Vietnam személyes adatvédelmi rendelete és törvénye: A cookie-hozzájárulás és kiadói megfelelőségi útmutató 2026-ra
Vietnam alig több mint három év alatt szinte semmiféle egységes személyes adatvédelmi keretrendszerrel nem rendelkezőből Délkelet-Ázsia egyik legszigorúbb hozzájárulási rezsimjévé vált. A személyes adatok védelmére vonatkozó rendelet (PDPD), a 13/2023/ND-CP számú rendelet 2023 júliusában lépett hatályba. A személyes adatok védelmére vonatkozó törvény (PDPL), amelyet a Nemzetgyűlés 2025-ben fogadott el, 2026. január 1-jén lépett hatályba, és a Rendelet alapelveit elsődleges jogszabállyá emeli, erősebb végrehajtással és szélesebb hatállyal. Minden kiadó, hirdető vagy platform számára, amely vietnami felhasználók adatait dolgozza fel – akár Vietnamban, akár máshol székhellyel rendelkezve –, a 2026-os környezet lényegesen eltér attól, ami csak egy évvel ezelőtt volt. Ez az útmutató végigvezeti Önt azon, hogy a törvény valójában mit követel meg, hogyan kell konfigurálni a cookie-hozzájárulást, hogyan működnek a határokon átnyúló adattovábbítások, és hogyan néz ki a végrehajtás a gyakorlatban.
A vietnami adatvédelmi jog szerkezete 2026-ban
Vietnam rendszere ma egy kétrétegű struktúra: a 2023-as PDPD és a 2026-os PDPL. Mindkettő hatályban van, és a kiadóknak meg kell érteniük, hogy melyik réteg szabályozza melyik kötelezettséget.
A PDPD — 13/2023/ND-CP rendelet
A Rendelet bevezette Vietnam első átfogó személyes adat-meghatározását, az érintetti jogok katalógusát, a hozzájárulásra vonatkozó követelményeket, a határokon átnyúló adattovábbítás szabályait és az alapvető személyes adatkezelési hatásvizsgálat (DPIA) kötelezettségét. Hatályban marad, és továbbra is szabályozza az operatív részleteket.
A PDPL — 2026-tól hatályos
A PDPL a keretrendszert elsődleges jogszabállyá emeli magasabb szankciókkal és szélesebb hatállyal. Megerősíti a hozzájárulásközpontú modellt, erősíti az érintettek jogait, és bővíti a Közbiztonsági Minisztérium (MPS) végrehajtási hatásköreit, amely az elsődleges szabályozó hatóság marad. A PDPL egyértelműbb szabályokat is bevezet az érzékeny személyes adatokra, az automatizált döntéshozatalra és a kiskorúak adatainak kezelésére vonatkozóan.
Ki tartozik a szabályozás hatálya alá
A törvény a vietnami személyes adatok bármilyen kezelésére vonatkozik, függetlenül attól, hogy az adatkezelő hol tartózkodik. Egy amerikai székhelyű kiadó, amely vietnami felhasználókat szolgál ki lokalizált weboldalon keresztül, vagy egy programmatikus vevő, aki vietnami leltárra licitál, a hatály alá tartozik. Ez az extraterritoriális hatály a GDPR mintáját tükrözi, és a vietnami keretrendszer egyik agresszívabb eleme.
Mi számít személyes adatnak
A vietnami személyes adat-meghatározás széles körű, és szorosan követi a nemzetközi szabványt. A személyes adat minden olyan információ, amely azonosít vagy azonosítani képes egy konkrét természetes személyt, és két kategóriára oszlik, amelyek a cookie-hozzájárulás szempontjából nagyon fontosak.
Alapvető személyes adatok
Az alapvető személyes adatok közé tartozik a név, születési dátum, azonosító számok, elérhetőségi adatok, eszközazonosítók, IP-címek és az online tevékenységre vonatkozó adatok. A legtöbb cookie által gyűjtött adat ide tartozik, beleértve a hirdetési azonosítókat, munkamenet-azonosítókat és a böngészési előzményekből felépített viselkedési profilokat.
Érzékeny személyes adatok
Az érzékeny személyes adatok közé tartoznak a politikai és vallási nézetek, egészségügyi információk, genetikai adatok, biometrikus adatok, szexuális irányultság, büntetett előélet, pénzügyi adatok, és – ami kritikus – olyan helyadatok, amelyek felhasználhatók egy konkrét egyén azonosítására. Az érzékeny adatok a legszigorúbb hozzájárulási követelményeket váltják ki, beleértve a konkrét, külön, és egyes esetekben írásban vagy elektronikusan ellenőrizhető hozzájárulást.
Miért fontos ez a cookie-k szempontjából
Egy cookie, amely csak egy alapvető munkamenet-azonosítót gyűjt, alapvető személyes adat. Egy cookie, amely helymeghatározáson alapuló hirdetési közönséget táplál – ami általános az újracélzásban és a földrajzilag célzott kampányokban –, valószínűleg érzékeny személyes adatot érint, amint a helyadat azonosítóvá válik. A CMP konfigurációnak el kell különítenie ezeket a célokat.
Cookie-hozzájárulás a vietnami jog szerint
Vietnam az opt-in hozzájárulási modellt követi. Nincs értesítés-és-választás tartalék a személyes adatokat gyűjtő cookie-k esetében, és az érvényes hozzájárulás mércéje hasonló a GDPR szabványhoz.
A négy hozzájárulási követelmény
A vietnami jog szerinti hozzájárulásnak a következőknek kell megfelelnie:
- Konkrét — egy egyértelműen meghatározott adatkezelési célhoz kötött, nem általános átfogó hozzájárulás
- Tájékozott — az érintett megérti, hogy milyen adatokat kezelnek, miért, ki kapja meg, és mennyi ideig
- Önkéntes — nincsenek előre bepipált jelölőnégyzetek, nem szükséges hozzájárulás vagy kilépés a nem alapvető adatkezeléshez
- Megadható és visszavonható — a felhasználó egyértelmű mechanizmuson keresztül adhatja meg és vonhatja vissza hozzájárulását
Hogyan néz ki egy megfelelő CMP
Egy 2026-ban vietnami forgalomra konfigurált CMP-nek a következőket kell bemutatnia:
- Látható banner minden nem alapvető cookie vagy nyomkövető aktiválása előtt, alapértelmezés szerint vietnami (Tiếng Việt) nyelven vietnami felhasználók számára
- Külön Elfogadás, Elutasítás és Testreszabás műveletek, egyenlő vizuális hangsúllyal — sötét minták nélkül
- Részletes vezérlők legalább a következő célokhoz: analitika, reklám, személyre szabás, határokon átnyúló adattovábbítás és bármilyen érzékeny kategóriájú adatkezelés, például pontos helymeghatározás
- Tartós, könnyen megtalálható mechanizmus a hozzájárulás megváltoztatásához vagy visszavonásához a kezdeti választás után
- Vietnami nyelvű adatvédelmi tájékoztató az adatkezelők, adatkategóriák, megőrzési idők és felhasználói jogok egyértelmű közzétételével
Hozzájárulási nyilvántartások
Az adatkezelőknek nyilvántartást kell vezetniük a hozzájárulásokról — ki járult hozzá, mikor, mihez, milyen felületen keresztül. A vietnami végrehajtási intézkedések már hivatkoztak hiányzó vagy nem ellenőrizhető hozzájárulási naplókra, és a PDPL formalizálja ezt a kötelezettséget. Egy CMP, amely nem állít elő exportálható, időbélyegzett hozzájárulási naplókat, nem megfelelő.
Határokon átnyúló adattovábbítás — A legnehezebb rész
Vietnam határokon átnyúló adattovábbítási rendszere a régió egyik legszigorúbbja, és ez az elem, amellyel a legtöbb külföldi kiadó nehézségekbe ütközik.
Az adattovábbítási hatásvizsgálat
Mielőtt vietnami személyes adatokat külföldre továbbítana — ami magában foglalja a cookie-ból származó azonosítók küldését egy tengerentúli reklámtőzsdére vagy analitikai szállítóhoz —, az adatkezelőnek el kell készítenie egy adattovábbítási hatásvizsgálatot. A vizsgálatnak dokumentálnia kell a célt, az adatkategóriákat, a fogadó országot és fogadót, a technikai és szervezési biztosítékokat, valamint az adattovábbítás jogalapját.
Benyújtás az MPS-hez
A vizsgálatot az adatkezelés megkezdésétől számított 60 napon belül be kell nyújtani a Közbiztonsági Minisztériumhoz. Az MPS jogosult felfüggeszteni a határokon átnyúló adattovábbítást, ha a vizsgálat nem kielégítő, vagy ha a célállomás joghatósága elégtelen minősítést kap.
Gyakorlati következmény kiadók számára
Egy tipikus programmatikus hirdetési stack milliszekundumok alatt tucatnyi tengerentúli szállítón keresztül irányítja a felhasználói adatokat. Ezek az adatfolyamok mindegyike szigorúan véve vietnami személyes adatok határokon átnyúló továbbítása. A 2026-os valóság az, hogy a legtöbb külföldi kiadó vagy konszolidált vizsgálatokat nyújt be a teljes szállítói listájára vonatkozóan, vagy szűkíti a szállítói körét a vizsgálati teher csökkentése érdekében. Egyik sem egyszerű, és az MPS jelezte, hogy 2026 folyamán aktívabb végrehajtást kezd a határokon átnyúló adatfolyamokra vonatkozóan.
Érintetti jogok
A PDPL konszolidálja és megerősíti a Rendelet által biztosított jogokat. A vietnami érintetteknek joguk van:
- Értesülni adataik kezeléséről
- Hozzáférni a kezelt adatokhoz
- Pontatlan adatok helyesbítéséhez
- Adatok törléséhez, ha az adatkezelés már nem indokolt
- Az adatkezelés korlátozásához meghatározott körülmények között
- A hozzájárulás visszavonásához ugyanolyan könnyen, ahogyan azt megadták
- Tiltakozni az automatizált döntéshozatal ellen, amely jelentős hatásokat produkál
- Panaszt tenni a Közbiztonsági Minisztériumnál
Válaszadási határidők
Az adatkezelőknek az érintetti kérelmekre legtöbb esetben 72 órán belül kell válaszolniuk — ez lényegesen szűkebb határidő, mint a GDPR 30 napos szabványa. Az erre a határidőre való operatív felkészültség az egyik leggyakoribb megfelelőségi hiányosság a külföldi kiadóknál, és olyan eszközöket és folyamatokat igényel, amelyek gyorsabbak, mint ami más régiókban megszokott.
Különleges szabályok kiskorúak esetén
A PDPL dedikált védelmet vezet be a kiskorúak személyes adatainak kezelésére vonatkozóan. A 15 év alatti személyek adatainak kezeléséhez szükséges hozzájárulást szülőnek vagy törvényes gyámnak kell megadnia. A 15 és 18 év közöttiek adatainak kezeléséhez a kiskorú saját hozzájárulása szükséges, de fokozott átláthatósági és gondossági kötelezettségekkel. A 18 év alatti felhasználókat jelentős arányban vonzó oldalakon a cookie-hozzájárulási felületeknél korhatár-tudatos folyamatokra van szükség, amelyeket kevés külföldi kiadó épített be alapértelmezés szerint.
Szankciók és végrehajtás
A PDPL jelentősen megemeli a közigazgatási bírságok felső határát. A szankciók közé tartoznak:
- Legfeljebb az éves globális bevétel 5 százalékáig terjedő bírságok az érzékeny személyes adatokat érintő súlyos jogsértések vagy szisztematikus mulasztások esetén
- Az adatkezelési tevékenységek felfüggesztése
- Kötelező határokon átnyúló adattovábbítás-leállítás
- A jogsértés nyilvános közzététele
- Büntetőjogi felelősség kirívó esetekben, beleértve a személyes adatok jogellenes értékesítését
Végrehajtási trend
Az MPS viszonylag csendes volt 2023-ban és 2024 elején, miközben a Rendelet beágyazódott, de a végrehajtás felgyorsult 2025 folyamán és 2026-ba nyúlva. Külföldi kiadókat több nyilvánosságra hozott ügyben idéztek meg, szinte mindig három kérdés egyike kapcsán: hiányzó vagy nem megfelelő hozzájárulás, be nem nyújtott határokon átnyúló adattovábbítási vizsgálatok, vagy az érintetti kérelmekre a 72 órás határidőn belüli válaszadás elmulasztása.
Ellenőrzési lista a vietnami forgalomhoz 2026-ban
- A CMP banner vietnami felhasználók számára vietnami nyelven jelenik meg, az Elfogadás, Elutasítás és Testreszabás egyenlő hangsúllyal
- A hozzájárulási célok részletesek, és elkülönítik az érzékeny adatkezelést, például a pontos helymeghatározást
- A hozzájárulási naplók időbélyegzővel ellátottak, exportálhatók, és az adatkezelés időtartamára plusz egy auditálható margóra megőrzöttek
- Az adatvédelmi tájékoztató vietnami nyelven elérhető, az adatkezelők, megőrzési idők és jogok teljes közzétételével
- Az adattovábbítási hatásvizsgálat be van nyújtva az MPS-hez minden folyamatban lévő határokon átnyúló adatfolyamra
- Az érintetti kérelmek kezelési munkafolyamata képes 72 órán belül válaszolni végponttól végpontig
- Korhatár-tudatos hozzájárulási folyamat van érvényben a kiskorúakat is magában foglaló közönségek számára
- A szállítói listát felülvizsgálták a szükségesség szempontjából, a nem használt vagy redundáns szállítókat eltávolítva, hogy csökkentsék a határokon átnyúló felületet
A 2026-os kilátások
Vietnam szabályozási iránya egyértelmű. A PDPD megteremtette a keretrendszert. A PDPL megszilárdítja azt. A végrehajtás bővül. Azon kiadók és hirdetők számára, akik Vietnamot könnyebb érintésű piacként kezelték, 2026 az az év, amikor ez a megközelítés költségessé válik. A jó hír az, hogy egy modern GDPR-szintű hozzájárulási stack a szükséges dolgok nagy részét biztosítja — a hiányosságok jellemzően a 72 órás válaszadási ablak, az adattovábbítási hatásvizsgálati benyújtások, és a CMP és adatvédelmi tájékoztató vietnami nyelvű lokalizációja. Ezek a hiányosságok operatívak, nem architektúrálisak, és hetek, nem negyedévek alatt orvosolhatók. Azok a kiadók, akik bezárják ezeket a hiányosságokat, mielőtt az MPS megjelenik az ajtajukon, észre sem veszik az átmenetet. Akik várnak, érezni fogják.