δεδομένα που συλλέγονται από cookies ανήκουν εδώ, συμπεριλαμβανομένων αναγνωριστικών διαφημίσεων, αναγνωριστικών συνεδρίας και προφίλ συμπεριφοράς που δημιουργούνται από το ιστορικό περιήγησης.

Ευαίσθητα προσωπικά δεδομένα

Τα ευαίσθητα προσωπικά δεδομένα περιλαμβάνουν πολιτικές και θρησκευτικές απόψεις, πληροφορίες υγείας, γενετικά δεδομένα, βιομετρικά δεδομένα, σεξουαλικό προσανατολισμό, ποινικό μητρώο, χρηματοοικονομικά δεδομένα και — κρίσιμα — δεδομένα τοποθεσίας που μπορούν να χρησιμοποιηθούν για την ταυτοποίηση συγκεκριμένου ατόμου. Τα ευαίσθητα δεδομένα ενεργοποιούν τις αυστηρότερες απαιτήσεις συγκατάθεσης, συμπεριλαμβανομένης ειδικής, χωριστής και σε ορισμένες περιπτώσεις γραπτής ή ηλεκτρονικά επαληθεύσιμης συγκατάθεσης.

Γιατί αυτό έχει σημασία για τα cookies

Ένα cookie που συλλέγει μόνο ένα βασικό αναγνωριστικό συνεδρίας αποτελεί βασικά προσωπικά δεδομένα. Ένα cookie που τροφοδοτεί ένα κοινό διαφήμισης βασισμένο στην τοποθεσία — συνηθισμένο στο retargeting και σε γεω-στοχευμένες καμπάνιες — πιθανώς αφορά ευαίσθητα προσωπικά δεδομένα τη στιγμή που η τοποθεσία γίνεται ταυτοποιητική. Η ρύθμιση CMP πρέπει να διαχωρίζει αυτούς τους σκοπούς.

Συγκατάθεση cookies βάσει βιετναμέζικου νόμου

Το Βιετνάμ ακολουθεί το μοντέλο συγκατάθεσης opt-in. Δεν υπάρχει εναλλακτικό σύστημα ειδοποίησης και επιλογής για cookies που συλλέγουν προσωπικά δεδομένα, και ο πήχης για έγκυρη συγκατάθεση είναι παρόμοιος με το πρότυπο GDPR.

Οι τέσσερις απαιτήσεις συγκατάθεσης

Η συγκατάθεση βάσει βιετναμέζικου νόμου πρέπει να είναι:

• Ειδική — συνδεδεμένη με σαφώς προσδιορισμένο σκοπό επεξεργασίας, όχι γενική αόριστη συγκατάθεση
• Ενημερωμένη — το υποκείμενο δεδομένων κατανοεί ποια δεδομένα επεξεργάζονται, γιατί, ποιος τα λαμβάνει και για πόσο διάστημα
• Εκούσια — χωρίς προεπιλεγμένα πλαίσια ελέγχου, χωρίς τείχη συγκατάθεσης-ή-αποχώρησης για μη απαραίτητη επεξεργασία
• Εκφράσιμη και ανακλητή — ο χρήστης μπορεί να παρέχει και να αποσύρει τη συγκατάθεση μέσω σαφούς μηχανισμού

Πώς φαίνεται ένα συμμορφούμενο CMP

Ένα CMP ρυθμισμένο για βιετναμέζικη κίνηση το 2026 πρέπει να παρουσιάζει:

• Ορατό banner πριν από την ενεργοποίηση οποιουδήποτε μη απαραίτητου cookie ή ιχνηλάτη, στα βιετναμέζικα (Tiếng Việt) ως προεπιλογή για βιετναμέζους χρήστες
• Χωριστές ενέργειες Αποδοχή, Απόρριψη και Προσαρμογή με ίση οπτική προβολή — χωρίς σκοτεινά μοτίβα
• Λεπτομερείς ρυθμίσεις για τουλάχιστον τους εξής σκοπούς: αναλυτικά, διαφήμιση, εξατομίκευση, διασυνοριακή μεταφορά και οποιαδήποτε επεξεργασία ευαίσθητης κατηγορίας όπως η ακριβής τοποθεσία
• Μόνιμο, εύκολα εντοπίσιμο μηχανισμό για αλλαγή ή ανάκληση συγκατάθεσης μετά την αρχική επιλογή
• Πολιτική απορρήτου στα βιετναμέζικα με σαφείς γνωστοποιήσεις επεξεργαστών, κατηγοριών δεδομένων, διατήρησης και δικαιωμάτων χρήστη

Αρχεία συγκατάθεσης

Οι επεξεργαστές πρέπει να τηρούν αρχεία συγκατάθεσης — ποιος συγκατατέθηκε, πότε, σε τι, μέσω ποιας διεπαφής. Οι βιετναμέζικες ενέργειες εφαρμογής έχουν ήδη αναφέρει απόντα ή μη επαληθεύσιμα αρχεία καταγραφής συγκατάθεσης, και το PDPL επισημοποιεί αυτή την υποχρέωση. Ένα CMP που δεν παράγει εξαγώγιμα, χρονοσφραγισμένα αρχεία καταγραφής συγκατάθεσης δεν συμμορφώνεται.

Διασυνοριακή μεταφορά δεδομένων — Το πιο δύσκολο μέρος

Το καθεστώς διασυνοριακών μεταφορών του Βιετνάμ είναι ένα από τα πιο απαιτητικά στην περιοχή και είναι το στοιχείο με το οποίο οι περισσότεροι ξένοι εκδότες δυσκολεύονται.

Η Εκτίμηση Αντικτύπου Μεταφοράς

Πριν από τη μεταφορά βιετναμέζικων προσωπικών δεδομένων στο εξωτερικό — που περιλαμβάνει αποστολή αναγνωριστικών cookie σε υπερπόντια διαφημιστική χρηματιστηρία ή προμηθευτή αναλυτικών — ο υπεύθυνος επεξεργασίας πρέπει να εκπονήσει Εκτίμηση Αντικτύπου Μεταφοράς. Η εκτίμηση πρέπει να τεκμηριώνει τον σκοπό, τις κατηγορίες δεδομένων, τη χώρα παραλήπτη και τον παραλήπτη, τα τεχνικά και οργανωτικά μέτρα ασφάλειας και τη νομική βάση για τη μεταφορά.

Υποβολή στο MPS

Η εκτίμηση πρέπει να υποβληθεί στο Υπουργείο Δημόσιας Ασφάλειας εντός 60 ημερών από την έναρξη της επεξεργασίας. Το MPS έχει την εξουσία να αναστείλει διασυνοριακές μεταφορές εάν η εκτίμηση είναι ανεπαρκής ή εάν η δικαιοδοσία προορισμού θεωρηθεί ανεπαρκής.

Πρακτική επίπτωση για εκδότες

Μια τυπική προγραμματική στοίβα διαφημίσεων δρομολογεί δεδομένα χρηστών μέσω δεκάδων υπερπόντιων προμηθευτών σε χιλιοστά του δευτερολέπτου. Καθένα από αυτά τα ρεύματα είναι, αυστηρά, μια διασυνοριακή μεταφορά βιετναμέζικων προσωπικών δεδομένων. Η πραγματικότητα του 2026 είναι ότι οι περισσότεροι ξένοι εκδότες είτε υποβάλλουν ενοποιημένες εκτιμήσεις για ολόκληρη τη λίστα προμηθευτών τους είτε μειώνουν το σύνολο των προμηθευτών τους για να μειώσουν το φορτίο της εκτίμησης. Κανένα από τα δύο δεν είναι τετριμμένο, και το MPS έχει σηματοδοτήσει ότι θα ξεκινήσει πιο ενεργή εφαρμογή στις διασυνοριακές ροές κατά τη διάρκεια του 2026.

Δικαιώματα υποκειμένων δεδομένων

Το PDPL ενοποιεί και ενισχύει τα δικαιώματα που χορηγούνται βάσει του Διατάγματος. Τα βιετναμέζικα υποκείμενα δεδομένων έχουν δικαίωμα να:

• Ενημερωθούν για την επεξεργασία των δεδομένων τους
• Έχουν πρόσβαση στα δεδομένα που επεξεργάζονται
• Διορθώσουν ανακριβή δεδομένα
• Διαγράψουν δεδομένα όταν η επεξεργασία δεν είναι πλέον δικαιολογημένη
• Περιορίσουν την επεξεργασία υπό ορισμένες συνθήκες
• Αποσύρουν τη συγκατάθεση τόσο εύκολα όσο δόθηκε
• Αντιταχθούν στην αυτοματοποιημένη λήψη αποφάσεων που παράγει σημαντικές επιπτώσεις
• Υποβάλουν καταγγελία στο Υπουργείο Δημόσιας Ασφάλειας

Χρονοδιαγράμματα απόκρισης

Οι υπεύθυνοι επεξεργασίας πρέπει να ανταποκρίνονται στα αιτήματα υποκειμένων δεδομένων εντός 72 ωρών στις περισσότερες περιπτώσεις — ένα σημαντικά στενότερο παράθυρο από το 30ήμερο πρότυπο GDPR. Η επιχειρησιακή ετοιμότητα για αυτό το χρονοδιάγραμμα είναι ένα από τα πιο συνηθισμένα κενά συμμόρφωσης για ξένους εκδότες και απαιτεί εργαλεία και εγχειρίδια λειτουργίας ταχύτερα από το τυπικό σε άλλες περιοχές.

Ειδικοί κανόνες για ανηλίκους

Το PDPL εισάγει αφιερωμένες προστασίες για την επεξεργασία προσωπικών δεδομένων ανηλίκων. Η συγκατάθεση για επεξεργασία δεδομένων προσώπου κάτω των 15 ετών πρέπει να παρέχεται από γονέα ή νόμιμο κηδεμόνα. Η επεξεργασία δεδομένων ατόμων ηλικίας 15 έως 18 ετών απαιτεί τη δική τους συγκατάθεση ανηλίκου, αλλά με ενισχυμένα καθήκοντα διαφάνειας και επιμέλειας. Οι διεπαφές χρήστη συγκατάθεσης cookies σε ιστότοπους που προσελκύουν σημαντικό κοινό κάτω των 18 ετών χρειάζονται ροές που λαμβάνουν υπόψη την ηλικία, τις οποίες λίγοι ξένοι εκδότες έχουν δημιουργήσει ως προεπιλογή.

Κυρώσεις και εφαρμογή

Το PDPL αυξάνει σημαντικά το ανώτατο όριο των διοικητικών προστίμων. Οι κυρώσεις περιλαμβάνουν:

• Πρόστιμα έως 5 τοις εκατό του παγκόσμιου ετήσιου κύκλου εργασιών για σοβαρές παραβάσεις που αφορούν ευαίσθητα προσωπικά δεδομένα ή συστηματικές αποτυχίες
• Αναστολή δραστηριοτήτων επεξεργασίας
• Υποχρεωτική διακοπή διασυνοριακών μεταφορών
• Δημόσια αποκάλυψη της παράβασης
• Ποινική ευθύνη για κατάφωρες περιπτώσεις, συμπεριλαμβανομένης της παράνομης πώλησης προσωπικών δεδομένων

Τάση εφαρμογής

Το MPS ήταν σχετικά ήσυχο το 2023 και στις αρχές του 2024 καθώς το Διάταγμα εδραιωνόταν, αλλά η εφαρμογή επιταχύνθηκε κατά τη διάρκεια του 2025 και εντός του 2026. Ξένοι εκδότες έχουν αναφερθεί σε αρκετές δημοσιευμένες ενέργειες, σχεδόν πάντα εστιασμένες σε ένα από τρία ζητήματα: απούσα ή ανεπαρκής συγκατάθεση, μη υποβληθείσες εκτιμήσεις διασυνοριακής μεταφοράς ή αδυναμία ανταπόκρισης σε αιτήματα υποκειμένων δεδομένων εντός του παραθύρου 72 ωρών.

Λίστα ελέγχου ελέγχου για βιετναμέζικη κίνηση το 2026

• Το banner CMP εμφανίζεται στα βιετναμέζικα για βιετναμέζους χρήστες, με Αποδοχή, Απόρριψη και Προσαρμογή με ίση προβολή
• Οι σκοποί συγκατάθεσης είναι λεπτομερείς και διαχωρίζουν ευαίσθητη επεξεργασία όπως η ακριβής τοποθεσία
• Τα αρχεία καταγραφής συγκατάθεσης είναι χρονοσφραγισμένα, εξαγώγιμα και διατηρούνται για τη διάρκεια της επεξεργασίας συν ένα ελέγξιμο περιθώριο
• Η πολιτική απορρήτου είναι διαθέσιμη στα βιετναμέζικα με πλήρη γνωστοποίηση επεξεργαστών, διατήρησης και δικαιωμάτων
• Η Εκτίμηση Αντικτύπου Μεταφοράς έχει υποβληθεί στο MPS για κάθε συνεχιζόμενη διασυνοριακή ροή
• Η ροή εργασίας αιτημάτων υποκειμένων δεδομένων μπορεί να ανταποκριθεί εντός 72 ωρών από άκρο σε άκρο
• Η ροή συγκατάθεσης που λαμβάνει υπόψη την ηλικία είναι σε ισχύ για κοινά που περιλαμβάνουν ανηλίκους
• Η λίστα προμηθευτών έχει επανεξεταστεί ως προς την αναγκαιότητα, με αχρησιμοποίητους ή πλεονάζοντες προμηθευτές να έχουν αφαιρεθεί για τη μείωση της διασυνοριακής επιφάνειας

Η προοπτική για το 2026

Η ρυθμιστική τροχιά του Βιετνάμ είναι σαφής. Το PDPD εγκατέστησε το πλαίσιο. Το PDPL το σκληραίνει. Η εφαρμογή επεκτείνεται. Για εκδότες και διαφημιστές που αντιμετώπισαν το Βιετνάμ ως αγορά με ελαφρύτερη ρύθμιση, το 2026 είναι η χρονιά που αυτή η προσέγγιση γίνεται δαπανηρή. Τα καλά νέα είναι ότι μια σύγχρονη στοίβα συγκατάθεσης βαθμού GDPR είναι το μεγαλύτερο μέρος αυτού που χρειάζεται — τα κενά είναι συνήθως το παράθυρο απόκρισης 72 ωρών, οι υποβολές Εκτίμησης Αντικτύπου Μεταφοράς και η τοπικοποίηση στα βιετναμέζικα του CMP και της πολιτικής απορρήτου. Αυτά τα κενά είναι επιχειρησιακά, όχι αρχιτεκτονικά, και μπορούν να κλείσουν σε εβδομάδες και όχι σε τρίμηνα. Οι εκδότες που τα κλείνουν πριν εμφανιστεί το MPS στην πόρτα τους δεν θα παρατηρήσουν τη μετάβαση. Αυτοί που θα περιμένουν, θα το κάνουν.