Yêu Cầu Về Hợp Đồng Chuyển Giao Dữ Liệu Cá Nhân Xuyên Biên Giới

Yêu cầu về hợp đồng chuyển giao dữ liệu cá nhân xuyên biên giới là một trong những nội dung quan trọng nhất mà doanh nghiệp cần tuân thủ khi thực hiện các hoạt động kinh doanh quốc tế theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. DPVN sẽ giúp bạn nắm rõ các điều khoản bắt buộc phải có trong hợp đồng, cách phân biệt chuyển giao với mua bán trái phép và xây dựng cơ chế bảo vệ an toàn tối đa cho dòng chảy dữ liệu của doanh nghiệp.

Tại sao hợp đồng chuyển giao dữ liệu lại quan trọng trong hồ sơ đánh giá tác động?

Trong quá trình tư vấn cho các doanh nghiệp đa quốc gia, DPVN nhận thấy nhiều đơn vị thường chủ quan, chỉ sử dụng các mẫu hợp đồng thương mại thông thường hoặc thỏa thuận nội bộ (NDA) sơ sài. Điều này là vô cùng rủi ro. Theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, khi dữ liệu ra khỏi biên giới, quyền kiểm soát của cơ quan chức năng Việt Nam sẽ gặp hạn chế. Do đó, Hợp đồng chuyển giao chính là “cánh tay nối dài” của luật pháp, buộc bên nhận ở nước ngoài phải tuân thủ các chuẩn mực bảo vệ dữ liệu của Việt Nam.

Hơn nữa, nếu xảy ra sự cố lộ lọt dữ liệu tại phía đối tác nước ngoài, hợp đồng chặt chẽ sẽ là “lá chắn” giúp doanh nghiệp Việt Nam giảm thiểu trách nhiệm liên đới, tránh các mức phạt vi phạm hành chính lên tới 5% doanh thu.

Những nội dung bắt buộc phải có trong hợp đồng chuyển giao dữ liệu là gì?

Để hợp đồng của Quý doanh nghiệp được cơ quan chức năng chấp thuận ngay trong lần thẩm định đầu tiên, DPVN khuyến nghị chi tiết hóa các điều khoản sau:

1. Mục đích và Phạm vi chuyển giao

Phải ghi rõ dữ liệu được chuyển đi để làm gì (ví dụ: “để thực hiện dịch vụ tính lương”, “lưu trữ đám mây”). Tuyệt đối tránh các cụm từ chung chung như “phục vụ mục đích kinh doanh”. Đồng thời, liệt kê cụ thể các trường thông tin (Họ tên, SĐT, Email…) được phép chuyển. Điều này giúp tuân thủ nguyên tắc bảo vệ dữ liệu cá nhân về hạn chế mục đích và tối thiểu hóa dữ liệu.

2. Biện pháp bảo vệ và An ninh dữ liệu

Đây là phần quan trọng nhất về mặt kỹ thuật. Hợp đồng cần quy định rõ Bên Nhận phải áp dụng các biện pháp như mã hóa (Encryption), khử nhận dạng (De-identification) theo tiêu chuẩn quốc tế. Đặc biệt, nếu chuyển dữ liệu cá nhân nhạy cảm, khoản 2 Điều 7 Nghị định 356 yêu cầu bắt buộc phải có biện pháp bảo mật vật lý thiết bị lưu trữ và truyền tải.

3. Quyền và Nghĩa vụ của các bên

Cần làm rõ trách nhiệm của Bên Nhận trong việc hỗ trợ Bên Chuyển đáp ứng các yêu cầu của chủ thể dữ liệu (như quyền xem, chỉnh sửa, xóa dữ liệu). Ví dụ: “Bên Nhận cam kết thực hiện yêu cầu xóa dữ liệu của chủ thể trong vòng 24 giờ sau khi nhận được thông báo từ Bên Chuyển”.

4. Điều khoản về chuyển giao tiếp (Onward Transfer)

Quy định chặt chẽ việc Bên Nhận có được phép chuyển tiếp dữ liệu cho một bên thứ ba khác hay không. Nếu có, phải đảm bảo bên thứ ba đó cũng tuân thủ các nghĩa vụ bảo vệ tương đương và phải có sự đồng ý của Bên Chuyển (hoặc chủ thể dữ liệu).

Làm thế nào để phân biệt hợp đồng chuyển giao và mua bán dữ liệu?

Hành vi mua bán dữ liệu cá nhân là hành vi bị nghiêm cấm theo Điều 7 Luật Bảo vệ dữ liệu cá nhân (trừ trường hợp luật định). Tuy nhiên, thực tế có nhiều hoạt động chuyển giao dữ liệu kèm theo phí dịch vụ (ví dụ: thuê dịch vụ phân tích dữ liệu, làm sạch dữ liệu). Để tránh rủi ro pháp lý, hợp đồng của bạn cần thể hiện rõ:

• Bên Nhận chỉ được xử lý dữ liệu theo chỉ đạo của Bên Chuyển, không được sử dụng cho mục đích riêng.
• Bên Nhận không có quyền sở hữu đối với tập dữ liệu đó.
• Phí thanh toán là phí dịch vụ xử lý, không phải giá trị của dữ liệu.

Nếu Quý doanh nghiệp đang băn khoăn về ranh giới này, hãy tham khảo bài viết Phân biệt chuyển giao và mua bán dữ liệu cá nhân xuyên biên giới để có cái nhìn chi tiết hơn.

Mẫu hợp đồng nào được chấp nhận khi nộp hồ sơ cho Bộ Công an?

Nhiều tập đoàn đa quốc gia thường sử dụng mẫu SCCs của EU (GDPR) cho toàn cầu. Tuy nhiên, DPVN lưu ý rằng Luật Việt Nam có những yêu cầu đặc thù (ví dụ: quy định về dữ liệu nhạy cảm rộng hơn, thời hạn báo cáo vi phạm 72h…). Do đó, việc chỉ đơn thuần dịch SCCs sang tiếng Việt là chưa đủ.

Doanh nghiệp cần xây dựng hoặc rà soát lại hợp đồng dựa trên Thỏa thuận bảo vệ dữ liệu cá nhân giữa bên kiểm soát và bên xử lý dữ liệu cá nhân, đảm bảo tích hợp đầy đủ các yêu cầu của Nghị định 356/2025/NĐ-CP.

Các lưu ý “vàng” khi đàm phán hợp đồng với đối tác nước ngoài

Một thực tế là các đối tác lớn (Google, AWS, Microsoft…) thường áp dụng mẫu hợp đồng “chuẩn” và khó thay đổi. Trong trường hợp này, doanh nghiệp cần bổ sung các Phụ lục xử lý dữ liệu (Data Processing Addendum – DPA) để nội địa hóa các yêu cầu. Đối với các đối tác nhỏ hơn, doanh nghiệp nên chủ động soạn thảo hợp đồng để nắm quyền kiểm soát.

Câu hỏi thường gặp (FAQ)

Nguồn tham khảo:

• Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết một số điều của Luật Bảo vệ dữ liệu cá nhân.
• Bộ Công an: Hướng dẫn về bảo vệ an ninh mạng và dữ liệu cá nhân.
• DPVN: Các bài viết chuyên sâu về hợp đồng và tuân thủ pháp luật dữ liệu.
• GDPR.eu: Standard Contractual Clauses (SCCs).