Điều kiện Chuyển dữ liệu cá nhân xuyên biên giới và Trách nhiệm của Công ty dùng hệ thống Quản lý quan hệ khách hàng có máy chủ ở nước ngoài

Trong kỷ nguyên số, việc các công ty sử dụng các dịch vụ công nghệ toàn cầu như Hệ thống Quản lý quan hệ khách hàng với máy chủ đặt ở nước ngoài là vô cùng phổ biến. Tuy nhiên, hành động này ngầm định là một hoạt động chuyển dữ liệu cá nhân xuyên biên giới và phải tuân thủ nghiêm ngặt quy định pháp luật, nhất là Luật Bảo vệ dữ liệu cá nhân được ban hành trong năm 2025.

Bài viết này Luật Kỳ Vọng Việt sẽ đi sâu phân tích các điều kiện chuyển dữ liệu cá nhân xuyên biên giới theo quy định mới, đồng thời làm rõ trách nhiệm cụ thể của các Công ty sử dụng hệ thống Quản lý quan hệ khách hàng có máy chủ ở nước ngoài.

Căn cứ pháp lý: Điều 2, 3, 6, 7, 9, 20, 21 Luật Bảo vệ dữ liệu cá nhân 2025

1. TÌNH HUỐNG

 Cụ thể sự việc như sau:

• Nhân viên kinh doanh khi tham gia sự kiện, làm quen , thu thập thông tin khách hàng 
• Sau đó, nhân viên về lưu trên hệ thống Quản lý quan hệ khách của Công ty
• Hệ thống Quản lý quan hệ khách hàng công ty sử dụng là phần mềm có máy chủ ở nước ngoài

2. Vai trò của Công ty có hệ thống Quản lý quan hệ khách hàng

Công ty có hệ thống Quản lý quan hệ khách hàng là Bên Kiểm soát và xử lý dữ liệu cá nhân vì

1. Công ty này quyết định phương tiện xử lý dữ liệu cá nhân: Hệ thống Quản lý quan hệ khách hàng của Công ty, đây là hệ thống sử dụng phần mềm có máy chủ ở nước ngoài
2. Công ty có hành vi thu thập dữ liệu cá nhân, đây là một trong các hành vi xử lý dữ liệu cá nhân

3. Đối tượng bị tác động 

Dữ liệu cá nhân là dữ liệu số hoặc thông tin dưới dạng khác xác định hoặc giúp xác định một con người cụ thể, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm:

• Họ, chữ đệm, tên khai sinh, tên gọi khác của khách hàng
• Ngày, tháng, năm sinh của khách hàng
• Giới tính
• Nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ
• Quốc tịch
• Hình ảnh của cá nhân
• Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế
• Tình trạng hôn nhân
• Các thông tin khác liên quan

4. Hình thức đồng ý của chủ thể dữ liệu cá nhân

Sự đồng ý của chủ thể dữ liệu cá nhân chỉ có hiệu lực khi:

a. Có sự tự nguyện và biết rõ các thông tin

• Loại dữ liệu cá nhân được xử lý, mục đích xử lý dữ liệu cá nhân
• Thông tin về Bên kiểm soát và xử lý dữ liệu cá nhân
• Các quyền và nghĩa vụ của chủ thể dữ liệu cá nhân

b. Bảo đảm các nguyên tắc:

• Thể hiện sự đồng ý đối với từng mục đích;
• Không được kèm theo điều kiện bắt buộc phải đồng ý với các mục đích khác với nội dung thỏa thuận;
• Sự đồng ý có hiệu lực cho đến khi chủ thể dữ liệu cá nhân thay đổi sự đồng ý đó hoặc theo quy định của pháp luật;
• Sự im lặng hoặc không phản hồi không được coi là sự đồng ý.

c. Phải được thể hiện bằng phương thức rõ ràng, cụ thể, có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được. Tham khảo Khoản 3 Điều 11 Nghị định số 13/2023/NĐ-CP, do đó, sự đồng ý của khách hàng phải dưới các hình thức sau (ngoài hình thức lưu trữ bằng văn bản) :

• Giọng nói;
• Đánh dấu vào ô đồng ý;
• Cú pháp đồng ý qua tin nhắn;
• Chọn các thiết lập kỹ thuật đồng ý;
• Qua một hành động khác thể hiện được bằng văn bản

5. Trách nhiệm của Công ty trong Bảo vệ dữ liệu cá nhân khi chuyển dữ liệu cá nhân xuyên biên giới

5.1. Trách nhiệm với vai trò là Bên kiểm soát và xử lý dữ liệu cá nhân trong bảo vệ dữ liệu cá nhân

a. Đảm bảo tuân thủ đầy đủ nguyên tắc Bảo vệ dữ liệu cá nhân tại Điều 3 Luật Bảo vệ dữ liệu cá nhân năm 2025

• Tuân thủ quy định của Hiến pháp, quy định của Luật Bảo vệ dữ liệu cá nhân năm 2025 và quy định khác của pháp luật có liên quan.
• Chỉ được thu thập, xử lý dữ liệu cá nhân đúng phạm vi, mục đích cụ thể, rõ ràng, bảo đảm tuân thủ quy định của pháp luật.
• Bảo đảm tính chính xác của dữ liệu cá nhân và được chỉnh sửa, cập nhật, bổ sung khi cần thiết; được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân, trừ trường hợp pháp luật có quy định khác.
• Thực hiện đồng bộ có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.
• Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
• Bảo vệ dữ liệu cá nhân gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế – xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

b. Có trách nhiệm tuân thủ pháp luật Việt Nam, điều ước quốc tế mà nước Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên và thỏa thuận quốc tế về bảo vệ dữ liệu cá nhân trên cơ sở bình đẳng, cùng có lợi, tôn trọng độc lập, chủ quyền và toàn vẹn lãnh thổ

c. Không thực hiện hành vi bị cấm

• Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
• Cản trở hoạt động bảo vệ dữ liệu cá nhân.
• Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật
• Xử lý dữ liệu cá nhân trái quy định của pháp luật
• Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
• Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác
• Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân

d. Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi xử lý dữ liệu cá nhân của khách hàng trong thời hạn 60 ngày kể từ ngày đầu tiên xử lý dữ liệu cá nhân.

5.2. Trách nhiệm khi chuyển dữ liệu cá nhân xuyên biên giới : Công ty phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới khi chuyển dữ liệu cá nhân xuyên biên giới. Trong thời hạn 60 ngày kể từ ngày đầu tiên chuyển dữ liệu cá nhân xuyên biên giới

KẾT LUẬN

Việc chuyển dữ liệu cá nhân xuyên biên giới là một phần không thể thiếu của các doanh nghiệp hiện đại, đặc biệt là những doanh nghiệp sử dụng các nền tảng quản lý khách hàng quốc tế. Tuy nhiên, trách nhiệm của Công ty sử dụng hệ thống quản lý quan hệ khách hàng có máy chủ ở nước ngoài là phải đảm bảo việc chuyển giao này được thực hiện đúng và đủ các điều kiện pháp lý. 

Trên đây là Điều kiện Chuyển dữ liệu cá nhân xuyên biên giới và Trách nhiệm Công ty dùng hệ thống Quản lý quan hệ khách hàng có máy chủ ở nước ngoài. Nếu bạn còn thắc mắc liên quan đến vấn đề này. Hãy liên hệ với Luật Kỳ Vọng Việt để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm:

• Báo cáo pháp lý: Tuân thủ quy định bảo vệ dữ liệu cá nhân cho doanh nghiệp
• Trách nhiệm Bên xử lý dữ liệu với Dữ liệu quan trọng theo Luật Dữ liệu
• Bộ phận, cá nhân bảo vệ dữ liệu cá nhân 2025
• Doanh nghiệp nào phải nộp hồ sơ đánh giá tác động xử lý dữ liệu cá nhân?
• Lập quy trình bảo vệ dữ liệu cá nhân của doanh nghiệp thương mại điện tử
• Cảnh báo rủi ro: Doanh nghiệp cần làm gì để tuân thủ quy định bảo vệ dữ liệu cá nhân
• Trách nhiệm bảo vệ dữ liệu cá nhân của Trường mầm non độc lập
• Trách nhiệm bảo vệ dữ liệu cá nhân của Trường liên cấp
• Bảo vệ dữ liệu cá nhân của Văn phòng đại diện thương nhân nước ngoài tại Việt Nam
• Trách nhiệm bảo vệ dữ liệu cá nhân của Trung tâm nghệ thuật, MC