Vietnamin henkilötietojen suojelusta annettu asetus ja laki: evästeiden suostumusten ja julkaisijoiden vaatimustenmukaisuuden opas vuodelle 2026
Vietnam on siirtynyt hieman yli kolmessa vuodessa lähes täysin ilman yhtenäistä henkilötietokehystä olemisesta yhdeksi Kaakkois-Aasian vaativimmista suostumusjärjestelmistä. Henkilötietojen suojelusta annettu asetus (PDPD), asetus 13/2023/ND-CP, tuli voimaan heinäkuussa 2023. Henkilötietojen suojalaki (PDPL), jonka kansalliskokous hyväksyi vuonna 2025, tuli voimaan 1. tammikuuta 2026 ja nostaa suurimman osan asetuksen periaatteista ensisijaiseen lainsäädäntöön vahvemmalla täytäntöönpanolla ja laajemmalla soveltamisalalla. Jokaiselle julkaisijalle, mainostajalle tai alustalle, joka käsittelee vietnamilaisten käyttäjien tietoja — sijaitsi se Vietnamissa tai ei — vuoden 2026 ympäristö on huomattavasti erilainen kuin vuosi sitten. Tässä oppaassa käydään läpi, mitä laki todella vaatii, miten evästeiden suostumus on konfiguroitava, miten rajat ylittävät siirrot toimivat ja millainen täytäntöönpano käytännössä näyttää.
Vietnamin tietosuojalain rakenne vuonna 2026
Vietnamin järjestelmä on nyt kaksikerroksinen pino: vuoden 2023 PDPD ja vuoden 2026 PDPL. Molemmat ovat voimassa, ja julkaisijoiden on ymmärrettävä, mikä kerros hallitsee mitäkin velvoitetta.
PDPD — Asetus 13/2023/ND-CP
Asetus esitteli Vietnamin ensimmäisen kattavan henkilötietomääritelmän, rekisteröityjen oikeuksien luettelon, suostumusvaatimukset, rajat ylittäviä tiedonsiirtoja koskevat säännöt ja perustavanlaatuisen henkilötietojen käsittelyn vaikutustenarvioinnin (DPIA) velvollisuuden. Se pysyy voimassa ja jatkaa toiminnallisten yksityiskohtien hallintaa.
PDPL — Voimassa vuodesta 2026
PDPL nostaa kehyksen ensisijaiseen lainsäädäntöön korkeammilla seuraamuksilla ja laajemmalla soveltamisalalla. Se vahvistaa suostumuskeskeistä mallia, vahvistaa rekisteröityjen oikeuksia ja laajentaa yleisen turvallisuuden ministeriön (MPS) täytäntöönpanovaltuuksia, joka pysyy ensisijaisena sääntelyviranomaisena. PDPL esittelee myös selkeämmät säännöt arkaluonteisille henkilötiedoille, automatisoituun päätöksentekoon ja alaikäisten tietojen käsittelyyn.
Keitä säännellään
Lakia sovelletaan kaikkeen vietnamilaisten henkilötietojen käsittelyyn riippumatta siitä, missä käsittelijä sijaitsee. Yhdysvalloissa sijaitseva julkaisija, joka palvelee vietnamilaisia käyttäjiä lokalisoidun sivuston kautta, tai ohjelmallinen ostaja, joka tekee tarjouksia vietnamilaisesta varastosta, on soveltamisalan piirissä. Tämä alueellinen ulottuvuus heijastaa GDPR:n mallia ja on yksi Vietnamin kehyksen aggressiivisimmista elementeistä.
Mikä lasketaan henkilötiedoiksi
Vietnamin henkilötietomääritelmä on laaja ja seuraa tarkasti kansainvälistä standardia. Henkilötieto on mikä tahansa tieto, joka tunnistaa tai voi tunnistaa tietyn luonnollisen henkilön, ja se jakautuu kahteen kategoriaan, jotka ovat ratkaisevia evästeiden suostumuksen kannalta.
Perustason henkilötiedot
Perustason henkilötiedot sisältävät nimen, syntymäajan, tunnistenumerot, yhteystiedot, laitetunnisteet, IP-osoitteet ja verkkotoimintatiedot. Suurin osa evästeillä kerätyistä tiedoista kuuluu tähän, mukaan lukien mainostunnisteet, istuntotunnukset ja selaamishistoriasta rakennetut käyttäytymisprofiilit.
Arkaluonteiset henkilötiedot
Arkaluonteiset henkilötiedot sisältävät poliittiset ja uskonnolliset näkemykset, terveystiedot, geneettiset tiedot, biometriset tiedot, seksuaalisen suuntautumisen, rikosrekisterin, taloudelliset tiedot ja — kriittisesti — sijaintitiedot, joita voidaan käyttää tietyn henkilön tunnistamiseen. Arkaluonteiset tiedot laukaisevat tiukimmat suostumusvaatimukset, mukaan lukien erityinen, erillinen ja joissain tapauksissa kirjallinen tai sähköisesti todennettavissa oleva suostumus.
Miksi tämä on tärkeää evästeille
Eväste, joka kerää vain perustason istuntotunnisteen, on perustason henkilötieto. Eväste, joka syöttää sijaintipohjaista mainosyleisöä — yleinen uudelleenkohdentamis- ja geokohdentamiskampanjoissa — koskettaa todennäköisesti arkaluonteisia henkilötietoja sillä hetkellä, kun sijainti muuttuu tunnistavaksi. CMP-konfiguraation on erotettava nämä tarkoitukset.
Evästeiden suostumus Vietnamin lain mukaan
Vietnam noudattaa opt-in-suostumusmallia. Henkilötietoja keräävissä evästeissä ei ole ilmoitus-ja-valinta-varavaihtoehtoa, ja pätevän suostumuksen rima on samankaltainen kuin GDPR-standardi.
Neljä suostumusvaatimusta
Suostumuksen Vietnamin lain mukaan on oltava:
- Erityinen — sidottu selkeästi yksilöityyn käsittelytarkoitukseen, ei yleiseen kattavaan suostumukseen
- Tietoinen — rekisteröity ymmärtää, mitä tietoja käsitellään, miksi, kuka saa ne ja kuinka kauan
- Vapaaehtoinen — ei ennalta rastittuja ruutuja, ei suostumus-tai-lähde-seiniä ei-välttämättömälle käsittelylle
- Annettavissa ja peruutettavissa — käyttäjä voi antaa ja peruuttaa suostumuksen selkeän mekanismin kautta
Miltä vaatimustenmukainen CMP näyttää
Vietnamilaiselle liikenteelle vuonna 2026 konfiguroitu CMP tulisi esittää:
- Näkyvä banneri ennen kuin ei-välttämätön eväste tai seuraja käynnistyy, vietnamin kielellä (Tiếng Việt) oletuksena vietnamilaisille käyttäjille
- Erilliset Hyväksy-, Hylkää- ja Mukauta-toiminnot tasavertaisella visuaalisella näkyvyydellä — ilman tumia malleja
- Tarkat ohjaukset vähintään seuraaville tarkoituksille: analytiikka, mainonta, personointi, rajat ylittävä siirto ja kaikki arkaluonteisten kategorioiden käsittely kuten tarkka sijainti
- Pysyvä, helposti löydettävä mekanismi suostumuksen muuttamiseen tai peruuttamiseen alkuperäisen valinnan jälkeen
- Vietnaminkielinen tietosuojakäytäntö, jossa on selkeät tiedot käsittelijöistä, tietoluokista, säilyttämisestä ja käyttäjän oikeuksista
Suostumustiedot
Käsittelijöiden on pidettävä kirjaa suostumuksista — kuka antoi suostumuksen, milloin, mihin, minkä käyttöliittymän kautta. Vietnamin täytäntöönpanotoimissa on jo viitattu puuttuviin tai todentamattomiin suostumuslokeihin, ja PDPL formalisoi tämän velvollisuuden. CMP, joka ei tuota vietävissä olevia, aikaleimattuja suostumuslokeja, ei ole vaatimustenmukainen.
Rajat ylittävä tiedonsiirto — Vaikein osa
Vietnamin rajat ylittävien siirtojen järjestelmä on yksi alueen vaativimmista ja on elementti, jonka kanssa useimmat ulkomaiset julkaisijat kamppailevat.
Siirron vaikutustenarviointi
Ennen vietnamilaisten henkilötietojen siirtämistä ulkomaille — mikä sisältää evästeistä johdettujen tunnisteiden lähettämisen ulkomaiselle mainosvaihto- tai analytiikkatoimittajalle — rekisterinpitäjän on laadittava siirron vaikutustenarviointi. Arvioinnissa on dokumentoitava tarkoitus, tietoluokat, vastaanottajamaa ja vastaanottaja, tekniset ja organisatoriset suojatoimet sekä siirron oikeudellinen perusta.
Toimittaminen MPS:lle
Arviointi on toimitettava yleisen turvallisuuden ministeriölle 60 päivän kuluessa käsittelyn alkamisesta. MPS:llä on valtuudet keskeyttää rajat ylittävät siirrot, jos arviointi on riittämätön tai kohdejurisdiktiota pidetään riittämättömänä.
Käytännön vaikutus julkaisijoille
Tyypillinen ohjelmallinen mainosten pino reitittää käyttäjätiedot kymmenien ulkomaisten toimittajien kautta millisekunnissa. Jokainen näistä virroista on tiukasti ottaen vietnamilaisten henkilötietojen rajat ylittävä siirto. Vuoden 2026 todellisuus on, että useimmat ulkomaiset julkaisijat joko toimittavat konsolidoituja arviointeja koko toimittajalistastaan tai karsivat toimittajajoukkoa arviointitaakan vähentämiseksi. Kumpikaan ei ole triviaalia, ja MPS on signaloinut aloittavansa aktiivisempaa täytäntöönpanoa rajat ylittäviin virtoihin vuoden 2026 aikana.
Rekisteröityjen oikeudet
PDPL kokoaa ja vahvistaa asetuksen nojalla myönnetyt oikeudet. Vietnamilaisilla rekisteröidyillä on oikeus:
- Saada tiedot tietojensa käsittelystä
- Päästä käsiteltäviin tietoihin
- Korjata virheellisiä tietoja
- Poistaa tiedot, kun käsittely ei enää ole perusteltua
- Rajoittaa käsittelyä tietyissä olosuhteissa
- Peruuttaa suostumus yhtä helposti kuin se annettiin
- Vastustaa automatisoitua päätöksentekoa, jolla on merkittäviä vaikutuksia
- Tehdä valitus yleisen turvallisuuden ministeriölle
Vastaamisaikataulut
Rekisterinpitäjien on vastattava rekisteröityjen pyyntöihin useimmissa tapauksissa 72 tunnin kuluessa — huomattavasti tiukempi ikkuna kuin GDPR:n 30 päivän standardi. Operatiivinen valmius tähän aikatauluun on yksi yleisimmistä vaatimustenmukaisuuspuutteista ulkomaisilla julkaisijoilla ja vaatii työkaluja ja toimintaohjeita, jotka ovat nopeampia kuin muilla alueilla tyypillinen.
Alaikäisiä koskevat erityissäännöt
PDPL ottaa käyttöön omistettuja suojatoimia alaikäisten henkilötietojen käsittelylle. Alle 15-vuotiaan henkilön tietojen käsittelyä koskevan suostumuksen on annettava vanhempi tai laillinen holhooja. 15–18-vuotiaiden tietojen käsittely edellyttää alaikäisen omaa suostumusta, mutta lisääntyneillä avoimuus- ja huolellisuusvelvollisuuksilla. Evästesuostumusten käyttöliittymät sivustoilla, joilla on merkittäviä alle 18-vuotiaita yleisöjä, tarvitsevat ikätietoisia virtauksia, joita harvat ulkomaiset julkaisijat ovat oletuksena rakentaneet.
Sanktiot ja täytäntöönpano
PDPL nostaa hallinnollisten sakkojen kattoa merkittävästi. Seuraamukset sisältävät:
- Sakot enintään 5 prosenttia globaalista vuosiliikevaihdosta vakavista rikkomuksista, jotka koskevat arkaluonteisia henkilötietoja tai järjestelmällisiä epäonnistumisia
- Käsittelytoiminnan keskeyttäminen
- Pakollinen rajat ylittävien siirtojen pysäytys
- Rikkomuksen julkinen paljastaminen
- Rikosoikeudellinen vastuu räikeissä tapauksissa, mukaan lukien henkilötietojen laiton myynti
Täytäntöönpanotrendi
MPS oli suhteellisen hiljainen vuoden 2023 ja 2024 alkupuolella, kun asetus vakiintui, mutta täytäntöönpano on kiihtynyt vuoden 2025 aikana ja vuoteen 2026 mennessä. Ulkomaisia julkaisijoita on mainittu useissa julkistetuissa toimissa, lähes aina yhteen kolmesta asiasta keskittyen: puuttuva tai riittämätön suostumus, toimittamattomat rajat ylittävien siirtojen arvioinnit tai kyvyttömyys vastata rekisteröityjen pyyntöihin 72 tunnin kuluessa.
Tarkistuslista vietnamilaiselle liikenteelle vuonna 2026
- CMP-banneri tarjotaan vietnamiksi vietnamilaisille käyttäjille, Hyväksy-, Hylkää- ja Mukauta-valinnat tasavertaisella näkyvyydellä
- Suostumuksen tarkoitukset ovat tarkat ja erottavat arkaluonteisen käsittelyn, kuten tarkka sijainti
- Suostumuslokien aikaleima on olemassa, viedään ja säilytetään käsittelyn keston ajan plus tarkastettavissa oleva marginaali
- Tietosuojakäytäntö on saatavilla vietnamiksi täydellisinä tietoina käsittelijöistä, säilyttämisestä ja oikeuksista
- Siirron vaikutustenarviointi on toimitettu MPS:lle jokaista jatkuvaa rajat ylittävää virtaa varten
- Rekisteröityjen pyyntöjen työnkulku voi vastata 72 tunnin kuluessa alusta loppuun
- Ikätietoinen suostumusvirtaus on käytössä yleisöille, joihin kuuluu alaikäisiä
- Toimittajalista on tarkistettu tarpeellisuuden osalta ja käyttämättömät tai redundantit toimittajat on poistettu rajat ylittävän pinnan pienentämiseksi
Vuoden 2026 näkymät
Vietnamin sääntelykehitys on selkeä. PDPD loi kehyksen. PDPL vahvistaa sen. Täytäntöönpano laajenee. Julkaisijoille ja mainostajille, jotka ovat kohdelleet Vietnamia kevyempänä markkinana, vuosi 2026 on se vuosi, jolloin tämä lähestymistapa muuttuu kalliiksi. Hyvä uutinen on, että moderni GDPR-tason suostumusrakenne on suurin osa siitä, mitä tarvitaan — puutteet ovat tyypillisesti 72 tunnin vastausikkuna, siirron vaikutustenarvioinnin toimittaminen ja CMP:n ja tietosuojakäytännön vietnaminkielinen lokalisointi. Nämä puutteet ovat toiminnallisia, eivät arkkitehtonisia, ja ne voidaan korjata viikoissa eikä neljännesvuosissa. Julkaisijat, jotka sulkevat ne ennen kuin MPS saapuu heidän ovelleen, eivät huomaa siirtymää. Ne, jotka odottavat, huomaavat.