Quy Định Về Chuyển Dữ Liệu Cá Nhân Sang Công Ty Mẹ Tại Nước Ngoài

Nhiều doanh nghiệp FDI tại Việt Nam đang loay hoay với quy định về chuyển dữ liệu cá nhân sang công ty mẹ tại nước ngoài để đảm bảo tuân thủ Nghị định 356/2025/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. DPVN sẽ làm rõ các nghĩa vụ pháp lý, từ việc lập hồ sơ đánh giá tác động đến các yêu cầu về hợp đồng chuyển giao dữ liệu nội bộ tập đoàn, giúp Quý doanh nghiệp vận hành dòng chảy dữ liệu xuyên biên giới an toàn và hợp pháp.

Chuyển dữ liệu nội bộ tập đoàn có phải lập hồ sơ đánh giá tác động không?

Rất nhiều doanh nghiệp lầm tưởng rằng việc lưu chuyển dữ liệu trong nội bộ tập đoàn (Intra-group data transfer) là hoạt động nội bộ và được miễn trừ. Tuy nhiên, Luật Bảo vệ dữ liệu cá nhân của Việt Nam không có cơ chế “Binding Corporate Rules” (BCR) như GDPR của Châu Âu để tự động miễn trừ thủ tục này. Mọi hành vi đưa dữ liệu ra khỏi biên giới Việt Nam đều phải được kiểm soát chặt chẽ.

Cụ thể, các hoạt động sau đây đều thuộc phạm vi điều chỉnh:

• Sử dụng hệ thống quản lý nhân sự (HRIS) tập trung (như Workday, SAP) có máy chủ đặt tại nước ngoài.
• Gửi danh sách khách hàng, báo cáo doanh số chứa thông tin cá nhân về trụ sở chính (HQ).
• Lưu trữ dữ liệu trên hệ thống Cloud dùng chung của tập đoàn mà máy chủ không đặt tại Việt Nam.

Để biết rõ hơn về các trường hợp ngoại lệ hiếm hoi, Quý vị có thể tham khảo bài viết Trường hợp ngoại lệ không phải nộp hồ sơ khi chuyển dữ liệu cá nhân xuyên biên giới.

Hồ sơ chuyển dữ liệu sang công ty mẹ cần chuẩn bị những gì?

Dưới đây là chi tiết các hạng mục doanh nghiệp cần chuẩn bị theo hướng dẫn tại Điều 18 Nghị định 356/2025/NĐ-CP:

1. Báo cáo đánh giá tác động (Mẫu 09)

Đây là tài liệu quan trọng nhất. Trong mẫu này, doanh nghiệp cần kê khai:

• Thông tin bên chuyển (Công ty con tại VN) và bên nhận (Công ty mẹ): Bao gồm thông tin người liên hệ, bộ phận bảo vệ dữ liệu.
• Loại dữ liệu chuyển đi: Phân định rõ dữ liệu cơ bản (họ tên, email công ty…) và dữ liệu nhạy cảm (thông tin sức khỏe, tài khoản ngân hàng trả lương, dữ liệu vị trí…).
• Mục đích chuyển: Ví dụ: “Quản lý nhân sự tập trung”, “Phân tích kinh doanh toàn cầu”.
• Biện pháp bảo vệ: Mô tả các giải pháp mã hóa, kiểm soát truy cập mà công ty mẹ đang áp dụng để bảo vệ dữ liệu nhận được.

Quý vị có thể xem hướng dẫn chi tiết cách điền mẫu tại bài viết Hướng dẫn soạn Mẫu 09 theo Nghị định 356/2025/NĐ-CP.

2. Hợp đồng chuyển giao dữ liệu (Data Transfer Agreement – DTA)

Đối với tập đoàn đa quốc gia, văn bản này thường là Thỏa thuận chuyển giao dữ liệu nội bộ (Intra-group Agreement). Văn bản này phải có các điều khoản ràng buộc trách nhiệm của công ty mẹ trong việc bảo mật dữ liệu theo tiêu chuẩn của pháp luật Việt Nam, cam kết không cung cấp cho bên thứ ba trái phép và hỗ trợ chủ thể dữ liệu thực hiện quyền của mình.

Tham khảo thêm các yêu cầu bắt buộc của hợp đồng tại bài viết Yêu cầu về hợp đồng chuyển giao dữ liệu cá nhân xuyên biên giới.

3. Tài liệu minh chứng

Bao gồm các Chính sách bảo mật thông tin (Privacy Policy) của tập đoàn, các chứng chỉ bảo mật quốc tế mà công ty mẹ đạt được (như ISO 27001, SOC 2 Type II…). Những tài liệu này giúp tăng độ tin cậy cho hồ sơ.

Có cần xin sự đồng ý của nhân viên/khách hàng trước khi chuyển không?

Nhiều doanh nghiệp thường gộp chung điều khoản đồng ý chuyển dữ liệu vào Hợp đồng lao động hoặc Điều khoản sử dụng dịch vụ một cách chung chung. Theo Luật 91/2025/QH15, cách làm này có thể bị coi là không hợp lệ.

DPVN khuyến nghị:

• Đối với nhân viên: Nên có một Phụ lục riêng hoặc Văn bản chấp thuận (Consent Form) riêng biệt về việc xử lý và chuyển dữ liệu cá nhân, trong đó liệt kê rõ các mục đích chuyển dữ liệu sang công ty mẹ (ví dụ: đánh giá hiệu suất, trả lương thưởng cổ phiếu ESOP…).
• Đối với khách hàng: Cần có mục tick chọn (opt-in) riêng biệt hoặc thông báo nổi bật (Privacy Notice) về việc chuyển dữ liệu ra nước ngoài trên website/ứng dụng.

Để xây dựng biểu mẫu đúng chuẩn, Quý vị có thể tham khảo xây dựng biểu mẫu thu thập sự đồng ý của chủ thể dữ liệu.

Quy trình và Thời gian xử lý hồ sơ như thế nào?

Quy trình thực hiện cụ thể gồm các bước sau:

Nếu Quý doanh nghiệp không có nhân sự chuyên trách hoặc gặp khó khăn trong việc chuẩn bị hồ sơ phức tạp này, Dịch Vụ Tư Vấn Lập Hồ Sơ Đánh Giá Tác Động Xử Lý Dữ Liệu Cá Nhân của DPVN sẽ hỗ trợ trọn gói từ khâu rà soát đến khi hoàn tất thủ tục.

Chế tài xử phạt nếu vi phạm quy định chuyển dữ liệu ra nước ngoài

Ngoài phạt tiền, doanh nghiệp còn có thể bị áp dụng các hình phạt bổ sung như: Đình chỉ hoạt động xử lý dữ liệu (đồng nghĩa với việc tê liệt hoạt động kinh doanh nếu phụ thuộc vào hệ thống của tập đoàn), buộc thu hồi dữ liệu đã chuyển đi, và công khai xin lỗi.

Để tránh các rủi ro này, doanh nghiệp cần đặc biệt lưu ý đến các vấn đề như Có phải khử nhận dạng và mã hóa dữ liệu cá nhân khi chuyển xuyên biên giới không? để áp dụng các biện pháp kỹ thuật phù hợp ngay từ đầu.

Câu hỏi thường gặp (FAQ)

Nguồn tham khảo:

• Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
• Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
• DPVN: Hướng dẫn tuân thủ pháp luật về bảo vệ dữ liệu cho doanh nghiệp FDI.
• GDPR.eu: Corporate Rules for Data Transfers.