Struktura vietnamskega zakona o varstvu podatkov v letu 2026

Vietnamski režim je zdaj dvoplastna struktura: PDPD iz leta 2023 in PDPL iz leta 2026. Oba veljata, izdajatelji pa morajo razumeti, katera plast ureja katero obveznost.

PDPD — Uredba 13/2023/ND-CP

Uredba je uvedla prvo celovito definicijo osebnih podatkov v Vietnamu, katalog pravic posameznikov, zahteve za soglasje, pravila o čezmejnih prenosih podatkov in temeljno obveznost ocene učinka obdelave osebnih podatkov (DPIA). Ostaja v veljavi in še naprej ureja operativne podrobnosti.

PDPL — V veljavi od leta 2026

PDPL dvigne okvir v primarno zakonodajo z višjimi kaznimi in širšim obsegom. Krepi model osredotočen na soglasje, krepi pravice posameznikov in razširja pooblastila za izvrševanje Ministrstva za javno varnost (MPS), ki ostaja primarni regulator. PDPL uvaja tudi jasnejša pravila za občutljive osebne podatke, avtomatizirano odločanje in obdelavo podatkov mladoletnikov.

Na koga se nanaša ureditev

Zakon se nanaša na kakršno koli obdelavo vietnamskih osebnih podatkov, ne glede na to, kje se nahaja upravljalec. Izdajatelj s sedežem v ZDA, ki streže vietnamskim uporabnikom prek lokaliziranega spletnega mesta, ali programatični kupec, ki dražuje vietnamski inventar, je v obsegu zakona. Ta ekstrateritorialni doseg odraža vzorec GDPR in je eden od bolj agresivnih elementov vietnamskega okvira.

Kaj se šteje za osebne podatke

Vietnamska definicija osebnih podatkov je široka in tesno sledi mednarodnemu standardu. Osebni podatki so kakršne koli informacije, ki identificirajo ali bi lahko identificirale določeno fizično osebo, in delijo se v dve kategoriji, ki sta zelo pomembni za soglasje za piškotke.

Osnovni osebni podatki

Osnovni osebni podatki vključujejo ime, datum rojstva, identifikacijske številke, kontaktne podatke, identifikatorje naprav, IP naslove in podatke o spletni dejavnosti. Večina podatkov, zbranih s piškotki, spada sem, vključno z oglaševalskimi identifikatorji, ID-ji sej in vedenjskimi profili, zgrajenimi iz zgodovine brskanja.

Občutljivi osebni podatki

Občutljivi osebni podatki vključujejo politična in verska stališča, zdravstvene informacije, genetske podatke, biometrične podatke, spolno usmerjenost, kazenske evidence, finančne podatke in — kar je ključno — podatke o lokaciji, ki se lahko uporabijo za identifikacijo določene osebe. Občutljivi podatki sprožajo najstrožje zahteve za soglasje, vključno s specifičnim, ločenim in v nekaterih primerih pisnim ali elektronsko preverljivim soglasjem.

Zakaj je to pomembno za piškotke

Piškotek, ki zbira samo osnovni identifikator seje, predstavlja osnovne osebne podatke. Piškotek, ki napaja ciljno skupino za oglaševanje na osnovi lokacije — pogost pri kampanjah za retargeting in geografsko ciljanih kampanjah — verjetno sega v občutljive osebne podatke v trenutku, ko lokacija postane identifikacijska. Konfiguracija CMP mora ločiti te namene.

Soglasje za piškotke po vietnamski zakonodaji

Vietnam sledi modelu soglasja z vključitvijo (opt-in). Za piškotke, ki zbirajo osebne podatke, ni nadomestila z obvestilom in izbiro, meja za veljavno soglasje pa je podobna standardu GDPR.

Štiri zahteve za soglasje

Soglasje po vietnamski zakonodaji mora biti:

• Specifično — vezano na jasno identificiran namen obdelave, ne splošno krovnosoglasje
• Ozaveščeno — posameznik razume, kateri podatki se obdelujejo, zakaj, kdo jih prejme in za kako dolgo
• Prostovoljno — brez vnaprej označenih polj, brez sten soglasje-ali-odhod za nebistveno obdelavo
• Izrazljivo in preklicljivo — uporabnik lahko poda in prekliče soglasje prek jasnega mehanizma

Kako izgleda skladen CMP

CMP, konfiguriran za vietnamski promet v letu 2026, mora predstavljati:

• Vidno pasico pred vsakim nebistvenim piškotkom ali sledilnikom, privzeto v vietnamščini (Tiếng Việt) za vietnamske uporabnike
• Ločena dejanja Sprejmi, Zavrni in Prilagodi z enako vizualno prominentnostjo — brez temnih vzorcev
• Natančne kontrole za vsaj naslednje namene: analitika, oglaševanje, personalizacija, čezmejni prenos in kakršna koli obdelava občutljive kategorije, kot je natančna lokacija
• Stalni, enostavno dostopen mehanizem za spremembo ali preklic soglasja po začetni izbiri
• Politika zasebnosti v vietnamščini z jasnimi razkritji obdelovalcev, kategorij podatkov, hrambe in pravic uporabnika

Evidence soglasij

Upravljalci morajo voditi evidence soglasij — kdo je privolil, kdaj, za kaj, prek katerega vmesnika. Vietnamske izvršilne akcije so že navajale manjkajoče ali nepreverjive dnevnike soglasij, PDPL pa to obveznost formalizira. CMP, ki ne ustvarja izvozljivih, časovno žigosanih dnevnikov soglasij, ni skladen s predpisi.

Čezmejni prenos podatkov — Najtežji del

Vietnamski režim čezmejnih prenosov je eden od najzahtevnejših v regiji in je element, s katerim se večina tujih izdajateljev bori.

Ocena učinka prenosa

Pred prenosom vietnamskih osebnih podatkov v tujino — kar vključuje pošiljanje identifikatorjev, pridobljenih s piškotki, v tujsko oglaševalsko borzo ali ponudnika analitike — mora upravljalec pripraviti oceno učinka prenosa. Ocena mora dokumentirati namen, kategorije podatkov, državo prejemnika in prejemnika, tehnične in organizacijske zaščitne ukrepe ter pravno podlago za prenos.

Vložitev pri MPS

Ocena mora biti vložena pri Ministrstvu za javno varnost v 60 dneh od začetka obdelave. MPS ima pooblastilo, da začasno ustavi čezmejne prenose, če je ocena neustrezna ali če se ciljna jurisdikcija šteje za nezadostno.

Praktične posledice za izdajatelje

Tipičen programatski oglaševalski sklad usmerja podatke uporabnikov skozi desetine tujih ponudnikov v milisekundah. Vsak od teh tokov je, strogo gledano, čezmejni prenos vietnamskih osebnih podatkov. Realnost leta 2026 je, da večina tujih izdajateljev bodisi vlaga konsolidirane ocene za celoten seznam ponudnikov bodisi zmanjšuje nabor ponudnikov, da bi zmanjšala breme ocenjevanja. Nobena od teh možnosti ni trivialna, MPS pa je nakazalo, da bo v letu 2026 začelo bolj aktivno izvrševanje čezmejnih tokov.

Pravice posameznikov

PDPL konsolidira in krepi pravice, podeljene na podlagi Uredbe. Vietnamski posamezniki imajo pravico do:

• Biti obveščeni o obdelavi svojih podatkov
• Dostopa do obdelanih podatkov
• Popravka netočnih podatkov
• Izbrisa podatkov, kadar obdelava ni več upravičena
• Omejitve obdelave v določenih okoliščinah
• Preklica soglasja enako enostavno, kot je bilo dano
• Ugovora avtomatiziranemu odločanju, ki povzroča pomembne učinke
• Pritožbe na Ministrstvo za javno varnost

Roki za odgovor

Upravljalci morajo v večini primerov odgovoriti na zahteve posameznikov v 72 urah — bistveno strožje okno od 30-dnevnega standarda GDPR. Operativna pripravljenost za ta rok je ena od pogostejših vrzeli v skladnosti za tuje izdajatelje in zahteva orodja in postopke, ki so hitrejši od tistih, ki so značilni v drugih regijah.

Posebna pravila za mladoletnike

PDPL uvaja posebne zaščite za obdelavo osebnih podatkov mladoletnikov. Soglasje za obdelavo podatkov osebe, mlajše od 15 let, mora dati starš ali zakoniti skrbnik. Obdelava podatkov oseb, starih od 15 do 18 let, zahteva lastno soglasje mladoletnika, vendar z večjimi obveznostmi preglednosti in skrbnosti. Vmesniki za soglasje za piškotke na spletnih mestih, ki privabljajo znaten delež občinstva, mlajšega od 18 let, potrebujejo tokove, ki upoštevajo starost, kar večina tujih izdajateljev privzeto ni zgradila.

Kazni in izvrševanje

PDPL znatno dviguje zgornjo mejo upravnih glob. Sankcije vključujejo:

• Globe do 5 odstotkov globalnega letnega prihodka za hude kršitve, ki vključujejo občutljive osebne podatke ali sistemske napake
• Začasno prekinitev dejavnosti obdelave
• Obvezno ustavitev čezmejnih prenosov
• Javno razkritje kršitve
• Kazensko odgovornost za hude primere, vključno z nezakonitim prodajanjem osebnih podatkov

Trend izvrševanja

MPS je bilo relativno tiho v letu 2023 in v začetku leta 2024, medtem ko se je Uredba uveljavljala, toda izvrševanje se je pospešilo skozi leto 2025 in v leto 2026. Tuji izdajatelji so bili navedeni v več javno objavljenih akcijah, skoraj vedno osredotočenih na eno od treh vprašanj: manjkajoče ali neustrezno soglasje, nevložene ocene čezmejnih prenosov ali nezmožnost odgovarjanja na zahteve posameznikov v 72-urnem roku.

Kontrolni seznam revizije za vietnamski promet v letu 2026

• Pasica CMP se prikazuje v vietnamščini za vietnamske uporabnike, z možnostmi Sprejmi, Zavrni in Prilagodi z enako prominentnostjo
• Nameni soglasja so natančni in ločijo občutljivo obdelavo, kot je natančna lokacija
• Dnevniki soglasij imajo časovni žig, so izvozljivi in hranjeni za čas obdelave in preverljivo maržo
• Politika zasebnosti je na voljo v vietnamščini s polnim razkritjem obdelovalcev, hrambe in pravic
• Ocena učinka prenosa je vložena pri MPS za vsak tekoči čezmejni tok
• Delovni tok zahtev posameznikov lahko odgovori v 72 urah od začetka do konca
• Tok soglasja, ki upošteva starost, je vzpostavljen za ciljne skupine, ki vključujejo mladoletnike
• Seznam ponudnikov je bil pregledan glede nujnosti, z odstranitvenimi neuporabljenimi ali odvečnimi ponudniki, da se zmanjša čezmejna površina

Obeti za leto 2026

Regulativna pot Vietnama je jasna. PDPD je vzpostavil okvir. PDPL ga utrjuje. Izvrševanje se širi. Za izdajatelje in oglaševalce, ki so obravnavali Vietnam kot lahkotnejši trg, je leto 2026 leto, ko ta pristop postane drag. Dobra novica je, da je sodoben sklad soglasij ravni GDPR večina tega, kar je potrebno — vrzeli so tipično 72-urno okno za odgovor, vlaganje ocen učinka prenosa ter vietnamska lokalizacija CMP in politike zasebnosti. Te vrzeli so operativne, ne arhitekturne, in jih je mogoče zapolniti v tednih in ne v četrtletjih. Izdajatelji, ki jih zapolnijo, preden MPS potrka na njihova vrata, prehoda ne bodo opazili. Tisti, ki čakajo, ga bodo.