Chuyển dữ liệu cá nhân xuyên biên giới

Trong bối cảnh toàn cầu hóa và hội nhập kinh tế quốc tế, việc chuyển dữ liệu cá nhân xuyên biên giới là yêu cầu cần thiết để thúc đẩy hoạt động kinh doanh. Đây cũng là xu hướng tất yếu trong thời đại số hóa. Tuy nhiên, vấn đề này tiềm ẩn nhiều rủi ro về quyền riêng tư và bảo mật. Do đó, đòi hỏi các doanh nghiệp phải tuân thủ nghiêm ngặt các quy định pháp luật.

Trong phạm vi bài viết này, Luật Kỳ Vọng Việt sẽ làm rõ các quy định của Luật Bảo vệ dữ liệu cá nhân 2025 về chuyển dữ liệu cá nhân xuyên biên giới và trách nhiệm của doanh nghiệp.

1. Chuyển dữ liệu cá nhân xuyên biên giới là gì?

Căn cứ: Khoản 1 Điều 20 Luật Bảo vệ dữ liệu cá nhân 2025

a) Định nghĩa:

Chuyển dữ liệu cá nhân xuyên biên giưới là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam

b) Các trường hợp chuyển dữ liệu cá nhân xuyên biên giới:

Dữ liệu cá nhân được chuyển xuyên biên giới qua các hình thức sau:

Chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam;
Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho tổ chức, cá nhân ở nước ngoài;
Cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam.

2. Điều kiện chuyển dữ liệu cá nhân xuyên biên giới

Căn cứ: Khoản 2 Điều 20 Luật Bảo vệ dữ liệu cá nhân 2025

Chuyển dữ liệu cá nhân xuyên biên giới được quy định như sau:

“Cơ quan, tổ chức, cá nhân chuyển dữ liệu cá nhân xuyên biên giới thực hiện các hoạt động quy định tại khoản 1 Điều này phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và gửi 01 bản chính cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời gian 60 ngày kể từ ngày đầu tiên chuyển dữ liệu cá nhân xuyên biên giới, trừ trường hợp quy định tại khoản 6 Điều này.

Bên chuyển dữ liệu xuyên biên giới bao gồm:

Bên Kiểm soát dữ liệu cá nhân
Bên Kiểm soát và xử lý dữ liệu cá nhân
Bên Xử lý dữ liệu cá nhân
Bên thứ ba

Như vậy, theo quy định nêu trên thì điều kiện để dữ liệu cá nhân của công dân Việt Nam được chuyển xuyên biên giới là Bên chuyển dữ liệu ra nước ngoài phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Căn cứ: Khoản 2 Điều 25 Nghị định 13/2023/NĐ-CP

Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, gồm:

Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;
Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
Sự đồng ý của chủ thể dữ liệu trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;
Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.

Lưu ý:

Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Bên chuyển dữ liệu ra nước ngoài gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định 13/2023/NĐ-CP. Hồ sơ phải gửi trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
Bên chuyển dữ liệu thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.

4. Các trường hợp không phải đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Căn cứ: Khoản 6 Điều 20 Luật Bảo vệ dữ liệu cá nhân 2025

Các trường hợp không phải thực hiện quy định về đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới bao gồm:

Việc chuyển dữ liệu cá nhân xuyên biên giới của cơ quan nhà nước có thẩm quyền;
Cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây;
Chủ thể dữ liệu cá nhân tự chuyển dữ liệu cá nhân của mình xuyên biên giới;
Các trường hợp khác theo quy định của Chính phủ.

5. Trách nhiệm của doanh nghiệp khi chuyển dữ liệu cá nhân xuyên biên giới

Doanh nghiệp khi chuyển dữ liệu cá nhân xuyên biên giới phải tuân thủ các trách nhiệm sau:

a) Bảo đảm quyền lợi của chủ thể dữ liệu

Doanh nghiệp cần bảo đảm quyền của chủ thể dữ liệu, bao gồm:

Quyền được biết về hoạt động xử lý dữ liệu cá nhân của mình
Quyền được đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân của mình. (Trừ trường hợp quy định tại Điều 17 Nghị định 13/2023/NĐ-CP)
Quyền được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình
Quyền được rút lại sự đồng ý của mình
Quyền được xóa hoặc yêu cầu xóa dữ liệu cá nhân của mình

Quyền được yêu cầu hạn chế xử lý dữ liệu cá nhân của mình
Quyền được yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp cho bản thân dữ liệu cá nhân của mình
Quyền được phản đối Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân xử lý dữ liệu cá nhân của mình nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc sử dụng cho mục đích quảng cáo, tiếp thị
Quyền khiếu nại theo quy định của pháp luật
Quyền tố cáo theo quy định của pháp luật
Quyền khởi kiện theo quy định của pháp luật
Quyền yêu cầu bồi thường khi xảy ra vi phạm về bảo vệ dữ liệu cá nhân của mình. Trừ trường hợp các bên có thỏa thuận khác hoặc luật có quy định khác.
Quyền tự bảo vệ

Lưu ý: Doanh nghiệp cần bảo đảm quyền nêu trên của chủ thể dữ liệu, trừ trường hợp luật có quy định khác

b) Bảo mật và an toàn dữ liệu

Áp dụng các biện pháp kỹ thuật và quản lý phù hợp để bảo vệ dữ liệu cá nhân khỏi nguy cơ mất mát, rò rỉ hoặc truy cập trái phép trong quá trình chuyển giao và lưu trữ.
Thường xuyên kiểm tra và nâng cấp hệ thống an ninh mạng để đảm bảo an toàn dữ liệu.

c) Xử lý vi phạm

Trường hợp phát hiện xảy ra vi phạm doanh nghiệp có trách nhiệm:

Thông báo cho Bộ Công an chậm nhất 72 giờ sau khi xảy ra hành vi vi phạm. Trường hợp thông báo sau 72 giờ thì phải kèm theo lý do thông báo chậm, muộn.
Khắc phục hậu quả và bồi thường thiệt hại cho chủ thể dữ liệu theo quy định của pháp luật.

6. Khuyến nghị cho doanh nghiệp

Để đảm bảo tuân thủ các quy định pháp luật về chuyển dữ liệu cá nhân ra nước ngoài, doanh nghiệp nên:

a) Xây dựng chính sách và quy trình nội bộ

Thiết lập các chính sách và quy trình cụ thể về quản lý và chuyển giao dữ liệu cá nhân.
Phân công trách nhiệm rõ ràng giữa các bộ phận liên quan

b) Đào tạo nhân viên

Tổ chức đào tạo nhằm nâng cao nhận thức của nhân viên về bảo vệ dữ liệu cá nhân.
Đảm bảo nhân viên hiểu hậu quả pháp lý của việc vi phạm quy định về dữ liệu cá nhân.

c) Kiểm tra và đánh giá định kỳ

Thường xuyên kiểm tra, đánh giá hệ thống bảo mật và các quy trình xử lý dữ liệu để phát hiện và khắc phục kịp thời các rủi ro.
Thực hiện kiểm toán độc lập nếu cần thiết.

Việc chuyển dữ liệu cá nhân ra nước ngoài không chỉ là một hoạt động mang tính kỹ thuật mà còn liên quan mật thiết đến quyền lợi của chủ thể dữ liệu và uy tín của doanh nghiệp. Do đó, tuân thủ đúng các quy định pháp luật sẽ giúp doanh nghiệp vừa đáp ứng nhu cầu kinh doanh, vừa bảo vệ quyền lợi của khách hàng và giảm thiểu rủi ro pháp lý.

Trên đây là nội dung tư vấn về Chuyển dữ liệu cá nhân ra nước ngoài. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với chúng tôi để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Hotline: 090.225.5492