Điểm Mới Về Chuyển Dữ Liệu Cá Nhân Xuyên Biên Giới 2025

Các điểm mới về chuyển dữ liệu cá nhân xuyên biên giới trong Luật Bảo vệ dữ liệu cá nhân sắp có hiệu lực mang đến những thay đổi đột phá, đặc biệt là các trường hợp miễn trừ nghĩa vụ và quy trình tuân thủ rõ ràng hơn. Để giúp doanh nghiệp nắm bắt cơ hội và tối ưu hóa hoạt động, DPO.VN cung cấp giải pháp toàn diện, đảm bảo tuân thủ quy định pháp luật một cách hiệu quả nhất. Quy định mới, tuân thủ pháp luật, đánh giá tác động.

Luật Bảo Vệ Dữ Liệu Cá Nhân Mới Thay Đổi Quy Định Chuyển Dữ Liệu Xuyên Biên Giới Như Thế Nào?

Luật Bảo vệ dữ liệu cá nhân mới (có hiệu lực từ 01/01/2026) mang đến ba thay đổi lớn: lần đầu tiên quy định các trường hợp miễn trừ nghĩa vụ lập hồ sơ, làm rõ các hoạt động được xem là chuyển dữ liệu xuyên biên giới, và quy định cụ thể về quy trình chuyển tiếp cho các hồ sơ đã nộp.

Hoạt động chuyển dữ liệu cá nhân ra nước ngoài là một phần tất yếu của kinh doanh toàn cầu, nhưng cũng tiềm ẩn nhiều rủi ro pháp lý. Nghị định số 13/2023/NĐ-CP (Nghị định 13) đã đặt nền móng pháp lý đầu tiên, yêu cầu các tổ chức phải lập Hồ sơ đánh giá tác động. Sắp tới, Luật Bảo vệ dữ liệu cá nhân sẽ chính thức có hiệu lực, không chỉ kế thừa mà còn phát triển các quy định này một cách rõ ràng và thực tiễn hơn. Việc nắm bắt những thay đổi này là chìa khóa giúp doanh nghiệp vừa tuân thủ pháp luật, vừa tối ưu hóa chi phí và nguồn lực.

Doanh Nghiệp Của Bạn Có Thuộc Trường Hợp Được Miễn Trừ Lập Hồ Sơ Đánh Giá Tác Động Không?

Có, Luật Bảo vệ dữ liệu cá nhân quy định 03 trường hợp được miễn trừ nghĩa vụ lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, bao gồm việc chuyển dữ liệu của cơ quan nhà nước, lưu trữ dữ liệu người lao động trên dịch vụ điện toán đám mây, và khi chủ thể dữ liệu tự chuyển dữ liệu của mình.

Đây là một trong những điểm mới quan trọng và được mong đợi nhất, giúp giảm bớt gánh nặng hành chính cho nhiều doanh nghiệp. Theo Khoản 6, Điều 20 của Luật Bảo vệ dữ liệu cá nhân, các trường hợp sau đây không cần phải thực hiện thủ tục lập và gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài:

• Việc chuyển dữ liệu của cơ quan nhà nước có thẩm quyền: Các hoạt động phục vụ mục đích quản lý nhà nước, an ninh, quốc phòng được miễn trừ thủ tục này.
• Cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động trên dịch vụ điện toán đám mây: Đây là quy định mang tính thực tiễn cao, gỡ rối cho hàng ngàn doanh nghiệp đang sử dụng các dịch vụ cloud quốc tế.
• Chủ thể dữ liệu cá nhân tự chuyển dữ liệu của mình: Khi cá nhân chủ động chuyển dữ liệu của họ (ví dụ: tải dữ liệu lên tài khoản lưu trữ đám mây cá nhân), hoạt động này không thuộc phạm vi điều chỉnh.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: “Một công ty công nghệ tại Việt Nam sử dụng Google Workspace để quản lý email và tài liệu nội bộ, bao gồm cả hợp đồng lao động và thông tin nhân sự. Theo quy định mới, hoạt động lưu trữ dữ liệu người lao động này trên dịch vụ điện toán đám mây có thể được miễn trừ nghĩa vụ lập Hồ sơ đánh giá tác động. Đây là một lợi thế lớn, giúp doanh nghiệp tiết kiệm đáng kể thời gian và chi phí tuân thủ, tập trung nguồn lực vào phát triển kinh doanh.”

Quy Trình Đánh Giá Tác Động Và Kiểm Tra Theo Luật Mới Có Gì Khác Biệt?

Quy trình cốt lõi vẫn giữ nguyên nhưng được làm rõ hơn: hồ sơ chỉ cần lập một lần và cập nhật khi cần. Tần suất kiểm tra định kỳ được ấn định không quá 01 lần/năm, và kiểm tra đột xuất chỉ diễn ra khi có dấu hiệu vi phạm hoặc xảy ra sự cố.

Đối với các doanh nghiệp không thuộc diện miễn trừ, việc nắm rõ quy trình mới là vô cùng cần thiết để đảm bảo tuân thủ.

Thành phần hồ sơ đánh giá tác động có thay đổi không?

Thành phần hồ sơ về cơ bản vẫn giữ nguyên theo quy định tại Nghị định 13. Tuy nhiên, Luật mới nhấn mạnh hồ sơ chỉ cần lập 01 lần cho suốt quá trình hoạt động, thay vì phải lập lại nhiều lần.

Khoản 2, Điều 25 Nghị định 13 đã quy định chi tiết 8 nội dung bắt buộc của một hồ sơ đánh giá tác động, và Luật mới tiếp tục kế thừa tinh thần này. Doanh nghiệp vẫn cần chuẩn bị đầy đủ thông tin theo Mẫu Đ25-DLCN-04. Điểm cải tiến quan trọng nhất là Khoản 3, Điều 20 của Luật quy định rõ: “Đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới được thực hiện 01 lần cho suốt thời gian hoạt động”. Điều này có nghĩa là doanh nghiệp chỉ cần nộp hồ sơ một lần duy nhất khi bắt đầu hoạt động chuyển dữ liệu, và sau đó chỉ cần cập nhật khi có thay đổi theo quy định tại Điều 22 của Luật.

Tần suất và điều kiện kiểm tra của cơ quan chức năng được quy định ra sao?

Cơ quan chuyên trách sẽ kiểm tra định kỳ không quá 01 lần/năm, và chỉ kiểm tra đột xuất khi phát hiện hành vi vi phạm pháp luật hoặc khi xảy ra sự cố lộ, mất dữ liệu cá nhân.

Khoản 4, Điều 20 của Luật Bảo vệ dữ liệu cá nhân đã mang lại sự rõ ràng và có thể dự đoán được cho doanh nghiệp về hoạt động thanh tra, kiểm tra. Việc ấn định tần suất kiểm tra định kỳ giúp doanh nghiệp chủ động hơn trong việc chuẩn bị và giảm bớt các gián đoạn không cần thiết trong hoạt động kinh doanh. Đồng thời, quy định về kiểm tra đột xuất cũng nêu rõ các điều kiện cụ thể, đảm bảo tính minh bạch và hợp lý trong hoạt động quản lý của nhà nước.

Hoạt Động Nào Được Xác Định Là Chuyển Dữ Liệu Cá Nhân Xuyên Biên Giới Theo Quy Định Mới?

Luật mới xác định rõ 03 trường hợp: (1) Chuyển dữ liệu từ Việt Nam đến nơi lưu trữ ngoài Việt Nam; (2) Chuyển dữ liệu cho tổ chức, cá nhân ở nước ngoài; (3) Sử dụng nền tảng ngoài Việt Nam để xử lý dữ liệu thu thập tại Việt Nam.

Khoản 1, Điều 20 của Luật Bảo vệ dữ liệu cá nhân đã định nghĩa một cách cụ thể và bao quát các hoạt động được coi là chuyển dữ liệu xuyên biên giới, giúp doanh nghiệp dễ dàng xác định nghĩa vụ tuân thủ của mình:

• Chuyển dữ liệu đến hệ thống lưu trữ ngoài lãnh thổ Việt Nam: Ví dụ, một doanh nghiệp sao lưu cơ sở dữ liệu khách hàng từ máy chủ tại Việt Nam lên Amazon Web Services (AWS) có trung tâm dữ liệu đặt tại Singapore.
• Chuyển dữ liệu cho tổ chức, cá nhân ở nước ngoài: Ví dụ, một công ty du lịch tại Việt Nam gửi danh sách thông tin khách hàng (hộ chiếu, lịch trình) cho một đối tác khách sạn tại Thái Lan để đặt phòng.
• Sử dụng nền tảng nước ngoài để xử lý dữ liệu thu thập tại Việt Nam: Đây là điểm mới quan trọng nhất. Ví dụ, một trang thương mại điện tử Việt Nam thu thập thông tin người dùng và sử dụng nền tảng Salesforce (có máy chủ ở nước ngoài) để quản lý quan hệ khách hàng (CRM). Hoạt động này cũng được xem là chuyển dữ liệu xuyên biên giới.

Khi Nào Cơ Quan Chức Năng Có Thể Yêu Cầu Ngừng Hoạt Động Chuyển Dữ Liệu Của Doanh Nghiệp?

Cơ quan chuyên trách bảo vệ dữ liệu cá nhân có thể yêu cầu ngừng chuyển dữ liệu khi phát hiện dữ liệu được chuyển đi để sử dụng vào các hoạt động có thể gây tổn hại đến quốc phòng, an ninh quốc gia của Việt Nam.

Đây là một biện pháp mạnh mẽ nhằm bảo vệ lợi ích quốc gia. Khoản 5, Điều 20 của Luật quy định rõ thẩm quyền này cho cơ quan chuyên trách (hiện là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an). Doanh nghiệp cần hết sức lưu ý đến mục đích sử dụng dữ liệu của các đối tác nước ngoài. Việc thẩm định kỹ lưỡng đối tác và có các điều khoản hợp đồng chặt chẽ về mục đích sử dụng dữ liệu là rất quan trọng để tránh rơi vào “lằn ranh đỏ” này.

Hồ Sơ Đã Nộp Theo Nghị Định 13 Sẽ Được Xử Lý Như Thế Nào Khi Luật Mới Có Hiệu Lực?

Các hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài đã được nộp theo Nghị định 13 trước ngày 01/01/2026 sẽ tiếp tục có giá trị sử dụng và không cần phải lập lại. Tuy nhiên, việc cập nhật các hồ sơ này sau thời điểm đó phải tuân theo quy định của Luật mới.

Điều 39 của Luật Bảo vệ dữ liệu cá nhân về quy định chuyển tiếp đã giải tỏa lo lắng cho các doanh nghiệp đã chủ động tuân thủ Nghị định 13. Cụ thể, Khoản 2 Điều này nêu rõ: “Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo quy định của Nghị định số 13/2023/NĐ-CP […] đã được cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiếp nhận trước ngày Luật này có hiệu lực thi hành thì tiếp tục được sử dụng”. Điều này đảm bảo tính kế thừa của pháp luật và ghi nhận nỗ lực tuân thủ của doanh nghiệp. Khi có thay đổi, doanh nghiệp sẽ thực hiện cập nhật hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo quy trình của Luật mới.

Các Câu Hỏi Thường Gặp Về Chuyển Dữ Liệu Cá Nhân Xuyên Biên Giới

Tài liệu tham khảo

• Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
• Luật Bảo vệ dữ liệu cá nhân. Cổng thông tin điện tử Chính phủ.
• hủ tục thông báo nội dung hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Cổng Dịch vụ công Bộ Công an.
• Cost of a Data Breach Report.
• General Data Protection Regulation (GDPR).