Hướng Dẫn Lập Hồ Sơ Đánh Giá Tác Động Chuyển Dữ Liệu Cá Nhân Ra Nước Ngoài

Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài là một yêu cầu pháp lý bắt buộc theo Nghị định 13/2023/NĐ-CP, đòi hỏi doanh nghiệp phải phân tích và chứng minh các biện pháp bảo vệ dữ liệu công dân Việt Nam. Để đảm bảo tuân thủ và giảm thiểu rủi ro, DPO.VN cung cấp giải pháp toàn diện giúp doanh nghiệp hoàn thành thủ tục này một cách chính xác. Quy trình tuân thủ, biểu mẫu đánh giá, thủ tục pháp lý.

Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài là gì và tại sao lại quan trọng?

Đây là một tài liệu pháp lý bắt buộc mà doanh nghiệp phải lập để phân tích, đánh giá và trình bày các biện pháp bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển ra khỏi lãnh thổ. Hồ sơ này là công cụ cốt lõi để chứng minh trách nhiệm giải trình và tuân thủ quy định của pháp luật, giúp doanh nghiệp giảm thiểu rủi ro pháp lý và xây dựng niềm tin với khách hàng.

Trong môi trường kinh doanh toàn cầu hóa, việc chuyển dữ liệu cá nhân ra nước ngoài đã trở thành một hoạt động phổ biến. Tuy nhiên, hoạt động này tiềm ẩn nhiều rủi ro về an ninh và quyền riêng tư. Nhận thức được điều này, pháp luật Việt Nam, cụ thể là Điều 25 Nghị định 13/2023/NĐ-CP và Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, đã đặt ra yêu cầu nghiêm ngặt về việc lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.

Về bản chất, hồ sơ này không chỉ là một thủ tục hành chính. Nó là một quy trình quản trị rủi ro toàn diện, yêu cầu Bên chuyển dữ liệu phải:

• Minh bạch hóa hoạt động: Công khai và làm rõ mục đích, phạm vi, loại dữ liệu được chuyển đi.
• Đánh giá rủi ro: Phân tích các tác động, hậu quả và thiệt hại có thể xảy ra đối với quyền và lợi ích của chủ thể dữ liệu.
• Thiết lập biện pháp bảo vệ: Đưa ra các biện pháp quản lý và kỹ thuật cụ thể để giảm thiểu rủi ro, đảm bảo dữ liệu được bảo vệ ở mức độ tương đương như khi ở Việt Nam.
• Chứng minh trách nhiệm: Tạo ra bằng chứng pháp lý vững chắc để chứng minh sự tuân thủ trước cơ quan quản lý nhà nước, cụ thể là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Nhiều doanh nghiệp thường xem nhẹ việc lập hồ sơ này và chỉ coi đó là giấy tờ thủ tục. Tuy nhiên, trong quá trình tư vấn, chúng tôi nhận thấy đây chính là cơ hội để doanh nghiệp rà soát lại toàn bộ luồng dữ liệu quốc tế của mình, từ đó phát hiện các lỗ hổng bảo mật và tối ưu hóa quy trình. Việc đầu tư nghiêm túc vào hồ sơ này không chỉ giúp tuân thủ pháp luật mà còn là một khoản đầu tư thông minh để bảo vệ tài sản số và uy tín của doanh nghiệp.

Doanh nghiệp của bạn có bắt buộc phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài không?

Có, nếu doanh nghiệp của bạn thực hiện một trong các hoạt động được quy định tại Điều 25 Nghị định 13/2023/NĐ-CP và Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, bao gồm việc sử dụng hệ thống ngoài lãnh thổ Việt Nam để xử lý dữ liệu của công dân Việt Nam. Tuy nhiên, Luật mới có quy định một số trường hợp được miễn trừ.

Các trường hợp nào được xác định là chuyển dữ liệu cá nhân ra nước ngoài?

Bao gồm ba trường hợp chính: (1) Chuyển dữ liệu từ Việt Nam đến một địa điểm lưu trữ ngoài Việt Nam; (2) Chuyển dữ liệu cho tổ chức, cá nhân ở nước ngoài; (3) Sử dụng nền tảng đặt tại nước ngoài để xử lý dữ liệu thu thập tại Việt Nam.

Để xác định nghĩa vụ lập hồ sơ, doanh nghiệp cần hiểu rõ các hoạt động nào được xem là chuyển dữ liệu xuyên biên giới. Theo quy định tại Khoản 14 Điều 2 Nghị định 13/2023/NĐ-CP và Khoản 1 Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, các hoạt động sau đây đều bắt buộc phải lập hồ sơ:

• Chuyển dữ liệu đến một địa điểm ngoài lãnh thổ Việt Nam: Đây là trường hợp phổ biến nhất, ví dụ như công ty tại Việt Nam gửi danh sách nhân viên cho công ty mẹ ở nước ngoài, hoặc một doanh nghiệp xuất khẩu gửi thông tin khách hàng cho đối tác logistics quốc tế.
• Sử dụng hệ thống tự động ngoài lãnh thổ Việt Nam để xử lý dữ liệu: Đây là một điểm rất quan trọng mà nhiều doanh nghiệp bỏ sót. Nếu doanh nghiệp của bạn sử dụng các dịch vụ điện toán đám mây như Amazon Web Services (AWS), Google Cloud, Microsoft Azure có máy chủ đặt tại Singapore, Nhật Bản, Hoa Kỳ để lưu trữ và xử lý dữ liệu của khách hàng Việt Nam, hoạt động này cũng được coi là chuyển dữ liệu ra nước ngoài và phải tuân thủ quy định.
• Ủy thác hoặc thuê một bên thứ ba ở nước ngoài xử lý dữ liệu: Ví dụ, một công ty fintech tại Việt Nam thuê một công ty ở Ấn Độ để phân tích dữ liệu giao dịch của người dùng.

Luật Bảo vệ dữ liệu cá nhân 2025 quy định miễn trừ cho những trường hợp nào?

Luật mới miễn trừ nghĩa vụ lập hồ sơ cho các trường hợp: (1) Cơ quan nhà nước có thẩm quyền thực hiện; (2) Lưu trữ dữ liệu người lao động trên dịch vụ đám mây; (3) Chủ thể dữ liệu tự chuyển dữ liệu của chính mình.

Nhằm tạo điều kiện thuận lợi cho một số hoạt động cần thiết, Khoản 6 Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (có hiệu lực từ 01/01/2026) đã quy định các trường hợp được miễn trừ nghĩa vụ lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Đây là một điểm mới quan trọng mà doanh nghiệp cần lưu ý:

Hướng dẫn lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài chi tiết từng bước?

Doanh nghiệp cần chuẩn bị đầy đủ thành phần hồ sơ theo quy định, sau đó điền thông tin chi tiết vào Mẫu Đ25-DLCN-04, tập trung vào việc mô tả rõ ràng các biện pháp bảo vệ, đánh giá tác động toàn diện và có văn bản ràng buộc trách nhiệm pháp lý chặt chẽ với bên nhận dữ liệu.

Việc lập hồ sơ đòi hỏi sự cẩn trọng và chi tiết. DPO.VN khuyến nghị doanh nghiệp thực hiện theo quy trình 3 bước sau đây để đảm bảo tính đầy đủ và chính xác.

Bước 1: Chuẩn bị đầy đủ thành phần hồ sơ theo quy định là gì?

Bộ hồ sơ đầy đủ bao gồm: (1) Thông báo gửi hồ sơ (Mẫu 06a hoặc 06b), (2) Hồ sơ đánh giá tác động (Mẫu Đ25-DLCN-04), (3) Giấy tờ pháp lý của doanh nghiệp, (4) Quyết định phân công bộ phận bảo vệ dữ liệu, và (5) Hợp đồng hoặc thỏa thuận với bên nhận dữ liệu.

Dựa trên hướng dẫn thủ tục hành chính của Bộ Công an, một bộ hồ sơ hợp lệ cần bao gồm các tài liệu sau:

• Thông báo gửi hồ sơ: 01 bản chính, sử dụng Mẫu số 06a (dành cho tổ chức) hoặc Mẫu số 06b (dành cho cá nhân) ban hành kèm Nghị định 13/2023/NĐ-CP.
• Hồ sơ Đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài: 01 bản chính, lập theo Mẫu Đ25-DLCN-04.
• Giấy tờ pháp lý của chủ hồ sơ: 01 bản sao Giấy chứng nhận đăng ký doanh nghiệp, quyết định thành lập hoặc giấy tờ tương đương.
• Tài liệu về bộ phận bảo vệ dữ liệu: 01 bản sao Quyết định hoặc văn bản phân công bộ phận/nhân sự phụ trách bảo vệ dữ liệu cá nhân (nếu có).
• Văn bản ràng buộc trách nhiệm: 01 bản sao hợp đồng, thỏa thuận hoặc các văn bản pháp lý khác thể hiện sự ràng buộc giữa Bên chuyển và Bên nhận dữ liệu.

Bước 2: Cách điền Mẫu Đ25-DLCN-04 chi tiết từng mục như thế nào?

Mẫu Đ25-DLCN-04 yêu cầu điền thông tin chính xác về bên chuyển, bên nhận, mô tả chi tiết hoạt động xử lý dữ liệu, các biện pháp bảo vệ được áp dụng và thực hiện một bản đánh giá tác động sâu sắc về các khía cạnh pháp lý, kinh tế, xã hội và an ninh quốc gia.

Đây là tài liệu trung tâm của bộ hồ sơ, đòi hỏi sự đầu tư về nội dung. Dưới đây là hướng dẫn chi tiết cho các mục quan trọng trong Mẫu Đ25-DLCN-04:

• Mục I, II, III (Thông tin các bên): Cung cấp đầy đủ và chính xác thông tin của Bên chuyển dữ liệu, Bên nhận dữ liệu và Bên thứ ba (nếu có). Thông tin phải khớp với giấy tờ pháp lý.
• Mục IV (Hoạt động chuyển dữ liệu): Đây là phần cốt lõi. Cần mô tả chi tiết:
  • Mục đích xử lý: Phải rõ ràng, hợp pháp và phù hợp với hoạt động kinh doanh. Ví dụ: Chuyển dữ liệu nhân viên sang công ty mẹ để quản lý nhân sự toàn cầu.
  • Loại dữ liệu được xử lý: Tích chọn chính xác các loại dữ liệu cá nhân cơ bản và nhạy cảm sẽ được chuyển đi. Việc khai báo thiếu hoặc sai có thể dẫn đến vi phạm.
  • Sự đồng ý của chủ thể dữ liệu: Mô tả cách thức doanh nghiệp có được sự đồng ý hợp lệ từ chủ thể dữ liệu và cơ chế để họ khiếu nại, phản hồi.
  • Biện pháp bảo vệ dữ liệu: Liệt kê cụ thể các biện pháp quản lý (như chính sách bảo mật, thỏa thuận bảo mật với nhân viên) và biện pháp kỹ thuật (như mã hóa dữ liệu khi truyền và lưu trữ, tường lửa, kiểm soát truy cập).
• Mục V (Đánh giá tác động): Phần này yêu cầu một phân tích sâu sắc, không chỉ là liệt kê. Doanh nghiệp cần đánh giá tác động trên các khía cạnh:
  • Tác động về quyền của chủ thể dữ liệu: Phân tích xem việc chuyển dữ liệu có thể ảnh hưởng đến các quyền của họ như thế nào.
  • Tác động về kinh tế, xã hội: Lợi ích và rủi ro tiềm tàng.
  • Tác động đối với an ninh quốc gia Việt Nam: Đây là một yêu cầu đặc biệt quan trọng, cần phân tích khả năng dữ liệu bị lạm dụng để chống phá Nhà nước hoặc gây tổn hại đến lợi ích quốc gia.

Bước 3: Văn bản thể hiện sự ràng buộc trách nhiệm giữa các bên cần có nội dung gì?

Văn bản này phải là một thỏa thuận pháp lý (như hợp đồng, phụ lục hợp đồng) quy định rõ trách nhiệm của bên nhận trong việc bảo vệ dữ liệu, các biện pháp bảo mật phải áp dụng, nghĩa vụ thông báo khi có vi phạm và cơ chế giải quyết khiếu nại, tuân thủ các yêu cầu từ cơ quan chức năng Việt Nam.

Đây là yêu cầu tại điểm h Khoản 2 Điều 25 Nghị định 13/2023/NĐ-CP và là một trong những điểm khó khăn nhất cho doanh nghiệp. Văn bản này không chỉ là một cam kết chung chung mà phải là một thỏa thuận có tính ràng buộc pháp lý. DPO.VN khuyến nghị văn bản này nên bao gồm các điều khoản tối thiểu sau:

• Phạm vi và mục đích xử lý: Bên nhận chỉ được xử lý dữ liệu trong phạm vi và mục đích đã được Bên chuyển chỉ định.
• Nghĩa vụ bảo mật: Bên nhận cam kết áp dụng các biện pháp kỹ thuật và tổ chức tương đương hoặc cao hơn các tiêu chuẩn của Việt Nam để bảo vệ dữ liệu.
• Quyền của chủ thể dữ liệu: Bên nhận phải có cơ chế hỗ trợ Bên chuyển để đáp ứng các yêu cầu từ chủ thể dữ liệu (ví dụ: yêu cầu xóa, chỉnh sửa dữ liệu).
• Thông báo vi phạm: Bên nhận phải thông báo ngay cho Bên chuyển khi xảy ra sự cố vi phạm dữ liệu.
• Hợp tác với cơ quan chức năng: Bên nhận cam kết hợp tác và cung cấp thông tin khi có yêu cầu từ cơ quan có thẩm quyền của Việt Nam.
• Chấm dứt và trả lại dữ liệu: Quy định về việc xóa hoặc trả lại toàn bộ dữ liệu khi kết thúc hợp đồng.

Quy trình và thủ tục nộp hồ sơ cho cơ quan chức năng được thực hiện như thế nào?

Doanh nghiệp cần nộp 01 bộ hồ sơ bản chính đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an trong vòng 60 ngày kể từ ngày chuyển dữ liệu. Sau khi chuyển thành công, doanh nghiệp phải gửi thông báo bằng văn bản cho Cục A05. Hồ sơ có thể nộp trực tuyến, trực tiếp hoặc qua đường bưu chính.

Nắm vững quy trình hành chính là yếu tố quyết định để việc tuân thủ diễn ra suôn sẻ.

Nộp hồ sơ ở đâu và thời hạn là bao lâu?

Hồ sơ được nộp tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an). Thời hạn nộp là 60 ngày kể từ ngày doanh nghiệp bắt đầu tiến hành xử lý dữ liệu (bao gồm cả hoạt động chuyển dữ liệu).

• Cơ quan tiếp nhận: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an.
• Thời hạn: Trong vòng 60 ngày kể từ ngày tiến hành xử lý dữ liệu. Lưu ý, thời điểm này được tính từ ngày đầu tiên doanh nghiệp thực hiện hoạt động chuyển dữ liệu, không phải ngày ký hợp đồng.
• Cách thức nộp:
  • Trực tuyến: Qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (khi được Bộ Công an chính thức vận hành).
  • Trực tiếp: Tại trụ sở Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.
  • Bưu chính: Gửi đến Bộ phận tiếp nhận và trả kết quả thủ tục hành chính của Cục A05.

Cần làm gì sau khi đã nộp hồ sơ và chuyển dữ liệu thành công?

Sau khi việc chuyển dữ liệu diễn ra thành công, Bên chuyển dữ liệu phải gửi một thông báo bằng văn bản đến Cục A05, cung cấp thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách.

Đây là một nghĩa vụ sau khi nộp hồ sơ được quy định tại Khoản 4 Điều 25 Nghị định 13/2023/NĐ-CP. Việc thông báo này giúp cơ quan quản lý nắm được tình hình thực tế và hoàn tất quy trình giám sát. Doanh nghiệp cần chủ động thực hiện để thể hiện sự tuân thủ đầy đủ.

Khi nào doanh nghiệp cần cập nhật hồ sơ đã nộp?

Doanh nghiệp phải cập nhật hồ sơ khi có bất kỳ sự thay đổi nào về nội dung đã gửi cho Cục A05. Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định cụ thể việc cập nhật định kỳ 06 tháng hoặc cập nhật ngay khi có thay đổi lớn.

Hồ sơ đánh giá tác động không phải là một tài liệu tĩnh. Doanh nghiệp có nghĩa vụ cập nhật khi có sự thay đổi. Thủ tục cập nhật được thực hiện bằng cách nộp Mẫu số 05a (cho tổ chức) hoặc 05b (cho cá nhân) kèm theo hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đã được cập nhật. Các trường hợp thay đổi cần cập nhật ngay theo Điều 22 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 bao gồm:

• Thay đổi về cơ cấu tổ chức (tái tổ chức, giải thể, phá sản).
• Thay đổi thông tin về bộ phận/nhân sự bảo vệ dữ liệu.
• Phát sinh hoặc thay đổi ngành nghề kinh doanh liên quan đến xử lý dữ liệu đã đăng ký.

Doanh nghiệp sẽ đối mặt với rủi ro gì nếu không tuân thủ quy định?

Việc không tuân thủ quy định về chuyển dữ liệu cá nhân ra nước ngoài có thể dẫn đến các chế tài pháp lý nghiêm khắc, bao gồm bị yêu cầu ngừng hoạt động chuyển dữ liệu và đối mặt với mức phạt hành chính lên tới 5% tổng doanh thu của năm trước liền kề theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.

Việc tuân thủ không chỉ là nghĩa vụ mà còn là một chiến lược quản trị rủi ro thông minh. Ngược lại, việc phớt lờ các quy định này có thể đẩy doanh nghiệp vào những tình huống bất lợi nghiêm trọng:

• Chế tài hành chính: Theo Khoản 8 Điều 25 Nghị định 13/2023/NĐ-CP, Bộ Công an có thể yêu cầu ngừng ngay lập tức hoạt động chuyển dữ liệu nếu doanh nghiệp không tuân thủ hoặc để xảy ra sự cố. Đặc biệt, Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đưa ra một mức phạt rất cao: lên tới 5% tổng doanh thu của năm trước liền kề. Đây là một rủi ro tài chính khổng lồ, có thể ảnh hưởng đến sự tồn tại của doanh nghiệp.
• Mất uy tín thương hiệu: Một khi thông tin về việc doanh nghiệp vi phạm quy định bảo vệ dữ liệu bị công khai, niềm tin của khách hàng và đối tác sẽ suy giảm nghiêm trọng.
• Trách nhiệm bồi thường thiệt hại: Nếu việc chuyển dữ liệu không an toàn gây thiệt hại cho chủ thể dữ liệu, doanh nghiệp phải chịu trách nhiệm bồi thường theo quy định của pháp luật dân sự.

Thay vì đối mặt với rủi ro, việc chủ động tuân thủ mang lại nhiều lợi ích: khẳng định cam kết bảo vệ khách hàng, nâng cao uy tín, và tạo lợi thế cạnh tranh bền vững trên thị trường.

Các Câu Hỏi Thường Gặp Về Hồ Sơ Đánh Giá Tác Động Chuyển Dữ Liệu Cá Nhân Ra Nước Ngoài

Tài liệu tham khảo

• Thủ tục Thông báo nội dung hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Thông tin về Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Cổng thông tin điện tử Bộ Công an
• Tổng quan về Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (GDPR).