Khi Nào Được Miễn Lập Hồ Sơ Đánh Giá Tác Động Chuyển Dữ Liệu Ra Nước Ngoài?

Khi nào được miễn lập hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài là một điểm mới quan trọng, giúp giảm gánh nặng tuân thủ cho doanh nghiệp. Tại DPVN, chúng tôi sẽ phân tích các điều kiện miễn trừ chuyển dữ liệu xuyên biên giới theo Luật mới, giúp bạn xác định chính xác nghĩa vụ pháp lý của mình.

Việc lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài là một trong những thủ tục hành chính phức tạp và tốn nhiều nguồn lực nhất theo quy định của Nghị định 13 về bảo vệ dữ liệu cá nhân. Thấu hiểu những khó khăn của doanh nghiệp về tuân thủ nghị định, các nhà làm luật đã đưa các quy định miễn trừ vào Luật 91/2025/QH15.

Về chuyên môn sâu, việc đưa ra các trường hợp miễn trừ cho thấy một cách tiếp cận dựa trên rủi ro (risk-based approach). Pháp luật tập trung vào việc quản lý các hoạt động chuyển dữ liệu có quy mô lớn, có hệ thống và tiềm ẩn nhiều rủi ro, đồng thời giảm bớt gánh nặng hành chính cho các hoạt động có rủi ro thấp hơn hoặc phục vụ lợi ích công cộng. Tuy nhiên, điều quan trọng cần nhấn mạnh là, việc được miễn lập hồ sơ không có nghĩa là được miễn trừ tất cả các nghĩa vụ khác.

Dưới đây, DPVN sẽ phân tích chi tiết từng trường hợp kèm theo các ví dụ thực tế để doanh nghiệp có thể xác định chính xác mình có thuộc diện được miễn trừ hay không.

Trường hợp 1: Việc chuyển dữ liệu của cơ quan nhà nước có thẩm quyền

Quy định này nhằm tạo điều kiện thuận lợi cho các hoạt động đối ngoại, hợp tác quốc tế và thực thi pháp luật của nhà nước.

• Bản chất: Miễn trừ này áp dụng cho các cơ quan nhà nước khi họ thực hiện chức năng, nhiệm vụ của mình.
• Ví dụ thực tế: Bộ Công an Việt Nam chuyển thông tin về một đối tượng tội phạm cho Tổ chức Cảnh sát Hình sự Quốc tế (Interpol) theo một hiệp định tương trợ tư pháp. Hoạt động này sẽ không cần phải lập hồ sơ đánh giá tác động.

Trường hợp 2: Lưu trữ dữ liệu cá nhân của người lao động trên dịch vụ điện toán đám mây

Đây là quy định miễn trừ có tác động lớn và trực tiếp nhất đến hoạt động của nhiều doanh nghiệp hiện nay, đặc biệt là các doanh nghiệp sử dụng các nền tảng nhân sự hoặc lưu trữ toàn cầu.

• Bản chất: Miễn trừ thủ tục lập hồ sơ khi doanh nghiệp sử dụng một dịch vụ đám mây (Cloud) để lưu trữ hồ sơ, dữ liệu của chính nhân viên trong công ty.
• Ví dụ thực tế: Một công ty tại Việt Nam sử dụng nền tảng Microsoft 365 hoặc Google Workspace để quản lý công việc và lưu trữ các tệp tin chứa dữ liệu cá nhân của người lao động (hợp đồng, bảng lương). Nếu máy chủ của Microsoft hoặc Google đặt tại Singapore, hoạt động này vẫn được miễn lập hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Đây là một điểm mới rất đáng hoan nghênh, tháo gỡ một vướng mắc lớn cho doanh nghiệp. Tuy nhiên, cần phải đọc kỹ. Quy định này chỉ nói về việc ‘lưu trữ dữ liệu cá nhân của người lao động’. Nó không áp dụng cho dữ liệu của khách hàng. Nếu bạn cũng lưu trữ dữ liệu khách hàng trên cùng một dịch vụ đám mây nước ngoài, thì đối với phần dữ liệu khách hàng đó, bạn vẫn phải lập hồ sơ đánh giá tác động. Sự phân biệt này là cực kỳ quan trọng.”

Trường hợp 3: Chủ thể dữ liệu tự chuyển dữ liệu cá nhân của mình xuyên biên giới

Miễn trừ này tôn trọng quyền tự quyết của cá nhân đối với chính thông tin của họ.

• Bản chất: Khi một cá nhân chủ động thực hiện một hành động để gửi dữ liệu của chính họ ra nước ngoài, thì không có tổ chức nào phải chịu trách nhiệm lập hồ sơ cho hành động đó.
• Ví dụ thực tế: Bạn (một công dân Việt Nam) tự mình điền thông tin cá nhân và tải hộ chiếu lên website của một trường đại học ở Úc để nộp hồ sơ du học. Trong trường hợp này, không có bên nào tại Việt Nam phải lập hồ sơ đánh giá tác động cho việc chuyển dữ liệu này.

Việc này đặc biệt áp dụng cho các trường hợp phổ biến sau:

• Lưu trữ hoặc xử lý dữ liệu khách hàng trên các nền tảng đám mây có máy chủ ở nước ngoài.
• Sử dụng các phần mềm quản lý quan hệ khách hàng (CRM) toàn cầu như Salesforce, HubSpot.
• Công ty con tại Việt Nam gửi báo cáo chứa dữ liệu cá nhân về cho công ty mẹ ở nước ngoài.

Để có hướng dẫn chi tiết về cách thực hiện thủ tục này, bạn có thể tham khảo bài viết đầy đủ của chúng tôi: Hướng dẫn lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.

Việc chủ động xác định xem mình có thuộc diện miễn trừ hay không và tuân thủ đúng quy định không chỉ giúp doanh nghiệp tránh được các chế tài tài chính nặng nề, mà còn mang lại các lợi ích tích cực:

• Giảm thiểu rủi ro pháp lý: Tránh được các khoản phạt và các cuộc điều tra tốn kém.
• Tăng cường uy tín: Thể hiện sự minh bạch và có trách nhiệm, một yếu tố quan trọng trong mắt các đối tác và khách hàng quốc tế.
• Đảm bảo hoạt động kinh doanh liên tục: Tránh nguy cơ bị buộc phải ngừng các hoạt động chuyển dữ liệu, vốn có thể gây gián đoạn nghiêm trọng cho các doanh nghiệp phụ thuộc vào các nền tảng toàn cầu.

DPVN: Dịch Vụ Tư Vấn và Xác Định Nghĩa Vụ Tuân Thủ

Việc xác định một cách chính xác liệu doanh nghiệp của bạn có thuộc diện được miễn trừ hay không đòi hỏi sự am hiểu sâu sắc về các quy định pháp luật và mô hình hoạt động của công ty.

Đội ngũ của DPVN, với sự dẫn dắt của Luật sư Nguyễn Lâm Sơn, sẽ giúp bạn có câu trả lời chính xác và xây dựng một lộ trình tuân thủ phù hợp. Hãy liên hệ với chúng tôi để được tư vấn:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Nguồn tham khảo:

1. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
2. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
3. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
4. Luật Doanh nghiệp 2020: https://thuvienphapluat.vn/van-ban/Doanh-nghiep/Luat-Doanh-nghiep-2020-427533.aspx
5. Chapter V of GDPR – Transfers of personal data to third countries: https://gdpr-info.eu/chapter-5/