Wietnamski dekret i ustawa o ochronie danych osobowych: przewodnik po zgodach na pliki cookie i zgodności wydawców na rok 2026
Wietnam przeszedł, w nieco ponad trzy lata, od niemal braku zunifikowanych przepisów o danych osobowych do posiadania jednego z najbardziej wymagających reżimów zgody w Azji Południowo-Wschodniej. Dekret o ochronie danych osobowych (PDPD), Dekret 13/2023/ND-CP, wszedł w życie w lipcu 2023 roku. Ustawa o ochronie danych osobowych (PDPL), uchwalona przez Zgromadzenie Narodowe w 2025 roku, weszła w życie 1 stycznia 2026 roku i przenosi większość zasad dekretu do ustawodawstwa pierwotnego z silniejszym egzekwowaniem i szerszym zakresem stosowania. Dla każdego wydawcy, reklamodawcy lub platformy przetwarzającej dane wietnamskich użytkowników — niezależnie od tego, czy mają siedzibę w Wietnamie, czy nie — środowisko roku 2026 jest zasadniczo inne niż jeszcze rok temu. Niniejszy przewodnik wyjaśnia, czego faktycznie wymaga prawo, jak należy skonfigurować zgodę na pliki cookie, jak działają transgraniczne transfery danych i jak wygląda egzekwowanie w praktyce.
Struktura wietnamskiego prawa ochrony danych w 2026 roku
Wietnamski reżim to teraz dwuwarstwowa struktura: PDPD z 2023 roku i PDPL z 2026 roku. Oba obowiązują, a wydawcy muszą rozumieć, która warstwa reguluje które zobowiązanie.
PDPD — Dekret 13/2023/ND-CP
Dekret wprowadził pierwszą kompleksową definicję danych osobowych w Wietnamie, katalog praw podmiotów danych, wymogi dotyczące zgody, zasady transgranicznych transferów danych oraz fundamentalne zobowiązanie do przeprowadzenia oceny skutków przetwarzania danych osobowych (DPIA). Pozostaje w mocy i nadal reguluje szczegóły operacyjne.
PDPL — W mocy od 2026 roku
PDPL przenosi ramy do ustawodawstwa pierwotnego z wyższymi karami i szerszym zakresem stosowania. Wzmacnia model oparty na zgodzie, wzmacnia prawa podmiotów danych i rozszerza uprawnienia egzekucyjne Ministerstwa Bezpieczeństwa Publicznego (MPS), które pozostaje głównym regulatorem. PDPL wprowadza również wyraźniejsze zasady dotyczące wrażliwych danych osobowych, zautomatyzowanego podejmowania decyzji i przetwarzania danych osób małoletnich.
Kogo dotyczy regulacja
Ustawa ma zastosowanie do wszelkiego przetwarzania wietnamskich danych osobowych, niezależnie od miejsca siedziby podmiotu przetwarzającego. Wydawca z siedzibą w USA obsługujący wietnamskich użytkowników za pośrednictwem zlokalizowanej strony internetowej lub nabywca programatyczny licytujący wietnamskie zasoby reklamowe podlega tym przepisom. Ten eksterytorialny zasięg odzwierciedla wzorzec GDPR i jest jednym z bardziej agresywnych elementów wietnamskiego systemu.
Co uznaje się za dane osobowe
Wietnamska definicja danych osobowych jest szeroka i ściśle odpowiada standardowi międzynarodowemu. Dane osobowe to wszelkie informacje, które identyfikują lub mogą zidentyfikować konkretną osobę fizyczną, i dzielą się na dwie kategorie, które mają duże znaczenie dla zgody na pliki cookie.
Podstawowe dane osobowe
Podstawowe dane osobowe obejmują imię i nazwisko, datę urodzenia, numery identyfikacyjne, dane kontaktowe, identyfikatory urządzeń, adresy IP i dane dotyczące aktywności online. Większość danych zebranych za pomocą plików cookie należy do tej kategorii, w tym identyfikatory reklamowe, identyfikatory sesji i profile behawioralne zbudowane na podstawie historii przeglądania.
Wrażliwe dane osobowe
Wrażliwe dane osobowe obejmują poglądy polityczne i religijne, informacje o stanie zdrowia, dane genetyczne, dane biometryczne, orientację seksualną, rejestry karne, dane finansowe oraz — co kluczowe — dane lokalizacyjne, które mogą być wykorzystane do identyfikacji konkretnej osoby. Wrażliwe dane wymagają najbardziej rygorystycznych wymogów zgody, w tym zgody szczegółowej, odrębnej, a w niektórych przypadkach pisemnej lub możliwej do zweryfikowania elektronicznie.
Dlaczego ma to znaczenie dla plików cookie
Plik cookie gromadzący jedynie podstawowy identyfikator sesji stanowi podstawowe dane osobowe. Plik cookie zasilający grupę odbiorców reklam opartą na lokalizacji — powszechny w kampaniach remarketingowych i geotargetowanych — prawdopodobnie dotyka wrażliwych danych osobowych w momencie, gdy lokalizacja staje się identyfikująca. Konfiguracja CMP musi rozdzielać te cele.
Zgoda na pliki cookie według prawa wietnamskiego
Wietnam stosuje model zgody opt-in. Nie ma możliwości powiadomienia i wyboru jako alternatywy dla plików cookie gromadzących dane osobowe, a wymagania dotyczące ważnej zgody są podobne do standardu GDPR.
Cztery wymogi dotyczące zgody
Zgoda według prawa wietnamskiego musi być:
- Konkretna — powiązana z wyraźnie określonym celem przetwarzania, a nie ogólną zgodą parasolową
- Świadoma — podmiot danych rozumie, jakie dane są przetwarzane, dlaczego, kto je otrzymuje i jak długo
- Dobrowolna — bez wstępnie zaznaczonych pól wyboru, bez murów „zgoda albo wyjście” w przypadku przetwarzania nieistotnego
- Wyrażalna i odwoływalna — użytkownik może wyrazić i wycofać zgodę za pomocą przejrzystego mechanizmu
Jak wygląda zgodne CMP
CMP skonfigurowane dla ruchu wietnamskiego w 2026 roku powinno prezentować:
- Widoczny baner przed aktywacją jakiegokolwiek nieistotnego pliku cookie lub narzędzia śledzącego, domyślnie w języku wietnamskim (Tiếng Việt) dla wietnamskich użytkowników
- Oddzielne opcje Akceptuj, Odrzuć i Dostosuj, z równą widocznością wizualną — bez ciemnych wzorców
- Szczegółowe kontrolki dla co najmniej następujących celów: analityka, reklama, personalizacja, transfer transgraniczny i wszelkie przetwarzanie kategorii wrażliwych, takich jak dokładna lokalizacja
- Trwały, łatwy do znalezienia mechanizm zmiany lub wycofania zgody po dokonaniu pierwotnego wyboru
- Polityka prywatności w języku wietnamskim z jasnymi informacjami o podmiotach przetwarzających, kategoriach danych, retencji i prawach użytkownika
Rejestry zgód
Podmioty przetwarzające muszą prowadzić rejestry zgód — kto wyraził zgodę, kiedy, na co, przez jaki interfejs. Wietnamskie działania egzekucyjne już wskazywały na brakujące lub niemożliwe do zweryfikowania dzienniki zgód, a PDPL formalizuje to zobowiązanie. CMP, które nie produkuje możliwych do wyeksportowania, opatrzonych znacznikiem czasu dzienników zgód, nie jest zgodne z przepisami.
Transgraniczny transfer danych — najtrudniejsza część
Wietnamski reżim transgranicznych transferów danych jest jednym z najbardziej wymagających w regionie i jest elementem, z którym większość zagranicznych wydawców ma trudności.
Ocena skutków transferu
Przed przekazaniem wietnamskich danych osobowych za granicę — co obejmuje wysyłanie identyfikatorów uzyskanych z plików cookie do zagranicznej giełdy reklamowej lub dostawcy usług analitycznych — administrator musi przygotować ocenę skutków transferu. Ocena musi dokumentować cel, kategorie danych, kraj i odbiorcę, techniczne i organizacyjne zabezpieczenia oraz podstawę prawną transferu.
Złożenie do MPS
Ocena musi zostać złożona w Ministerstwie Bezpieczeństwa Publicznego w ciągu 60 dni od rozpoczęcia przetwarzania. MPS ma uprawnienia do zawieszenia transgranicznych transferów, jeśli ocena jest niewystarczająca lub jeśli jurysdykcja docelowa zostanie uznana za niewystarczającą.
Praktyczne implikacje dla wydawców
Typowy programatyczny stos reklamowy kieruje dane użytkownika przez dziesiątki zagranicznych dostawców w milisekundach. Każdy z tych przepływów stanowi, ściśle rzecz biorąc, transgraniczny transfer wietnamskich danych osobowych. Realia 2026 roku są takie, że większość zagranicznych wydawców albo składa skonsolidowane oceny dla całej listy dostawców, albo ogranicza zestaw dostawców, aby zmniejszyć obciążenie związane z oceną. Żadne z tych rozwiązań nie jest trywialne, a MPS sygnalizowało, że w 2026 roku zacznie bardziej aktywnie egzekwować przepisy dotyczące transgranicznych przepływów danych.
Prawa podmiotów danych
PDPL konsoliduje i wzmacnia prawa przyznane na mocy dekretu. Wietnamskie podmioty danych mają prawo do:
- Bycia informowanymi o przetwarzaniu swoich danych
- Dostępu do przetwarzanych danych
- Sprostowania niedokładnych danych
- Usunięcia danych, gdy przetwarzanie nie jest już uzasadnione
- Ograniczenia przetwarzania w określonych okolicznościach
- Wycofania zgody równie łatwo, jak została udzielona
- Sprzeciwu wobec zautomatyzowanego podejmowania decyzji wywołującego istotne skutki
- Złożenia skargi do Ministerstwa Bezpieczeństwa Publicznego
Terminy odpowiedzi
Administratorzy muszą odpowiedzieć na żądania podmiotów danych w ciągu 72 godzin w większości przypadków — znacznie krótszy termin niż 30-dniowy standard GDPR. Gotowość operacyjna do zachowania tego terminu jest jedną z częstszych luk w przestrzeganiu przepisów przez zagranicznych wydawców i wymaga narzędzi i procedur działania szybszych niż typowe w innych regionach.
Szczególne zasady dotyczące małoletnich
PDPL wprowadza dedikowane środki ochrony dla przetwarzania danych osobowych małoletnich. Zgoda na przetwarzanie danych osoby poniżej 15 roku życia musi zostać wyrażona przez rodzica lub opiekuna prawnego. Przetwarzanie danych osób w wieku od 15 do 18 lat wymaga zgody samego małoletniego, ale z podwyższonymi obowiązkami dotyczącymi przejrzystości i staranności. Interfejsy zgody na pliki cookie na stronach przyciągających znaczną grupę odbiorców poniżej 18 roku życia wymagają przepływów uwzględniających wiek, których większość zagranicznych wydawców domyślnie nie wbudowała.
Kary i egzekwowanie
PDPL znacząco podnosi górną granicę administracyjnych kar finansowych. Sankcje obejmują:
- Grzywny do 5 procent globalnych rocznych przychodów za poważne naruszenia dotyczące wrażliwych danych osobowych lub systematyczne niedociągnięcia
- Zawieszenie działań związanych z przetwarzaniem
- Obowiązkowe wstrzymanie transgranicznych transferów
- Publiczne ujawnienie naruszenia
- Odpowiedzialność karna w rażących przypadkach, w tym za bezprawną sprzedaż danych osobowych
Trend egzekwowania
MPS było stosunkowo spokojne przez 2023 rok i początek 2024 roku, gdy dekret był wdrażany, ale egzekwowanie przyspieszyło przez 2025 rok i w 2026 roku. Zagraniczni wydawcy byli wymieniani w kilku nagłośnionych sprawach, niemal zawsze skoncentrowanych na jednej z trzech kwestii: brakującej lub niewystarczającej zgody, niezłożonych ocenach transgranicznych transferów lub nieudolności w odpowiedzi na żądania podmiotów danych w ciągu 72 godzin.
Lista kontrolna audytu dla wietnamskiego ruchu w 2026 roku
- Baner CMP jest wyświetlany w języku wietnamskim dla wietnamskich użytkowników, z opcjami Akceptuj, Odrzuć i Dostosuj o równej widoczności
- Cele zgody są szczegółowe i oddzielają wrażliwe przetwarzanie, takie jak dokładna lokalizacja
- Dzienniki zgód są opatrzone znacznikiem czasu, możliwe do wyeksportowania i przechowywane przez czas przetwarzania plus margines umożliwiający audyt
- Polityka prywatności jest dostępna w języku wietnamskim z pełnym ujawnieniem podmiotów przetwarzających, retencji i praw
- Ocena skutków transferu jest złożona w MPS dla każdego trwającego transgranicznego przepływu
- Przepływ pracy żądań podmiotów danych może odpowiedzieć w ciągu 72 godzin od początku do końca
- Przepływ zgody uwzględniający wiek jest stosowany dla grup odbiorców obejmujących małoletnich
- Lista dostawców została przejrzana pod kątem konieczności, z usuniętymi nieużywanymi lub zbędnymi dostawcami w celu zmniejszenia transgranicznej powierzchni ataku
Perspektywy na 2026 rok
Wietnamska trajektoria regulacyjna jest jasna. PDPD ustanowił ramy. PDPL je wzmacnia. Egzekwowanie się rozszerza. Dla wydawców i reklamodawców, którzy traktowali Wietnam jako rynek o łagodniejszym podejściu, 2026 rok jest rokiem, w którym takie podejście staje się kosztowne. Dobrą wiadomością jest to, że nowoczesny stos zgód klasy GDPR stanowi większość tego, co jest potrzebne — luki to zazwyczaj 72-godzinne okno odpowiedzi, złożenie ocen skutków transferu i lokalizacja CMP oraz polityki prywatności w języku wietnamskim. Te luki są operacyjne, nie architektoniczne, i można je zamknąć w ciągu tygodni, a nie kwartałów. Wydawcy, którzy zamkną je, zanim MPS pojawi się u ich drzwi, nie zauważą przejścia. Ci, którzy będą czekać — owszem.