Vietnams dekret och lag om skydd av personuppgifter: Guide till cookie-samtycke och utgivarcompliance för 2026
Vietnam har på lite mer än tre år gått från att nästan sakna ett enhetligt ramverk för personuppgifter till att ha en av de mest krävande samtyckesregimerna i Sydostasien. Dekretet om skydd av personuppgifter (PDPD), Dekret 13/2023/ND-CP, trädde i kraft i juli 2023. Lagen om skydd av personuppgifter (PDPL), som antogs av nationalförsamlingen 2025, trädde i kraft den 1 januari 2026 och lyfter merparten av dekretets principer till primärlagstiftning med starkare efterlevnad och bredare räckvidd. För varje utgivare, annonsör eller plattform som behandlar data om vietnamesiska användare — oavsett om de befinner sig i Vietnam eller inte — är miljön 2026 väsentligt annorlunda än den var för bara ett år sedan. Den här guiden går igenom vad lagen faktiskt kräver, hur cookie-samtycke måste konfigureras, hur gränsöverskridande överföringar fungerar och hur efterlevnaden ser ut i praktiken.
Strukturen hos vietnamesisk dataskyddslagstiftning 2026
Vietnams regim är nu ett tvålagersystem: PDPD från 2023 och PDPL från 2026. Båda gäller och utgivare behöver förstå vilket lager som reglerar vilken skyldighet.
PDPD — Dekret 13/2023/ND-CP
Dekretet introducerade Vietnams första heltäckande definition av personuppgifter, en katalog över registrerades rättigheter, krav på samtycke, regler för gränsöverskridande dataöverföringar och den grundläggande skyldigheten att genomföra konsekvensbedömningar för dataskydd (DPIA). Det är fortfarande i kraft och reglerar fortsatt operativa detaljer.
PDPL — Gäller från 2026
PDPL lyfter ramverket till primärlagstiftning med högre sanktioner och bredare tillämpningsområde. Det förstärker den samtyckescentrerade modellen, stärker registrerades rättigheter och utökar Ministeriet för allmän säkerhets (MPS) befogenheter, som kvarstår som primär tillsynsmyndighet. PDPL introducerar även tydligare regler för känsliga personuppgifter, automatiserat beslutsfattande och behandling av minderårigas uppgifter.
Vem regleras
Lagen gäller all behandling av vietnamesiska personuppgifter, oavsett var den personuppgiftsansvarige befinner sig. En US-baserad utgivare som betjänar vietnamesiska användare via en lokaliserad webbplats eller en programmatisk köpare som lägger bud på vietnamesiskt lager omfattas av lagen. Denna extraterritoriella räckvidd speglar GDPR-mönstret och är ett av de mer aggressiva inslagen i det vietnamesiska ramverket.
Vad räknas som personuppgifter
Den vietnamesiska definitionen av personuppgifter är bred och följer nära den internationella standarden. Personuppgifter är all information som identifierar eller kan identifiera en specifik fysisk person, och den delas in i två kategorier som är viktiga för cookie-samtycke.
Grundläggande personuppgifter
Grundläggande personuppgifter inkluderar namn, födelsedatum, identitetsnummer, kontaktuppgifter, enhetsidentifierare, IP-adresser och data om onlineaktivitet. De flesta cookie-insamlade data hör hit, inklusive annonseringsidentifierare, sessions-ID och beteendeprofiler byggda utifrån surfhistorik.
Känsliga personuppgifter
Känsliga personuppgifter inkluderar politiska och religiösa åsikter, hälsoinformation, genetiska uppgifter, biometriska uppgifter, sexuell läggning, brottmålsregister, finansiella uppgifter och — avgörande — platsdata som kan användas för att identifiera en specifik individ. Känsliga uppgifter utlöser de strängaste samtyckeskraven, inklusive specifikt, separat och i vissa fall skriftligt eller elektroniskt verifierbart samtycke.
Varför detta spelar roll för cookies
En cookie som bara samlar in en grundläggande sessionsidentifierare utgör grundläggande personuppgifter. En cookie som matar en platsbaserad reklamanpassad publik — vanligt i retargeting- och geo-riktade kampanjer — berör troligen känsliga personuppgifter i det ögonblick platsen blir identifierande. CMP-konfigurationen måste separera dessa syften.
Cookie-samtycke enligt vietnamesisk lag
Vietnam följer opt-in-samtyckesmodellen. Det finns inget alternativ med enbart meddelande och val för cookies som samlar in personuppgifter, och ribban för giltigt samtycke liknar GDPR-standarden.
De fyra samtyckeskraven
Samtycke enligt vietnamesisk lag måste vara:
- Specifikt — kopplat till ett tydligt identifierat behandlingssyfte, inte ett allmänt paraplysamtycke
- Informerat — den registrerade förstår vilka uppgifter som behandlas, varför, vem som mottar dem och hur länge
- Frivilligt — inga förkryssade rutor, inga samtyckes-eller-lämna-väggar för icke-nödvändig behandling
- Uttryckbart och återkalleligt — användaren kan lämna och återkalla samtycke via en tydlig mekanism
Hur ett compliant CMP ser ut
Ett CMP konfigurerat för vietnamesisk trafik 2026 bör presentera:
- En synlig banner innan några icke-nödvändiga cookies eller spårare aktiveras, på vietnamesiska (Tiếng Việt) som standard för vietnamesiska användare
- Separata åtgärder för Acceptera, Avvisa och Anpassa, med lika visuell framträdande — inga mörka mönster
- Detaljerade kontroller för minst följande syften: analys, annonsering, personalisering, gränsöverskridande överföring och all behandling av känsliga kategorier såsom exakt plats
- En beständig, lättfunnen mekanism för att ändra eller återkalla samtycke efter det initiala valet
- Integritetspolicy på vietnamesiska med tydliga uppgifter om personuppgiftsbiträden, datakategorier, lagringstid och användarens rättigheter
Samtyckesregister
Personuppgiftsansvariga måste upprätthålla register över samtycken — vem som samtyckt, när, till vad och via vilket gränssnitt. Vietnamesiska tillsynsåtgärder har redan hänvisat till saknade eller overifierbara samtyckesloggar, och PDPL formaliserar denna skyldighet. Ett CMP som inte producerar exporterbara, tidsstämplade samtyckesloggar uppfyller inte kraven.
Gränsöverskridande dataöverföring — Den svåraste delen
Vietnams regim för gränsöverskridande överföringar är en av de mest krävande i regionen och det element som utländska utgivare oftast kämpar med.
Överföringskonsekvensbedömningen
Innan vietnamesiska personuppgifter överförs utomlands — vilket inkluderar att skicka cookie-härledda identifierare till en utländsk annonsbörsen eller analysleverantör — måste den personuppgiftsansvarige upprätta en Överföringskonsekvensbedömning. Bedömningen måste dokumentera syftet, datakategorier, mottagarland och mottagare, tekniska och organisatoriska skyddsåtgärder samt den rättsliga grunden för överföringen.
Inlämning till MPS
Bedömningen måste lämnas in till Ministeriet för allmän säkerhet inom 60 dagar från behandlingens start. MPS har befogenhet att suspendera gränsöverskridande överföringar om bedömningen är otillräcklig eller om destinationsjurisdiktionen anses otillräcklig.
Praktisk konsekvens för utgivare
En typisk programmatisk annonsstack dirigerar användardata genom dussintals utländska leverantörer på millisekunder. Var och en av dessa flöden är, strikt talat, en gränsöverskridande överföring av vietnamesiska personuppgifter. Verkligheten 2026 är att de flesta utländska utgivare antingen lämnar in konsoliderade bedömningar för hela sin leverantörslista eller rensar sin leverantörsuppsättning för att minska bedömningsbördan. Inget av det är trivialt, och MPS har signalerat att de under 2026 kommer att börja mer aktiv tillsyn av gränsöverskridande flöden.
Registrerades rättigheter
PDPL konsoliderar och stärker de rättigheter som beviljades enligt dekretet. Vietnamesiska registrerade har rätt att:
- Informeras om behandlingen av sina uppgifter
- Få tillgång till de uppgifter som behandlas
- Rätta felaktiga uppgifter
- Radera uppgifter när behandlingen inte längre är motiverad
- Begränsa behandlingen under specificerade omständigheter
- Återkalla samtycke lika enkelt som det gavs
- Invända mot automatiserat beslutsfattande som ger betydande effekter
- Klaga till Ministeriet för allmän säkerhet
Svarstider
Personuppgiftsansvariga måste svara på registrerades förfrågningar inom 72 timmar i de flesta fall — ett avsevärt snävare tidsfönster än GDPR:s 30-dagarsgräns. Operativ beredskap för denna tidsram är en av de vanligaste compliancegapen för utländska utgivare och kräver verktyg och processbeskrivningar som är snabbare än vad som är typiskt i andra regioner.
Särskilda regler för minderåriga
PDPL introducerar dedikerade skyddsåtgärder för behandling av minderårigas personuppgifter. Samtycke för behandling av uppgifter tillhörande en person under 15 år måste ges av en förälder eller juridisk vårdnadshavare. Behandling av uppgifter för dem i åldern 15 till 18 år kräver den minderårigas eget samtycke, men med förhöjda transparens- och omsorgskrav. Gränssnitt för cookie-samtycke på webbplatser som attraherar en betydande publik under 18 år behöver åldersmedvetna flöden, vilket få utländska utgivare har byggt som standard.
Sanktioner och efterlevnad
PDPL höjer taket för administrativa böter avsevärt. Sanktioner inkluderar:
- Böter på upp till 5 procent av den globala årsomsättningen för allvarliga överträdelser som involverar känsliga personuppgifter eller systematiska brister
- Suspension av behandlingsverksamhet
- Obligatoriska stopp av gränsöverskridande överföringar
- Offentliggörande av överträdelsen
- Straffrättsligt ansvar för grava fall, inklusive olaglig försäljning av personuppgifter
Efterlevnadstrend
MPS var relativt tyst under 2023 och i början av 2024 när dekretet etablerades, men tillsynen har intensifierats under 2025 och in i 2026. Utländska utgivare har citerats i flera uppmärksammade åtgärder, nästan alltid med fokus på ett av tre problem: saknat eller otillräckligt samtycke, ej inlämnade konsekvensbedömningar för gränsöverskridande överföringar eller underlåtenhet att svara på registrerades förfrågningar inom 72-timmarsfönstret.
Revisionschecklista för vietnamesisk trafik 2026
- CMP-banner visas på vietnamesiska för vietnamesiska användare, med Acceptera, Avvisa och Anpassa med lika framträdande
- Samtyckessyften är detaljerade och separerar känslig behandling såsom exakt plats
- Samtyckesloggar är tidsstämplade, exporterbara och bevaras under behandlingsperioden plus en granskningsbar marginal
- Integritetspolicy finns tillgänglig på vietnamesiska med fullständigt uppgiftslämnande om biträden, lagringstid och rättigheter
- Överföringskonsekvensbedömning är inlämnad till MPS för varje pågående gränsöverskridande flöde
- Arbetsflödet för registrerades förfrågningar kan svara inom 72 timmar från start till slut
- Åldersmedvetet samtyckesflöde finns på plats för publik som inkluderar minderåriga
- Leverantörslistan har granskats för nödvändighet, med oanvända eller redundanta leverantörer borttagna för att krympa den gränsöverskridande ytan
Utsikterna för 2026
Vietnams regulatoriska riktning är tydlig. PDPD etablerade ramverket. PDPL hårdnar det. Tillsynen expanderar. För utgivare och annonsörer som behandlat Vietnam som en marknad med lättare krav är 2026 det år då detta tillvägagångssätt blir kostsamt. Den goda nyheten är att en modern GDPR-klassad samtyckesstack är det mesta av vad som behövs — gapen är vanligtvis 72-timmarssvarsfönstret, inlämningarna av överföringskonsekvensbedömningar och vietnamesisk lokalisering av CMP och integritetspolicyn. Dessa gap är operativa, inte arkitektoniska, och kan stängas på veckor snarare än kvartal. De utgivare som stänger dem innan MPS knackar på dörren kommer inte att märka övergången. De som väntar kommer att göra det.