Các điều kiện chuyển dữ liệu cá nhân ra nước ngoài là một yêu cầu pháp lý nghiêm ngặt, đòi hỏi doanh nghiệp phải có thủ tục và hồ sơ đánh giá tác động chặt chẽ. Tại DPVN, chúng tôi cung cấp giải pháp toàn diện giúp bạn đáp ứng các yêu cầu khi chuyển dữ liệu, đảm bảo tuân thủ và hoạt động kinh doanh quốc tế thông suốt.
Chuyển dữ liệu cá nhân ra nước ngoài được định nghĩa như thế nào theo pháp luật Việt Nam?
Theo Khoản 14, Điều 2 Nghị định 13/2023/NĐ-CP, chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị điện tử hoặc các hình thức khác để chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ Việt Nam, bao gồm cả việc sử dụng các hệ thống đặt ở nước ngoài để xử lý dữ liệu.
Định nghĩa này có phạm vi rất rộng và bao quát hầu hết các hoạt động kinh doanh quốc tế trong kỷ nguyên số. Việc hiểu đúng và đủ định nghĩa này là bước đầu tiên để doanh nghiệp xác định mình có thuộc đối tượng phải tuân thủ các quy định nghiêm ngặt về chuyển dữ liệu xuyên biên giới hay không.
Về chuyên môn sâu, các hoạt động sau đây đều được xem là chuyển dữ liệu cá nhân ra nước ngoài:
- Sử dụng dịch vụ đám mây có máy chủ ở nước ngoài: Khi doanh nghiệp Việt Nam sử dụng các dịch vụ của Amazon Web Services (AWS), Google Cloud, Microsoft Azure… và chọn các trung tâm dữ liệu (data center) đặt tại Singapore, Hong Kong, Nhật Bản. Tìm hiểu thêm tại bài viết: Lưu trữ đám mây nước ngoài có phải là chuyển dữ liệu xuyên biên giới không?
- Gửi dữ liệu cho công ty mẹ hoặc các chi nhánh khác trong tập đoàn: Một công ty con tại Việt Nam gửi báo cáo nhân sự, tài chính có chứa dữ liệu cá nhân về cho trụ sở chính ở Châu Âu.
- Sử dụng các phần mềm dạng dịch vụ (SaaS) quốc tế: Sử dụng các nền tảng như Salesforce (CRM), Mailchimp (Email Marketing), SAP (ERP) có máy chủ đặt ngoài Việt Nam.
Do đó, hầu hết các doanh nghiệp có yếu tố nước ngoài hoặc đang sử dụng các dịch vụ công nghệ toàn cầu đều phải chú ý đến các quy định này.
4 Điều kiện chung để chuyển dữ liệu cá nhân ra nước ngoài theo quy định của pháp luật Việt Nam là gì?
Theo Điều 25 Nghị định 13/2023/NĐ-CP, để chuyển dữ liệu cá nhân ra nước ngoài một cách hợp pháp, doanh nghiệp phải đảm bảo 4 điều kiện cốt lõi: (1) Lập Hồ sơ Đánh giá Tác động Chuyển dữ liệu cá nhân ra nước ngoài; (2) Có được sự đồng ý của chủ thể dữ liệu; (3) Có văn bản ràng buộc trách nhiệm giữa bên chuyển và bên nhận; và (4) Thực hiện các thủ tục thông báo với cơ quan chức năng.
Đây là 4 trụ cột pháp lý mà mọi hoạt động chuyển dữ liệu xuyên biên giới phải dựa vào. Thiếu một trong bốn yếu tố này, hoạt động chuyển dữ liệu có thể bị xem là bất hợp pháp.
Điều kiện 1: Lập Hồ sơ Đánh giá Tác động Chuyển dữ liệu cá nhân ra nước ngoài (TIA)
Đây là yêu cầu pháp lý trung tâm. Doanh nghiệp phải soạn thảo một bộ hồ sơ chi tiết, phân tích và đánh giá các rủi ro của việc chuyển dữ liệu. Hồ sơ này phải bao gồm đầy đủ 8 nội dung theo quy định. Đây là một thủ tục khác biệt và bổ sung cho hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong nước.
Điều kiện 2: Có được sự đồng ý của Chủ thể dữ liệu
Doanh nghiệp phải thông báo một cách rõ ràng cho chủ thể dữ liệu cá nhân rằng thông tin của họ sẽ được chuyển ra nước ngoài và phải có được sự đồng ý hợp lệ của họ cho việc này. Sự đồng ý này phải được thu thập một cách minh bạch và riêng biệt.
Điều kiện 3: Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các bên
Phải có một hợp đồng hoặc thỏa thuận xử lý dữ liệu (DPA) giữa bên chuyển (tại Việt Nam) và bên nhận (tại nước ngoài). Văn bản này là hợp đồng với bên nhận, quy định rõ trách nhiệm bảo mật và tuân thủ pháp luật của bên nhận dữ liệu.
Điều kiện 4: Thực hiện thủ tục nộp và thông báo với Cục A05
Doanh nghiệp phải nộp Hồ sơ ĐGTĐ chuyển dữ liệu cho Cục A05 trong vòng 60 ngày kể từ khi bắt đầu xử lý, và sau đó gửi một văn bản thông báo riêng sau khi việc chuyển dữ liệu diễn ra thành công.
Hồ sơ, thủ tục cần thiết để thực hiện chuyển dữ liệu cá nhân ra nước ngoài là gì?
Bộ hồ sơ đầy đủ để nộp cho cơ quan chức năng bao gồm: (1) Thông báo gửi hồ sơ theo Mẫu số 06; (2) Nội dung chi tiết của Hồ sơ ĐGTĐ Chuyển dữ liệu ra nước ngoài (với 8 thành phần bắt buộc); và (3) Các tài liệu pháp lý chứng minh kèm theo.
Để có một bộ hồ sơ hợp lệ, doanh nghiệp cần chuẩn bị kỹ lưỡng các thành phần sau, chi tiết có tại bài viết: Hướng dẫn lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Một kinh nghiệm thực tế khi hỗ trợ khách hàng là phần ‘Văn bản thể hiện sự ràng buộc’ (điều kiện số 3) thường là điểm yếu nhất. Nhiều doanh nghiệp Việt Nam khi làm việc với các nhà cung cấp lớn của nước ngoài thường chỉ chấp nhận các điều khoản dịch vụ tiêu chuẩn của họ mà không có một Thỏa thuận Xử lý Dữ liệu (DPA) riêng. Chúng tôi luôn tư vấn khách hàng phải yêu cầu đối tác ký DPA, hoặc ít nhất phải rà soát và xác nhận rằng các điều khoản dịch vụ của họ có các cam kết bảo vệ dữ liệu đủ mạnh, tương thích với yêu cầu của Nghị định 13.”
Có những trường hợp nào được phép chuyển dữ liệu cá nhân ra nước ngoài mà không cần sự đồng ý của chủ thể dữ liệu không?
Có. Tương tự như xử lý dữ liệu trong nước, việc chuyển dữ liệu ra nước ngoài cũng có các trường hợp ngoại lệ không cần sự đồng ý, được quy định tại Điều 17 Nghị định 13. Các trường hợp này bao gồm tình trạng khẩn cấp, yêu cầu của cơ quan nhà nước, hoặc để thực hiện hợp đồng. Tuy nhiên, doanh nghiệp vẫn phải thực hiện các nghĩa vụ khác như lập Hồ sơ ĐGTĐ.
Việc áp dụng các trường hợp ngoại lệ này đòi hỏi sự cẩn trọng và phải có khả năng chứng minh. Chi tiết về các trường hợp này có tại bài viết: Khi nào xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu?
Mức phạt đối với hành vi chuyển dữ liệu cá nhân trái phép ra nước ngoài là bao nhiêu?
Đây là một trong những hành vi có chế tài xử phạt nghiêm khắc nhất. Theo Khoản 4, Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, mức phạt tiền tối đa đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% tổng doanh thu của năm trước liền kề.
Việc áp dụng mức phạt theo tỷ lệ phần trăm trên doanh thu là một chế tài có sức răn đe cực kỳ lớn, đặc biệt là đối với các tập đoàn và doanh nghiệp có quy mô lớn. Nó cho thấy sự quyết tâm của nhà làm luật trong việc bảo vệ dữ liệu của công dân Việt Nam. Thay vì chỉ là một khoản phạt cố định, mức phạt này có thể lên tới hàng chục, thậm chí hàng trăm tỷ đồng, tùy thuộc vào doanh thu của công ty vi phạm. Việc chủ động đầu tư vào tuân thủ ngay từ bây giờ là một quyết định kinh doanh khôn ngoan để tránh những rủi ro tài chính khổng lồ này.
DPVN: Dịch Vụ Tư Vấn và Hoàn Thiện Thủ Tục Chuyển Dữ Liệu Ra Nước Ngoài
Thủ tục chuyển dữ liệu ra nước ngoài là một trong những quy trình phức tạp và có rủi ro pháp lý cao nhất trong Nghị định 13. Việc đảm bảo tuân thủ đầy đủ 4 điều kiện cốt lõi đòi hỏi sự am hiểu sâu về cả pháp lý và kỹ thuật.
Đội ngũ của DPVN, với kinh nghiệm thực tiễn của Luật sư Nguyễn Lâm Sơn, chuyên cung cấp dịch vụ trọn gói, từ soạn thảo hồ sơ, rà soát hợp đồng đến đại diện nộp hồ sơ. Hãy liên hệ với chúng tôi để đảm bảo hoạt động kinh doanh quốc tế của bạn luôn tuân thủ và an toàn:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về Điều kiện chuyển dữ liệu cá nhân ra nước ngoài
1. Hồ sơ ĐGTĐ chuyển dữ liệu ra nước ngoài có cần cập nhật không?
Có. Tương tự như hồ sơ trong nước, khi có sự thay đổi về nội dung đã kê khai (ví dụ: thay đổi bên nhận dữ liệu, mục đích xử lý), doanh nghiệp phải thực hiện thủ tục cập nhật hồ sơ đánh giá tác động đã nộp bằng cách nộp Mẫu số 05.
2. Có phải mọi quốc gia đều được phép chuyển dữ liệu đến không?
Nghị định 13 hiện không có danh sách các quốc gia an toàn hay bị cấm. Tuy nhiên, trong hồ sơ đánh giá tác động, bạn phải đánh giá rủi ro và các biện pháp bảo vệ. Nếu quốc gia nhận dữ liệu có luật pháp về bảo vệ dữ liệu lỏng lẻo, bạn sẽ phải áp dụng các biện pháp bảo vệ theo hợp đồng chặt chẽ hơn để bù đắp.
3. Quy định này có áp dụng khi nhân viên đi công tác nước ngoài và truy cập vào email công ty không?
Về mặt kỹ thuật, đây có thể được xem là một hành vi chuyển dữ liệu. Tuy nhiên, thông thường các cơ quan quản lý sẽ không tập trung vào các trường hợp đơn lẻ và tạm thời như vậy. Rủi ro pháp lý chính nằm ở các luồng dữ liệu có hệ thống, quy mô lớn và thường xuyên.
4. Nước ngoài được định nghĩa như thế nào trong bối cảnh này?
Nước ngoài được hiểu là bất kỳ địa điểm nào nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam, không phân biệt đó là máy chủ vật lý hay môi trường ảo.
5. Nếu chúng tôi không tuân thủ, Cục A05 có quyền chặn việc chuyển dữ liệu không?
Có. Theo Khoản 8, Điều 25 Nghị định 13, Cục A05 có quyền yêu cầu bên chuyển dữ liệu ngừng chuyển dữ liệu cá nhân ra nước ngoài nếu phát hiện vi phạm, không hoàn thiện hồ sơ, hoặc để xảy ra sự cố lộ, mất dữ liệu.
Nguồn tham khảo:
- Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài: https://baovedlcn.gov.vn/thu-tuc-hanh-chinh/ho-so-danh-gia-tac-dong-chuyen-du-lieu-ca-nhan-ra-nuoc-ngoai
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Chapter V of GDPR – Transfers of personal data to third countries or international organisations: https://gdpr-info.eu/chapter-5/
- Cổng Dịch vụ công Bộ Công an: https://dichvucong.bocongan.gov.vn/