Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài

Hướng dẫn lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài 2025

Việc lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài là một thủ tục bắt buộc, đòi hỏi sự chuẩn bị kỹ lưỡng để đảm bảo tuân thủ pháp luật. Tại DPVN, chúng tôi cung cấp hướng dẫn lập hồ sơ chuyển dữ liệu chi tiết, giúp doanh nghiệp của bạn thực hiện thủ tục chuyển dữ liệu xuyên biên giới một cách chính xác và an toàn.

Nghị định, thông tư nào hướng dẫn về đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài?

Cơ sở pháp lý chính và duy nhất quy định về thủ tục này là Điều 25 của Nghị định 13/2023/NĐ-CP. Các mẫu biểu chính thức (bao gồm Mẫu số 06a, Mẫu số 06b và Mẫu Đ25-DLCN-04) được ban hành kèm theo Quyết định 4660/QĐ-BCA-A05 của Bộ Công an để hướng dẫn thi hành.

Chuyển dữ liệu cá nhân ra nước ngoài (Cross-border Data Transfer) là một hoạt động có rủi ro cao, do đó được pháp luật quản lý rất chặt chẽ. Nghị định 13/2023/NĐ-CP đã thiết lập một cơ chế kiểm soát rõ ràng, yêu cầu các doanh nghiệp phải có trách nhiệm giải trình thông qua việc lập một bộ hồ sơ chuyên biệt, gọi là Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài (TIA – Transfer Impact Assessment).

Về chuyên môn sâu, quy định này của Việt Nam có những điểm tương đồng với Chương V của Quy định chung về bảo vệ dữ liệu (GDPR) của Châu Âu, vốn cũng đặt ra các điều kiện rất nghiêm ngặt cho việc chuyển dữ liệu ra ngoài Khu vực Kinh tế Châu Âu. Yêu cầu này cho thấy quan điểm của nhà làm luật Việt Nam trong việc khẳng định chủ quyền số và đảm bảo dữ liệu của công dân được bảo vệ ở mức độ tương xứng, ngay cả khi nó đã rời khỏi biên giới quốc gia. Các quy định này sẽ tiếp tục được làm rõ hơn trong Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.

4 Điều kiện và tiêu chí để chuyển dữ liệu cá nhân ra nước ngoài hợp pháp là gì?

Để chuyển dữ liệu ra nước ngoài hợp pháp, doanh nghiệp phải đáp ứng 4 điều kiện cốt lõi: (1) Lập và nộp đầy đủ Hồ sơ đánh giá tác động; (2) Có được sự đồng ý rõ ràng của chủ thể dữ liệu; (3) Có văn bản ràng buộc trách nhiệm giữa bên chuyển và bên nhận; và (4) Thực hiện các thủ tục thông báo với cơ quan chức năng.

Đây là những yêu cầu bắt buộc mà bất kỳ doanh nghiệp nào, từ các tập đoàn đa quốc gia đến các startup sử dụng dịch vụ đám mây, đều phải tuân thủ.

  • Lập Hồ sơ ĐGTĐ chuyển dữ liệu: Đây là thủ tục pháp lý bắt buộc để chứng minh sự tuân thủ.
  • Sự đồng ý của Chủ thể dữ liệu: Phải thông báo minh bạch cho khách hàng/nhân viên rằng dữ liệu của họ sẽ được chuyển ra nước ngoài và nhận được sự đồng ý của họ.
  • Văn bản ràng buộc trách nhiệm: Cần có một hợp đồng hoặc thỏa thuận xử lý dữ liệu (DPA) chặt chẽ giữa bên chuyển và bên nhận.
  • Thực hiện thủ tục với Cục A05: Nộp hồ sơ và thông báo sau khi chuyển thành công.

Việc không đáp ứng đủ các điều kiện chuyển dữ liệu cá nhân ra nước ngoài có thể dẫn đến việc chuyển dữ liệu bị xem là bất hợp pháp và đối mặt với các chế tài nghiêm khắc.

Quy trình, thủ tục đánh giá tác động và nộp hồ sơ chuyển dữ liệu cá nhân ra nước ngoài được thực hiện như thế nào?

Quy trình bao gồm 4 bước chính: (1) Chuẩn bị nội dung chi tiết của hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Mẫu Đ25-DLCN-04; (2) Hoàn thiện bộ hồ sơ nộp, bao gồm công văn theo Mẫu số 06; (3) Nộp 01 bộ hồ sơ đến Cục A05 trong vòng 60 ngày kể từ khi bắt đầu xử lý; và (4) Gửi văn bản thông báo sau khi chuyển dữ liệu thành công.

Dưới đây là hướng dẫn chi tiết từng bước trong quy trình mà doanh nghiệp cần thực hiện.

  1. Bước 1: Soạn thảo nội dung Hồ sơ Đánh giá Tác động Chuyển dữ liệu cá nhân ra nước ngoài (Mẫu Đ25-DLCN-04): Đây là bước quan trọng và tốn nhiều công sức nhất. Doanh nghiệp cần điền đầy đủ và chi tiết 6 mục lớn trong mẫu này.
  2. Bước 2: Hoàn thiện bộ hồ sơ nộp gồm có
    • Thông báo gửi Hồ sơ Đánh giá Tác động chuyển dữ liệu cá nhân ra nước ngoài (theo Mẫu số 06a cho tổ chức hoặc Mẫu số 06b cho cá nhân).
    • Nội dung chi tiết của Hồ sơ ĐGTĐ đã soạn ở Bước 1 (Mẫu Đ25-DLCN-04).
    • Các tài liệu pháp lý liên quan (Giấy ĐKKD, văn bản ràng buộc trách nhiệm…).
  3. Bước 3: Nộp hồ sơ đến Cục A05: Doanh nghiệp có 60 ngày để nộp hồ sơ qua Cổng dịch vụ công, bưu chính hoặc trực tiếp.
  4. Bước 4: Gửi thông báo sau khi chuyển thành công: Sau khi việc chuyển dữ liệu diễn ra, doanh nghiệp phải gửi một văn bản thông báo riêng cho Cục A05.

Tải về Mẫu số 06 – Thông báo gửi Hồ sơ tại đây

Nội dung của một Hồ sơ Đánh giá Tác động Chuyển dữ liệu cá nhân ra nước ngoài theo mẫu chuẩn gồm những gì?

Theo Mẫu Đ25-DLCN-04 và Điều 25 Nghị định 13, hồ sơ phải bao gồm 8 nội dung chính, từ thông tin các bên, mục tiêu xử lý, loại dữ liệu, các biện pháp bảo vệ, đánh giá tác động, cho đến bằng chứng về sự đồng ý của chủ thể dữ liệu và văn bản ràng buộc trách nhiệm giữa các bên.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Khi tư vấn cho các công ty có vốn đầu tư nước ngoài, nội dung về “Văn bản thể hiện sự ràng buộc” là quan trọng nhất. Nhiều công ty chỉ có hợp đồng dịch vụ chung chung với công ty mẹ. Chúng tôi luôn yêu cầu họ phải ký một Phụ lục Hợp đồng Xử lý Dữ liệu riêng, trong đó có các điều khoản rõ ràng yêu cầu công ty mẹ phải tuân thủ các quy định của Việt Nam và có cơ chế hợp tác khi có yêu cầu từ cơ quan chức năng Việt Nam. Thiếu văn bản này, hồ sơ sẽ không được chấp nhận.”

Một điểm đặc thù của hồ sơ này là tại Mục V – Đánh giá tác động, doanh nghiệp bắt buộc phải có một phần riêng đánh giá tác động đối với an ninh quốc gia Việt Nam. Điều này cho thấy sự giám sát chặt chẽ của cơ quan quản lý đối với các hoạt động chuyển dữ liệu xuyên biên giới.

DPVN: Dịch Vụ Soạn Thảo và Nộp Hồ Sơ Chuyển Dữ Liệu Ra Nước Ngoài

Việc lập Hồ sơ ĐGTĐ chuyển dữ liệu ra nước ngoài đòi hỏi sự kết hợp giữa kiến thức pháp lý Việt Nam, hiểu biết về thông lệ quốc tế và khả năng đánh giá rủi ro kỹ thuật.

DPVN cung cấp dịch vụ trọn gói, giúp doanh nghiệp của bạn hoàn thành thủ tục phức tạp này một cách hiệu quả. Hãy tìm hiểu thêm tại website baovedlcn.vn hoặc liên hệ trực tiếp với Luật sư Nguyễn Lâm Sơn:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Câu hỏi thường gặp về Hồ sơ Đánh giá Tác động Chuyển dữ liệu cá nhân ra nước ngoài

1. Sử dụng dịch vụ lưu trữ đám mây của Amazon (AWS) hoặc Google Cloud có phải làm hồ sơ này không?

Chắc chắn CÓ. Nếu các máy chủ (server) bạn sử dụng được đặt tại các trung tâm dữ liệu bên ngoài Việt Nam (ví dụ: Singapore, Hong Kong), thì việc bạn tải dữ liệu khách hàng lên đó được định nghĩa là một hành vi chuyển dữ liệu cá nhân ra nước ngoài và phải tuân thủ thủ tục này. Tìm hiểu chi tiết tại: Lưu trữ đám mây nước ngoài có phải là chuyển dữ liệu xuyên biên giới không?

2. Nếu chỉ chuyển dữ liệu trong nội bộ tập đoàn ra nước ngoài thì có cần làm hồ sơ không?

Có. Pháp luật không phân biệt việc chuyển dữ liệu cho một bên thứ ba độc lập hay cho công ty mẹ/công ty con trong cùng một tập đoàn. Miễn là dữ liệu của công dân Việt Nam được chuyển ra khỏi lãnh thổ Việt Nam, thủ tục này là bắt buộc.

3. Có trường hợp nào được miễn trừ lập hồ sơ này không?

Có. Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 (hiệu lực từ 01/01/2026) có quy định một số trường hợp miễn trừ như việc chuyển dữ liệu của cơ quan nhà nước có thẩm quyền, hoặc khi chủ thể dữ liệu tự chuyển dữ liệu của chính mình. Chi tiết tại: Khi nào được miễn lập hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài?

4. Hậu quả pháp lý nếu không lập và nộp hồ sơ này là gì?

Đây là một vi phạm nghiêm trọng. Theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, hành vi chuyển dữ liệu cá nhân xuyên biên giới trái phép có thể bị phạt tiền tối đa lên đến 5% tổng doanh thu của năm trước liền kề của tổ chức vi phạm. Ngoài ra, Cục A05 có quyền yêu cầu ngừng ngay lập tức việc chuyển dữ liệu.

5. Hồ sơ này có phải cập nhật không?

Có. Theo Điều 25 Nghị định 13 và quy định tại thủ tục hành chính, khi có sự thay đổi về nội dung hồ sơ đã gửi (ví dụ: thay đổi bên nhận dữ liệu, thay đổi mục đích…), doanh nghiệp phải lập hồ sơ thông báo thay đổi theo Mẫu số 05 và gửi cho Cục A05. Tìm hiểu chi tiết tại Khi nào doanh nghiệp phải cập nhật hồ sơ đánh giá tác động đã nộp?

Nguồn tham khảo:

  1. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài: https://baovedlcn.gov.vn/thu-tuc-hanh-chinh/ho-so-danh-gia-tac-dong-chuyen-du-lieu-ca-nhan-ra-nuoc-ngoai
  2. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  3. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/
  4. Chapter V of GDPR – Transfers of personal data to third countries or international organisations: https://gdpr-info.eu/chapter-5/
  5. Cổng Dịch vụ công Quốc gia: https://dichvucong.gov.vn/p/home/dvc-tthc-thu-tuc-hanh-chinh-chi-tiet.html?ma_thu_tuc=323751
Liên hệ với DPVN để được tư vấn miễn phí