Štruktúra vietnamského zákona o ochrane údajov v roku 2026

Vietnamský režim je teraz dvojvrstvová štruktúra: PDPD z roku 2023 a PDPL z roku 2026. Oba sú v platnosti a vydavatelia musia pochopiť, ktorá vrstva upravuje ktorú povinnosť.

PDPD — Dekrét 13/2023/ND-CP

Dekrét zaviedol prvú komplexnú definíciu osobných údajov vo Vietname, katalóg práv dotknutých osôb, požiadavky na súhlas, pravidlá cezhraničných prenosov údajov a základnú povinnosť posúdenia vplyvu na ochranu osobných údajov (DPIA). Zostáva v platnosti a naďalej upravuje prevádzkové podrobnosti.

PDPL — V platnosti od roku 2026

PDPL povyšuje rámec do primárnej legislatívy s vyššími sankciami a širším rozsahom. Posilňuje model zameraný na súhlas, posilňuje práva dotknutých osôb a rozširuje právomoci na presadzovanie Ministerstva verejnej bezpečnosti (MPS), ktoré zostáva primárnym regulátorom. PDPL tiež zavádza jasnejšie pravidlá pre citlivé osobné údaje, automatizované rozhodovanie a spracúvanie údajov maloletých.

Na koho sa vzťahuje regulácia

Zákon sa vzťahuje na akékoľvek spracúvanie vietnamských osobných údajov bez ohľadu na to, kde sa nachádza spracúvateľ. Vydavateľ so sídlom v USA, ktorý obsluhuje vietnamských používateľov prostredníctvom lokalizovaného webu, alebo programatický kupujúci, ktorý ponúka na vietnamský inventár, je v pôsobnosti zákona. Tento extrateritoriálny dosah odráža vzor GDPR a je jedným z agresívnejších prvkov vietnamského rámca.

Čo sa považuje za osobné údaje

Vietnamská definícia osobných údajov je široká a úzko sleduje medzinárodný štandard. Osobné údaje sú akékoľvek informácie, ktoré identifikujú alebo môžu identifikovať konkrétnu fyzickú osobu, a delia sa do dvoch kategórií, ktoré sú veľmi dôležité pre súhlas so súbormi cookie.

Základné osobné údaje

Základné osobné údaje zahŕňajú meno, dátum narodenia, identifikačné čísla, kontaktné údaje, identifikátory zariadení, IP adresy a údaje o online aktivite. Väčšina údajov zozbieraných prostredníctvom súborov cookie patrí sem, vrátane reklamných identifikátorov, ID relácií a behaviorálnych profilov vytvorených z histórie prehliadania.

Citlivé osobné údaje

Citlivé osobné údaje zahŕňajú politické a náboženské názory, informácie o zdraví, genetické údaje, biometrické údaje, sexuálnu orientáciu, trestné záznamy, finančné údaje a — čo je kritické — lokalizačné údaje, ktoré možno použiť na identifikáciu konkrétnej osoby. Citlivé údaje spúšťajú najprísnejšie požiadavky na súhlas, vrátane špecifického, oddeleného a v niektorých prípadoch písomného alebo elektronicky overiteľného súhlasu.

Prečo je to dôležité pre súbory cookie

Súbor cookie, ktorý zhromažďuje iba základný identifikátor relácie, predstavuje základné osobné údaje. Súbor cookie, ktorý napája publikum na reklamu založenú na polohe — bežný v retargetingových a geo-zacielených kampaniach — pravdepodobne sa dotýka citlivých osobných údajov v momente, keď sa poloha stáva identifikujúcou. Konfigurácia CMP musí tieto účely oddeliť.

Súhlas so súbormi cookie podľa vietnamského práva

Vietnam sa riadi modelom súhlasu opt-in. Pre súbory cookie, ktoré zhromažďujú osobné údaje, neexistuje záložná možnosť oznámenia a výberu, a latka pre platný súhlas je podobná štandardu GDPR.

Štyri požiadavky na súhlas

Súhlas podľa vietnamského práva musí byť:

• Špecifický — viazaný na jasne identifikovaný účel spracúvania, nie na všeobecný paušálny súhlas
• Informovaný — dotknutá osoba chápe, aké údaje sa spracúvajú, prečo, kto ich dostáva a na ako dlho
• Dobrovoľný — žiadne vopred zaškrtnuté políčka, žiadne múry súhlas-alebo-odísť pre neopodstatnené spracúvanie
• Vyjadriteľný a odvolateľný — používateľ môže poskytnúť a odvolať súhlas prostredníctvom jasného mechanizmu

Ako vyzerá vyhovujúce CMP

CMP nakonfigurované pre vietnamskú prevádzku v roku 2026 by malo prezentovať:

• Viditeľný banner pred aktiváciou akéhokoľvek nepodstatného súboru cookie alebo trackera, predvolene vo vietnamčine (Tiếng Việt) pre vietnamských používateľov
• Samostatné akcie Prijať, Odmietnuť a Prispôsobiť s rovnakou vizuálnou prominenciou — žiadne tmavé vzory
• Podrobné ovládacie prvky aspoň pre nasledujúce účely: analytika, reklama, personalizácia, cezhraničný prenos a akékoľvek spracúvanie citlivej kategórie, ako je presná poloha
• Trvalý, ľahko nájditeľný mechanizmus na zmenu alebo odvolanie súhlasu po počiatočnej voľbe
• Zásady ochrany súkromia vo vietnamčine s jasnými informáciami o spracúvateľoch, kategóriách údajov, uchovávaní a právach používateľa

Záznamy o súhlase

Spracúvatelia musia uchovávať záznamy o súhlase — kto súhlasil, kedy, s čím, prostredníctvom akého rozhrania. Vietnamské presadzovacie akcie už citovali chýbajúce alebo neoveriteľné protokoly súhlasu a PDPL túto povinnosť formalizuje. CMP, ktoré nevyrába exportovateľné, časom označené protokoly súhlasu, nie je v súlade s predpismi.

Cezhraničný prenos údajov — Najtažšia časť

Vietnamský režim cezhraničných prenosov je jedným z najnáročnejších v regióne a je prvkom, s ktorým väčšina zahraničných vydavateľov bojuje.

Posúdenie vplyvu prenosu

Pred prenosom vietnamských osobných údajov do zahraničia — čo zahŕňa odosielanie identifikátorov odvodených zo súborov cookie do zahraničnej reklamnej burzy alebo dodávateľa analytiky — musí správca pripraviť posúdenie vplyvu prenosu. Posúdenie musí zdokumentovať účel, kategórie údajov, krajinu príjemcu a príjemcu, technické a organizačné záruky a právny základ prenosu.

Podanie na MPS

Posúdenie musí byť podané na Ministerstve verejnej bezpečnosti do 60 dní od začatia spracúvania. MPS má právomoc pozastaviť cezhraničné prenosy, ak je posúdenie nedostatočné alebo ak je cieľová jurisdikcia považovaná za nedostatočnú.

Praktické dôsledky pre vydavateľov

Typický programatický reklamný zásobník smeruje údaje používateľov cez desiatky zahraničných dodávateľov v milisekundách. Každý z týchto tokov je, striktne vzaté, cezhraničným prenosom vietnamských osobných údajov. Realitou roku 2026 je, že väčšina zahraničných vydavateľov buď podáva konsolidované posúdenia pre celý zoznam dodávateľov, alebo obmedzuje súbor dodávateľov, aby znížila záťaž posúdenia. Ani jedno nie je triviálne a MPS signalizovalo, že v roku 2026 začne aktívnejšie presadzovanie cezhraničných tokov.

Práva dotknutých osôb

PDPL konsoliduje a posilňuje práva udelené na základe Dekrétu. Vietnamské dotknuté osoby majú právo:

• Byť informované o spracúvaní svojich údajov
• Získať prístup k spracúvaným údajom
• Opraviť nepresné údaje
• Vymazať údaje, keď spracúvanie už nie je odôvodnené
• Obmedziť spracúvanie za určených okolností
• Odvolať súhlas rovnako ľahko, ako bol udelený
• Namietať proti automatizovanému rozhodovaniu, ktoré má výrazné účinky
• Podať sťažnosť na Ministerstvo verejnej bezpečnosti

Lehoty na odpoveď

Správcovia musia v väčšine prípadov odpovedať na žiadosti dotknutých osôb do 72 hodín — výrazne prísnejšie okno než 30-dňový štandard GDPR. Prevádzková pripravenosť na túto lehotu je jednou z bežnejších medzier v súlade predpisov pre zahraničných vydavateľov a vyžaduje nástroje a príručky rýchlejšie než je typické v iných regiónoch.

Osobitné pravidlá pre maloletých

PDPL zavádza vyhradené ochrany pre spracúvanie osobných údajov maloletých. Súhlas so spracúvaním údajov osoby mladšej ako 15 rokov musí udeliť rodič alebo zákonný zástupca. Spracúvanie údajov pre osoby vo veku 15 až 18 rokov si vyžaduje vlastný súhlas maloletého, ale so zvýšenými povinnosťami transparentnosti a starostlivosti. Používateľské rozhrania súhlasu so súbormi cookie na stránkach, ktoré priťahujú výrazné publikum pod 18 rokov, potrebujú vekovo uvedomené toky, ktoré väčšina zahraničných vydavateľov predvolene nevytvorila.

Sankcie a presadzovanie

PDPL výrazne zvyšuje strop administratívnych pokút. Sankcie zahŕňajú:

• Pokuty až do výšky 5 percent z globálnych ročných príjmov za závažné porušenia zahŕňajúce citlivé osobné údaje alebo systematické zlyhania
• Pozastavenie spracúvateľských činností
• Povinné zastavenie cezhraničných prenosov
• Verejné zverejnenie porušenia
• Trestná zodpovednosť za hrubé prípady, vrátane nezákonného predaja osobných údajov

Trend presadzovania

MPS bolo počas roku 2023 a začiatku roku 2024, keď sa Dekrét zavádzal, relatívne tiché, ale presadzovanie sa zrýchlilo počas roku 2025 a do roku 2026. Zahraniční vydavatelia boli citovaní v niekoľkých zverejnených akciách, takmer vždy sústredených na jednu z troch otázok: chýbajúci alebo nedostatočný súhlas, nepodané posúdenia cezhraničných prenosov alebo neschopnosť odpovedať na žiadosti dotknutých osôb v rámci 72-hodinového okna.

Kontrolný zoznam auditu pre vietnamskú prevádzku v roku 2026

• Banner CMP je zobrazovaný vo vietnamčine pre vietnamských používateľov, s rovnakou prominenciou Prijať, Odmietnuť a Prispôsobiť
• Účely súhlasu sú podrobné a oddeľujú citlivé spracúvanie, ako je presná poloha
• Protokoly súhlasu sú časovo označené, exportovateľné a uchovávané po dobu spracúvania plus auditovateľná marža
• Zásady ochrany súkromia sú k dispozícii vo vietnamčine s úplným zverejnením spracúvateľov, uchovávania a práv
• Posúdenie vplyvu prenosu je podané na MPS pre každý prebiehajúci cezhraničný tok
• Pracovný postup žiadostí dotknutých osôb môže odpovedať do 72 hodín od začiatku do konca
• Vekovo uvedomelý tok súhlasu je zavedený pre publikum zahŕňajúce maloletých
• Zoznam dodávateľov bol preskúmaný z hľadiska nevyhnutnosti, s odstránenými nepoužívanými alebo redundantnými dodávateľmi na zmenšenie cezhraničného povrchu

Výhľad na rok 2026

Regulačná trajektória Vietnamu je jasná. PDPD zaviedol rámec. PDPL ho spevňuje. Presadzovanie sa rozširuje. Pre vydavateľov a inzerentov, ktorí sa k Vietnamu správali ako k trhu s ľahším prístupom, je rok 2026 rokom, kedy sa tento prístup stáva nákladným. Dobrou správou je, že moderný súhlasový zásobník triedy GDPR je väčšina toho, čo je potrebné — medzery sú zvyčajne 72-hodinové okno odozvy, podania posúdení vplyvu prenosu a vietnamská lokalizácia CMP a zásad ochrany súkromia. Tieto medzery sú prevádzkové, nie architektonické, a dajú sa uzavrieť v priebehu týždňov, nie štvrťrokov. Vydavatelia, ktorí ich uzatvoria pred príchodom MPS na ich dvere, prechod nepocítia. Tí, ktorí čakajú, pocítia.