Dekreti dhe Ligji për Mbrojtjen e të Dhënave Personale të Vietnamit: Udhëzuesi i Pëlqimit të Cookie-ve dhe Pajtueshmërisë së Botuesve për 2026
Vietnami ka kaluar, në pak më shumë se tre vjet, nga gati asnjë kuadër i unifikuar i të dhënave personale deri tek një nga regjionet më kërkuese të pëlqimit në Azinë Juglindore. Dekreti për Mbrojtjen e të Dhënave Personale (PDPD), Dekreti 13/2023/ND-CP, hyri në fuqi në korrik 2023. Ligji për Mbrojtjen e të Dhënave Personale (PDPL), i miratuar nga Kuvendi Kombëtar në 2025, hyri në fuqi më 1 janar 2026 dhe ngre shumicën e parimeve të Dekretit në legjislacion parësor me zbatim më të fortë dhe shtrirje më të gjerë. Për çdo botues, reklamues ose platformë që përpunon të dhëna mbi përdoruesit vietnamezë — qoftë i bazuar në Vietnam apo jo — mjedisi i vitit 2026 është thelbësisht i ndryshëm nga çfarë ishte vetëm një vit më parë. Ky udhëzues shpjegon çfarë kërkon ligji në të vërtetë, si duhet konfiguruar pëlqimi i cookie-ve, si funksionojnë transfertat ndërkufitare dhe si duket zbatimi në praktikë.
Struktura e Ligjit Vietnamez për Mbrojtjen e të Dhënave në 2026
Regjimi i Vietnamit është tani një grup me dy shtresa: PDPD nga 2023 dhe PDPL nga 2026. Të dyja janë në fuqi dhe botuesit duhet të kuptojnë cili shtresë rregullon cilin detyrim.
PDPD — Dekreti 13/2023/ND-CP
Dekreti prezantoi përkufizimin e parë gjithëpërfshirës të të dhënave personale të Vietnamit, një katalog të drejtave të subjekteve të të dhënave, kërkesat për pëlqim, rregullat mbi transfertat ndërkufitare të të dhënave dhe detyrimin themelor të Vlerësimit të Ndikimit të Përpunimit të të Dhënave Personale (DPIA). Mbetet në fuqi dhe vazhdon të rregullojë detajet operacionale.
PDPL — Në Fuqi nga 2026
PDPL ngre kuadrin në legjislacion parësor me gjoba më të larta dhe shtrirje më të gjerë. Ai përforcon modelin e centralizuar të pëlqimit, forcon të drejtat e subjekteve të të dhënave dhe zgjon kompetencat e zbatimit për Ministrinë e Sigurisë Publike (MPS), e cila mbetet rregullatora kryesore. PDPL gjithashtu fut rregulla më të qarta për të dhënat personale të ndjeshme, vendimmarrjen e automatizuar dhe përpunimin e të dhënave të të miturve.
Kush Rregullohet
Ligji zbatohet për çdo përpunim të të dhënave personale vietnameze, pavarësisht ku ndodhet përpunuesi. Një botues me bazë në SHBA që u shërben përdoruesve vietnamezë nëpërmjet një faqeje të lokalizuar ose një blerës programatik që oferton për inventarin vietnamez është brenda fushës. Kjo shtrirje ekstraterritoriale pasqyron modelin e GDPR dhe është një nga elementet më agresive të kuadrit vietnamez.
Çfarë Konsiderohet të Dhënë Personale
Përkufizimi vietnamez i të dhënave personale është i gjerë dhe ndjek nga afër standardin ndërkombëtar. Të dhënat personale janë çdo informacion që identifikon ose mund të identifikojë një person fizik të caktuar, dhe ndahet në dy kategori që kanë rëndësi të madhe për pëlqimin e cookie-ve.
Të Dhëna Personale Bazë
Të dhënat personale bazë përfshijnë emrin, datëlindjen, numrat e identifikimit, detajet e kontaktit, identifikuesit e pajisjes, adresat IP dhe të dhënat e aktivitetit online. Shumica e të dhënave të mbledhura nga cookie-t hyjnë këtu, duke përfshirë identifikuesit e reklamave, ID-të e sesionit dhe profilet e sjelljes të ndërtuara nga historia e shfletimit.
Të Dhëna Personale të Ndjeshme
Të dhënat personale të ndjeshme përfshijnë pikëpamjet politike dhe fetare, informacionin shëndetësor, të dhënat gjenetike, të dhënat biometrike, orientimin seksual, të dhënat penale, të dhënat financiare dhe — në mënyrë kritike — të dhënat e vendndodhjes që mund të përdoren për të identifikuar një individ të caktuar. Të dhënat e ndjeshme aktivizojnë kërkesat strikte të pëlqimit, duke përfshirë pëlqim specifik, të veçantë dhe, në disa raste, me shkrim ose të verifikueshëm elektronikisht.
Pse Kjo Ka Rëndësi për Cookie-t
Një cookie që mbledh vetëm një identifikues bazë të sesionit janë të dhëna personale bazë. Një cookie që ushqen një audiencë reklamimi të bazuar në vendndodhje — e zakonshme në fushatat e retargeting dhe gjeotargetimit — ka të ngjarë të prekë të dhëna personale të ndjeshme sapo vendndodhja bëhet identifikuese. Konfigurimi i CMP duhet t'i ndajë këto qëllime.
Pëlqimi i Cookie-ve Sipas Ligjit Vietnamez
Vietnami ndjek modelin e pëlqimit opt-in. Nuk ka alternativë njoftim-dhe-zgjedhje për cookie-t që mbledhin të dhëna personale, dhe standardi për pëlqim të vlefshëm është i ngjashëm me standardin GDPR.
Katër Kërkesat e Pëlqimit
Pëlqimi sipas ligjit vietnamez duhet të jetë:
- Specifik — i lidhur me një qëllim përpunimi të identifikuar qartë, jo një pëlqim i përgjithshëm
- I informuar — subjekti i të dhënave kupton cilat të dhëna përpunohen, pse, kush i merr dhe për sa kohë
- Vullnetar — asnjë kuti e parapërzgjedhur, asnjë mur pëlqim-ose-largohu për përpunimin jo-thelbësor
- I shprehshëm dhe i tërhequeshëm — përdoruesi mund të japë dhe tërheqë pëlqimin nëpërmjet një mekanizmi të qartë
Si Duket një CMP i Pajtuar
Një CMP i konfiguruar për trafikun vietnamez në 2026 duhet të prezantojë:
- Një baner të dukshëm përpara se të aktivizohet ndonjë cookie ose gjurmues jo-thelbësor, në vietnameze (Tiếng Việt) si parazgjedhje për përdoruesit vietnamezë
- Veprime të veçanta Pranoje, Refuzo dhe Personalizo, me dukshmëri vizuale të barabartë — pa modele të errëta
- Kontrolle të detajuara për të paktën qëllimet e mëposhtme: analitikë, reklamim, personalizim, transfertë ndërkufitare dhe çdo përpunim kategorie të ndjeshme si vendndodhja e saktë
- Një mekanizëm i vazhdueshëm, i lehtë për t'u gjetur për të ndryshuar ose tërhequr pëlqimin pas zgjedhjes fillestare
- Politikë privatësie në gjuhën vietnameze me zbulime të qarta të përpunuesve, kategorive të të dhënave, ruajtjes dhe të drejtave të përdoruesit
Të Dhënat e Pëlqimit
Përpunuesit duhet të mbajnë regjistrime të pëlqimit — kush ka dhënë pëlqimin, kur, për çfarë dhe nëpërmjet cilit ndërfaqe. Veprimet zbatuese vietnameze kanë cituar tashmë regjistrime pëlqimi të munguara ose të paverifikueshme, dhe PDPL formalizon këtë detyrim. Një CMP që nuk prodhon regjistrime pëlqimi të eksportueshme dhe me vulë kohore nuk është i pajtuar.
Transferta Ndërkufitare e të Dhënave — Pjesa Më e Vështirë
Regjimi i transfertave ndërkufitare i Vietnamit është një nga më kërkuesit në rajon dhe është elementi me të cilin luftojnë më shumë botuesit e huaj.
Vlerësimi i Ndikimit të Transfertës
Para transferimit të të dhënave personale vietnameze jashtë vendit — gjë që përfshin dërgimin e identifikuesve të nxjerrë nga cookie-t në një bursë reklamash jashtë shtetit ose shitës analitikë — kontrolluesi duhet të përgatisë një Vlerësim të Ndikimit të Transfertës. Vlerësimi duhet të dokumentojë qëllimin, kategoritë e të dhënave, vendin dhe marrësin e destinacionit, masat teknike dhe organizative dhe bazën ligjore për transfertën.
Paraqitja pranë MPS
Vlerësimi duhet të paraqitet pranë Ministrisë së Sigurisë Publike brenda 60 ditëve nga fillimi i përpunimit. MPS ka kompetencën të pezullojë transfertat ndërkufitare nëse vlerësimi është i papërshtatshëm ose nëse juridiksioni i destinacionit konsiderohet i pamjaftueshëm.
Implikimi Praktik për Botuesit
Një grumbull tipik reklamash programatike dërgon të dhënat e përdoruesit nëpërmjet dhjetra shitësve jashtë shtetit në milisekonda. Secila prej atyre rrjedhave është, rreptësisht, një transfertë ndërkufitare e të dhënave personale vietnameze. Realiteti i vitit 2026 është se shumica e botuesve të huaj ose paraqesin vlerësime të konsoliduara për të gjithë listën e tyre të shitësve ose janë duke reduktuar grupin e tyre të shitësve për të zvogëluar barrën e vlerësimit. Asnjëra nuk është e parëndësishme, dhe MPS ka sinjalizuar se do të fillojë zbatim më aktiv mbi flukset ndërkufitare gjatë vitit 2026.
Të Drejtat e Subjektit të të Dhënave
PDPL konsolidon dhe forcon të drejtat e dhëna sipas Dekretit. Subjektet vietnameze të të dhënave kanë të drejtë të:
- Informohen rreth përpunimit të të dhënave të tyre
- Aksesojnë të dhënat që përpunohen
- Korrigjojnë të dhëna të pasakta
- Fshijnë të dhënat kur përpunimi nuk është më i justifikuar
- Kufizojnë përpunimin në rrethana të caktuara
- Tërheqin pëlqimin po aq lehtë sa u dha
- Kundërshtojnë vendimmarrjen e automatizuar që prodhon efekte të rëndësishme
- Ankohen pranë Ministrisë së Sigurisë Publike
Afatet e Reagimit
Kontrolluesit duhet t'i përgjigjen kërkesave të subjektit të të dhënave brenda 72 orëve në shumicën e rasteve — një dritare dukshëm më e ngushtë se standardi 30-ditor i GDPR. Gatishmëria operacionale për këtë afat është një nga hendekët më të zakonshme të pajtueshmërisë për botuesit e huaj dhe kërkon mjete dhe udhëzues që janë më të shpejta se çfarë është tipike në rajonet e tjera.
Rregulla të Veçanta për të Miturit
PDPL fut mbrojtje të dedikuara për përpunimin e të dhënave personale të të miturve. Pëlqimi për përpunimin e të dhënave të personave nën 15 vjeç duhet të jepet nga një prind ose kujdestar ligjor. Përpunimi i të dhënave për ata të moshës 15 deri në 18 vjeç kërkon pëlqimin e vetë të miturit, por me detyrime më të larta transparence dhe kujdesi. Ndërfaqet e pëlqimit të cookie-ve në faqet që tërheqin audienca të konsiderueshme nën 18 vjeç kanë nevojë për flukse të vetëdijshme për moshën, të cilat pak botues të huaj i kanë ndërtuar si parazgjedhje.
Gjobat dhe Zbatimi
PDPL ngre ndjeshëm tavanet e gjobave administrative. Sanksionet përfshijnë:
- Gjoba deri në 5 për qind të të ardhurave vjetore globale për shkelje serioze që përfshijnë të dhëna personale të ndjeshme ose dështime sistematike
- Pezullim i aktiviteteve të përpunimit
- Ndalesa të detyrueshme të transfertave ndërkufitare
- Zbulim publik i shkeljes
- Përgjegjësi penale për rastet e rënda, duke përfshirë shitjen e paligjshme të të dhënave personale
Tendenca e Zbatimit
MPS ishte relativisht e qetë gjatë vitit 2023 dhe fillimit të vitit 2024 ndërsa Dekreti u vendos, por zbatimi është përshpejtuar gjatë vitit 2025 dhe në vitin 2026. Botuesit e huaj janë cituar në disa veprime të publicizuara, pothuajse gjithmonë të përqendruar në një nga tre çështjet: pëlqim i munguam ose i papërshtatshëm, vlerësime të transfertave ndërkufitare të paparaqitura, ose dështim për t'i përgjigjet kërkesave të subjektit të të dhënave brenda dritares 72-orëshe.
Lista e Kontrollit të Auditimit për Trafikun Vietnamez në 2026
- Baneri CMP u shërbehet përdoruesve vietnamezë në gjuhën vietnameze, me Pranoje, Refuzo dhe Personalizo me dukshmëri të barabartë
- Qëllimet e pëlqimit janë të detajuara dhe ndajnë përpunimin e ndjeshëm si vendndodhja e saktë
- Regjistrat e pëlqimit kanë vulë kohore, janë të eksportueshëm dhe mbahen për kohëzgjatjen e përpunimit plus një marzhë të audituar
- Politika e privatësisë është e disponueshme në gjuhën vietnameze me zbulim të plotë të përpunuesve, ruajtjes dhe të drejtave
- Vlerësimi i Ndikimit të Transfertës është paraqitur pranë MPS për çdo fluks të vazhdueshëm ndërkufitar
- Fluksi i punës i kërkesës së subjektit të të dhënave mund të reagojë brenda 72 orëve nga fillimi në fund
- Fluksi i pëlqimit i vetëdijshëm për moshën është në vend për audienca që përfshijnë të mitur
- Lista e shitësve është rishikuar për domosdoshmëri, me shitës të papërdorur ose të tepërt të hequr për të zvogëluar sipërfaqen ndërkufitare
Perspektiva e Vitit 2026
Trajektoria rregullatore e Vietnamit është e qartë. PDPD vendosi kuadrin. PDPL e forcon atë. Zbatimi po zgjerohet. Për botuesit dhe reklamuesit që e kanë trajtuar Vietnamin si një treg me rregullim më të lehtë, viti 2026 është viti kur ai qasje bëhet e kushtueshme. Lajmi i mirë është se një grup modern i pëlqimit të nivelit GDPR është pjesa kryesore e asaj që nevojitet — hendekët janë zakonisht dritarja 72-orëshe e reagimit, paraqitjet e Vlerësimit të Ndikimit të Transfertës dhe lokalizimi në gjuhën vietnameze i CMP dhe politikës së privatësisë. Ato hendekë janë operacionale, jo arkitekturore, dhe mund të mbyllen në javë dhe jo në tremujorë. Botuesit që i mbyllin ato para se MPS të trokasë në derën e tyre nuk do ta vërejnë tranzicionin. Ata që presin, do ta vërejnë.