Miễn Trừ Lập Hồ Sơ Đánh Giá Tác Động Chuyển Dữ Liệu Cá Nhân Ra Nước Ngoài

Miễn trừ lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài là một quy định quan trọng giúp doanh nghiệp tối ưu nguồn lực tuân thủ pháp luật. Nắm rõ các trường hợp ngoại lệ này không chỉ giúp tiết kiệm thời gian, chi phí mà còn đảm bảo hoạt động kinh doanh diễn ra suôn sẻ, đúng pháp luật, với sự đồng hành chuyên nghiệp từ DPO.VN. Quy định pháp lý, điều kiện áp dụng, trách nhiệm pháp lý.

Doanh nghiệp thuộc những trường hợp nào thì được miễn trừ lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài?

Theo Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, có 4 trường hợp được miễn trừ, bao gồm: hoạt động của cơ quan nhà nước, lưu trữ dữ liệu người lao động trên dịch vụ đám mây, chủ thể dữ liệu tự chuyển dữ liệu của mình, và các trường hợp khác do Chính phủ quy định.

Việc chuyển dữ liệu cá nhân ra nước ngoài là một hoạt động pháp lý phức tạp, đòi hỏi các doanh nghiệp phải tuân thủ nghiêm ngặt quy trình lập và nộp Hồ sơ Đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Tuy nhiên, để tạo điều kiện thuận lợi cho một số hoạt động phổ biến và ít rủi ro hơn, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, có hiệu lực từ ngày 01 tháng 01 năm 2026, đã chính thức quy định các trường hợp miễn trừ. Đây là một điểm mới quan trọng, mang lại sự rõ ràng và giúp doanh nghiệp giảm bớt gánh nặng hành chính.

Cụ thể, tại khoản 6 Điều 20 Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, các trường hợp sau đây sẽ không phải thực hiện quy định về đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới:

Làm thế nào để áp dụng đúng điều kiện cho từng trường hợp miễn trừ?

Doanh nghiệp cần phân tích kỹ hoạt động của mình, đối chiếu với các điều kiện cụ thể và chuẩn bị tài liệu chứng minh để đảm bảo áp dụng miễn trừ một cách hợp pháp, tránh rủi ro khi bị thanh tra.

Mặc dù các trường hợp miễn trừ đã được liệt kê, việc áp dụng chúng vào thực tế đòi hỏi sự hiểu biết sâu sắc và cẩn trọng. DPO.VN, với kinh nghiệm tư vấn của Luật sư Nguyễn Tiến Hảo, khuyến nghị các doanh nghiệp cần làm rõ các điểm sau:

1. Miễn trừ đối với Cơ quan nhà nước có thẩm quyền:
Trường hợp này áp dụng cho các hoạt động mang tính chất công vụ, phục vụ quản lý nhà nước như hợp tác quốc tế về tư pháp, ngoại giao, phòng chống tội phạm. Doanh nghiệp tư nhân thường không thuộc phạm vi này, trừ khi đang thực hiện một nhiệm vụ được cơ quan nhà nước ủy quyền và việc chuyển dữ liệu là một phần của nhiệm vụ đó.

2. Miễn trừ khi lưu trữ dữ liệu người lao động trên dịch vụ đám mây:
Đây là trường hợp miễn trừ được quan tâm nhất, đặc biệt với các doanh nghiệp đang sử dụng các nền tảng quốc tế như Microsoft 365, Google Workspace, hoặc các phần mềm quản trị nhân sự (HRM) có máy chủ đặt ở nước ngoài. Để áp dụng miễn trừ này, doanh nghiệp cần đảm bảo:

• Phạm vi dữ liệu: Chỉ áp dụng cho dữ liệu cá nhân của người lao động trong chính tổ chức đó (ví dụ: hồ sơ nhân sự, bảng lương, thông tin liên lạc nội bộ).
• Mục đích lưu trữ: Dữ liệu phải được lưu trữ nhằm phục vụ công tác quản lý nội bộ, vận hành của doanh nghiệp, không nhằm mục đích kinh doanh hay chuyển giao cho bên thứ ba khác.
• Trách nhiệm bảo vệ dữ liệu: Dù được miễn lập hồ sơ, doanh nghiệp vẫn phải chịu hoàn toàn trách nhiệm bảo vệ dữ liệu cá nhân của người lao động theo các nguyên tắc chung của luật, bao gồm việc lựa chọn nhà cung cấp dịch vụ đám mây uy tín và có các biện pháp bảo mật phù hợp.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Một sai lầm phổ biến là cho rằng cứ dùng dịch vụ đám mây nước ngoài là được miễn. Doanh nghiệp cần chứng minh được rằng việc lưu trữ này chỉ dành riêng cho dữ liệu nhân viên và phục vụ mục đích quản lý nội bộ. Nếu hệ thống đám mây đó cũng dùng để lưu trữ dữ liệu khách hàng, thì phần dữ liệu khách hàng vẫn phải tuân thủ quy trình lập hồ sơ đầy đủ.

3. Miễn trừ khi chủ thể dữ liệu tự chuyển dữ liệu của mình:
Trường hợp này xảy ra khi một cá nhân chủ động thực hiện hành vi chuyển dữ liệu của chính họ. Ví dụ: một người dùng Việt Nam tự tải (upload) hồ sơ cá nhân của mình lên một trang web tuyển dụng quốc tế, hoặc tự lưu trữ ảnh của mình trên một dịch vụ lưu trữ ảnh cá nhân có máy chủ ở nước ngoài. Doanh nghiệp không phải là bên thực hiện hành vi chuyển dữ liệu trong trường hợp này, do đó không có trách nhiệm lập hồ sơ.

4. Các trường hợp khác theo quy định của Chính phủ:
Điều khoản này mở ra khả năng Chính phủ sẽ ban hành các nghị định hoặc văn bản hướng dẫn chi tiết để bổ sung các trường hợp miễn trừ khác trong tương lai, nhằm đáp ứng sự phát triển của công nghệ và thực tiễn kinh doanh. Doanh nghiệp cần theo dõi chặt chẽ các thông báo pháp lý để cập nhật kịp thời.

So sánh quy định miễn trừ giữa Luật 91/2025/QH15 và Nghị định 13/2023/NĐ-CP có điểm gì mới?

Điểm mới lớn nhất là Luật 91/2025/QH15 lần đầu tiên quy định rõ ràng và chính thức các trường hợp miễn trừ, trong khi Nghị định 13/2023/NĐ-CP không có điều khoản nào về vấn đề này, tạo ra một hành lang pháp lý an toàn và cụ thể hơn cho doanh nghiệp.

Trước khi Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 được ban hành, các quy định về chuyển dữ liệu cá nhân ra nước ngoài được điều chỉnh bởi Nghị định 13/2023/NĐ-CP. Một trong những thách thức lớn nhất đối với doanh nghiệp khi áp dụng Nghị định 13 là sự thiếu vắng các quy định miễn trừ. Điều 25 của Nghị định 13 yêu cầu tất cả các Bên chuyển dữ liệu ra nước ngoài đều phải lập Hồ sơ đánh giá tác động, không có ngoại lệ.

Sự ra đời của khoản 6 Điều 20 trong Luật 91/2025/QH15 là một bước tiến pháp lý quan trọng:

• Tạo sự rõ ràng: Doanh nghiệp giờ đây có một danh sách kiểm tra cụ thể để xác định nghĩa vụ của mình, thay vì phải diễn giải các quy định một cách chung chung.
• Giảm gánh nặng tuân thủ: Đặc biệt đối với các hoạt động phổ biến và có rủi ro thấp như lưu trữ dữ liệu nhân viên trên nền tảng đám mây, việc miễn trừ giúp doanh nghiệp, đặc biệt là các startup và doanh nghiệp nhỏ, tiết kiệm được chi phí và thời gian đáng kể.
• Thúc đẩy chuyển đổi số: Quy định này thể hiện sự thấu hiểu của nhà làm luật đối với thực tiễn hoạt động của doanh nghiệp trong kỷ nguyên số, khuyến khích việc áp dụng các công nghệ hiện đại mà không tạo ra các rào cản pháp lý không cần thiết.

Nếu không thuộc trường hợp được miễn trừ, doanh nghiệp phải thực hiện quy trình như thế nào?

Nếu không được miễn trừ, doanh nghiệp phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Mẫu Đ25-DLCN-04, nộp 01 bản chính cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) trong vòng 60 ngày kể từ ngày chuyển dữ liệu.

Đối với các doanh nghiệp có hoạt động chuyển dữ liệu cá nhân của khách hàng, đối tác ra nước ngoài và không thuộc các trường hợp miễn trừ nêu trên, việc tuân thủ quy trình chuẩn là bắt buộc. Quy trình này được quy định tại Điều 25 Nghị định 13/2023/NĐ-CP và Điều 20 Luật 91/2025/QH15.

Các bước thực hiện bao gồm:

1. Bước 1: Lập Hồ sơ Đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Doanh nghiệp cần điền đầy đủ thông tin vào Mẫu Đ25-DLCN-04 ban hành kèm theo Nghị định 13. Nội dung hồ sơ yêu cầu chi tiết về bên chuyển, bên nhận, mục đích, loại dữ liệu, biện pháp bảo vệ, và văn bản thể hiện sự ràng buộc trách nhiệm giữa các bên.
2. Bước 2: Nộp hồ sơ cho cơ quan chức năng. Gửi 01 bản chính của hồ sơ đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) trong thời hạn 60 ngày kể từ ngày bắt đầu chuyển dữ liệu. Doanh nghiệp có thể nộp trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (khi đi vào hoạt động), nộp trực tiếp, hoặc qua đường bưu chính.
3. Bước 3: Thông báo sau khi chuyển dữ liệu thành công. Sau khi hoàn tất việc chuyển dữ liệu, doanh nghiệp cần gửi thông báo bằng văn bản cho Cục A05.
4. Bước 4: Lưu trữ và cập nhật hồ sơ. Hồ sơ phải luôn sẵn sàng để phục vụ kiểm tra. Khi có bất kỳ thay đổi nào, doanh nghiệp phải cập nhật và nộp lại hồ sơ bổ sung theo Mẫu số 05a hoặc Mẫu số 05b.

Doanh nghiệp đối mặt với những rủi ro nào khi tự xác định sai trường hợp miễn trừ?

Việc xác định sai có thể bị coi là hành vi không lập hồ sơ khi chuyển dữ liệu cá nhân ra nước ngoài, dẫn đến rủi ro bị xử phạt hành chính lên đến 5% tổng doanh thu của năm trước liền kề, cùng với các yêu cầu khắc phục hậu quả và tổn hại uy tín nghiêm trọng.

Việc áp dụng miễn trừ không đúng quy định mang lại những rủi ro pháp lý và tài chính rất lớn. Gánh nặng chứng minh rằng mình thuộc trường hợp miễn trừ luôn thuộc về doanh nghiệp khi cơ quan chức năng tiến hành kiểm tra.

Các rủi ro chính bao gồm:

• Xử phạt hành chính nặng: Theo khoản 4 Điều 8 Luật 91/2025/QH15, hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới có thể bị phạt tới 5% tổng doanh thu của năm trước liền kề. Đây là một trong những mức phạt tài chính nghiêm khắc nhất, có thể gây ảnh hưởng lớn đến sự tồn tại của doanh nghiệp.
• Yêu cầu ngừng hoạt động chuyển dữ liệu: Theo khoản 5 Điều 20 Luật 91/2025/QH15, cơ quan chuyên trách có quyền yêu cầu ngừng ngay lập tức hoạt động chuyển dữ liệu nếu phát hiện vi phạm, gây gián đoạn hoạt động kinh doanh, đặc biệt với các công ty công nghệ phụ thuộc vào luồng dữ liệu toàn cầu.
• Tổn hại uy tín: Một khi bị kết luận vi phạm, uy tín của doanh nghiệp trong mắt khách hàng, đối tác và nhà đầu tư sẽ bị suy giảm nghiêm trọng. Niềm tin là yếu tố cốt lõi trong nền kinh tế số, và việc mất niềm tin có thể gây ra những thiệt hại lâu dài hơn cả các khoản phạt tài chính.
• Trách nhiệm bồi thường thiệt hại: Nếu việc chuyển dữ liệu không tuân thủ gây thiệt hại cho chủ thể dữ liệu, doanh nghiệp có thể phải đối mặt với các vụ kiện dân sự và yêu cầu bồi thường theo quy định.

Do đó, DPO.VN luôn khuyến cáo rằng, nếu doanh nghiệp không hoàn toàn chắc chắn 100% về việc mình có thuộc diện miễn trừ hay không, giải pháp an toàn nhất là thực hiện đầy đủ quy trình lập và nộp hồ sơ đánh giá tác động. Việc đầu tư vào tuân thủ ngay từ đầu sẽ là lá chắn vững chắc bảo vệ doanh nghiệp khỏi những rủi ro không đáng có.

Các Câu Hỏi Thường Gặp Về Miễn Trừ Lập Hồ Sơ Chuyển Dữ Liệu

Tài liệu tham khảo

• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15
• Thư viện Pháp luật: Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
• Thủ tục hành chính liên quan đến bảo vệ dữ liệu cá nhân