Trong bối cảnh DPVN thường xuyên tiếp nhận các yêu cầu tư vấn về rủi ro pháp lý, chúng tôi nhận thấy nhiều doanh nghiệp vẫn chưa nắm rõ các quy định mới nhất về việc bắt buộc phải làm khi chia sẻ dữ liệu cá nhân với đối tác. Để tránh các mức phạt lên tới hàng tỷ đồng theo Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, doanh nghiệp cần thực hiện nghiêm túc 6 bước kiểm soát quan trọng dưới đây.
Tóm tắt nội dung: Hướng dẫn chi tiết quy trình pháp lý và kỹ thuật khi chuyển giao, chia sẻ dữ liệu cho bên thứ ba, đảm bảo tuân thủ tuyệt đối các quy định pháp luật hiện hành.
1. Xác định rõ vai trò và trách nhiệm của các bên như thế nào?
Doanh nghiệp cần xác định chính xác mình là Bên Kiểm soát, đối tác là Bên Xử lý hay Bên thứ ba độc lập theo Điều 2 Luật 91/2025/QH15. Việc này quyết định nghĩa vụ pháp lý cụ thể của từng bên trong hợp đồng xử lý dữ liệu cá nhân.
Bước đầu tiên và quan trọng nhất là định danh chính xác vai trò pháp lý. Sự nhầm lẫn giữa “Bên Xử lý dữ liệu” (Data Processor) và “Bên thứ ba” (Third Party) là nguyên nhân phổ biến dẫn đến việc soạn thảo hợp đồng sai quy định.
- Bên Kiểm soát (Controller): Là bên quyết định mục đích và phương tiện xử lý dữ liệu (Ví dụ: Doanh nghiệp thuê công ty khác chạy quảng cáo).
- Bên Xử lý (Processor): Là bên thực hiện xử lý dữ liệu thay mặt và theo chỉ đạo của Bên Kiểm soát (Ví dụ: Công ty cung cấp dịch vụ tính lương, lưu trữ đám mây).
- Bên Kiểm soát và Xử lý: Vừa quyết định, vừa trực tiếp xử lý.
Để hiểu rõ hơn cách xác định, Quý vị có thể tham khảo bài viết 6 tiêu chí phân biệt giữa bên kiểm soát và bên xử lý dữ liệu cá nhân.
2. Thỏa thuận và Hợp đồng chuyển giao dữ liệu cần những điều khoản gì?
Hợp đồng bắt buộc phải có các điều khoản về mục đích chuyển giao, phạm vi dữ liệu, biện pháp bảo mật, trách nhiệm thông báo vi phạm và cam kết xóa/trả lại dữ liệu sau khi kết thúc hợp đồng theo Điều 37 Luật Bảo vệ dữ liệu cá nhân.
Không chỉ là hợp đồng thương mại thông thường, văn bản ký kết khi chuyển giao dữ liệu cá nhân phải đóng vai trò là một cam kết pháp lý về bảo mật thông tin. DPVN khuyến nghị doanh nghiệp bổ sung phụ lục “Thỏa thuận Xử lý Dữ liệu” (DPA – Data Processing Agreement) với các nội dung cốt lõi:
- Giới hạn mục đích: Đối tác kinh doanh chỉ được xử lý dữ liệu cho mục đích đã thỏa thuận, không được sử dụng cho mục đích riêng.
- Yêu cầu bảo mật: Quy định rõ các tiêu chuẩn kỹ thuật (như mã hóa, tường lửa) mà đối tác phải áp dụng.
- Quyền kiểm tra (Audit rights): Doanh nghiệp có quyền kiểm tra, đánh giá định kỳ việc tuân thủ của đối tác.
- Hỗ trợ tuân thủ: Đối tác phải hỗ trợ doanh nghiệp phản hồi các yêu cầu của chủ thể dữ liệu (xóa, chỉnh sửa, truy cập).
Xem thêm chi tiết tại: Thỏa thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân.
3. Thu thập sự đồng ý của chủ thể dữ liệu như thế nào cho đúng luật?
Trước khi chia sẻ dữ liệu cho bên thứ ba, doanh nghiệp PHẢI có sự đồng ý rõ ràng, tự nguyện của chủ thể dữ liệu (trừ các trường hợp miễn trừ tại Điều 19 Luật 91/2025). Sự đồng ý phải thể hiện rõ tên đối tác hoặc loại hình đối tác sẽ nhận dữ liệu.
Rất nhiều doanh nghiệp vi phạm lỗi này khi sử dụng các mẫu “đồng ý mặc định” hoặc lồng ghép vào các điều khoản chung chung. Để chia sẻ dữ liệu cá nhân cho bên thứ ba hợp pháp, biểu mẫu đồng ý cần:
- Tách riêng mục đồng ý chia sẻ dữ liệu với bên thứ ba (không tích sẵn).
- Liệt kê danh sách các đối tác hoặc nhóm đối tác sẽ nhận dữ liệu (Ví dụ: Đối tác vận chuyển, Đối tác thanh toán).
- Cho phép chủ thể dữ liệu rút lại sự đồng ý dễ dàng như khi họ đồng ý.
Quý doanh nghiệp có thể tải mẫu chuẩn tại bài viết: Xây dựng biểu mẫu thu thập sự đồng ý của chủ thể dữ liệu.
4. Đánh giá tác động xử lý dữ liệu có bắt buộc không?
Có. Theo Điều 21 Luật Bảo vệ dữ liệu cá nhân, Bên Kiểm soát và Bên Xử lý phải lập Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân ngay từ khi bắt đầu xử lý. Nếu chuyển dữ liệu ra nước ngoài cho đối tác, phải lập thêm hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới.
Việc lập hồ sơ không chỉ là thủ tục hành chính nộp cho Bộ Công an (A05) mà còn là quy trình tự rà soát rủi ro. Trong hồ sơ này, doanh nghiệp phải đánh giá năng lực bảo vệ dữ liệu của đối tác nhận chia sẻ. Nếu đối tác gặp sự cố rò rỉ, hồ sơ đánh giá tác động chính là bằng chứng quan trọng giúp doanh nghiệp chứng minh đã thực hiện trách nhiệm giải trình (Accountability).
Tham khảo hướng dẫn chi tiết tại: Quy trình lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân như thế nào?.
5. Áp dụng biện pháp kỹ thuật nào để bảo vệ dữ liệu khi chuyển giao?
Doanh nghiệp phải áp dụng các biện pháp bảo mật như mã hóa đường truyền, mã hóa dữ liệu (Encryption), và đặc biệt là khử nhận dạng hoặc ẩn danh hóa dữ liệu trước khi chia sẻ, nhất là đối với dữ liệu nhạy cảm.
Chia sẻ dữ liệu dạng văn bản rõ (plain text) qua email hoặc các kênh không bảo mật là hành động “tự sát” về mặt an ninh thông tin. DPVN khuyến nghị:
- Sử dụng các kênh truyền tải bảo mật (SFTP, API có xác thực).
- Mã hóa file dữ liệu bằng mật khẩu mạnh trước khi gửi.
- Áp dụng kỹ thuật khử nhận dạng dữ liệu cá nhân (De-identification) để giảm thiểu rủi ro nếu dữ liệu bị lộ lọt. Điều này đặc biệt quan trọng khi chia sẻ dữ liệu cho mục đích phân tích, thống kê.
6. Giám sát và kiểm tra đối tác định kỳ như thế nào?
Doanh nghiệp không thể “đem con bỏ chợ”. Cần thiết lập cơ chế giám sát định kỳ, yêu cầu đối tác báo cáo tình hình tuân thủ và thực hiện quyền kiểm tra (audit) đột xuất hoặc định kỳ theo thỏa thuận trong hợp đồng.
Trách nhiệm của Bên Kiểm soát không chấm dứt sau khi dữ liệu đã được chuyển đi. Nếu đối tác vi phạm pháp luật hoặc để lộ lọt dữ liệu mà doanh nghiệp không có biện pháp giám sát, cả hai bên đều có thể bị liên đới chịu trách nhiệm. Việc duy trì kênh liên lạc thường xuyên để cập nhật các yêu cầu của chủ thể dữ liệu (ví dụ: khách hàng yêu cầu xóa dữ liệu thì đối tác cũng phải xóa) là bắt buộc.
Doanh nghiệp của bạn đã chuẩn bị đủ Hồ sơ và Quy trình chia sẻ dữ liệu an toàn chưa?
Đừng để những sơ suất nhỏ trong hợp đồng hay quy trình kỹ thuật dẫn đến rủi ro pháp lý lớn. Hãy để các chuyên gia của DPVN hỗ trợ bạn rà soát và kiện toàn hệ thống bảo vệ dữ liệu ngay hôm nay.
DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân
Hotline: 0982976486
Email: info@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội
Câu hỏi thường gặp (FAQ)
1. Tôi có cần xin phép khách hàng lại từ đầu nếu muốn chia sẻ dữ liệu cho đối tác mới không?
Có. Nếu mục đích chia sẻ hoặc đối tác mới chưa nằm trong phạm vi đồng ý ban đầu của khách hàng, bạn bắt buộc phải thông báo và xin sự đồng ý bổ sung trước khi thực hiện chia sẻ.
2. Nếu đối tác để lộ dữ liệu, doanh nghiệp của tôi có bị phạt không?
Có thể. Nếu bạn không thực hiện đánh giá năng lực đối tác, không có hợp đồng ràng buộc trách nhiệm rõ ràng, hoặc không giám sát việc tuân thủ, bạn sẽ chịu trách nhiệm liên đới với tư cách là Bên Kiểm soát dữ liệu.
3. Chuyển dữ liệu cho công ty mẹ ở nước ngoài có cần lập hồ sơ không?
Có. Đây được xem là chuyển dữ liệu xuyên biên giới. Doanh nghiệp cần lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo quy định tại Điều 20 Luật 91/2025/QH15.
4. Dữ liệu đã mã hóa có được coi là dữ liệu cá nhân không?
Có. Dữ liệu đã mã hóa (Encrypted data) vẫn là dữ liệu cá nhân nếu có thể giải mã để xác định danh tính. Chỉ dữ liệu đã ẩn danh hóa hoàn toàn (Anonymized data) không thể khôi phục mới nằm ngoài phạm vi điều chỉnh.
5. Doanh nghiệp nhỏ có được miễn lập hồ sơ đánh giá tác động khi chia sẻ dữ liệu không?
Theo Điều 38 Luật 91/2025/QH15, doanh nghiệp siêu nhỏ, hộ kinh doanh được miễn trong 05 năm đầu, TRỪ KHI kinh doanh dịch vụ xử lý dữ liệu hoặc xử lý dữ liệu nhạy cảm. Do đó, cần xem xét kỹ loại hình kinh doanh và loại dữ liệu bạn đang chia sẻ.
Nguồn tham khảo:
- Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
- Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
- Bộ Công an: Hướng dẫn về bảo vệ dữ liệu cá nhân.
- DPVN: Các bài viết chuyên sâu về tuân thủ pháp luật dữ liệu.
- GDPR.eu: Data sharing and third-party processing.
