Điều kiện chuyển dữ liệu cá nhân xuyên biên giới gồm những gì?

Điều kiện chuyển dữ liệu cá nhân xuyên biên giới đòi hỏi doanh nghiệp phải đáp ứng các yêu cầu pháp lý nghiêm ngặt về hồ sơ, sự đồng ý và cơ chế chịu trách nhiệm. Để đảm bảo tuân thủ và vận hành thông suốt, đội ngũ chuyên gia tại DPO.VN mang đến giải pháp toàn diện giúp doanh nghiệp hoàn tất các thủ tục một cách chính xác. Quy định chuyển dữ liệu xuyên biên giới, thủ tục pháp lý.

Các điều kiện tiên quyết để chuyển dữ liệu cá nhân của công dân Việt Nam xuyên biên giới là gì?

Doanh nghiệp phải đáp ứng 03 điều kiện cốt lõi: (1) Lập Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới; (2) Bản sao hợp đồng hoặc văn bản chuyển giao dữ liệu cá nhân thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân xuyên biên giới; và (3) Chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan về bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có hoạt động chuyển dữ liệu cá nhân xuyên biên giới.

Trong bối cảnh toàn cầu hóa, hoạt động chuyển dữ liệu cá nhân xuyên biên giới đã trở thành một phần tất yếu của nhiều doanh nghiệp. Tuy nhiên, để bảo vệ quyền riêng tư của công dân và an ninh quốc gia, pháp luật Việt Nam đã đặt ra những quy định chặt chẽ. Việc đáp ứng đầy đủ các điều kiện này không chỉ là nghĩa vụ pháp lý mà còn là nền tảng xây dựng niềm tin với khách hàng và đối tác quốc tế.

Các quy định này được nêu rõ tại Điều 18 Nghị định 356/2025/NĐ-CP và Điều 20 của Luật Bảo vệ dữ liệu cá nhân 2025. Tuân thủ đúng các điều kiện này giúp doanh nghiệp hoạt động một cách bền vững, minh bạch và an toàn.

Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới cần bao gồm những nội dung gì?

Hồ sơ phải bao gồm thông tin của bên chuyển và bên nhận, mục tiêu xử lý, loại dữ liệu, các biện pháp bảo vệ được áp dụng, đánh giá rủi ro, sự đồng ý của chủ thể dữ liệu, và văn bản ràng buộc trách nhiệm giữa các bên.

Đây là yêu cầu thủ tục quan trọng nhất, được xem là xương sống của toàn bộ quá trình. Theo Khoản 2, Điều 18 Nghị định 356/2025/NĐ-CP, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới phải được lập theo Mẫu số 09 và bao gồm các thành phần chi tiết sau:

• Thông tin và chi tiết liên lạc: Cung cấp đầy đủ thông tin của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu.
• Tổ chức, cá nhân phụ trách: Họ tên và chi tiết liên lạc của bộ phận hoặc cá nhân chịu trách nhiệm của Bên chuyển dữ liệu.
• Mô tả và luận giải mục tiêu: Trình bày rõ ràng mục đích của các hoạt động xử lý dữ liệu sau khi được chuyển ra nước ngoài.
• Mô tả và làm rõ loại dữ liệu: Liệt kê cụ thể các loại dữ liệu cá nhân sẽ được chuyển (ví dụ: dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm).
• Tuân thủ và biện pháp bảo vệ: Mô tả chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng, đảm bảo tuân thủ Nghị định 356/2025/NĐ-CP.
• Đánh giá tác động và rủi ro: Phân tích mức độ ảnh hưởng, hậu quả, thiệt hại có thể xảy ra và các biện pháp giảm thiểu nguy cơ.
• Sự đồng ý của chủ thể dữ liệu: Phải có bằng chứng về sự đồng ý của chủ thể dữ liệu, dựa trên việc họ đã được thông báo rõ cơ chế phản hồi, khiếu nại.
• Văn bản ràng buộc trách nhiệm: Phải có văn bản (hợp đồng, thỏa thuận) thể hiện trách nhiệm giữa bên chuyển và bên nhận về việc xử lý dữ liệu cá nhân xuyên biên giới.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: “Một sai lầm phổ biến là doanh nghiệp mô tả các biện pháp bảo vệ một cách chung chung. Cơ quan chức năng yêu cầu sự chi tiết, ví dụ, nếu nói ‘mã hóa’, cần nêu rõ là mã hóa AES-256, áp dụng cho dữ liệu khi đang truyền (in-transit) và khi lưu trữ (at-rest).”

Quy trình và thủ tục nộp hồ sơ đánh giá tác động cho cơ quan chức năng được thực hiện như thế nào?

Doanh nghiệp lập Hồ sơ theo Mẫu số 09, nộp kèm Thông báo theo Mẫu số 01a (tổ chức) hoặc 01b (cá nhân) đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) trong vòng 60 ngày kể từ ngày bắt đầu chuyển dữ liệu, và thông báo cho A05 sau khi chuyển thành công.

Việc hoàn tất thủ tục hành chính với cơ quan nhà nước là bước đi quan trọng để hợp pháp hóa hoạt động chuyển dữ liệu. Dựa trên hướng dẫn tại Nghị định 356/2025/NĐ-CP và các văn bản liên quan, DPO.VN tóm tắt quy trình chi tiết như sau:

1. Bước 1: Chuẩn bị Hồ sơ: Bên chuyển dữ liệu lập 01 bộ Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài đầy đủ theo Mẫu số 09 và các tài liệu kèm theo (bản sao giấy đăng ký kinh doanh, hợp đồng với bên nhận dữ liệu, v.v.).
2. Bước 2: Lập Thông báo: Điền đầy đủ thông tin vào biểu mẫu Thông báo gửi hồ sơ. Sử dụng Mẫu số 01a nếu là tổ chức, doanh nghiệp, hoặc Mẫu số 01b nếu là cá nhân.
3. Bước 3: Nộp Hồ sơ: Gửi 01 bản chính của bộ hồ sơ hoàn chỉnh (bao gồm Thông báo và Hồ sơ đánh giá tác động) tới Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an. Thời hạn nộp là 60 ngày kể từ ngày tiến hành xử lý dữ liệu (chuyển dữ liệu). Doanh nghiệp có thể nộp qua các hình thức:
   • Trực tuyến qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (khi được triển khai).
   • Trực tiếp tại trụ sở Cục A05.
   • Qua dịch vụ bưu chính.
4. Bước 4: Nhận phản hồi: Cục A05 đánh giá và trả kết quả đối với hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới đạt yêu cầu hoặc không đạt yêu cầu trong thời hạn 15 ngày. Ngược lại, đối với trường hợp hồ sơ chưa đầy đủ và đúng quy định, cơ quan chuyên trách bảo vệ dữ liệu cá nhân đánh giá, yêu cầu bên chuyển dữ liệu cá nhân xuyên biên giới hoàn thiện hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới trong thời hạn 30 ngày.

Làm thế nào để đảm bảo sự đồng ý của chủ thể dữ liệu là hợp lệ cho việc chuyển dữ liệu xuyên biên giới?

Sự đồng ý hợp lệ phải được thu thập sau khi đã cung cấp đầy đủ, rõ ràng cho chủ thể dữ liệu về mục đích chuyển, bên nhận, loại dữ liệu, và đặc biệt là cơ chế khiếu nại, phản hồi khi có sự cố phát sinh.

Sự đồng ý của chủ thể dữ liệu là nền tảng của tính hợp pháp. Theo Khoản 2(g) Điều 25 và Điều 6 Nghị định 356/2025/NĐ-CP, sự đồng ý không chỉ đơn thuần là một cú nhấp chuột. Để được coi là hợp lệ, nó phải đáp ứng các tiêu chí sau:

• Tự nguyện và Minh bạch: Chủ thể dữ liệu phải đưa ra sự đồng ý một cách tự nguyện, sau khi đã biết rõ tất cả các thông tin cần thiết.
• Thông tin đầy đủ: Doanh nghiệp phải thông báo rõ ràng về việc dữ liệu của họ sẽ được chuyển ra nước ngoài, quốc gia hoặc vùng lãnh thổ nơi dữ liệu được chuyển đến, thông tin về bên nhận dữ liệu.
• Cơ chế Khiếu nại: Điều kiện quan trọng nhất là chủ thể dữ liệu phải được thông báo về cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh. Điều này đảm bảo họ có công cụ để bảo vệ quyền lợi của mình ngay cả khi dữ liệu đã ở ngoài lãnh thổ Việt Nam.
• Hình thức rõ ràng: Sự đồng ý phải được thể hiện bằng một hình thức có thể kiểm chứng được, như văn bản, cuộc gọi ghi âm, cú pháp đồng ý qua tin nhắn; qua thư điện tử, trang thông tin điện tử, nền tảng, ứng dụng có thiết lập kỹ thuật xin sự đồng ý, bằng các phương thức khác phù hợp,…

Ví dụ, một công ty đa quốc gia khi yêu cầu nhân viên Việt Nam sử dụng hệ thống quản lý nhân sự toàn cầu (đặt máy chủ tại Singapore) phải có một phụ lục trong hợp đồng lao động hoặc một văn bản đồng ý riêng. Văn bản này phải nêu rõ: Dữ liệu cá nhân của nhân viên (lương, hiệu suất, thông tin sức khỏe) sẽ được lưu trữ và xử lý tại Singapore bởi công ty mẹ; đồng thời cung cấp email và số điện thoại của bộ phận nhân sự toàn cầu để giải quyết các thắc mắc, khiếu nại.

Những trường hợp nào được miễn trừ nghĩa vụ lập hồ sơ đánh giá tác động khi chuyển dữ liệu xuyên biên giới?

Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 quy định một số trường hợp được miễn trừ, bao gồm việc chuyển dữ liệu của cơ quan nhà nước có thẩm quyền, lưu trữ dữ liệu nhân viên trên dịch vụ đám mây, và khi chủ thể dữ liệu tự chuyển dữ liệu của mình.

Nhận biết các trường hợp miễn trừ giúp doanh nghiệp tiết kiệm thời gian và nguồn lực. Căn cứ Khoản 6, Điều 20 Luật Bảo vệ dữ liệu cá nhân 2025 và khoản 3 Điều 17 Nghị định 356/2025/NĐ-CP đã đưa ra các trường hợp ngoại lệ không cần lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, bao gồm:

• Hoạt động báo chí, truyền thông theo quy định của pháp luật;
• Việc chuyển dữ liệu cá nhân xuyên biên giới đã được công khai theo quy định của pháp luật;
• Trong các tình huống khẩn cấp, thực sự cần thiết phải cung cấp dữ liệu cá nhân xuyên biên giới để bảo vệ tính mạng, sức khỏe và an toàn tài sản của cá nhân; để thực hiện nhiệm vụ, nghĩa vụ theo quy định của pháp luật;
• Hoạt động chuyển dữ liệu cá nhân xuyên biên giới để quản lý nhân sự xuyên biên giới theo quy tắc, quy chế lao động và thỏa ước lao động tập thể theo quy định của pháp luật;
• Việc cung cấp dữ liệu cá nhân xuyên biên giới để ký kết hợp đồng hoặc thực hiện các thủ tục liên quan đến vận chuyển xuyên biên giới, hậu cần, chuyển tiền, thanh toán, khách sạn, xin thị thực, xin học bổng.

DPO.VN lưu ý rằng việc miễn trừ cho lưu trữ đám mây chỉ áp dụng cho dữ liệu của người lao động trong chính tổ chức đó. Nếu doanh nghiệp lưu trữ dữ liệu cá nhân của khách hàng trên các máy chủ đám mây đặt ở nước ngoài (ví dụ: Amazon Web Services, Google Cloud), nghĩa vụ lập hồ sơ đánh giá tác động vẫn được áp dụng. Việc này nhằm đảm bảo dữ liệu của khách hàng Việt Nam được bảo vệ ở mức độ cao nhất.

Doanh nghiệp phải đối mặt với rủi ro gì nếu vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới?

Doanh nghiệp có thể bị phạt hành chính lên đến 5% tổng doanh thu của năm trước liền kề, bị yêu cầu ngừng hoạt động chuyển dữ liệu, và đối mặt với các vụ kiện đòi bồi thường thiệt hại, gây tổn thất nghiêm trọng về tài chính và uy tín.

Tuân thủ các điều kiện chuyển dữ liệu không chỉ là nghĩa vụ mà còn là một chiến lược quản trị rủi ro thông minh. Bằng cách tuân thủ, doanh nghiệp xây dựng được lòng tin và tránh được các rủi ro pháp lý đáng kể. Vi phạm các quy định này có thể dẫn đến hậu quả nghiêm trọng:

• Chế tài hành chính nặng nề: Khoản 4, Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025 quy định mức phạt tiền tối đa đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề. Đây là một mức phạt rất lớn, có thể ảnh hưởng nghiêm trọng đến sự tồn tại của doanh nghiệp.
• Đình chỉ hoạt động: Theo Khoản 3, Điều 17 Nghị định 356/2025/NĐ-CP, Bộ Công an có quyền yêu cầu Bên chuyển dữ liệu ngừng ngay lập tức việc chuyển dữ liệu xuyên biên giới nếu phát hiện vi phạm hoặc xảy ra sự cố lộ, mất dữ liệu.
• Trách nhiệm bồi thường thiệt hại: Chủ thể dữ liệu có quyền khởi kiện yêu cầu bồi thường thiệt hại khi dữ liệu của họ bị xâm phạm do hành vi chuyển dữ liệu trái phép.
• Tổn thất uy tín: Một vụ vi phạm dữ liệu có thể gây tổn hại nghiêm trọng đến hình ảnh và thương hiệu mà doanh nghiệp đã xây dựng trong nhiều năm, làm mất lòng tin của khách hàng và đối tác.

Các Câu Hỏi Thường Gặp Về Điều Kiện Chuyển Dữ Liệu Cá Nhân Xuyên Biên Giới

Tài liệu tham khảo

• Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Nghị định số 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
• Hướng dẫn thủ tục hành chính về bảo vệ dữ liệu cá nhân.
• Thủ tục Thông báo nội dung hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
• International Association of Privacy Professionals (IAPP): Global Privacy Laws and Regulations.