Vietnami andmekaitsesea strukstuur 2026. aastal

Vietnami režiim on nüüd kahetasandiline: 2023. aasta PDPD ja 2026. aasta PDPL. Mõlemad on jõus ja kirjastajad peavad mõistma, milline kiht reguleerib millist kohustust.

PDPD — dekreet 13/2023/ND-CP

Dekreet tutvustas Vietnami esimest terviklikku isikuandmete määratlust, andmesubjektide õiguste kataloogi, nõusoleku nõudeid, piiriüleste andmeedastuste eeskirju ja põhilist isikuandmete töötlemise mõjuhindamise (DPIA) kohustust. See jääb jõusse ja reguleerib jätkuvalt tegevusüksikasju.

PDPL — jõustub alates 2026. aastast

PDPL tõstab raamistiku esmasesse seadusandlusesse kõrgemate karistuste ja laiema kohaldamisalaga. See tugevdab nõusolekukeskset mudelit, tugevdab andmesubjektide õigusi ja laiendab avaliku julgeoleku ministeeriumi (MPS) jõustamisvolitusi, mis jääb peamiseks regulaatoriks. PDPL tutvustab ka selgemaid eeskirju tundlike isikuandmete, automatiseeritud otsustamise ja alaealiste andmete töötlemise kohta.

Keda reguleeritakse

Seadus kohaldub igale Vietnami isikuandmete töötlemisele, olenemata sellest, kus töötleja asub. USA-s asuv kirjastaja, kes teenindab Vietnami kasutajaid lokaliseeritud saidi kaudu, või programmatiline ostja, kes teeb pakkumisi Vietnami reklaamivarudele, on reguleerimisalas. See territoriaalne ulatus peegeldab GDPRi mustrit ja on üks Vietnami raamistiku agressiivsemaid elemente.

Mis loetakse isikuandmeteks

Vietnami isikuandmete määratlus on lai ja jälgib tihedalt rahvusvahelist standardit. Isikuandmed on igasugune teave, mis tuvastab või võimaldab tuvastada konkreetset füüsilist isikut, ja see jaguneb kaheks kategooriaks, mis on küpsiste nõusoleku jaoks eriti olulised.

Põhilised isikuandmed

Põhilised isikuandmed hõlmavad nime, sünnikuupäeva, isikukoode, kontaktandmeid, seadme identifikaatoreid, IP-aadresse ja veebitegevuse andmeid. Enamik küpsistega kogutud andmeid kuulub siia, sealhulgas reklaamiidentifikaatorid, seansiidentifikaatorid ja sirvimisajaloost koostatud käitumisprofiilid.

Tundlikud isikuandmed

Tundlikud isikuandmed hõlmavad poliitilisi ja usulisi vaateid, terviseandmeid, geneetilisi andmeid, biomeetrilisi andmeid, seksuaalset orientatsiooni, kriminaalregistreid, finantsandmeid ja — mis on kriitilise tähtsusega — asukohaandmeid, mida saab kasutada konkreetse isiku tuvastamiseks. Tundlikud andmed käivitavad rangeimad nõusoleku nõuded, sealhulgas konkreetse, eraldi ja mõnel juhul kirjaliku või elektrooniliselt kontrollitava nõusoleku.

Miks see küpsiste puhul oluline on

Küpsis, mis kogub ainult põhilise seansiidentifikaatori, on põhilised isikuandmed. Küpsis, mis toidab asukohabaasil reklaami vaatajaskonda — mis on levinud taasturundamis- ja geosihitud kampaaniates — puudutab tõenäoliselt tundlikke isikuandmeid hetkel, kui asukoht muutub tuvastavaks. CMP konfiguratsioon peab neid eesmärke eraldama.

Küpsiste nõusolek Vietnami õiguse alusel

Vietnam järgib opt-in nõusoleku mudelit. Isikuandmeid koguvate küpsiste jaoks puudub teatis-ja-valik tagavaralaatus ning kehtiva nõusoleku latt on sarnane GDPRi standardiga.

Neli nõusoleku nõuet

Vietnami õiguse alusel peab nõusolek olema:

• Konkreetne — seotud selgelt määratletud töötlemise eesmärgiga, mitte üldise katuse nõusolekuga
• Teadlik — andmesubjekt mõistab, milliseid andmeid töödeldakse, miks, kes neid saab ja kui kaua
• Vabatahtlik — eelnevalt märgitud ruudud puuduvad, mittevajalikuks töötlemiseks pole lubamatu nõusolek-või-lahku seinu
• Antav ja tagasivõetav — kasutaja saab nõusoleku anda ja tagasi võtta selge mehhanismi kaudu

Milline näeb välja nõuetele vastav CMP

2026. aastal Vietnami liikluse jaoks konfigureeritud CMP peaks esitama:

• Nähtava bänneri enne mis tahes mittevajaliku küpsise või jälgija käivitamist, vietnami keeles (Tiếng Việt) vaikimisi Vietnami kasutajatele
• Eraldi Nõustu, Keeldu ja Kohanda toimingud võrdse visuaalse prominentsusega — ilma tumedatel mustriteta
• Üksikasjalikud kontrollid vähemalt järgmiste eesmärkide jaoks: analüütika, reklaamimine, personaliseerimine, piiriülene edastamine ja igasugune tundliku kategooria töötlemine, nagu täpne asukoht
• Püsiv ja kergesti leitav mehhanism nõusoleku muutmiseks või tagasivõtmiseks pärast esialgset valikut
• Vietnamikeelne privaatsuspoliitika töötlejate, andmekategooriate, säilitamise ja kasutaja õiguste selge avalikustamisega

Nõusoleku andmed

Töötlejad peavad hoidma nõusoleku andmeid — kes nõustus, millal, millega, millise liidese kaudu. Vietnami jõustamismeetmetes on juba viidatud puuduvate või kontrollimata nõusoleku logide kohta ja PDPL formaliseerib selle kohustuse. CMP, mis ei tooda eksporditavaid, ajatemplitega nõusoleku loge, ei vasta nõuetele.

Piiriülene andmeedastus — kõige raskem osa

Vietnami piiriüleste edastuste režiim on üks nõudlikumaid piirkonnas ja on element, millega enamik välismaised kirjastajad kõige rohkem võitlevad.

Edastuse mõjuhindamine

Enne Vietnami isikuandmete välismaale edastamist — mis hõlmab küpsistest tuletatud identifikaatorite saatmist välismaale reklaamivahetusele või analüütikatarnijale — peab vastutav töötleja koostama edastuse mõjuhindamise. Hindamine peab dokumenteerima eesmärgi, andmekategooriad, vastuvõtjariigi ja vastuvõtja, tehnilised ja organisatsioonilised kaitsemeetmed ning edastuse õigusliku aluse.

Esitamine MPS-ile

Hindamine tuleb esitada avaliku julgeoleku ministeeriumile 60 päeva jooksul alates töötlemise algusest. MPS-il on õigus peatada piiriülesed edastused, kui hindamine on ebapiisav või kui sihtkoha jurisdiktsiooni peetakse ebapiisavaks.

Praktiline mõju kirjastajatele

Tüüpiline programmatiline reklaamipinu suunab kasutajaandmeid läbi kümnete välismaiste tarnijate millisekundi jooksul. Iga selline voog on rangelt võttes Vietnami isikuandmete piiriülene edastus. 2026. aasta reaalsus on see, et enamik välismaiseid kirjastajaid kas esitab konsolideeritud hindamisi kogu oma tarnijate nimekirja jaoks või kärpib oma tarnijate komplekti, et vähendada hindamiskoormust. Kumbki pole lihtne ja MPS on andnud signaali, et alustab aktiivsemat jõustamist piiriüleste voogude osas 2026. aastal.

Andmesubjektide õigused

PDPL koondab ja tugevdab dekreedi alusel antud õigusi. Vietnami andmesubjektidel on õigus:

• Olla teavitatud oma andmete töötlemisest
• Pääseda juurde töödeldavatele andmetele
• Parandada ebaõigeid andmeid
• Kustutada andmed, kui töötlemine ei ole enam põhjendatud
• Piirata töötlemist kindlaksmääratud asjaoludel
• Võtta nõusolek tagasi sama lihtsalt kui see anti
• Esitada vastuväiteid automatiseeritud otsustamisele, millel on olulised tagajärjed
• Esitada kaebus avaliku julgeoleku ministeeriumile

Vastamise tähtajad

Vastutavad töötlejad peavad vastama andmesubjektide taotlustele enamikul juhtudel 72 tunni jooksul — see on märkimisväärselt kitsam aken kui GDPRi 30-päevane standard. Selle tähtaja operatiivne valmisolek on üks levinumaid vastavuslünki välismaiste kirjastajate jaoks ning nõuab tööriistu ja töövoogusid, mis on kiiremad kui tavapärane teistes piirkondades.

Alaealiste jaoks kehtivad erinormid

PDPL kehtestab alaealiste isikuandmete töötlemise jaoks spetsiaalsed kaitsemeetmed. Alla 15-aastase isiku andmete töötlemiseks nõusoleku peab andma vanem või seaduslik eestkostja. 15–18-aastaste andmete töötlemiseks on nõutav alaealise enda nõusolek, kuid suurendatud läbipaistvuse ja hoolsuskohustusega. Küpsiste nõusoleku liidesed saitidel, mis meelitavad oluliselt alla 18-aastast publikut, vajavad vanuseteadlikke vooge, mida vähesed välismaised kirjastajad on vaikimisi ehitanud.

Karistused ja jõustamine

PDPL tõstab halduskaristuste ülemmäära märkimisväärselt. Sanktsioonid hõlmavad:

• Trahve kuni 5 protsenti globaalsest aastakäibest tundlike isikuandmetega seotud tõsiste rikkumiste või süstemaatiliste ebaõnnestumiste eest
• Töötlemistegevuse peatamine
• Kohustuslikud piiriüleste edastuste peatamised
• Rikkumise avalik avalikustamine
• Kriminaalvastutus jämedatele rikkumistele, sealhulgas isikuandmete ebaseaduslik müük

Jõustamise trend

MPS oli suhteliselt vaikne 2023. aasta ja 2024. aasta alguse vältel, kui dekreet oli alles juurdumas, kuid jõustamine on kiirenenud 2025. aastal ja 2026. aastasse sisenedes. Välismaised kirjastajad on tsiteeritud mitmes avalikustatud meetmes, peaaegu alati koondudes ühele kolmest probleemist: puuduv või ebapiisav nõusolek, esitamata piiriüleste edastuste hindamised või suutmatus vastata andmesubjektide taotlustele 72-tunnise akna jooksul.

Auditiloetelu Vietnami liikluse jaoks 2026. aastal

• CMP bänner kuvatakse vietnami keeles Vietnami kasutajatele, Nõustu, Keeldu ja Kohanda on võrdse prominentsusega
• Nõusoleku eesmärgid on üksikasjalikud ja eraldavad tundliku töötlemise, nagu täpne asukoht
• Nõusoleku logid on ajatemplitega, eksporditavad ja säilitatud töötlemise kestuse jooksul koos auditeeritava varu
• Privaatsuspoliitika on saadaval vietnami keeles töötlejate, säilitamise ja õiguste täieliku avalikustamisega
• Edastuse mõjuhindamine on esitatud MPS-ile iga jätkuva piiriülese voo jaoks
• Andmesubjekti taotluse töövoog suudab vastata 72 tunni jooksul otsast otsani
• Vanuseteadlik nõusoleku voog on paigas publikute jaoks, mis hõlmavad alaealisi
• Tarnijate nimekirja on läbi vaadatud vajalikkuse osas, eemaldades kasutamata või üleliigsed tarnijad, et vähendada piiriülest pindala

2026. aasta väljavaade

Vietnami regulatiivne trajektoor on selge. PDPD lõi raamistiku. PDPL tugevdab seda. Jõustamine laieneb. Kirjastajate ja reklaamijate jaoks, kes on kohtelnud Vietnami kergemate nõuetega turuna, on 2026. aasta see aasta, mil selline lähenemine muutub kulukaks. Hea uudis on see, et kaasaegne GDPR-taseme nõusolekupinu on suurem osa sellest, mida on vaja — lüngad on tavaliselt 72-tunnine vastamise aken, edastuse mõjuhindamise esitamised ning CMP ja privaatsuspoliitika vietnamikeelne lokaliseerimine. Need lüngad on operatiivsed, mitte arhitektuursed, ja neid saab sulgeda nädalate, mitte kvartalite jooksul. Kirjastajad, kes sulgevad need enne MPS-i saabumist uksele, ei märka üleminekut. Need, kes ootavad, märkavad küll.