Việc bắt buộc phải làm khi chia sẻ dữ liệu cá nhân với đối tác là quy trình pháp lý tối quan trọng mà mọi doanh nghiệp cần thực hiện nghiêm túc để tránh rủi ro vi phạm. Để xây dựng quy trình chuyển giao dữ liệu an toàn và tuân thủ tuyệt đối Nghị định 356/2023/NĐ-CP, hãy để DPO.VN đồng hành cùng bạn, cung cấp giải pháp toàn diện bảo vệ uy tín và tài sản doanh nghiệp.

Nội dung bài viết

Tại sao doanh nghiệp phải thực hiện quy trình chặt chẽ khi chia sẻ dữ liệu?

Chia sẻ dữ liệu không kiểm soát là hành vi rất rủi ro dẫn đến các án phạt hành chính lên tới 5% doanh thu, mất uy tín thương hiệu và các vụ kiện tụng kéo dài. Tuân thủ quy trình là cách duy nhất để biến dữ liệu thành tài sản thay vì rủi ro.

Trong kỷ nguyên số, việc hợp tác kinh doanh thường đi kèm với nhu cầu chia sẻ dữ liệu khách hàng, nhân viên. Tuy nhiên, theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Nghị định 356/2025/NĐ-CP, bên kiểm soát dữ liệu (doanh nghiệp của bạn) phải chịu trách nhiệm chính đối với dữ liệu mình thu thập, ngay cả khi dữ liệu đó đã được chuyển giao cho bên thứ ba xử lý. Dưới đây là 6 bước bắt buộc phải làm để đảm bảo an toàn pháp lý.

1. Xác định rõ vai trò và trách nhiệm của các bên trong hoạt động xử lý dữ liệu như thế nào?

Doanh nghiệp cần xác định chính xác mình và đối tác là “Bên Kiểm soát”, “Bên Xử lý” hay “Bên Kiểm soát và Xử lý” để phân định rõ nghĩa vụ pháp lý tương ứng theo quy định tại Nghị định 356/2025/NĐ-CP.

Bước đầu tiên và quan trọng nhất là định danh vai trò. Điều này quyết định ai sẽ chịu trách nhiệm gì trước pháp luật và trước chủ thể dữ liệu.

Bên Kiểm soát dữ liệu cá nhân: Là bên quyết định mục đích và phương tiện xử lý. Nếu bạn quyết định gửi danh sách khách hàng cho một công ty marketing để chạy quảng cáo, bạn là Bên Kiểm soát.
Bên Xử lý dữ liệu cá nhân: Là bên thực hiện việc xử lý thay mặt cho Bên Kiểm soát. Trong ví dụ trên, công ty marketing là Bên Xử lý.
Bên Kiểm soát và xử lý dữ liệu cá nhân: Là bên vừa quyết định vừa trực tiếp thực hiện.

Việc xác định sai vai trò có thể dẫn đến việc áp dụng sai các biện pháp bảo vệ và thiếu sót trong hợp đồng, tạo ra lỗ hổng pháp lý nghiêm trọng.

2. Hợp đồng xử lý dữ liệu cá nhân cần có những điều khoản bắt buộc nào?

Hợp đồng phải quy định rõ mục đích, phạm vi, thời hạn xử lý, các biện pháp bảo vệ an toàn, trách nhiệm thông báo vi phạm và cam kết không sử dụng dữ liệu cho mục đích khác ngoài thỏa thuận.

Không bao giờ được chia sẻ dữ liệu mà không có văn bản ràng buộc. Theo Điều 7 Nghị định 356/2025/NĐ-, Bên Xử lý chỉ được tiếp nhận dữ liệu sau khi có hợp đồng hoặc thỏa thuận với Bên Kiểm soát. Một hợp đồng xử lý dữ liệu cá nhân chuẩn cần bao gồm:

Mục đích và phạm vi: Chỉ định rõ dữ liệu được dùng để làm gì (ví dụ: chỉ để giao hàng, không được dùng để quảng cáo chéo).
Biện pháp bảo vệ: Yêu cầu đối tác áp dụng các biện pháp an ninh mạng tối thiểu để bảo vệ dữ liệu được chuyển giao.
Xử lý sự cố: Quy trình thông báo cho Bên Kiểm soát trong vòng bao lâu (thường là ngay lập tức hoặc < 24h) khi phát hiện rò rỉ dữ liệu.
Cam kết xóa/trả lại dữ liệu: Sau khi kết thúc hợp đồng, đối tác phải xóa hoặc hoàn trả toàn bộ dữ liệu.

3. Làm thế nào để đảm bảo sự đồng ý của chủ thể dữ liệu khi chia sẻ cho bên thứ ba?

Doanh nghiệp phải thông báo rõ ràng và nhận được sự đồng ý cụ thể của chủ thể dữ liệu về việc chia sẻ thông tin cho đối tác, trừ các trường hợp pháp luật quy định không cần sự đồng ý.

Nguyên tắc minh bạch yêu cầu chủ thể dữ liệu phải biết dữ liệu của mình đi đâu. Điều 17 Luật Bảo vệ dữ liệu cá nhân quy định việc chuyển giao dữ liệu cá nhân phải có sự đồng ý của chủ thể.

DPO.VN lưu ý: Khi thu thập dữ liệu ban đầu, trong biểu mẫu đồng ý (Consent Form), doanh nghiệp nên liệt kê rõ danh sách các đối tác hoặc loại hình đối tác mà dữ liệu có thể được chia sẻ. Ví dụ: “Tôi đồng ý chia sẻ thông tin với các đối tác vận chuyển để thực hiện đơn hàng”. Nếu chưa xin phép từ đầu, doanh nghiệp buộc phải xin sự đồng ý bổ sung trước khi chuyển giao.

4. Tại sao phải lập Hồ sơ đánh giá tác động khi chuyển giao dữ liệu?

Đây là yêu cầu bắt buộc để đánh giá rủi ro và chứng minh sự tuân thủ với cơ quan chức năng. Đặc biệt khi chuyển dữ liệu ra nước ngoài, hồ sơ này là điều kiện tiên quyết để được phép thực hiện.

Theo Điều 19 Nghị định 356/2025/NĐ-CP, Bên Kiểm soát phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Mẫu số 10). Hồ sơ này phải nêu rõ tên, thông tin liên hệ của Bên Xử lý hoặc Bên thứ ba nhận dữ liệu.

Đặc biệt, nếu đối tác nằm ngoài lãnh thổ Việt Nam, doanh nghiệp phải lập thêm Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (Mẫu số 01a/01b) và gửi cho Bộ Công an (Cục A05) trong vòng 60 ngày theo quy định tại Điều 18 Nghị định 356/2025/NĐ-CP. Đây là thủ tục hành chính quan trọng không thể bỏ qua.

5. Biện pháp bảo mật thông tin nào cần áp dụng trong quá trình chuyển giao?

Doanh nghiệp phải áp dụng các biện pháp kỹ thuật như mã hóa dữ liệu đường truyền, sử dụng kênh truyền an toàn (VPN, SFTP) và khử nhận dạng dữ liệu nếu có thể để giảm thiểu rủi ro rò rỉ.

An toàn kỹ thuật là chốt chặn cuối cùng. Ngay cả khi pháp lý đầy đủ, nếu dữ liệu bị đánh cắp trong quá trình gửi đi, doanh nghiệp vẫn phải chịu trách nhiệm.

Mã hóa (Encryption): Luôn mã hóa file dữ liệu trước khi gửi và mã hóa đường truyền.
Khử nhận dạng (De-identification): Nếu đối tác chỉ cần số liệu thống kê, hãy khử nhận dạng dữ liệu cá nhân để biến nó thành dữ liệu không thể định danh, giúp giảm bớt gánh nặng tuân thủ.
Kiểm soát truy cập: Chỉ cung cấp quyền truy cập cho những nhân sự thực sự cần thiết của đối tác.

6. Doanh nghiệp cần giám sát và kiểm tra đối tác như thế nào sau khi chia sẻ dữ liệu?

Doanh nghiệp cần duy trì quyền kiểm tra, giám sát định kỳ việc tuân thủ của đối tác và yêu cầu họ báo cáo về tình hình xử lý dữ liệu để đảm bảo mọi cam kết được thực hiện nghiêm túc.

Trách nhiệm không kết thúc khi dữ liệu đã được gửi đi. Doanh nghiệp cần có cơ chế giám sát để đảm bảo đối tác kinh doanh thực hiện đúng cam kết. Điều này có thể bao gồm:

Yêu cầu báo cáo định kỳ về an toàn thông tin.
Thực hiện kiểm toán (audit) đột xuất hoặc định kỳ đối với hệ thống của đối tác.
Cập nhật hồ sơ đánh giá tác động (Mẫu 05a/05b) khi có thay đổi về quy trình hoặc đối tác xử lý.

Các Câu Hỏi Thường Gặp Về Chia Sẻ Dữ Liệu Cá Nhân Với Đối Tác

1. Tôi có cần xin phép khách hàng lại khi chia sẻ dữ liệu cho công ty giao hàng không?

Trả lời: Nếu việc chia sẻ là cần thiết để thực hiện hợp đồng (giao món hàng khách đã mua), bạn có thể không cần xin sự đồng ý riêng lẻ cho hành động này. Tuy nhiên, tốt nhất là nên thông báo rõ trong Chính sách bảo mật rằng dữ liệu sẽ được chia sẻ với đơn vị vận chuyển để thực hiện dịch vụ.

2. Mẫu hợp đồng chia sẻ dữ liệu có sẵn không?

Trả lời: Hiện tại pháp luật không ban hành mẫu hợp đồng cứng, nhưng các nội dung bắt buộc phải tuân thủ theo Nghị định 356/2025/NĐ-CP. DPO.VN cung cấp dịch vụ tư vấn và soạn thảo hợp đồng xử lý dữ liệu cá nhân chuẩn chỉnh, phù hợp với từng ngành nghề.

3. Nếu đối tác làm lộ dữ liệu, doanh nghiệp tôi có bị phạt không?

Trả lời: Có thể. Nếu bạn không có hợp đồng ràng buộc trách nhiệm, hoặc không thẩm định năng lực bảo mật của đối tác trước khi chuyển giao, bạn sẽ chịu trách nhiệm liên đới với tư cách là Bên Kiểm soát dữ liệu.

4. Chia sẻ dữ liệu nội bộ tập đoàn có cần làm thủ tục gì không?

Trả lời: Có. Các công ty con là các pháp nhân độc lập. Việc chia sẻ dữ liệu giữa các công ty trong tập đoàn vẫn được xem là chuyển giao cho bên thứ ba và phải tuân thủ đầy đủ quy trình (thông báo, đồng ý, đánh giá tác động).

5. Thời hạn nộp hồ sơ đánh giá tác động khi có đối tác mới là bao lâu?

Trả lời: Khi có thêm đối tác xử lý (Bên Xử lý hoặc Bên thứ ba), đây là một thay đổi trong hồ sơ. Bạn cần cập nhật hồ sơ đánh giá tác động và thông báo cho Bộ Công an (theo Mẫu 05a/05b) trong thời gian sớm nhất, quy định hiện hành khuyến nghị cập nhật khi có sự thay đổi.

An Tâm Hợp Tác – Vững Chắc Pháp Lý Cùng DPO.VN

Đừng để rủi ro pháp lý cản trở cơ hội hợp tác và phát triển của doanh nghiệp bạn. Hãy liên hệ ngay với chuyên gia của DPO.VN – Công ty TNHH Bảo Vệ Dữ Liệu Cá Nhân Quốc Gia, với sự dẫn dắt của Luật sư Nguyễn Tiến Hảo, để được tư vấn xây dựng quy trình chia sẻ dữ liệu chuẩn mực, an toàn và hiệu quả nhất.

Website: dpo.vn

Hotline: 0914.315.886

Email: info@dpo.vn

Địa chỉ: Phòng 86, Tầng 6, Toà tháp Ngôi Sao, phố Dương Đình Nghệ, Khu đô thị mới Cầu Giấy, Phường Yên Hoà, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam.

Tài liệu tham khảo

Quốc hội (2018), Luật An ninh mạng số 24/2018/QH14. Có tại: Thư viện Pháp luật
Bộ Công an, Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
Chính phủ (2025), Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
GDPR.eu, Data processing agreement (DPA). Có tại: GDPR.eu

Luật sư Nguyễn Tiến Hảo

Với kinh nghiệm tư vấn pháp lý về bảo vệ dữ liệu cá nhân cho gần 100 doanh nghiệp trong nước và quốc tế, Luật sư Nguyễn Tiến Hảo đã khẳng định vị thế là một trong những chuyên gia pháp lý hàng đầu tại Việt Nam về quản trị rủi ro và tuân thủ pháp lý trong lĩnh vực Bảo vệ dữ liệu cá nhân. Với chuyên môn sâu sắc trong việc diễn giải và áp dụng các quy định về Bảo vệ Dữ liệu Cá nhân, thể hiện qua năng lực xây dựng các Hồ sơ Đánh giá Tác động Xử Lý Dữ Liệu Cá Nhân đạt tiêu chuẩn và có tính ứng dụng cao. Các giải pháp cung cấp cho doanh nghiệp không chỉ đảm bảo sự tuân thủ nghiêm ngặt với pháp luật Việt Nam mà còn tương thích với các thông lệ quốc tế tốt nhất. Mang lại cho khách hàng sự bảo vệ pháp lý toàn diện và một lợi thế cạnh tranh rõ rệt. Tiểu sử tác giả