Hướng dẫn lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài 2024

Theo Nghị định 13 về bảo vệ dữ liệu cá nhân, ngoài thủ tục lập và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, các doanh nghiệp đang có hoạt động chuyển dữ liệu cá nhân ra nước ngoài đều phải tiến hành lập và gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Cùng với đó, Bộ Công an quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 1 lần mỗi năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định này hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.

Theo khoản 14 Điều 2 Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam.

Cũng theo Khoản trên, Chuyển dữ liệu cá nhân ra nước ngoài được chia thành 2 hình thức:

• Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp hoặc bộ phận quản lý ở nước ngoài để xử lý, nhưng phải phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.
• Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, hoặc Bên Xử lý dữ liệu cá nhân sử dụng các hệ thống tự động nằm ngoài lãnh thổ Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, nhưng phải phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.

• Ví dụ hình thức thứ nhất: Công ty ABC tại Việt Nam, chuyên về phát triển phần mềm, ký hợp đồng với một công ty cung cấp dịch vụ lưu trữ đám mây tại Mỹ. Theo hợp đồng, công ty ABC sẽ chuyển dữ liệu cá nhân của khách hàng (như họ tên, email, số điện thoại) cho công ty Mỹ để lưu trữ và xử lý. Trước khi chuyển dữ liệu, công ty ABC đã thông báo rõ ràng cho khách hàng về việc này và nhận được sự đồng ý của họ.
• Ví dụ hình thức thứ hai: Công ty XYZ tại Việt Nam, hoạt động trong lĩnh vực thương mại điện tử, sử dụng một nền tảng tiếp thị tự động của một công ty nước ngoài để gửi email quảng cáo đến khách hàng. Nền tảng này được đặt trên máy chủ ở nước ngoài và tự động phân tích dữ liệu khách hàng (như lịch sử mua hàng, sở thích) để cá nhân hóa nội dung email. Công ty XYZ đã thông báo cho khách hàng về việc sử dụng nền tảng này và mục đích của việc xử lý dữ liệu.

Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài khi Bên chuyển dữ liệu ra nước ngoài (bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba) lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều 25 Nghị định 13/2023/NĐ-CP.

Khi tiến hành chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, việc lập hồ sơ đánh giá tác động là một bước không thể thiếu để đảm bảo tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân. Vậy nội dung của hồ sơ này bao gồm những gì? Hãy cùng DPVN tìm hiểu chi tiết trong phần tiếp theo.

Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài là một tài liệu bắt buộc phải lập khi một tổ chức, doanh nghiệp hoặc cá nhân có ý định chuyển dữ liệu cá nhân của công dân Việt Nam ra khỏi lãnh thổ Việt Nam. Hồ sơ này nhằm đánh giá các rủi ro tiềm ẩn đối với quyền lợi của chủ thể dữ liệu khi dữ liệu của họ được xử lý ở nước ngoài, đồng thời đảm bảo việc chuyển dữ liệu tuân thủ các quy định về bảo vệ dữ liệu cá nhân.

Công dân Việt Nam, Người Việt Nam định cư ở nước ngoài, Người nước ngoài, Cán bộ, công chức, viên chức, Doanh nghiệp, Doanh nghiệp có vốn đầu tư nước ngoài, Tổ chức (không bao gồm doanh nghiệp, HTX), Tổ chức nước ngoài, Hợp tác xã là những đối tượng cần lập, gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có hoạt động chuyển dữ liệu cá nhân ra nước ngoài lãnh thổ Việt Nam.

Theo khoản 2 Điều 25 Nghị định 13/2023/NĐ-CP, hồ sơ đánh giác tác động chuyển dữ liệu cá nhân ra nước ngoài gồm những thông tin sau:

1. Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam:
   • Đối với tổ chức: Cần cung cấp đầy đủ tên pháp lý, mã số doanh nghiệp, địa chỉ trụ sở chính, số điện thoại, email, website (nếu có).
   • Đối với cá nhân: Cần cung cấp đầy đủ họ tên, số chứng minh nhân dân/căn cước công dân, địa chỉ thường trú, số điện thoại, email.
2. Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam: Cung cấp họ tên, chức danh, số điện thoại, email của người đại diện hoặc người được ủy quyền chịu trách nhiệm về việc chuyển và tiếp nhận dữ liệu cá nhân.
3. Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài:
   • Giải thích rõ ràng và chi tiết mục đích của việc chuyển dữ liệu ra nước ngoài. (Ví dụ: để lưu trữ, phân tích, xử lý thanh toán, cung cấp dịch vụ khách hàng, v.v.)
   • Luận giải tại sao việc xử lý dữ liệu ở nước ngoài là cần thiết và không thể thực hiện tại Việt Nam.
4. Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài:
   • Liệt kê cụ thể các loại dữ liệu cá nhân sẽ được chuyển ra nước ngoài. (Ví dụ: họ tên, địa chỉ, số điện thoại, email, thông tin tài chính, v.v.)
   • Phân loại dữ liệu cá nhân theo mức độ nhạy cảm (dữ liệu cá nhân thông thường, dữ liệu cá nhân nhạy cảm).
5. Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng:
   • Trình bày cách thức tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP.
   • Liệt kê và mô tả chi tiết các biện pháp bảo vệ dữ liệu cá nhân đã được áp dụng, bao gồm cả biện pháp kỹ thuật (Ví dụ: mã hóa, tường lửa) và biện pháp tổ chức (ví dụ: chính sách bảo mật, đào tạo nhân viên).
6. Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó:
   • Đánh giá các rủi ro tiềm ẩn đối với quyền lợi của chủ thể dữ liệu khi dữ liệu cá nhân được chuyển ra nước ngoài và xử lý.
   • Xác định các hậu quả, thiệt hại không mong muốn có thể xảy ra (ví dụ: Lộ lọt dữ liệu, sử dụng dữ liệu sai mục đích).
   • Đề xuất các biện pháp giảm thiểu hoặc loại bỏ các rủi ro đó.
7. Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh:
   • Cung cấp bằng chứng về việc chủ thể dữ liệu đã đồng ý cho chuyển dữ liệu cá nhân ra nước ngoài.
   • Đảm bảo chủ thể dữ liệu đã được thông báo rõ ràng về quyền của mình, cơ chế phản hồi và khiếu nại khi có sự cố hoặc yêu cầu phát sinh.
8. Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân: Kèm theo hợp đồng hoặc thỏa thuận giữa Bên chuyển dữ liệu và Bên nhận dữ liệu, trong đó nêu rõ trách nhiệm của mỗi bên trong việc bảo vệ dữ liệu cá nhân của công dân Việt Nam.

Hiện nay, Bộ Công an đã kết thúc lấy ý kiến dự thảo lần thứ 3 đối với Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng. Tại Điều 26 tại Dự thảo Nghị định này có quy định chi tiết về xử phạt đối với các vi phạm hoạt động chuyển dữ liệu cá nhân ra nước ngoài. Cụ thể như sau:

Điều 26. Vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài
1. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:
a) Bên chuyển dữ liệu ra nước ngoài không lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều 25 Nghị định 13/2023/NĐ-CP;
b) Không lập hoặc không lưu giữ Hồ sơ đánh giá tác động chuyển dữ liệu
cá nhân ra nước ngoài của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân;
c) Không gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân;
d) Không thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công;
d) Không chấp hành yêu cầu chỉnh sửa, hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).
đ) Không chấp hành yêu cầu kiểm tra chuyển dữ liệu cá nhân ra nước ngoài của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).
2. Phạt tiền gấp 02 lần quy định tại khoản 1 Điều này đối với hành vi quy định tại khoản 1 Điều này mà để lộ, mất dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân của 100.000 công dân Việt Nam tới dưới 1.000.000 công dân Việt Nam ra nước ngoài.
3. Phạt tiền gấp 05 lần quy định tại khoản 1 Điều này đối với hành vi quy định tại khoản 1 Điều này mà để lộ, mất dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân của 1.000.000 công dân Việt Nam tới dưới 5.000.000 công dân Việt Nam ra nước ngoài.
4. Phạt tiền bằng 3% đến 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi để lộ, mất dữ liệu cá nhân hoặc hoặc chuyển dữ liệu cá nhân của trên 5.000.000 công dân Việt Nam ra nước ngoài.
5. Hình thức xử phạt bổ sung:
a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khi tổ chức, cá nhân vi phạm đối với các quy định tại khoản 1 Điều này;
b) Tịch thu tang vật, phương tiện xử lý dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;
c) Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm quy định tại khoản 1 Điều này;
d) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.
6. Biện pháp khắc phục hậu quả:
a) Buộc lập và lưu giữ Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài đối với các hành vi vi phạm tại khoản 1 Điều này;
b) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;
c) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này.
d) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại khoản 1 Điều này.

Tóm lại nội dung xử phạt vi phạm hành chính theo Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng bao gồm:

Nguồn tham khảo: https://www.moj.gov.vn/qt/tintuc/Pages/chi-dao-dieu-hanh.aspx?ItemID=4271

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã đặt ra một khung pháp lý mới, toàn diện và chặt chẽ hơn, đòi hỏi các tổ chức, doanh nghiệp phải có sự chuẩn bị kỹ lưỡng và thay đổi phương thức hoạt động để đảm bảo tuân thủ. Việc xây dựng và thực hiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài không chỉ là yêu cầu bắt buộc mà còn là cơ hội để doanh nghiệp rà soát, hoàn thiện hệ thống bảo vệ dữ liệu cá nhân, nâng cao uy tín và củng cố niềm tin với khách hàng. Mặc dù quá trình này có thể gặp nhiều khó khăn, thách thức, nhưng với sự chủ động, hợp tác và hỗ trợ từ đội ngũ luật sư DPVN, doanh nghiệp hoàn toàn có thể vượt qua và đạt được sự tuân thủ, đảm bảo quyền lợi cho cả doanh nghiệp và khách hàng.