Chuyển dữ liệu cá nhân ra nước ngoài

Trong bối cảnh toàn cầu hóa và hội nhập kinh tế quốc tế, việc chuyển dữ liệu cá nhân ra nước ngoài không chỉ là yêu cầu cần thiết để thúc đẩy hoạt động kinh doanh mà còn là xu hướng tất yếu trong thời đại số hóa. Tuy nhiên, vấn đề này tiềm ẩn nhiều rủi ro về quyền riêng tư và bảo mật, đòi hỏi các doanh nghiệp phải tuân thủ nghiêm ngặt các quy định pháp luật.

Trong phạm vi bài viết này, Luật Kỳ Vọng Việt sẽ làm rõ các quy định của Nghị định 13/2023/NĐ-CP về chuyển dữ liệu cá nhân ra nước ngoài và trách nhiệm của doanh nghiệp.

1. Chuyển dữ liệu cá nhân ra nước ngoài là gì?

Căn cứ: Khoản 14 Điều 2 Nghị định 13/2023/NĐ-CP

a) Định nghĩa:

Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam

b) Các hình thức chuyển dữ liệu cá nhân ra nước ngoài:

Dữ liệu cá nhân được chuyển ra nước ngoài theo 02 hình thức như sau:

Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý;
Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.

2. Điều kiện chuyển dữ liệu cá nhân ra nước ngoài

Căn cứ: Khoản 1 Điều 25 Nghị định 13/2023/NĐ-CP

Chuyển dữ liệu cá nhân ra nước ngoài được quy định như sau:

“Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều này.

Bên chuyển dữ liệu ra nước ngoài bao gồm:

Bên Kiểm soát dữ liệu cá nhân
Bên Kiểm soát và xử lý dữ liệu cá nhân
Bên Xử lý dữ liệu cá nhân
Bên thứ ba

Như vậy, theo quy định nêu trên thì điều kiện để dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài là Bên chuyển dữ liệu ra nước ngoài phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.

3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài

Căn cứ: Khoản 2 Điều 25 Nghị định 13/2023/NĐ-CP

Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm:

Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;
Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
Sự đồng ý của chủ thể dữ liệu trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;
Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.

Lưu ý:

Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Bên chuyển dữ liệu ra nước ngoài gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định 13/2023/NĐ-CP. Hồ sơ phải gửi trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
Bên chuyển dữ liệu thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.

4. Trách nhiệm của doanh nghiệp khi chuyển dữ liệu cá nhân ra nước ngoài

Doanh nghiệp khi chuyển dữ liệu cá nhân ra nước ngoài phải tuân thủ các trách nhiệm sau:

a) Bảo đảm quyền lợi của chủ thể dữ liệu

Doanh nghiệp cần bảo đảm quyền của chủ thể dữ liệu, bao gồm:

Quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình
Quyền được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình. (Trừ trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP)
Quyền được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình
Quyền được rút lại sự đồng ý của mình
Quyền được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình

Quyền được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình
Quyền được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình
Quyền được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị
Quyền khiếu nại theo quy định của pháp luật
Quyền tố cáo theo quy định của pháp luật
Quyền khởi kiện theo quy định của pháp luật
Quyền yêu cầu bồi thường khi xảy ra vi phạm về bảo vệ dữ liệu cá nhân của mình. Trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
Quyền tự bảo vệ

Lưu ý: Doanh nghiệp cần bảo đảm quyền nêu trên của chủ thể dữ liệu, trừ trường hợp luật có quy định khác

b) Bảo mật và an toàn dữ liệu

Áp dụng các biện pháp kỹ thuật và quản lý phù hợp để bảo vệ dữ liệu cá nhân khỏi nguy cơ mất mát, rò rỉ hoặc truy cập trái phép trong quá trình chuyển giao và lưu trữ.
Thường xuyên kiểm tra và nâng cấp hệ thống an ninh mạng để đảm bảo an toàn dữ liệu.

c) Xử lý vi phạm

Trường hợp phát hiện xảy ra vi phạm doanh nghiệp có trách nhiệm:

Thông báo cho Bộ Công an chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn.
Khắc phục hậu quả và bồi thường thiệt hại cho chủ thể dữ liệu theo quy định của pháp luật.

4. Khuyến nghị cho doanh nghiệp

Để đảm bảo tuân thủ các quy định pháp luật về chuyển dữ liệu cá nhân ra nước ngoài, doanh nghiệp nên:

a) Xây dựng chính sách và quy trình nội bộ

Thiết lập các chính sách và quy trình cụ thể về quản lý và chuyển giao dữ liệu cá nhân.
Phân công trách nhiệm rõ ràng giữa các bộ phận liên quan

b) Đào tạo nhân viên

Tổ chức đào tạo nhằm nâng cao nhận thức của nhân viên về bảo vệ dữ liệu cá nhân.
Đảm bảo nhân viên hiểu hậu quả pháp lý của việc vi phạm quy định về dữ liệu cá nhân.

c) Kiểm tra và đánh giá định kỳ

Thường xuyên kiểm tra, đánh giá hệ thống bảo mật và các quy trình xử lý dữ liệu để phát hiện và khắc phục kịp thời các rủi ro.
Thực hiện kiểm toán độc lập nếu cần thiết.

Việc chuyển dữ liệu cá nhân ra nước ngoài không chỉ là một hoạt động mang tính kỹ thuật mà còn liên quan mật thiết đến quyền lợi của chủ thể dữ liệu và uy tín của doanh nghiệp. Do đó, tuân thủ đúng các quy định pháp luật sẽ giúp doanh nghiệp vừa đáp ứng nhu cầu kinh doanh, vừa bảo vệ quyền lợi của khách hàng và giảm thiểu rủi ro pháp lý.

Trên đây là nội dung tư vấn về Chuyển dữ liệu cá nhân ra nước ngoài. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với chúng tôi để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Hotline: 090.225.5492