Thủ Tục Lập Hồ Sơ Đánh Giá Tác Động Chuyển Dữ Liệu Cá Nhân Xuyên Biên Giới

Avatar of baovedlcn

Ngày đăng -

baovedlcn Tư vấn Luật bảo vệ dữ liệu cá nhân

Thủ tục lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới là nghĩa vụ bắt buộc và quan trọng nhất để doanh nghiệp đảm bảo tính tuân thủ pháp lý khi mở rộng hoạt động kinh doanh quốc tế. DPVN sẽ cung cấp hướng dẫn chi tiết, từng bước về quy trình, thành phần hồ sơ và các lưu ý quan trọng theo Nghị định 356/2025/NĐ-CP để giúp Quý doanh nghiệp hoàn thành nghĩa vụ này một cách chính xác và hiệu quả nhất.

Nội dung chính: Hướng dẫn toàn diện quy trình lập và nộp hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, cập nhật theo Luật Bảo vệ dữ liệu cá nhân 2025.

Khi nào cần lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới?

Doanh nghiệp bắt buộc phải lập hồ sơ khi thực hiện bất kỳ hoạt động nào trong 03 trường hợp sau: Chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài; Sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài; Sử dụng vị trí địa lý nằm ngoài lãnh thổ Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam (bao gồm cả việc xem, truy xuất dữ liệu từ nước ngoài).

Việc xác định đúng thời điểm và phạm vi áp dụng là bước đầu tiên để tránh rủi ro pháp lý. Theo quy định tại Điều 20 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Điều 17 Nghị định 356/2025/NĐ-CP, khái niệm chuyển dữ liệu cá nhân xuyên biên giới là gì? được hiểu rất rộng. Nó không chỉ là việc gửi file dữ liệu qua email cho đối tác nước ngoài mà còn bao gồm cả việc lưu trữ dữ liệu trên máy chủ đám mây (Cloud Server) đặt tại nước ngoài (như AWS, Google Cloud, Azure…) hoặc cho phép nhân viên tại công ty mẹ ở nước ngoài truy cập vào hệ thống quản lý nhân sự (HRM) đặt tại Việt Nam.

Phân biệt 3 trường hợp chuyển dữ liệu cá nhân xuyên biên giới cụ thể như sau:

  • Trường hợp 1: Doanh nghiệp Việt Nam chuyển dữ liệu cho đối tác, khách hàng nước ngoài (Outsourcing, bán hàng…).
  • Trường hợp 2: Chi nhánh tại Việt Nam chuyển dữ liệu về công ty mẹ ở nước ngoài để báo cáo, quản lý tập trung. Quy định về chuyển dữ liệu cá nhân sang công ty mẹ tại nước ngoài yêu cầu rất chặt chẽ về sự đồng ý của nhân viên và cam kết bảo mật.
  • Trường hợp 3: Sử dụng phần mềm/nền tảng (SaaS) mà máy chủ đặt tại nước ngoài để xử lý dữ liệu người dùng Việt Nam.

Tuy nhiên, cũng có những trường hợp ngoại lệ không phải nộp hồ sơ khi chuyển dữ liệu cá nhân xuyên biên giới được quy định tại Khoản 6 Điều 20 Luật 91/2025/QH15, ví dụ như chuyển dữ liệu để thực hiện nghĩa vụ theo điều ước quốc tế mà Việt Nam là thành viên, hoặc phục vụ hoạt động điều tra tội phạm theo yêu cầu của cơ quan chức năng.

Thành phần hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới gồm những gì?

Một bộ hồ sơ đầy đủ bao gồm: Thông báo gửi hồ sơ (Mẫu số 01a/01b); Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (Mẫu số 09); Hợp đồng hoặc văn bản thỏa thuận chuyển giao dữ liệu giữa bên chuyển và bên nhận; và Văn bản, tài liệu minh chứng cho các biện pháp bảo vệ dữ liệu đã áp dụng (Chính sách bảo mật, chứng chỉ ISO…).

Căn cứ Điều 18 Nghị định 356/2025/NĐ-CP, việc chuẩn bị hồ sơ cần sự tỉ mỉ và chính xác tuyệt đối. Dưới đây là chi tiết các thành phần:

1. Báo cáo đánh giá tác động (Mẫu số 09)

Đây là tài liệu quan trọng nhất. Hướng dẫn soạn Mẫu 09 theo Nghị định 356/2025/NĐ-CP đòi hỏi doanh nghiệp phải kê khai chi tiết về:

  • Thông tin chi tiết của Bên chuyển (tại Việt Nam) và Bên nhận (tại nước ngoài).
  • Loại dữ liệu cá nhân được chuyển (Cơ bản/Nhạy cảm).
  • Mục đích chuyển dữ liệu (Phải phù hợp với mục đích đã thông báo cho chủ thể dữ liệu).
  • Biện pháp bảo vệ của bên nhận chuyển giao dữ liệu cá nhân xuyên biên giới: Mô tả rõ các giải pháp kỹ thuật (mã hóa, tường lửa…) và giải pháp quản lý mà đối tác nước ngoài áp dụng để đảm bảo an toàn cho dữ liệu.
  • Đánh giá rủi ro và biện pháp giảm thiểu: Phân tích các nguy cơ lộ lọt dữ liệu trong quá trình truyền tải và lưu trữ.

2. Hợp đồng chuyển giao dữ liệu

Hợp đồng hoặc văn bản thỏa thuận là cơ sở pháp lý ràng buộc trách nhiệm. Yêu cầu về hợp đồng chuyển giao dữ liệu cá nhân xuyên biên giới bắt buộc phải có các điều khoản về mục đích sử dụng, phạm vi dữ liệu, thời hạn lưu trữ, trách nhiệm bảo mật và cam kết không chuyển giao cho bên thứ 3 khi chưa có sự đồng ý.

3. Tài liệu minh chứng

Doanh nghiệp cần cung cấp các bản sao (có chứng thực hoặc xác nhận của doanh nghiệp) các tài liệu như: Giấy phép kinh doanh, Chính sách bảo vệ dữ liệu cá nhân nội bộ, Các chứng chỉ bảo mật quốc tế (ISO 27001, PCI DSS…) nếu có.

Quy trình, thủ tục nộp hồ sơ đánh giá tác động như thế nào?

Quy trình bao gồm 3 bước chính: Lập hồ sơ; Nộp hồ sơ (trong vòng 60 ngày kể từ ngày chuyển dữ liệu) cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân (Cục A05 – Bộ Công an) theo hình thức trực tuyến hoặc trực tiếp/bưu chính; và Theo dõi, giải trình, bổ sung hồ sơ khi có yêu cầu.

Để đảm bảo hồ sơ được chấp thuận nhanh chóng, doanh nghiệp cần tuân thủ quy trình sau:

Bước 1: Lập hồ sơ đánh giá tác động

Doanh nghiệp tiến hành rà soát toàn bộ luồng dữ liệu đi ra nước ngoài, xác định loại dữ liệu và mục đích chuyển. Sau đó, điền đầy đủ thông tin vào Mẫu số 09. Lưu ý, việc đánh giá tác động phải thực hiện cho từng hoạt động chuyển dữ liệu hoặc nhóm hoạt động có tính chất tương đồng.

Bước 2: Nộp hồ sơ

Thời hạn nộp là trong vòng 60 ngày kể từ ngày bắt đầu thực hiện hoạt động chuyển dữ liệu cá nhân ra nước ngoài. Doanh nghiệp có thể nộp hồ sơ qua:

  • Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (khi hệ thống này đi vào hoạt động).
  • Nộp trực tiếp hoặc gửi qua đường bưu chính về địa chỉ của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an.

Bước 3: Thẩm định và Phản hồi

Sau khi tiếp nhận, Bộ Công an sẽ tiến hành kiểm tra tính đầy đủ và hợp lệ của hồ sơ. Nếu hồ sơ chưa đạt yêu cầu, doanh nghiệp sẽ nhận được thông báo để sửa đổi, bổ sung. Hồ sơ đánh giá tác động không đạt cần hoàn thiện trong bao lâu? Thông thường, doanh nghiệp có khoảng thời gian nhất định (ví dụ 10-15 ngày) để hoàn thiện theo yêu cầu.

Lưu ý quan trọng: Sau khi nộp hồ sơ, doanh nghiệp còn có các nghĩa vụ sau khi nộp hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới như lưu trữ hồ sơ luôn sẵn sàng phục vụ kiểm tra, và cập nhật hồ sơ khi có thay đổi.

Các lưu ý quan trọng để hồ sơ “một lần ăn ngay”

Doanh nghiệp cần đặc biệt chú trọng đến sự đồng ý của chủ thể dữ liệu, biện pháp bảo mật dữ liệu (như mã hóa, khử nhận dạng) và sự thống nhất giữa mục đích thu thập ban đầu với mục đích chuyển dữ liệu.

Trong quá trình tư vấn lập hồ sơ cho nhiều doanh nghiệp, DPVN nhận thấy các lỗi phổ biến khiến hồ sơ bị trả về thường liên quan đến:

Chế tài xử phạt nếu vi phạm quy định về chuyển dữ liệu xuyên biên giới là gì?

Hành vi vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài (như không lập hồ sơ, lập hồ sơ không đúng, không cập nhật hồ sơ…) có thể bị phạt tiền từ hàng trăm triệu đến hàng tỷ đồng, hoặc lên tới 5% tổng doanh thu năm tài chính liền kề (theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15). Ngoài ra, doanh nghiệp có thể bị đình chỉ hoạt động chuyển dữ liệu.

Mức phạt vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới được đánh giá là rất nghiêm khắc, thể hiện quyết tâm của Chính phủ trong việc bảo vệ chủ quyền dữ liệu quốc gia. Bên cạnh phạt tiền, Bộ Công an còn có quyền yêu cầu doanh nghiệp ngừng chuyển dữ liệu nếu phát hiện rủi ro an ninh quốc gia hoặc vi phạm nghiêm trọng quyền lợi của công dân. Vậy ai có quyền yêu cầu doanh nghiệp ngừng chuyển dữ liệu cá nhân xuyên biên giới? Đó chính là Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05).

Bạn đang gặp khó khăn trong việc lập hồ sơ đánh giá tác động?

Đừng để rủi ro pháp lý cản trở hoạt động kinh doanh quốc tế của bạn. Hãy để các chuyên gia của DPVN hỗ trợ bạn hoàn thiện hồ sơ một cách chuyên nghiệp và nhanh chóng nhất.

DPVN – Trung Tâm Tư Vấn Pháp Luật Về Bảo Vệ Dữ Liệu Cá Nhân

Hotline: 0982976486

Email: info@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Liên hệ tư vấn ngay

Câu hỏi thường gặp (FAQ)

1. Hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài nộp ở đâu?

Hồ sơ được nộp cho Cơ quan chuyên trách bảo vệ dữ liệu cá nhân, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an. Có thể nộp trực tiếp tại trụ sở Cục hoặc qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.

2. Thời hạn thẩm định hồ sơ là bao lâu?

Cơ quan chức năng sẽ phản hồi về tính đầy đủ và hợp lệ của hồ sơ trong vòng 10-15 ngày làm việc kể từ ngày nhận được hồ sơ. Tuy nhiên, thời gian đánh giá nội dung chi tiết có thể kéo dài hơn tùy thuộc vào mức độ phức tạp của hồ sơ.

3. Doanh nghiệp có vốn đầu tư nước ngoài (FDI) chuyển dữ liệu về công ty mẹ có cần lập hồ sơ không?

Có. Việc chuyển dữ liệu về công ty mẹ ở nước ngoài được coi là chuyển dữ liệu xuyên biên giới và bắt buộc phải lập hồ sơ đánh giá tác động theo quy định.

4. Tôi sử dụng Google Drive/Microsoft 365 để lưu trữ dữ liệu nhân viên, có phải làm hồ sơ không?

Có. Vì máy chủ của Google/Microsoft thường đặt tại nước ngoài, việc lưu trữ này được xem là chuyển dữ liệu ra nước ngoài và phải tuân thủ quy định lập hồ sơ đánh giá tác động.

5. Khi nào phải cập nhật hồ sơ đánh giá tác động?

Doanh nghiệp phải cập nhật hồ sơ khi có sự thay đổi về nội dung chuyển dữ liệu (thay đổi loại dữ liệu, mục đích, bên nhận…) hoặc định kỳ theo yêu cầu của cơ quan chức năng.

Nguồn tham khảo:

  • Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân.
  • Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
  • Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
  • Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao: Hướng dẫn thực hiện Nghị định bảo vệ dữ liệu cá nhân.
  • DPVN: Tổng hợp các biểu mẫu và hướng dẫn tuân thủ pháp luật về bảo vệ dữ liệu.
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486