Trường Hợp Ngoại Lệ Không Phải Nộp Hồ Sơ Khi Chuyển Dữ Liệu Cá Nhân Xuyên Biên Giới

Trong bối cảnh Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Nghị định 356/2025/NĐ-CP siết chặt việc quản lý dữ liệu xuyên quốc gia, doanh nghiệp cần nắm rõ các trường hợp ngoại lệ không phải nộp hồ sơ khi chuyển dữ liệu cá nhân xuyên biên giới để tối ưu hóa quy trình vận hành và tiết kiệm chi phí tuân thủ. DPVN sẽ phân tích chi tiết các tình huống miễn trừ hợp pháp, điều kiện áp dụng và những rủi ro cần tránh, giúp Quý doanh nghiệp an tâm triển khai các hoạt động kinh doanh quốc tế.

Khi nào doanh nghiệp được miễn lập hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài?

Việc xác định đúng trường hợp ngoại lệ giúp doanh nghiệp giảm bớt gánh nặng hành chính đáng kể. Dưới đây là phân tích chi tiết từng nhóm đối tượng được miễn trừ:

1. Hoạt động nghiệp vụ và công vụ đặc thù

• Cơ quan nhà nước có thẩm quyền: Việc chuyển dữ liệu phục vụ mục đích công vụ, ngoại giao, an ninh quốc phòng được thực hiện theo quy trình riêng, không thuộc phạm vi điều chỉnh của thủ tục này.
• Hoạt động báo chí, truyền thông: Để đảm bảo tự do báo chí, các hoạt động chuyển dữ liệu phục vụ mục đích tin tức, báo chí theo quy định pháp luật được miễn trừ (Điểm a Khoản 3 Điều 17 Nghị định 356).

2. Tình huống khẩn cấp và lợi ích thiết thân của chủ thể

Pháp luật ưu tiên bảo vệ con người trên hết. Do đó, trong các trường hợp cấp bách như:

• Cần chuyển hồ sơ bệnh án ra nước ngoài để cấp cứu, khám chữa bệnh kịp thời.
• Chuyển thông tin để cứu hộ, cứu nạn, bảo vệ tính mạng, sức khỏe, tài sản trong thiên tai, thảm họa.

Doanh nghiệp hoặc tổ chức thực hiện việc chuyển dữ liệu này sẽ không phải lập hồ sơ đánh giá tác động.

3. Các hoạt động giao dịch thông thường

Để không gây cản trở dòng chảy thương mại và nhu cầu cá nhân, Nghị định 356/2025/NĐ-CP (Điểm đ Khoản 3 Điều 17) đã quy định rõ các trường hợp miễn trừ thực tiễn sau:

• Chuyển dữ liệu để thực hiện hợp đồng vận chuyển hành khách, hàng hóa quốc tế (vé máy bay, vận đơn tàu biển…).
• Chuyển thông tin để đặt phòng khách sạn, tour du lịch, dịch vụ nghỉ dưỡng quốc tế.
• Chuyển dữ liệu phục vụ thanh toán quốc tế, chuyển tiền ngân hàng.
• Hồ sơ xin thị thực (visa), du học, học bổng.

Nếu doanh nghiệp của bạn hoạt động trong lĩnh vực logistics, du lịch hay tư vấn du học, đây là thông tin pháp lý cực kỳ quan trọng. Tuy nhiên, cần lưu ý rằng sự miễn trừ này chỉ áp dụng cho việc chuyển dữ liệu cần thiết để thực hiện giao dịch cụ thể, không phải là “tấm kim bài” để chuyển toàn bộ cơ sở dữ liệu khách hàng ra nước ngoài cho mục đích khác.

Lưu trữ dữ liệu trên Cloud quốc tế có phải là trường hợp ngoại lệ?

Đây là điểm mới và rất “thoáng” của Luật 2025 so với các quy định cũ. Quy định này tháo gỡ khó khăn cho hàng ngàn doanh nghiệp đang sử dụng các giải pháp quản trị nhân sự (HRM), email, lưu trữ (Google Workspace, Microsoft 365, AWS…) có máy chủ tại nước ngoài.

Lưu ý quan trọng từ DPVN: Quy định miễn trừ này CHỈ áp dụng cho dữ liệu của người lao động nội bộ. Nếu doanh nghiệp lưu trữ dữ liệu của khách hàng (Customer Data) trên Cloud quốc tế, hành vi này vẫn được coi là chuyển dữ liệu xuyên biên giới và BẮT BUỘC phải lập hồ sơ đánh giá tác động theo quy định. Để hiểu rõ hơn, Quý vị có thể tham khảo bài viết Lưu trữ đám mây nước ngoài có phải là chuyển dữ liệu xuyên biên giới không?.

Doanh nghiệp nhỏ và Startup có được hưởng chế độ “ân hạn” không?

Chính sách này nhằm hỗ trợ các doanh nghiệp non trẻ tập trung nguồn lực phát triển kinh doanh. Tuy nhiên, sự miễn trừ này KHÔNG tuyệt đối. Doanh nghiệp sẽ MẤT quyền miễn trừ này ngay lập tức nếu rơi vào một trong các trường hợp sau:

• Kinh doanh dịch vụ xử lý dữ liệu cá nhân.
• Trực tiếp xử lý dữ liệu cá nhân nhạy cảm.
• Xử lý dữ liệu cá nhân với quy mô lớn (từ 100.000 chủ thể dữ liệu trở lên).

Ví dụ: Một Startup công nghệ (Fintech) mới thành lập 1 năm nhưng thu thập dữ liệu sinh trắc học (eKYC) của khách hàng. Dù là startup, họ vẫn phải tuân thủ đầy đủ quy trình lập hồ sơ vì đang xử lý dữ liệu nhạy cảm. Quý vị có thể tìm hiểu thêm chi tiết tại bài viết Doanh nghiệp nào được miễn trừ lập hồ sơ đánh giá tác động xử lý dữ liệu?.

Chủ thể tự chuyển dữ liệu của mình: Có cần làm thủ tục gì không?

Quy định này tôn trọng quyền tự quyết của cá nhân đối với dữ liệu của chính mình. Ví dụ, một cá nhân tự gửi hồ sơ xin việc (CV) cho một công ty ở Mỹ, hoặc tự đăng tải hình ảnh cá nhân lên máy chủ Facebook tại nước ngoài. Hành vi này hoàn toàn do cá nhân chủ động thực hiện và không yêu cầu bất kỳ thủ tục hành chính nào.

Tuy nhiên, doanh nghiệp cần phân biệt rõ: Nếu doanh nghiệp thu thập dữ liệu của cá nhân đó rồi chuyển đi (dù được cá nhân đồng ý), thì đó là hành vi chuyển dữ liệu của tổ chức và VẪN PHẢI lập hồ sơ (trừ khi thuộc các ngoại lệ khác đã nêu ở trên).

Doanh nghiệp cần làm gì để chứng minh mình thuộc trường hợp ngoại lệ?

Mặc dù được miễn nộp hồ sơ lên Bộ Công an, nhưng doanh nghiệp vẫn phải chịu trách nhiệm về tính hợp pháp của hoạt động chuyển dữ liệu. DPVN khuyến nghị Quý doanh nghiệp nên thực hiện các bước sau để “phòng bệnh hơn chữa bệnh”:

• Rà soát nội bộ: Lập danh sách các luồng dữ liệu chuyển ra nước ngoài và đối chiếu với các điều kiện miễn trừ.
• Lưu trữ tài liệu: Giữ lại hợp đồng vận chuyển, hợp đồng lao động, quyết định thành lập (đối với startup)… làm bằng chứng.
• Tham vấn chuyên gia: Nếu không chắc chắn, hãy tham khảo ý kiến luật sư hoặc đơn vị tư vấn chuyên nghiệp. Ranh giới giữa “được miễn” và “phải nộp” đôi khi rất mong manh.

Câu hỏi thường gặp (FAQ)

Nguồn tham khảo:

• Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
• Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều của Luật Bảo vệ dữ liệu cá nhân.
• Bộ Công an: Hướng dẫn thi hành Luật An ninh mạng và bảo vệ dữ liệu cá nhân.
• DPVN: Tổng hợp các bài viết chuyên sâu về tuân thủ pháp luật dữ liệu.
• GDPR.eu: Các nguyên tắc bảo vệ dữ liệu và chuyển dữ liệu quốc tế (tham khảo so sánh).