Thủ tục lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Avatar of baovedlcn

Ngày đăng -

baovedlcn Tư vấn Luật bảo vệ dữ liệu cá nhân

Thủ tục lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới là chìa khóa giúp doanh nghiệp tuân thủ Nghị định 356/2025/NĐ-CPLuật Bảo vệ dữ liệu cá nhân 91/2025/QH15, tránh các rủi ro pháp lý nghiêm trọng. DPVN sẽ hướng dẫn chi tiết quy trình, thành phần hồ sơ và các lưu ý quan trọng để Quý doanh nghiệp thực hiện chuyển dữ liệu cá nhân xuyên biên giới một cách an toàn và hợp pháp.

Nội dung chính: Hướng dẫn toàn diện về hồ sơ, quy trình đánh giá tác động chuyển dữ liệu xuyên biên giới theo quy định mới nhất năm 2026.

Phiếu trả kết quả hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới
Phiếu trả kết quả hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Khi nào doanh nghiệp bắt buộc phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới?

Theo Khoản 1, Khoản 2 Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, doanh nghiệp phải lập hồ sơ khi thực hiện một trong các hoạt động: (i) Chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam; (ii) Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho tổ chức, cá nhân ở nước ngoài; (iii) Cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam. Thời hạn nộp hồ sơ là 60 ngày kể từ ngày bắt đầu chuyển dữ liệu cá nhân ra nước ngoài.

Việc xác định đúng thời điểm và đối tượng phải lập hồ sơ là bước đầu tiên để tránh vi phạm pháp luật. Rất nhiều doanh nghiệp nhầm lẫn rằng chỉ khi “bán” dữ liệu mới cần làm thủ tục này. Tuy nhiên, lưu trữ đám mây nước ngoài có phải là chuyển dữ liệu xuyên biên giới không? Câu trả lời là CÓ. Bất kỳ hành vi nào đưa dữ liệu ra khỏi biên giới lãnh thổ Việt Nam đều nằm trong phạm vi điều chỉnh.

Cụ thể, Điều 17 Nghị định 356/2025/NĐ-CP liệt kê chi tiết các trường hợp chuyển dữ liệu cá nhân xuyên biên giới bao gồm:

  • Lưu trữ dữ liệu trên máy chủ đặt tại nước ngoài.
  • Chia sẻ dữ liệu với công ty mẹ, chi nhánh hoặc đối tác nước ngoài.
  • Sử dụng các phần mềm (SaaS), dịch vụ mà máy chủ xử lý đặt tại nước ngoài.

Tuy nhiên, pháp luật cũng quy định một số trường hợp ngoại lệ. Quý doanh nghiệp có thể tham khảo thêm bài viết Khi nào được miễn lập hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài? để xác định mình có thuộc diện được miễn trừ hay không (ví dụ: chuyển dữ liệu để thực hiện hợp đồng vận chuyển, thanh toán quốc tế…).

Thành phần hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới gồm những gì?

Hồ sơ bao gồm 03 thành phần chính: Thông báo gửi hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (Mẫu số 01a); Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (Mẫu số 09); Hợp đồng hoặc văn bản thỏa thuận chuyển giao dữ liệu; và Các tài liệu minh chứng về quy trình, chính sách bảo vệ dữ liệu của doanh nghiệp (Khoản 2 Điều 18 Nghị định 356/2025/NĐ-CP).

Đây là phần quan trọng nhất quyết định sự thành bại của thủ tục. Một bộ hồ sơ sơ sài, thiếu minh chứng sẽ dễ dàng bị cơ quan chức năng yêu cầu giải trình hoặc từ chối chấp thuận. DPVN khuyến nghị doanh nghiệp chuẩn bị kỹ lưỡng các tài liệu sau:

1. Báo cáo đánh giá tác động (Mẫu số 09)

Mẫu số 09 ban hành kèm theo Nghị định 356/2025/NĐ-CP yêu cầu doanh nghiệp phải kê khai chi tiết các thông tin:

  • Thông tin bên chuyển và bên nhận: Bao gồm cả thông tin liên hệ của bộ phận bảo vệ dữ liệu.
  • Mô tả hoạt động chuyển dữ liệu: Loại dữ liệu (cơ bản/nhạy cảm), mục đích chuyển, luồng đi của dữ liệu.
  • Đánh giá rủi ro và biện pháp bảo vệ: Đây là phần “xương sống” của báo cáo. Doanh nghiệp phải phân tích được các rủi ro có thể xảy ra với chủ thể dữ liệu (lộ lọt, sử dụng sai mục đích…) và các biện pháp kỹ thuật (mã hóa, khử nhận dạng) đã áp dụng để giảm thiểu rủi ro đó.

Để hiểu rõ hơn về cách điền mẫu này, Quý vị có thể tham khảo bài viết Hướng dẫn lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.

2. Hợp đồng hoặc thỏa thuận chuyển giao dữ liệu

Văn bản này phải thể hiện rõ ràng trách nhiệm ràng buộc giữa bên chuyển (tại Việt Nam) và bên nhận (tại nước ngoài). Các điều khoản về bảo mật, hạn chế mục đích sử dụng và quyền của chủ thể dữ liệu phải được quy định chặt chẽ.

3. Tài liệu minh chứng nội bộ

Bao gồm các chính sách bảo mật, quy trình xử lý sự cố, chứng chỉ bảo mật (ISO 27001…) mà doanh nghiệp đang áp dụng. Đây là bằng chứng thực tế chứng minh năng lực bảo vệ dữ liệu của doanh nghiệp.

Quy trình nộp hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới diễn ra như thế nào?

Doanh nghiệp nộp 01 bộ hồ sơ gốc (trực tiếp, qua bưu điện hoặc trực tuyến) về Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an). Thời gian thẩm định và phản hồi kết quả (đạt/không đạt) là 15 ngày làm việc.

Quy trình thực hiện bao gồm các bước cụ thể sau:

Bước Nội dung thực hiện Thời hạn/Lưu ý
Bước 1 Lập hồ sơ đánh giá tác động (Mẫu 09 và các tài liệu kèm theo). Trong vòng 60 ngày kể từ ngày chuyển dữ liệu.
Bước 2 Gửi hồ sơ kèm theo Thông báo gửi hồ sơ (Mẫu số 01a đối với tổ chức) đến Bộ Công an. Nộp qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc đường bưu điện.
Bước 3 Cơ quan chức năng thẩm định hồ sơ. 15 ngày làm việc.
Bước 4 Nhận kết quả hoặc yêu cầu sửa đổi, bổ sung. Nếu hồ sơ chưa đạt, doanh nghiệp có 30 ngày để hoàn thiện.

Nếu doanh nghiệp gặp khó khăn trong việc xây dựng hồ sơ đạt chuẩn, dịch vụ Dịch Vụ Tư Vấn Lập Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân của DPVN sẽ là giải pháp tối ưu giúp tiết kiệm thời gian và đảm bảo tỷ lệ thành công cao nhất.

Doanh nghiệp cần lưu ý gì để hồ sơ đạt tiêu chuẩn của A05?

Chìa khóa nằm ở việc chứng minh được các biện pháp bảo vệ dữ liệu tương xứng, đặc biệt là việc áp dụng các công nghệ như khử nhận dạng, mã hóa và sự đồng ý rõ ràng của chủ thể dữ liệu.

Dựa trên kinh nghiệm tư vấn cho hàng trăm doanh nghiệp, DPVN nhận thấy các lỗi phổ biến khiến hồ sơ bị trả về thường liên quan đến:

  • Thiếu sự đồng ý của chủ thể dữ liệu cho việc chuyển ra nước ngoài.
  • Không mô tả rõ biện pháp kỹ thuật bảo vệ dữ liệu tại bên nhận.
  • Đánh giá rủi ro sơ sài, không sát thực tế.

Đặc biệt, đối với các dữ liệu nhạy cảm hoặc chuyển giao cho mục đích thương mại, doanh nghiệp cần lưu ý vấn đề Chuyển Giao Và Mua Bán Dữ Liệu Cá Nhân Có Cần Khử Nhận Dạng Không? để áp dụng biện pháp kỹ thuật phù hợp, tránh vi phạm Điều 7 Nghị định 356/2025/NĐ-CP.

Nghĩa vụ cập nhật hồ sơ khi có thay đổi như thế nào?

Doanh nghiệp phải cập nhật hồ sơ định kỳ 06 tháng/lần hoặc cập nhật ngay trong vòng 10 ngày khi có các thay đổi quan trọng như: thay đổi bên nhận, loại dữ liệu, mục đích chuyển hoặc tổ chức lại doanh nghiệp (Điều 22 Luật 91/2025/QH15 và Điều 20 Nghị định 356/2025/NĐ-CP).

Việc đánh giá tác động không phải là công việc “làm một lần rồi thôi”. Đây là một quy trình liên tục. Nếu doanh nghiệp thay đổi đối tác cung cấp dịch vụ Cloud tại nước ngoài, hoặc mở rộng thu thập thêm dữ liệu sinh trắc học để chuyển về trụ sở chính, doanh nghiệp bắt buộc phải thực hiện thủ tục cập nhật hồ sơ.

Để hiểu rõ hơn về quy định này, Quý vị có thể xem thêm tại bài viết Thời Gian Cập Nhật Định Kỳ Hồ Sơ Đánh Giá Tác Động Là Bao Lâu?.

Bạn đang loay hoay với hàng tá biểu mẫu và quy định phức tạp?

Đừng để rủi ro pháp lý cản trở hoạt động kinh doanh quốc tế của bạn. Hãy để các chuyên gia của DPVN hỗ trợ bạn hoàn thiện hồ sơ đánh giá tác động một cách chuyên nghiệp và nhanh chóng nhất.

DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân

Hotline: 0982976486

Email: info@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Liên hệ tư vấn ngay

Câu hỏi thường gặp (FAQ)

1. Mẫu hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài là mẫu nào?

Theo Nghị định 356/2025/NĐ-CP, doanh nghiệp sử dụng Mẫu số 09 (Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới) và gửi kèm Thông báo theo Mẫu số 01a (dành cho tổ chức).

2. Chuyển dữ liệu cho công ty mẹ ở nước ngoài có cần lập hồ sơ không?

Có. Đây được coi là hành vi chuyển dữ liệu cho bên thứ ba ở nước ngoài và bắt buộc phải lập hồ sơ đánh giá tác động, trừ khi thuộc các trường hợp miễn trừ đặc biệt.

3. Không lập hồ sơ đánh giá tác động bị phạt bao nhiêu?

Hành vi vi phạm quy định về chuyển dữ liệu ra nước ngoài có thể bị phạt tiền lên đến 5% tổng doanh thu năm trước liền kề của doanh nghiệp theo Điều 8 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.

4. Doanh nghiệp nhỏ có được miễn lập hồ sơ không?

Có, nhưng có điều kiện. Doanh nghiệp siêu nhỏ, hộ kinh doanh được miễn trong 05 năm đầu, TRỪ KHI kinh doanh dịch vụ xử lý dữ liệu hoặc xử lý dữ liệu nhạy cảm/số lượng lớn (Điều 41 Nghị định 356/2025/NĐ-CP).

5. Đã nộp hồ sơ theo Nghị định 13/2023 thì có cần nộp lại theo Luật mới không?

Không. Theo quy định chuyển tiếp tại Điều 39 Luật 91/2025/QH15, hồ sơ đã được tiếp nhận trước ngày 01/01/2026 sẽ tiếp tục được sử dụng và không phải lập lại, doanh nghiệp chỉ cần thực hiện cập nhật khi có thay đổi.

Nguồn tham khảo:

  • Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
  • Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
  • Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
  • DPVN: Các bài viết chuyên sâu về tuân thủ pháp luật dữ liệu.
  • GDPR.eu: Cross-border data transfer mechanisms.
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486