Dekrit lan Undang-Undang Perlindungan Data Pribadi Vietnam: Pandhuan Persetujuan Cookie lan Kepatuhan Penerbit kanggo 2026
Vietnam wis obah, ing sithik luwih saka telu taun, saka meh ora duwe kerangka data pribadi sing manunggal dadi salah sawijining rezim persetujuan sing paling ketat ing Asia Tenggara. Dekrit Perlindungan Data Pribadi (PDPD), Dekrit 13/2023/ND-CP, mlebu berlaku ing Juli 2023. Undang-Undang Perlindungan Data Pribadi (PDPL), sing disahake dening Majelis Nasional ing 2025, mlebu berlaku ing 1 Januari 2026 lan ngangkat umume prinsip-prinsip Dekrit dadi undang-undang primer kanthi penegakan sing luwih kuat lan jangkauan sing luwih jembar. Kanggo saben penerbit, pengiklan, utawa platform sing ngolah data pangguna Vietnam — apa sing berbasis ing Vietnam utawa ora — lingkungan 2026 beda banget karo apa sing ana setaun kepungkur. Pandhuan iki mlaku liwat apa sing pancen diwajibake dening hukum, kepiye persetujuan cookie kudu dikonfigurasi, kepiye transfer lintas wates kerja, lan kepiye penegakan katon ing praktik.
Struktur Hukum Perlindungan Data Vietnam ing 2026
Rezim Vietnam saiki minangka tumpukan rong lapisan: PDPD saka 2023 lan PDPL saka 2026. Kelorone berlaku, lan penerbit perlu mangerteni lapisan endi sing ngatur kewajiban endi.
PDPD — Dekrit 13/2023/ND-CP
Dekrit iki ngenalake definisi data pribadi komprehensif pertama Vietnam, katalog hak-hak subjek data, syarat-syarat persetujuan, aturan babagan transfer data lintas wates, lan kewajiban Penilaian Dampak Pemrosesan Data Pribadi (DPIA) dasar. Isih berlaku lan terus ngatur rincian operasional.
PDPL — Berlaku wiwit 2026
PDPL ngangkat kerangka menyang undang-undang primer kanthi pinalti sing luwih dhuwur lan ruang lingkup sing luwih jembar. Iki nguatake model berbasis persetujuan, nguatake hak-hak subjek data, lan nggedhekake kewenangan penegakan kanggo Kementerian Keamanan Publik (MPS), sing tetep dadi regulator utama. PDPL uga ngenalake aturan sing luwih cetha kanggo data pribadi sensitif, pengambilan keputusan otomatis, lan pemrosesan data anak di ngisor umur.
Sapa sing Diatur
Hukum iki diterapake kanggo saben pemrosesan data pribadi Vietnam, ora preduli ngendi pemroses dumunung. Penerbit berbasis AS sing melayani pangguna Vietnam liwat situs sing dilokalisasi utawa pembeli programatik sing nawar inventaris Vietnam kalebu ing ruang lingkup. Jangkauan ekstrateritorial iki nyermin pola GDPR lan minangka salah sawijining unsur sing paling agresif saka kerangka Vietnam.
Apa sing Dianggep Data Pribadi
Definisi data pribadi Vietnam iku jembar lan nderek standar internasional kanthi cedhak. Data pribadi yaiku informasi apa wae sing ngenali utawa bisa ngenali wong alami tartamtu, lan dibagi dadi rong kategori sing penting banget kanggo persetujuan cookie.
Data Pribadi Dasar
Data pribadi dasar kalebu jeneng, tanggal lair, nomer identifikasi, rincian kontak, pengenal perangkat, alamat IP, lan data aktivitas online. Umume data sing dikumpulake dening cookie kalebu ing kene, kalebu pengenal iklan, ID sesi, lan profil perilaku sing dibangun saka riwayat penjelajahan.
Data Pribadi Sensitif
Data pribadi sensitif kalebu pandangan politik lan agama, informasi kesehatan, data genetik, data biometrik, orientasi seksual, catatan kriminal, data keuangan, lan — sing kritis — data lokasi sing bisa digunakake kanggo ngenali individu tartamtu. Data sensitif micu syarat persetujuan sing paling ketat, kalebu persetujuan sing spesifik, kapisah, lan ing sawetara kasus kudu tinulis utawa bisa diverifikasi sacara elektronik.
Kenapa Iki Penting kanggo Cookie
Cookie sing mung ngumpulake pengenal sesi dasar yaiku data pribadi dasar. Cookie sing menehi makan audiens iklan berbasis lokasi — umum ing kampanye retargeting lan geo-targeted — kemungkinan nyentuh data pribadi sensitif nalika lokasi dadi pengenal. Konfigurasi CMP kudu misahake tujuan-tujuan iki.
Persetujuan Cookie ing Ngisor Hukum Vietnam
Vietnam nderek model persetujuan opt-in. Ora ana fallback pemberitahuan-lan-pilihan kanggo cookie sing ngumpulake data pribadi, lan standar kanggo persetujuan sing sah mirip karo standar GDPR.
Patang Syarat Persetujuan
Persetujuan ing ngisor hukum Vietnam kudu:
- Spesifik — diikat menyang tujuan pemrosesan sing jelas diidentifikasi, dudu persetujuan umum sing komprehensif
- Terinformasi — subjek data mangerteni data apa sing diproses, kenapa, sapa sing nampa, lan kanggo pira suwene
- Sukarela — ora ana kothak centang sing wis ditandha, ora ana tembok persetujuan-utawa-lunga kanggo pemrosesan non-esensial
- Bisa dinyatakake lan ditarik — pangguna bisa menehi lan narik persetujuan liwat mekanisme sing cetha
Tampilan CMP sing Patuh
CMP sing dikonfigurasi kanggo lalu lintas Vietnam ing 2026 kudu nyajikake:
- Spanduk sing katon sadurunge cookie utawa pelacak non-esensial apa wae aktif, ing basa Vietnam (Tiếng Việt) sacara default kanggo pangguna Vietnam
- Tindakan Trima, Tolak, lan Sesuaikan sing kapisah, kanthi prominensi visual sing setara — tanpa pola peteng
- Kontrol granular kanggo setidake tujuan-tujuan ing ngisor iki: analitik, periklanan, personalisasi, transfer lintas wates, lan pemrosesan kategori sensitif apa wae kaya lokasi tepat
- Mekanisme sing persisten lan gampang ditemokake kanggo ngowahi utawa narik persetujuan sawise pilihan awal
- Kebijakan privasi ing basa Vietnam kanthi pengungkapan sing cetha babagan pemroses, kategori data, retensi, lan hak-hak pangguna
Catatan Persetujuan
Pemroses kudu njaga catatan persetujuan — sapa sing nyetujui, kapan, kanggo apa, liwat antarmuka apa. Tindakan penegakan Vietnam wis ngutip log persetujuan sing ilang utawa ora bisa diverifikasi, lan PDPL nresmiake kewajiban iki. CMP sing ora ngasilake log persetujuan sing bisa diekspor lan diberi cap wektu ora patuh.
Transfer Data Lintas Wates — Bagian Paling Angel
Rezim transfer lintas wates Vietnam minangka salah sawijining sing paling ketat ing kawasan iki lan minangka unsur sing paling akeh penerbit asing kesulitane.
Penilaian Dampak Transfer
Sadurunge nransfer data pribadi Vietnam menyang luar negeri — kalebu ngirim pengenal sing asale saka cookie menyang bursa iklan luar negeri utawa vendor analitik — pengontrol kudu nyiapake Penilaian Dampak Transfer. Penilaian kasebut kudu mendokumentasikan tujuan, kategori data, negara penerima lan penerima, pengamanan teknis lan organisasi, lan dasar hukum transfer kasebut.
Pengajuan menyang MPS
Penilaian kasebut kudu diajukake menyang Kementerian Keamanan Publik ing sajroning 60 dina wiwit diwiwiti pemrosesan. MPS duwe kewenangan kanggo nangguhake transfer lintas wates yen penilaian kasebut ora cukup utawa yen yurisdiksi tujuan dianggep ora cukup.
Implikasi Praktis kanggo Penerbit
Tumpukan iklan programatik sing khas ngruteake data pangguna liwat puluhan vendor luar negeri ing milidetik. Saben aliran kasebut, sacara ketat, minangka transfer lintas wates data pribadi Vietnam. Kasunyatan 2026 yaiku umume penerbit asing apa wae ngajukake penilaian konsolidasi kanggo kabeh dhaftar vendor utawa memangkas set vendor kanggo ngurangi beban penilaian. Kelorone ora sepele, lan MPS wis menehi sinyal yen bakal miwiti penegakan sing luwih aktif ing aliran lintas wates sajrone 2026.
Hak-Hak Subjek Data
PDPL ngonsolidasikan lan nguatake hak-hak sing diwenehake ing ngisor Dekrit. Subjek data Vietnam duwe hak kanggo:
- Diwenehi kabar babagan pemrosesan data dheweke
- Ngakses data sing lagi diproses
- Mbenerake data sing ora akurat
- Mbusak data sing pemrosesane ora maneh dijustifikasi
- Mbatesi pemrosesan ing kaanan tartamtu
- Narik persetujuan semudah nalika menehi
- Mbantah pengambilan keputusan otomatis sing ngasilake efek sing signifikan
- Ngajokake keluhan menyang Kementerian Keamanan Publik
Batas Wektu Tanggapan
Pengontrol kudu nanggapi panjaluk subjek data ing sajroning 72 jam ing umume kasus — jendela sing jauh luwih ketat tinimbang standar 30 dina GDPR. Kesiapan operasional kanggo batas wektu iki minangka salah sawijining celah kepatuhan sing paling umum kanggo penerbit asing lan mbutuhake alat lan runbook sing luwih cepet tinimbang sing umum ing wilayah liya.
Aturan Khusus kanggo Anak Cilik
PDPL ngenalake perlindungan khusus kanggo pemrosesan data pribadi anak cilik. Persetujuan kanggo pemrosesan data sing kagungane wong sing umure kurang saka 15 taun kudu diwenehake dening wong tuwa utawa wali sing sah. Pemrosesan data kanggo wong sing umure 15 nganti 18 taun mbutuhake persetujuan saka anak cilik dhewe, nanging kanthi kewajiban transparansi lan perawatan sing luwih dhuwur. UI persetujuan cookie ing situs sing narik penonton sing signifikan ing ngisor 18 taun butuh aliran sing ngerti umur, sing sawetara penerbit asing wis dibangun sacara default.
Sanksi lan Penegakan
PDPL ngangkat wates denda administratif sacara signifikan. Sanksi kalebu:
- Denda nganti 5 persen saka pendapatan tahunan global kanggo pelanggaran serius sing nglibatake data pribadi sensitif utawa kegagalan sistematis
- Penangguhan kegiatan pemrosesan
- Penghentian transfer lintas wates sing wajib
- Pengungkapan publik babagan pelanggaran kasebut
- Tanggung jawab pidana kanggo kasus-kasus sing berat, kalebu penjualan data pribadi sing melanggar hukum
Tren Penegakan
MPS relatif sepi sajrone 2023 lan awal 2024 nalika Dekrit lagi diterapake, nanging penegakan wis dipercepat sajrone 2025 lan mlebu 2026. Penerbit asing wis dikutip ing sawetara tindakan sing dipublikasikan, meh tansah berpusat ing salah sawijining saka telu masalah: persetujuan sing ilang utawa ora cukup, penilaian transfer lintas wates sing ora diajukake, utawa kegagalan kanggo nanggapi panjaluk subjek data ing sajroning jendela 72 jam.
Dhaftar Periksa Audit kanggo Lalu Lintas Vietnam ing 2026
- Spanduk CMP disajikake ing basa Vietnam kanggo pangguna Vietnam, kanthi Trima, Tolak, lan Sesuaikan kanthi prominensi sing setara
- Tujuan persetujuan granular lan misahake pemrosesan sensitif kaya lokasi tepat
- Log persetujuan diberi cap wektu, bisa diekspor, lan disimpen kanggo durasi pemrosesan ditambah margin sing bisa diaudit
- Kebijakan privasi kasedhiya ing basa Vietnam kanthi pengungkapan lengkap babagan pemroses, retensi, lan hak-hak
- Penilaian Dampak Transfer diajukake menyang MPS kanggo saben aliran lintas wates sing lagi mlaku
- Alur kerja panjaluk subjek data bisa nanggapi ing sajroning 72 jam saka ujung menyang ujung
- Aliran persetujuan sing ngerti umur ana kanggo penonton sing kalebu anak cilik
- Dhaftar vendor wis ditinjau kanggo kabutuhan, kanthi vendor sing ora digunakake utawa redundan dihapus kanggo nyiutake permukaan lintas wates
Prospek 2026
Trajektori regulasi Vietnam wis cetha. PDPD netepake kerangka kasebut. PDPL ngerasake. Penegakan lagi berkembang. Kanggo penerbit lan pengiklan sing wis nganggep Vietnam minangka pasar sing luwih entheng, 2026 minangka taun nalika pendekatan kasebut dadi larang. Kabar baiknya yaiku tumpukan persetujuan bermutu GDPR modern minangka umume apa sing dibutuhake — celah umume yaiku jendela tanggapan 72 jam, pengajuan Penilaian Dampak Transfer, lan lokalisasi basa Vietnam saka CMP lan kebijakan privasi. Celah kasebut operasional, dudu arsitektural, lan bisa ditutup ing minggu-minggu tinimbang kuartal. Penerbit sing nutup sadurunge MPS teka ing lawange ora bakal ngerti transisi. Sing ngenteni bakal ngerti.