Struktura vijetnamskog prava zaštite podataka u 2026.

Vijetnamski je režim sada dvoslojna struktura: PDPD iz 2023. i PDPL iz 2026. Oba su na snazi, a izdavači moraju razumjeti koji sloj uređuje koju obavezu.

PDPD — Uredba 13/2023/ND-CP

Uredbom je uvedena prva sveobuhvatna definicija osobnih podataka u Vijetnamu, katalog prava ispitanika, zahtjevi za pristanak, pravila o prekograničnim prijenosima podataka i temeljna obveza procjene učinka obrade osobnih podataka (DPIA). Ostaje na snazi i nastavlja upravljati operativnim detaljima.

PDPL — Na snazi od 2026.

PDPL uzdiže okvir u primarno zakonodavstvo s višim kaznama i širim dosegom. Jača model usmjeren na pristanak, učvršćuje prava ispitanika i proširuje ovlasti provedbe Ministarstva javne sigurnosti (MPS), koje ostaje primarni regulator. PDPL također uvodi jasnije propise za osjetljive osobne podatke, automatizirano donošenje odluka i obradu podataka maloljetnika.

Tko je reguliran

Zakon se primjenjuje na svaku obradu vijetnamskih osobnih podataka, bez obzira gdje je izvršitelj obrade smješten. Izdavač sa sjedištem u SAD-u koji opslužuje vijetnamske korisnike putem lokalizirane stranice ili programatski kupac koji daje ponude na vijetnamski inventar nalazi se u opsegu primjene. Ovaj ekstrateritorialni doseg odražava GDPR obrazac i jedan je od agresivnijih elemenata vijetnamskog okvira.

Što se smatra osobnim podacima

Vijetnamska definicija osobnih podataka je široka i usko prati međunarodni standard. Osobni podaci su svaka informacija koja identificira ili može identificirati određenu fizičku osobu, a dijele se u dvije kategorije koje su iznimno važne za pristanak na kolačiće.

Osnovni osobni podaci

Osnovni osobni podaci uključuju ime, datum rođenja, identifikacijske brojeve, kontakt podatke, identifikatore uređaja, IP adrese i podatke o online aktivnosti. Većina podataka prikupljenih kolačićima spada ovdje, uključujući identifikatore oglašavanja, ID-ove sesije i profili ponašanja izgrađeni iz povijesti pregledavanja.

Osjetljivi osobni podaci

Osjetljivi osobni podaci uključuju politička i vjerska uvjerenja, zdravstvene podatke, genetske podatke, biometrijske podatke, seksualnu orijentaciju, kaznene dosje, financijske podatke i — što je ključno — podatke o lokaciji koji se mogu koristiti za identifikaciju određene osobe. Osjetljivi podaci pokreću najstrože zahtjeve za pristanak, uključujući specifičan, odvojen i u nekim slučajevima pisani ili elektronički provjerljivi pristanak.

Zašto je to važno za kolačiće

Kolačić koji prikuplja samo osnovni identifikator sesije su osnovni osobni podaci. Kolačić koji napaja publiku za oglašavanje temeljenu na lokaciji — uobičajenu u retargeting i geo-ciljane kampanje — vjerojatno se dotiče osjetljivih osobnih podataka u trenutku kada lokacija postaje identificirajuća. Konfiguracija CMP-a mora odvojiti te svrhe.

Pristanak na kolačiće prema vijetnamskom pravu

Vijetnam slijedi model pristanka opt-in. Ne postoji alternativni mehanizam obavijest-i-izbor za kolačiće koji prikupljaju osobne podatke, a ljestvica za valjani pristanak slična je GDPR standardu.

Četiri uvjeta pristanka

Pristanak prema vijetnamskom pravu mora biti:

• Specifičan — vezan uz jasno identificiranu svrhu obrade, a ne opći krovni pristanak
• Informiran — ispitanik razumije koji se podaci obrađuju, zašto, tko ih prima i koliko dugo
• Dobrovoljan — bez unaprijed označenih okvira, bez zidova pristanaka-ili-odlaska za neesencijalnu obradu
• Izraziv i opoziv — korisnik može dati i povući pristanak putem jasnog mehanizma

Kako izgleda usklađen CMP

CMP konfiguriran za vijetnamski promet u 2026. trebao bi prikazivati:

• Vidljivi banner prije nego što se aktivira bilo koji neesencijalni kolačić ili praćenje, na vijetnamskom jeziku (Tiếng Việt) kao zadanom za vijetnamske korisnike
• Odvojene radnje Prihvati, Odbij i Prilagodi s jednakom vizualnom istaknutošću — bez mračnih obrazaca
• Detaljne kontrole za najmanje sljedeće svrhe: analitika, oglašavanje, personalizacija, prekogranični prijenos i svaka obrada osjetljive kategorije poput precizne lokacije
• Stalni i lako pronašljiv mehanizam za promjenu ili povlačenje pristanka nakon početnog izbora
• Politiku privatnosti na vijetnamskom jeziku s jasnim otkrivanjem izvršitelja obrade, kategorija podataka, pohrane i prava korisnika

Evidencija pristanka

Izvršitelji obrade moraju voditi evidenciju pristanaka — tko je pristao, kada, na što, putem kojeg sučelja. Provedbe u Vijetnamu već su citirale nedostajuće ili neprovjerljive zapise pristanka, a PDPL formalizira tu obvezu. CMP koji ne proizvodi izvozive, vremenski žigosane zapise pristanka nije usklađen.

Prekogranični prijenos podataka — Najteži dio

Vijetnamski režim prekograničnih prijenosa jedan je od najzahtjevnijih u regiji i element s kojim se većina stranih izdavača bori.

Procjena učinka prijenosa

Prije prijenosa vijetnamskih osobnih podataka u inozemstvo — što uključuje slanje identifikatora dobivenih iz kolačića inozemnoj ad burzi ili pružatelju analitičkih usluga — voditelj obrade mora pripremiti Procjenu učinka prijenosa. Procjena mora dokumentirati svrhu, kategorije podataka, zemlju i primatelja, tehničke i organizacijske zaštitne mjere te pravnu osnovu za prijenos.

Podnošenje MPS-u

Procjena mora biti podnesena Ministarstvu javne sigurnosti u roku od 60 dana od početka obrade. MPS ima ovlast suspendirati prekogranične prijenose ako je procjena neadekvatna ili ako se odredišna jurisdikcija smatra nedostatnom.

Praktična implikacija za izdavače

Tipičan programatski oglasni paket prosljeđuje korisničke podatke kroz desetke inozemnih prodavača u milisekundama. Svaki od tih tokova je, striktno, prekogranični prijenos vijetnamskih osobnih podataka. Stvarnost 2026. je da većina stranih izdavača ili podnosi konsolidirane procjene za cijeli popis prodavača ili reže skup prodavača kako bi smanjila teret procjene. Nijedno nije trivijalno, a MPS je signalizirao da će početi aktivnije provoditi prekogranične tokove tijekom 2026.

Prava ispitanika

PDPL konsolidira i jača prava dodijeljena prema Uredbi. Vijetnamski ispitanici imaju pravo:

• Biti informirani o obradi svojih podataka
• Pristupiti podacima koji se obrađuju
• Ispraviti netočne podatke
• Brisati podatke gdje obrada više nije opravdana
• Ograničiti obradu u navedenim okolnostima
• Povući pristanak jednako lako kao što je dan
• Prigovoriti automatiziranom donošenju odluka koje proizvodi značajne učinke
• Podnijeti pritužbu Ministarstvu javne sigurnosti

Rokovi odgovora

Voditelji obrade moraju odgovoriti na zahtjeve ispitanika u roku od 72 sata u većini slučajeva — znatno uži prozor od GDPR-ovog standarda od 30 dana. Operativna spremnost za ovaj rok jedna je od češćih nedostataka usklađenosti za strane izdavače i zahtijeva alate i priručnike koji su brži nego što je tipično u drugim regijama.

Posebna pravila za maloljetnike

PDPL uvodi namjenske zaštite za obradu osobnih podataka maloljetnika. Pristanak za obradu podataka osobe mlađe od 15 godina mora dati roditelj ili zakonski skrbnik. Obrada podataka osoba od 15 do 18 godina zahtijeva vlastiti pristanak maloljetnika, ali s pojačanim obvezama transparentnosti i pažnje. Sučelja pristanka na kolačiće na stranicama koje privlače značajne publike mlađe od 18 godina trebaju tokove svjesne dobi, koje malo stranih izdavača gradi prema zadanim postavkama.

Kazne i provedba

PDPL znatno povećava gornju granicu administrativnih kazni. Sankcije uključuju:

• Kazne do 5 posto globalnog godišnjeg prihoda za ozbiljne povrede koje uključuju osjetljive osobne podatke ili sustavne propuste
• Suspenzija aktivnosti obrade
• Obvezno zaustavljanje prekograničnih prijenosa
• Javno otkrivanje povrede
• Kaznena odgovornost za teške slučajeve, uključujući nezakonitu prodaju osobnih podataka

Trend provedbe

MPS je bio relativno tih kroz 2023. i početak 2024. dok se Uredba ustalila, ali provedba se ubrzala kroz 2025. i u 2026. Strani su izdavači citirani u nekoliko publiciranih radnji, gotovo uvijek usredotočeni na jedno od tri pitanja: nedostajući ili neadekvatni pristanak, nepodnesene procjene prekograničnih prijenosa ili propust odgovaranja na zahtjeve ispitanika u roku od 72 sata.

Kontrolni popis revizije za vijetnamski promet u 2026.

• Banner CMP-a se prikazuje na vijetnamskom za vijetnamske korisnike, s Prihvati, Odbij i Prilagodi jednake istaknutosti
• Svrhe pristanka su detaljne i odvajaju osjetljivu obradu poput precizne lokacije
• Zapisi pristanka su vremenski žigosani, izvozivi i čuvaju se za trajanje obrade plus provjerljiva margina
• Politika privatnosti dostupna je na vijetnamskom s potpunim otkrivanjem izvršitelja obrade, pohrane i prava
• Procjena učinka prijenosa podnesena je MPS-u za svaki tekući prekogranični tok
• Tijek rada zahtjeva ispitanika može odgovoriti u roku od 72 sata od kraja do kraja
• Tijek pristanka svjestan dobi je na snazi za publike koje uključuju maloljetnike
• Popis prodavača pregledan je za neophodnost, s uklanjanjem nekorištenih ili suvišnih prodavača za smanjenje prekogranične površine

Izgledi za 2026.

Regulatorni put Vijetnama je jasan. PDPD je uspostavio okvir. PDPL ga učvršćuje. Provedba se širi. Za izdavače i oglašivače koji su Vijetnam tretirali kao tržište lakšeg dodira, 2026. je godina u kojoj taj pristup postaje skup. Dobra vijest je da moderni GDPR-stupanj paketa pristanka čini većinu onoga što je potrebno — praznine su obično prozor odgovora od 72 sata, podnošenja Procjene učinka prijenosa i vijetnamska lokalizacija CMP-a i politike privatnosti. Te praznine su operativne, a ne arhitektonske, i mogu se zatvoriti u tjednima umjesto kvartalima. Izdavači koji ih zatvore prije nego što MPS dođe na njihova vrata neće primijetiti prijelaz. Oni koji budu čekali, hoće.