2026'da Vietnam Veri Koruma Hukukunun Yapısı

Vietnam'ın rejimi artık iki katmanlı bir yapıdır: 2023'ten PDPD ve 2026'dan PDPL. Her ikisi de yürürlüktedir ve yayıncıların hangi katmanın hangi yükümlülüğü düzenlediğini anlamaları gerekir.

PDPD — Kararname 13/2023/ND-CP

Kararname, Vietnam'ın ilk kapsamlı kişisel veri tanımını, veri sahiplerinin haklarına ilişkin kataloğu, rıza gerekliliklerini, sınır ötesi veri aktarımlarına dair kuralları ve temel Kişisel Veri İşleme Etki Değerlendirmesi (DPIA) yükümlülüğünü getirdi. Yürürlükte kalmaya devam etmekte ve operasyonel ayrıntıları düzenlemeye devam etmektedir.

PDPL — 2026'dan İtibaren Yürürlükte

PDPL, çerçeveyi daha yüksek cezalar ve daha geniş kapsamla birincil mevzuata taşır. Rızayı esas alan modeli pekiştirir, veri sahiplerinin haklarını güçlendirir ve birincil düzenleyici olmaya devam eden Kamu Güvenliği Bakanlığı (MPS) için uygulama yetkilerini genişletir. PDPL ayrıca hassas kişisel veriler, otomatik karar alma ve küçüklerin verilerinin işlenmesi için daha net kurallar getirir.

Kimler Düzenlemeye Tabidir

Kanun, işlemcinin nerede bulunduğundan bağımsız olarak Vietnamlı kişisel verilerin her türlü işlenmesi için geçerlidir. Yerelleştirilmiş bir site aracılığıyla Vietnamlı kullanıcılara hizmet veren ABD merkezli bir yayıncı veya Vietnamlı envanteri programatik olarak satın alan bir alıcı kapsam dahilindedir. Bu toprak dışı uygulama, GDPR modelini yansıtır ve Vietnam çerçevesinin en agresif unsurlarından biridir.

Kişisel Veri Olarak Ne Sayılır

Vietnam'ın kişisel veri tanımı geniştir ve uluslararası standardı yakından takip etmektedir. Kişisel veri, belirli bir gerçek kişiyi tanımlayan veya tanımlayabilecek her türlü bilgidir ve çerez onayı açısından büyük önem taşıyan iki kategoriye ayrılır.

Temel Kişisel Veriler

Temel kişisel veriler ad, doğum tarihi, kimlik numaraları, iletişim bilgileri, cihaz tanımlayıcıları, IP adresleri ve çevrimiçi etkinlik verilerini kapsar. Reklam tanımlayıcıları, oturum kimlikleri ve tarama geçmişinden oluşturulan davranışsal profiller dahil olmak üzere çerezlerle toplanan verilerin büyük bölümü bu kapsamdadır.

Hassas Kişisel Veriler

Hassas kişisel veriler siyasi ve dini görüşleri, sağlık bilgilerini, genetik verileri, biyometrik verileri, cinsel yönelimi, adli sicil kayıtlarını, finansal verileri ve — kritik olarak — belirli bir kişiyi tanımlamak için kullanılabilecek konum verilerini kapsar. Hassas veriler, belirli, ayrı ve bazı durumlarda yazılı veya elektronik olarak doğrulanabilir rıza dahil olmak üzere en katı rıza gerekliliklerini tetikler.

Bu Neden Çerezler Açısından Önemlidir

Yalnızca temel bir oturum tanımlayıcısı toplayan bir çerez, temel kişisel veridir. Yeniden hedefleme ve coğrafi hedefli kampanyalarda yaygın olan konum tabanlı reklam kitlesini besleyen bir çerez, konum tanımlayıcı hale geldiği anda hassas kişisel veriye temas ediyor olabilir. CMP yapılandırması bu amaçları birbirinden ayırmalıdır.

Vietnam Hukukuna Göre Çerez Onayı

Vietnam, açık rıza (opt-in) modelini benimsemektedir. Kişisel veri toplayan çerezler için bildirim ve seçim yedekliliği yoktur ve geçerli rıza standardı GDPR standardına benzerdir.

Dört Rıza Gerekliliği

Vietnam hukukuna göre rızanın:

• Belirli olması — genel bir kapsamlı rıza değil, açıkça tanımlanmış bir işleme amacına bağlı olması
• Bilgilendirilmiş olması — veri sahibinin hangi verilerin işlendiğini, neden, kimin aldığını ve ne kadar süre için işlendiğini anlaması
• Gönüllü olması — önceden işaretlenmiş kutular olmaması, zorunlu olmayan işleme için rıza-ya-veya-git duvarları bulunmaması
• İfade edilebilir ve geri alınabilir olması — kullanıcının açık bir mekanizma aracılığıyla rıza verebilmesi ve geri alabilmesi

Uyumlu Bir CMP Nasıl Görünür

2026'da Vietnamlı trafik için yapılandırılmış bir CMP şunları sunmalıdır:

• Zorunlu olmayan herhangi bir çerez veya izleyici etkinleştirilmeden önce görünür bir banner; Vietnamlı kullanıcılar için varsayılan olarak Vietnamca (Tiếng Việt) dilinde
• Eşit görsel önem taşıyan ayrı Kabul Et, Reddet ve Özelleştir eylemleri — karanlık kalıplar yok
• En azından şu amaçlar için ayrıntılı denetimler: analitik, reklamcılık, kişiselleştirme, sınır ötesi aktarım ve kesin konum gibi hassas kategorilerdeki tüm işlemler
• İlk seçimden sonra rızayı değiştirmek veya geri almak için kalıcı, kolayca bulunabilir bir mekanizma
• Vietnamca'da gizlilik politikası; işlemcilerin, veri kategorilerinin, saklama sürelerinin ve kullanıcı haklarının açık şekilde belirtildiği

Rıza Kayıtları

İşlemciler rıza kayıtlarını tutmalıdır — kimin ne zaman, neye, hangi arayüz aracılığıyla rıza verdiğini. Vietnamlı uygulama işlemleri halihazırda eksik veya doğrulanamaz rıza günlüklerine atıfta bulunmuş olup PDPL bu yükümlülüğü resmileştirmiştir. Dışa aktarılabilir, zaman damgalı rıza günlükleri üretmeyen bir CMP uyumlu değildir.

Sınır Ötesi Veri Aktarımı — En Zor Kısım

Vietnam'ın sınır ötesi aktarım rejimi bölgedeki en zorlayıcılardan biridir ve yabancı yayıncıların en çok zorlandığı unsurdur.

Aktarım Etki Değerlendirmesi

Vietnamlı kişisel verileri yurt dışına aktarmadan önce — çerezlerden elde edilen tanımlayıcıların denizaşırı bir reklam borsasına veya analitik tedarikçiye gönderilmesi dahil — veri sorumlusu bir Aktarım Etki Değerlendirmesi hazırlamalıdır. Değerlendirme, amacı, veri kategorilerini, alıcı ülke ve alıcıyı, teknik ve organizasyonel güvenceleri ve aktarımın hukuki dayanağını belgelemelidir.

MPS'ye Bildirim

Değerlendirme, işlemenin başlamasından itibaren 60 gün içinde Kamu Güvenliği Bakanlığı'na sunulmalıdır. MPS, değerlendirme yetersiz ise veya hedef yargı alanı yetersiz kabul ediliyorsa sınır ötesi aktarımları askıya alma yetkisine sahiptir.

Yayıncılar İçin Pratik Sonuçlar

Tipik bir programatik reklam yığını, kullanıcı verilerini milisaniyeler içinde onlarca denizaşırı tedarikçiden geçirir. Bu akışların her biri, teknik olarak, Vietnamlı kişisel verilerin sınır ötesi aktarımıdır. 2026 gerçeği, yabancı yayıncıların çoğunun ya tüm tedarikçi listeleri için konsolide değerlendirmeler sunduğu ya da değerlendirme yükünü azaltmak için tedarikçi listelerini azalttığı yönündedir. Hiçbiri önemsiz değildir ve MPS, 2026 boyunca sınır ötesi akışlar konusunda daha aktif uygulama başlatacağının sinyalini vermiştir.

Veri Sahiplerinin Hakları

PDPL, Kararname kapsamında tanınan hakları pekiştirir ve güçlendirir. Vietnamlı veri sahipleri şu haklara sahiptir:

• Verilerinin işlenmesi hakkında bilgilendirilmek
• İşlenen verilere erişmek
• Yanlış verileri düzeltmek
• İşlemenin artık haklı kılınmadığı durumlarda verilerin silinmesini istemek
• Belirli koşullarda işlemeyi kısıtlamak
• Rızayı verildiği kadar kolaylıkla geri almak
• Önemli sonuçlar doğuran otomatik karar almaya itiraz etmek
• Kamu Güvenliği Bakanlığı'na şikayette bulunmak

Yanıt Süreleri

Veri sorumluları, çoğu durumda veri sahibi taleplerine 72 saat içinde yanıt vermelidir — bu, GDPR'nin 30 günlük standardından çok daha dar bir penceredir. Bu süre çerçevesi için operasyonel hazırlık, yabancı yayıncılar için en yaygın uyum boşluklarından biridir ve diğer bölgelerde tipik olandan daha hızlı araçlar ve süreç kitapları gerektirmektedir.

Küçüklere İlişkin Özel Kurallar

PDPL, küçüklerin kişisel verilerinin işlenmesi için özel korumalar getirmektedir. 15 yaşın altındaki bir kişinin verilerinin işlenmesine ilişkin rıza, ebeveyn veya yasal vasi tarafından verilmelidir. 15 ile 18 yaş arasındakilerin verilerinin işlenmesi için küçüğün kendi rızası gerekmekte; ancak şeffaflık ve özen yükümlülükleri daha yüksek tutulmaktadır. 18 yaş altı önemli bir kitleyi çeken sitelerdeki çerez onayı arayüzlerinin yaşa duyarlı akışlara ihtiyacı vardır; yabancı yayıncıların çoğu bunu varsayılan olarak oluşturmamıştır.

Cezalar ve Uygulama

PDPL, idari para cezalarının üst sınırını önemli ölçüde yükseltmektedir. Yaptırımlar şunları kapsar:

• Hassas kişisel verileri içeren veya sistematik ihlalleri olan ağır ihlaller için küresel yıllık gelirin yüzde 5'ine kadar para cezası
• İşleme faaliyetlerinin askıya alınması
• Zorunlu sınır ötesi aktarım durdurmaları
• İhlalin kamuoyuna açıklanması
• Kişisel verilerin yasadışı satışı dahil olmak üzere ağır vakalar için cezai sorumluluk

Uygulama Eğilimi

MPS, Kararname'nin yerleştiği 2023 ve 2024'ün başında görece sessiz kaldı; ancak uygulama 2025 boyunca ve 2026'ya geçişte hızlandı. Yabancı yayıncılar, neredeyse her zaman üç konudan birine odaklanan kamuoyuna yansıyan birkaç işlemde atıfta bulunuldu: eksik veya yetersiz rıza, bildirilmemiş sınır ötesi aktarım değerlendirmeleri ya da veri sahibi taleplerine 72 saatlik pencere içinde yanıt vermeme.

2026'da Vietnamlı Trafik İçin Denetim Kontrol Listesi

• CMP banner'ı Vietnamlı kullanıcılara Vietnamca dilinde sunuluyor; Kabul Et, Reddet ve Özelleştir eşit önem taşıyor
• Rıza amaçları ayrıntılıdır ve kesin konum gibi hassas işlemeyi ayırır
• Rıza günlükleri zaman damgalı, dışa aktarılabilir ve işleme süresi boyunca artı denetlenebilir bir marj için saklanıyor
• Gizlilik politikası, işlemcilerin, saklama sürelerinin ve hakların tam ifşasıyla Vietnamca dilinde mevcut
• Aktarım Etki Değerlendirmesi, devam eden her sınır ötesi akış için MPS'ye sunuldu
• Veri sahibi talep iş akışı baştan sona 72 saat içinde yanıt verebilecek durumda
• Küçükleri içeren kitleler için yaşa duyarlı rıza akışı yerinde
• Tedarikçi listesi gereklilik açısından gözden geçirildi; kullanılmayan veya gereksiz tedarikçiler sınır ötesi yüzey alanını azaltmak için kaldırıldı

2026 Görünümü

Vietnam'ın düzenleyici yönü açıktır. PDPD çerçeveyi oluşturdu. PDPL onu güçlendiriyor. Uygulama genişliyor. Vietnam'ı daha esnek bir pazar olarak değerlendiren yayıncılar ve reklamverenler için 2026, bu yaklaşımın maliyetli hale geldiği yıldır. İyi haber şu ki modern bir GDPR düzeyinde rıza yığını, ihtiyaç duyulanın büyük bölümünü karşılamaktadır — boşluklar genellikle 72 saatlik yanıt penceresi, Aktarım Etki Değerlendirmesi bildirimleri ve CMP ile gizlilik politikasının Vietnamca yerelleştirmesidir. Bu boşluklar çeyrekler yerine haftalar içinde kapatılabilecek operasyonel niteliktedir, mimari değil. MPS kapılarına gelmeden önce bu boşlukları kapatan yayıncılar geçişi fark etmeyecektir. Bekleyenler ise fark edecektir.