Trong thời đại số hóa, việc bảo vệ dữ liệu cá nhân ngày càng trở nên quan trọng, đặc biệt là khi các doanh nghiệp trong và ngoài nước hoạt động tại Việt Nam đang thu thập và xử lý một lượng lớn dữ liệu cá nhân của khách hàng, nhân viên và đối tác. Vậy, chuyển dữ liệu cá nhân ra nước ngoài là gì và các doanh nghiệp cần đảm bảo những điều kiện nào để thực hiện hoạt động này một cách hợp pháp? DPVN sẽ cùng bạn tìm hiểu vấn đề này, dựa trên những quy định mới nhất của Nghị định 13/2023/NĐ-CP.
Tổng quan về chuyển dữ liệu cá nhân ra nước ngoài
Theo Nghị định 13/2023/NĐ-CP, chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác để chuyển dữ liệu cá nhân của công dân Việt Nam đến một địa điểm nằm ngoài lãnh thổ Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam (khoản 14 Điều 2).
Nghị định 13/2023/NĐ-CP cũng quy định rõ về việc chuyển dữ liệu cá nhân ra nước ngoài tại Điều 25. Theo đó, dữ liệu cá nhân chỉ được phép chuyển ra nước ngoài khi bên chuyển dữ liệu (bao gồm bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên thứ ba) đáp ứng đủ các điều kiện sau:
- Lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài: Hồ sơ này bao gồm các thông tin chi tiết về bên chuyển và bên nhận dữ liệu, mục đích và phạm vi xử lý dữ liệu ở nước ngoài, các biện pháp bảo vệ dữ liệu được áp dụng, đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu, và các biện pháp giảm thiểu rủi ro (Theo Khoản 2, Điều 25).
- Thực hiện các thủ tục chuyển giao:
- Gửi hồ sơ đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) trong vòng 60 ngày kể từ ngày bắt đầu xử lý dữ liệu (Khoản 3 Điều 25).
- Thông báo cho Cục An ninh mạng sau khi chuyển dữ liệu thành công (Khoản 4 Điều 25).
- Cập nhật hồ sơ khi có thay đổi (Khoản 6 Điều 25).
Quy định cụ thể về chuyển dữ liệu cá nhân ra nước ngoài
Chuyển dữ liệu cá nhân ra nước ngoài cần đảm bảo đáp ứng đủ các điều kiện sau theo quy định của pháp luật hiện hành, bao gồm: Điều kiện về hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài; Thực hiện đầy đủ các thủ tục theo quy định để chuyển dữ liệu cá nhân ra nước ngoài.
Điều kiện về hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài là một tài liệu quan trọng, giúp cơ quan nhà nước có thẩm quyền đánh giá mức độ rủi ro và đảm bảo việc chuyển giao dữ liệu tuân thủ các quy định pháp luật. Hồ sơ này bao gồm các thông tin sau (khoản 2 Điều 25):
- Thông tin và chi tiết liên lạc của bên chuyển dữ liệu và bên nhận dữ liệu cá nhân của công dân Việt Nam.
- Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam.
- Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam sau khi được chuyển ra nước ngoài.
- Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài.
- Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng.
- Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.
- Sự đồng ý của chủ thể dữ liệu trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh.
- Văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của công dân Việt Nam về việc xử lý dữ liệu cá nhân.
Tìm hiểu chi tiết về Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
Điều kiện về thủ tục chuyển dữ liệu cá nhân ra nước ngoài theo quy định
Để chuyển dữ liệu cá nhân ra nước ngoài, các bên liên quan phải thực hiện các thủ tục sau:
- Lập Hồ sơ đánh giá tác động: Bên chuyển dữ liệu phải lập hồ sơ đầy đủ và chính xác theo quy định tại khoản 2 Điều 25 Nghị định 13/2023/NĐ-CP.
- Gửi hồ sơ đến Cục An ninh mạng: Bên chuyển dữ liệu gửi 01 bản chính hồ sơ đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) trong thời gian 60 ngày, kể từ ngày bắt đầu xử lý dữ liệu cá nhân (khoản 3 Điều 25).
- Thông báo sau khi chuyển dữ liệu thành công: Sau khi việc chuyển dữ liệu diễn ra thành công, bên chuyển dữ liệu phải thông báo bằng văn bản cho Cục An ninh mạng về việc chuyển dữ liệu và cung cấp chi tiết liên lạc của tổ chức, cá nhân phụ trách (khoản 4 Điều 25).
- Cập nhật hồ sơ (nếu có): Khi có thay đổi về nội dung hồ sơ đã gửi, bên chuyển dữ liệu phải cập nhật và gửi lại cho Cục An ninh mạng trong vòng 10 ngày kể từ ngày yêu cầu (khoản 6 Điều 25).
Ví dụ: Công ty A tại Việt Nam muốn chuyển dữ liệu cá nhân của khách hàng sang công ty mẹ ở nước ngoài để phân tích và cải thiện dịch vụ. Công ty A cần lập Hồ sơ đánh giá tác động, gửi hồ sơ đến Cục An ninh mạng, và thông báo cho Cục An ninh mạng sau khi chuyển dữ liệu thành công. Nếu có bất kỳ thay đổi nào trong quá trình xử lý dữ liệu ở nước ngoài, công ty A phải cập nhật hồ sơ và gửi lại cho Cục An ninh mạng.
DPVN với vai trò là một trung tâm tư vấn pháp luật về bảo vệ dữ liệu cá nhân, luôn sẵn sàng đồng hành cùng các tổ chức, cá nhân trong việc tìm hiểu và áp dụng đúng các quy định pháp luật về bảo vệ dữ liệu cá nhân. Liên hệ với chúng tôi qua Hotline: 0982976486 để được tư vấn chi tiết.
Các trường hợp bị cấm chuyển dữ liệu cá nhân ra nước ngoài
Theo khoản 8 Điều 25 Nghị định 13/2023/NĐ-CP, Bộ Công an có quyền yêu cầu bên chuyển dữ liệu cá nhân ra nước ngoài ngừng chuyển dữ liệu trong các trường hợp sau:
- Điểm a khoản 8 Điều 25: Khi phát hiện dữ liệu cá nhân được chuyển ra nước ngoài bị sử dụng vào các hoạt động gây phương hại đến an ninh quốc gia, lợi ích quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam.
Ví dụ: Một công ty công nghệ Việt Nam chuyển dữ liệu người dùng sang một quốc gia khác để xử lý. Tuy nhiên, dữ liệu này sau đó bị sử dụng để tấn công mạng lưới thông tin của Việt Nam. Trong trường hợp này, Bộ Công an có quyền yêu cầu công ty ngừng chuyển dữ liệu ra nước ngoài.
- Điểm b khoản 8 Điều 25: Bên chuyển dữ liệu ra nước ngoài không chấp hành các quy định về đánh giá tác động và cập nhật hồ sơ theo quy định tại khoản 5 và khoản 6 Điều 25 của Nghị định này.
Ví dụ: Một công ty tài chính Việt Nam chuyển dữ liệu khách hàng sang một quốc gia khác mà không cập nhật hồ sơ đánh giá tác động theo yêu cầu của Bộ Công an. Hành vi này vi phạm điểm b khoản 8 Điều 25 và có thể bị yêu cầu ngừng chuyển dữ liệu.
- Điểm c khoản 8 Điều 25: Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
Ví dụ: Một công ty du lịch để lộ thông tin cá nhân của hàng nghìn khách hàng Việt Nam khi chuyển dữ liệu sang đối tác nước ngoài. Đây là sự cố nghiêm trọng vi phạm điểm c khoản 8 Điều 25, và công ty có thể bị yêu cầu dừng chuyển dữ liệu và chịu các hình phạt khác theo quy định.
Xử phạt vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài
Cả Nghị định 13/2023/NĐ-CP và Dự thảo Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng đều quy định các hình thức xử phạt đối với hành vi vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài.
- Nghị định 13/2023/NĐ-CP không quy định chế tài xử phạt đối với các hành vi vi phạm về chuyển dữ liệu cá nhân ra nước ngoài. Tuy nhiên, tại Điều 4, Nghị định nêu rõ, tùy theo tính chất và mức độ vi phạm, các hành vi vi phạm về bảo vệ dữ liệu cá nhân có thể bị xử lý theo hình thức kỷ luật, xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự.
- Dự thảo Nghị định Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng có bổ sung các quy định về xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng, bao gồm cả các hành vi vi phạm liên quan đến việc chuyển dữ liệu cá nhân ra nước ngoài. Cụ thể, tại Điều 26, Dự thảo Nghị định quy định mức phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau đây:
- Điểm a khoản 1 Điều 26: Bên chuyển dữ liệu ra nước ngoài không lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều 25 Nghị định 13/2023/NĐ-CP.
- Điểm b khoản 1 Điều 26: Không lập hoặc không lưu giữ Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.
- Điểm c khoản 1 Điều 26: Không gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
- Điểm d khoản 1 Điều 26: Không thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.
- Điểm d khoản 1 Điều 26: Không chấp hành yêu cầu chỉnh sửa, hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).
- Điểm đ khoản 1 Điều 26: Không chấp hành yêu cầu kiểm tra chuyển dữ liệu cá nhân ra nước ngoài của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).
- Ngoài ra, Dự thảo Nghị định còn quy định mức phạt tiền tăng nặng (gấp 2 lần, 5 lần hoặc bằng 3% đến 5% tổng doanh thu) đối với các hành vi vi phạm nghiêm trọng, cụ thể là các hành vi quy định tại khoản 1 Điều 26 mà để lộ, mất dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân của một số lượng lớn công dân Việt Nam ra nước ngoài (khoản 2, 3, 4 Điều 26).
Ví dụ: Nếu một công ty để lộ thông tin cá nhân của 2.000.000 công dân Việt Nam khi chuyển dữ liệu ra nước ngoài, công ty đó có thể bị phạt tiền gấp 5 lần mức phạt quy định tại khoản 1 Điều 26 của Dự thảo Nghị định.
Các quy định này nhằm tăng cường tính răn đe của pháp luật, đảm bảo rằng các tổ chức, cá nhân phải chịu trách nhiệm cao hơn đối với việc bảo vệ dữ liệu cá nhân của công dân Việt Nam khi chuyển ra nước ngoài.
Việc tuân thủ các quy định về chuyển dữ liệu cá nhân ra nước ngoài không chỉ là yêu cầu pháp lý bắt buộc mà còn là yếu tố quan trọng để bảo vệ uy tín và thương hiệu của doanh nghiệp. Việc không tuân thủ có thể dẫn đến các hậu quả nghiêm trọng, bao gồm các hình phạt hành chính, hình sự, và ảnh hưởng tiêu cực đến hoạt động kinh doanh của doanh nghiệp. Do đó, các doanh nghiệp cần đặc biệt lưu ý và tuân thủ đúng các quy định của pháp luật về bảo vệ dữ liệu cá nhân khi thực hiện chuyển dữ liệu ra nước ngoài.
DPVN với đội ngũ luật sư và chuyên gia giàu kinh nghiệm tư vấn pháp luật trong lĩnh vực bảo vệ dữ liệu cá nhân, sẵn sàng cung cấp dịch vụ tư vấn toàn diện về các vấn đề liên quan đến bảo vệ dữ liệu cá nhân, bao gồm cả việc chuyển dữ liệu cá nhân ra nước ngoài. Hãy liên hệ với chúng tôi qua hotline 0982976486 để được hỗ trợ và tư vấn kịp thời.