Vjetnamas datu aizsardzības likuma struktūra 2026. gadā

Vjetnamas režīms tagad ir divslāņu struktūra: PDPD no 2023. gada un PDPL no 2026. gada. Abi ir spēkā, un izdevējiem jāsaprot, kurš slānis regulē kuru pienākumu.

PDPD — Dekrēts 13/2023/ND-CP

Dekrēts ieviesa Vjetnamas pirmo visaptverošo personas datu definīciju, datu subjektu tiesību katalogu, piekrišanas prasības, noteikumus par pārrobežu datu pārsūtīšanu un pamata Personas datu apstrādes ietekmes novērtējuma (DPIA) pienākumu. Tas paliek spēkā un turpina regulēt darbības detaļas.

PDPL — Spēkā no 2026. gada

PDPL paceļ regulējumu primārajā likumdošanā ar augstākiem sodiem un plašāku tvērumu. Tas pastiprina uz piekrišanu orientēto modeli, stiprina datu subjektu tiesības un paplašina izpildes pilnvaras Sabiedriskās drošības ministrijai (MPS), kas paliek galvenais regulators. PDPL arī ievieš skaidrākus noteikumus sensitīviem personas datiem, automatizētai lēmumu pieņemšanai un nepilngadīgo datu apstrādei.

Uz ko attiecas regulējums

Likums attiecas uz jebkuru Vjetnamas personas datu apstrādi neatkarīgi no tā, kur atrodas apstrādātājs. ASV bāzēts izdevējs, kas apkalpo Vjetnamas lietotājus, izmantojot lokalizētu vietni, vai programmatiskais pircējs, kas solījas par Vjetnamas krājumu, ir tvērumā. Šī eksteritoriālā piemērojamība atspoguļo GDPR modeli un ir viens no agresīvākajiem Vjetnamas regulējuma elementiem.

Kas tiek uzskatīts par personas datiem

Vjetnamas personas datu definīcija ir plaša un cieši seko starptautiskajam standartam. Personas dati ir jebkura informācija, kas identificē vai var identificēt konkrētu fizisku personu, un tā iedalās divās kategorijās, kas ir ļoti svarīgas sīkdatņu piekrišanai.

Pamata personas dati

Pamata personas dati ietver vārdu, dzimšanas datumu, identifikācijas numurus, kontaktinformāciju, ierīces identifikatorus, IP adreses un tiešsaistes darbības datus. Lielākā daļa ar sīkdatnēm savākto datu ietilpst šeit, tostarp reklāmas identifikatori, sesiju ID un no pārlūkošanas vēstures izveidotie uzvedības profili.

Sensitīvi personas dati

Sensitīvi personas dati ietver politiskos un reliģiskos uzskatus, veselības informāciju, ģenētiskos datus, biometriskos datus, seksuālo orientāciju, kriminālus ierakstus, finanšu datus un — izšķiroši — atrašanās vietas datus, ko var izmantot konkrētas personas identificēšanai. Sensitīvajiem datiem ir stingrākās piekrišanas prasības, tostarp specifiska, atsevišķa un dažos gadījumos rakstiska vai elektroniski verificējama piekrišana.

Kāpēc tas ir svarīgi sīkdatnēm

Sīkdatne, kas apkopo tikai pamata sesijas identifikatoru, ir pamata personas dati. Sīkdatne, kas baro uz atrašanās vietu balstītu reklāmas auditoriju — izplatīta retargetinga un ģeogrāfiski mērķētu kampaņu gadījumā — visticamāk, skar sensitīvos personas datus, tiklīdz atrašanās vieta kļūst identificējoša. CMP konfigurācijai jāatdala šie mērķi.

Sīkdatņu piekrišana saskaņā ar Vjetnamas likumu

Vjetnama izmanto opt-in piekrišanas modeli. Nav brīdinājuma un izvēles alternatīvas sīkdatnēm, kas apkopo personas datus, un derīgas piekrišanas kritērijs ir līdzīgs GDPR standartam.

Četras piekrišanas prasības

Piekrišanai saskaņā ar Vjetnamas likumu jābūt:

• Specifiskai — saistītai ar skaidri identificētu apstrādes mērķi, nevis vispārējai lietvārda piekrišanai
• Informētai — datu subjekts saprot, kādi dati tiek apstrādāti, kāpēc, kas tos saņem un cik ilgi
• Brīvprātīgai — bez iepriekš atzīmētām izvēles rūtiņām, bez piekrišanas vai aiziešanas sienām nebūtiskai apstrādei
• Izteicamai un atsaucamai — lietotājs var sniegt un atsaukt piekrišanu, izmantojot skaidru mehānismu

Kā izskatās atbilstošs CMP

CMP, kas konfigurēts Vjetnamas trafikam 2026. gadā, jāparāda:

• Redzams reklāmkarogs pirms jebkuras nebūtiskas sīkdatnes vai izsekotāja aktivizēšanās, pēc noklusējuma vietniešu valodā (Tiếng Việt) Vjetnamas lietotājiem
• Atsevišķas darbības Pieņemt, Noraidīt un Pielāgot ar vienādu vizuālo izcelšanu — bez tumšiem modeļiem
• Detalizētas vadīklas vismaz šādiem mērķiem: analītika, reklāma, personalizēšana, pārrobežu pārsūtīšana un jebkura sensitīvo kategoriju apstrāde, piemēram, precīza atrašanās vieta
• Pastāvīgs, viegli atrodams mehānisms piekrišanas maiņai vai atsaukšanai pēc sākotnējās izvēles
• Privātuma politika vietniešu valodā ar skaidriem atklājumiem par apstrādātājiem, datu kategorijām, saglabāšanu un lietotāja tiesībām

Piekrišanas ieraksti

Apstrādātājiem jāuztur piekrišanas ieraksti — kurš piekrita, kad, kam, izmantojot kādu saskarni. Vjetnamas izpildes darbībās jau ir minēti trūkstoši vai nepārbaudāmi piekrišanas žurnāli, un PDPL formalizē šo pienākumu. CMP, kas nerada eksportējamus, laika zīmogu piekrišanas žurnālus, neatbilst prasībām.

Pārrobežu datu pārsūtīšana — Visgrūtākā daļa

Vjetnamas pārrobežu pārsūtīšanas režīms ir viens no prasīgākajiem reģionā un ir elements, ar kuru lielākā daļa ārvalstu izdevēju cīnās.

Pārsūtīšanas ietekmes novērtējums

Pirms Vjetnamas personas datu pārsūtīšanas uz ārzemēm — kas ietver sīkdatnēs iegūtu identifikatoru nosūtīšanu uz ārvalstu reklāmu apmaiņu vai analītikas pārdevēju — kontrolierim jāsagatavo Pārsūtīšanas ietekmes novērtējums. Novērtējumā jādokumentē mērķis, datu kategorijas, saņēmējvalsts un saņēmējs, tehniskie un organizatoriskie aizsardzības pasākumi un pārsūtīšanas juridiskais pamats.

Iesniegšana MPS

Novērtējums jāiesniedz Sabiedriskās drošības ministrijā 60 dienu laikā no apstrādes uzsākšanas. MPS ir tiesības apturēt pārrobežu pārsūtīšanu, ja novērtējums ir nepietiekams vai ja galamērķa jurisdikcija tiek uzskatīta par nepietiekamu.

Praktiskās sekas izdevējiem

Tipiska programmatiskā reklāmu kaudze milisekundēs novirza lietotāja datus caur desmitiem ārvalstu pārdevēju. Katra no šīm plūsmām ir, stingri ņemot, Vjetnamas personas datu pārrobežu pārsūtīšana. 2026. gada realitāte ir tāda, ka lielākā daļa ārvalstu izdevēju vai nu iesniedz konsolidētus novērtējumus visam pārdevēju sarakstam, vai arī samazina savu pārdevēju kopu, lai samazinātu novērtējuma slogu. Ne viens, ne otrs nav mazsvarīgs, un MPS ir norādījusi, ka 2026. gadā sāks aktīvāku izpildi attiecībā uz pārrobežu plūsmām.

Datu subjektu tiesības

PDPL konsolidē un stiprina Dekrēta piešķirtās tiesības. Vjetnamas datu subjektiem ir tiesības:

• Tikt informētiem par savu datu apstrādi
• Piekļūt apstrādājamajiem datiem
• Labot neprecīzus datus
• Dzēst datus, ja apstrāde vairs nav pamatota
• Ierobežot apstrādi noteiktos apstākļos
• Atsaukt piekrišanu tikpat viegli, kā tā tika sniegta
• Iebilst pret automatizētu lēmumu pieņemšanu, kas rada būtiskas sekas
• Iesniegt sūdzību Sabiedriskās drošības ministrijā

Atbildes termiņi

Kontrolieriem lielākajā daļā gadījumu jāatbild uz datu subjektu pieprasījumiem 72 stundu laikā — tas ir ievērojami stingrāks termiņš nekā GDPR 30 dienu standarts. Darbības gatavība šim termiņam ir viena no biežākajām atbilstības nepilnībām ārvalstu izdevējiem un prasa rīkus un rokasgrāmatas, kas ir ātrākas nekā tipiskās citās reģionos.

Īpaši noteikumi nepilngadīgajiem

PDPL ievieš īpašas aizsardzības nepilngadīgo personas datu apstrādei. Piekrišanu personas, kas jaunāka par 15 gadiem, datu apstrādei jāsniedz vecāks vai likumīgais aizbildnis. Personas vecumā no 15 līdz 18 gadiem datu apstrādei nepieciešama paša nepilngadīgā piekrišana, bet ar paaugstinātiem pārskatāmības un rūpības pienākumiem. Sīkdatņu piekrišanas lietotāja saskarnes vietnēs, kas piesaista ievērojamu auditoriju jaunāku par 18 gadiem, ir nepieciešamas ar vecumu saistītas plūsmas, kuras lielākā daļa ārvalstu izdevēju pēc noklusējuma nav izveidojuši.

Sodi un izpilde

PDPL ievērojami paaugstina administratīvo naudas sodu maksimālo apmēru. Sankcijas ietver:

• Naudas sodus līdz 5 procentiem no globālā gada ieņēmuma par nopietniem pārkāpumiem, kas saistīti ar sensitīviem personas datiem vai sistemātiskiem pārkāpumiem
• Apstrādes darbību apturēšanu
• Obligātus pārrobežu pārsūtīšanas apturēšanas pasākumus
• Pārkāpuma publisko izpaušanu
• Kriminālatbildību par rupjiem gadījumiem, tostarp personas datu nelikumīgu pārdošanu

Izpildes tendence

MPS 2023. gadā un 2024. gada sākumā bija samērā klusa, kamēr Dekrēts tika nostiprināts, taču izpilde ir paātrinājusies 2025. gadā un 2026. gada sākumā. Ārvalstu izdevēji ir minēti vairākās publicētās darbībās, gandrīz vienmēr centrējoties uz vienu no trim jautājumiem: trūkstošu vai nepietiekamu piekrišanu, neiesniegtos pārrobežu pārsūtīšanas novērtējumus vai nespēju atbildēt uz datu subjektu pieprasījumiem 72 stundu laikā.

Revīzijas kontrolsaraksts Vjetnamas trafikam 2026. gadā

• CMP reklāmkarogs tiek pasniegts vietniešu valodā Vjetnamas lietotājiem, ar Pieņemt, Noraidīt un Pielāgot vienādā izcelšanā
• Piekrišanas mērķi ir detalizēti un atdala sensitīvu apstrādi, piemēram, precīzu atrašanās vietu
• Piekrišanas žurnāli ir laika zīmogoti, eksportējami un saglabāti apstrādes laikā plus auditējama rezerve
• Privātuma politika ir pieejama vietniešu valodā ar pilnu informāciju par apstrādātājiem, saglabāšanu un tiesībām
• Pārsūtīšanas ietekmes novērtējums ir iesniegts MPS par katru notiekošo pārrobežu plūsmu
• Datu subjektu pieprasījumu darbplūsma var atbildēt 72 stundu laikā no sākuma līdz beigām
• Ar vecumu saistīta piekrišanas plūsma ir ieviesta auditorijai, kas ietver nepilngadīgos
• Pārdevēju saraksts ir pārskatīts pēc nepieciešamības, ar neizmantotiem vai liekajiem pārdevējiem, kas noņemti, lai samazinātu pārrobežu virsmu

2026. gada perspektīva

Vjetnamas regulatīvā trajektorija ir skaidra. PDPD izveidoja regulējumu. PDPL to nostiprina. Izpilde paplašinās. Izdevējiem un reklāmdevējiem, kas ir uzskatījuši Vjetnamu par mazsvarīgāku tirgu, 2026. gads ir gads, kad šī pieeja kļūst dārga. Labā ziņa ir tāda, ka moderns GDPR līmeņa piekrišanas kaudze ir lielākā daļa no nepieciešamā — nepilnības parasti ir 72 stundu atbildes logs, Pārsūtīšanas ietekmes novērtējuma iesniegumi un CMP un privātuma politikas lokalizācija vietniešu valodā. Šīs nepilnības ir darbības, nevis arhitektoniskas, un tās var novērst nedēļu, nevis ceturkšņu laikā. Izdevēji, kas tās novērš pirms MPS ierodas pie viņu durvīm, pāreju nepamanīs. Tie, kas gaida, to pamanīs.