CẨM NANG PHÁP LUẬT, TIN PHÁP LUẬT

Thủ tục, yêu cầu hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

17
Jan

Trong bối cảnh chuyển đổi số và hội nhập quốc tế ngày càng sâu rộng, việc chuyển dữ liệu cá nhân xuyên biên giới đã trở thành hoạt động phổ biến của nhiều doanh nghiệp, tổ chức tại Việt Nam. Tuy nhiên, để bảo đảm quyền riêng tư của chủ thể dữ liệu cũng như tuân thủ quy định pháp luật, pháp luật Việt Nam hiện hành yêu cầu các bên liên quan phải thực hiện đánh giá tác động của việc chuyển dữ liệu cá nhân xuyên biên giới trước khi tiến hành.

Bài viết dưới đây VDPC sẽ làm rõ thủ tục thực hiện, yêu cầu về hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, cũng như những lưu ý quan trọng giúp doanh nghiệp, tổ chức hạn chế rủi ro pháp lý và bảo đảm tuân thủ đúng quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Căn cứ pháp lý:

1. Dữ liệu cá nhân được xử lý

Dữ liệu cá nhân là dữ liệu số hoặc thông tin xác định hoặc giúp xác định một con người cụ thể, bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm

(1) Dữ liệu cá nhân cơ bản : Là dữ liệu cá nhân phản ánh các yếu tố nhân thân, lai lịch phổ biến, thường xuyên sử dụng trong các giao dịch, quan hệ xã hội, thuộc danh mục do Chính phủ ban hành. Bao gồm :

  • Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có)
  • Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích
  • Giới tính
  • Nơi sinh, nơi đăng ký khai sinh, nơi đăng ký thường trú, nơi đăng ký tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ
  • Quốc tịch
  • Hình ảnh của cá nhân
  • Số điện thoại, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe
  • Tình trạng hôn nhân
  • Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ, chồng)
  • Thông tin về tài khoản số của cá nhân
  • Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc dữ liệu cá nhân nhạy cảm

(2) Dữ liệu cá nhân nhạy cảm : là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân, khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp đến quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, thuộc danh mục do Chính phủ ban hành. Bao gồm : 

  • Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc
  • Quan điểm về chính trị, tôn giáo, tín ngưỡng
  • Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình
  • Tình trạng sức khỏe
  • Dữ liệu sinh trắc học, đặc điểm di truyền
  • Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân
  • Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật
  • Vị trí của cá nhân được xác định qua dịch vụ định vị
  • Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân; hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân
  • Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng; thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng; thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác
  • Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng
  • Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ.

2. Thời điểm lập và nộp hồ sơ

Cơ quan, tổ chức, cá nhân chuyển dữ liệu cá nhân xuyên biên giới phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và gửi 01 bản chính cho cơ quan chuyên trách trong thời gian 60 ngày kể từ ngày đầu tiên chuyển dữ liệu cá nhân xuyên biên giới, trừ trường hợp không phải thực hiện quy định về đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

3. Các trường hợp chuyển dữ liệu cá nhân xuyên biên giới

  • Chuyển dữ liệu cá nhân đang lưu trữ tại Việt Nam đến hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam
  • Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho tổ chức, cá nhân ở nước ngoài
  • Cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài sử dụng nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam

4. Trường hợp không phải thực hiện quy định về đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới 

  • Việc chuyển dữ liệu cá nhân xuyên biên giới của cơ quan nhà nước có thẩm quyền;
  • Cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây
  • Chủ thể dữ liệu cá nhân tự chuyển dữ liệu cá nhân của mình xuyên biên giới
  • Các trường hợp khác theo quy định của Chính phủ.

5. Thông tin yêu cầu cung cấp trong hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới bao gồm các nội dung:

  • Thông tin và chi tiết liên lạc của bên chuyển dữ liệu cá nhân, bên nhận dữ liệu cá nhân, bên xử lý dữ liệu cá nhân và các bên khác có liên quan đến hoạt động chuyển dữ liệu cá nhân xuyên biên giới;
  • Chi tiết liên lạc của bộ phận, nhân sự bảo vệ dữ liệu cá nhân; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có) của bên chuyển dữ liệu cá nhân, bên nhận dữ liệu cá nhân;
  • Mô tả và luận giải mục đích chuyển dữ liệu cá nhân xuyên biên giới, loại dữ liệu cá nhân chuyển xuyên biên giới, chi tiết các hoạt động chuyển và xử lý dữ liệu cá nhân xuyên biên giới và sơ đồ luồng xử lý dữ liệu cá nhân;
  • Mô tả và luận giải về việc thực hiện xin sự đồng ý của chủ thể dữ liệu cá nhân, chính sách lưu trữ, xóa, hủy dữ liệu cá nhân;

Ngoài ra còn có các nội dung khác như:

  • Phương án bảo đảm an toàn dữ liệu cá nhân sau khi chuyển xuyên biên giới, các biện pháp bảo vệ dữ liệu cá nhân, tiêu chuẩn bảo vệ dữ liệu cá nhân được áp dụng;
  • Sơ đồ hệ thống, mô tả tính năng của hệ thống lưu trữ, xử lý dữ liệu cá nhân sau khi tiếp nhận dữ liệu cá nhân xuyên biên giới;
  • Quy trình về việc bên tiếp nhận dữ liệu cá nhân xuyên biên giới chuyển giao, cung cấp dữ liệu cá nhân cho bên thứ ba;
  • Kết quả tự đánh giá tuân thủ quy định về bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có hoạt động chuyển dữ liệu cá nhân xuyên biên giới;
  • Đánh giá mức độ bảo vệ dữ liệu cá nhân của bên nhận dữ liệu cá nhân; mức độ ảnh hưởng, rủi ro của việc chuyển và xử lý dữ liệu cá nhân xuyên biên giới; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, rủi ro đó.

6. Tài liệu cần chuẩn bị trong hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Căn cứ quy định về bảo vệ dữ liệu cá nhân, hồ sơ tác động chuyển dữ liệu cá nhân xuyên biên giới của bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân khi lập, lưu trữ và nộp cho cơ quan có thẩm quyền phải bao gồm các tài liệu sau:

  • Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới
  • Bản sao hợp đồng hoặc văn bản chuyển giao dữ liệu cá nhân thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân xuyên biên giới

Chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan về bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có hoạt động chuyển dữ liệu cá nhân xuyên biên giới

7. Các bước lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Để lập hồ sơ tác động chuyển dữ liệu cá nhân xuyên biên giới, công ty cần thực hiện đầy đủ các bước sau:

Bước 1: Chuẩn bị mẫu hồ sơ và truy cập hệ thống nộp hồ sơ.

Tổ chức, doanh nghiệp truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân theo thông báo của Bộ Công an để tiếp cận biểu mẫu. Trường hợp không thực hiện trực tuyến, có thể tải và in mẫu biểu phù hợp dựa theo Nghị định 356/2025/NĐ-CP.

Bước 2: Khai báo nội dung hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Doanh nghiệp tiến hành điền đầy đủ các nội dung yêu cầu trong mẫu

Bước 3: Lưu trữ và nộp

Tiến hành lưu trữ trong nội bộ công ty, và gửi 01 bản hồ sơ qua Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân hoặc gửi hồ sơ, mẫu đơn đã khai thông tin về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an

Bước 4: Tiếp nhận và xử lý từ phía cơ quan chức năng.

  • Trong thời hạn 15 ngày, cơ quan chuyên trách sẽ đánh giá và thông báo kết quả xác nhận hồ sơ đạt yêu cầu hoặc chưa đạt yêu cầu
  • Nếu hồ sơ chưa đầy đủ hoặc không đúng quy định, cơ quan chức năng sẽ yêu cầu Bên Kiểm soát, Bên Xử lý hoặc Bên Kiểm soát và xử lý dữ liệu cá nhân thực hiện bổ sung, hoàn thiện trong thời hạn 30 ngày.

Nơi nộp hồ sơ: Có thể nộp theo ba phương thức chính

+ Nộp trực tiếp: tại Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an.

+ Nộp trực tuyến: truy cập Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân (theo thông báo của Bộ Công an)

+ Dịch vụ bưu chính: tiếp nhận hồ sơ qua dịch vụ bưu chính công ích

8. Trường hợp cập nhật hồ sơ định kỳ

Hồ sơ chuyển dữ liệu cá nhân xuyên biên giới và hồ sơ đánh giá tác động xử lý dữ liệu cá nhân được cập nhật định kỳ 06 tháng kể từ lần đầu nộp hồ sơ trong các trường hợp sau:

  • Khi phát sinh mục đích chuyển dữ liệu cá nhân mới, mục đích xử lý dữ liệu cá nhân mới
  • Khi phát sinh hoặc thay đổi bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, bên xử lý dữ liệu cá nhân, bên thứ ba.

9. Các trường hợp thay đổi cần cập nhật ngay trong thời hạn 10 ngày 

Các trường hợp thay đổi cần cập nhật ngay trong thời hạn 10 ngày bao gồm:

  • Khi cơ quan, tổ chức, đơn vị được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật
  • Khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân
  • Khi phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký trong hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

Việc cập nhật hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới được thực hiện theo Mẫu số 03a/03b tại Phụ lục của Nghị định 356/2025/NĐ-CP, nộp bằng phương thức trực tuyến hoặc trực tiếp hoặc qua dịch vụ bưu chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân

10. Hệ quả pháp lý nếu không tuân thủ

Trong trường hợp lập hồ sơ tác động chuyển dữ liệu cá nhân xuyên biên giới, nếu quá thời hạn nêu trên mà đơn vị vẫn không hoàn thiện hồ sơ theo đúng quy chuẩn, Cơ quan chuyên trách sẽ xem xét áp dụng các biện pháp xử phạt vi phạm hành chính theo quy định của pháp luật về bảo vệ dữ liệu cá nhân . Trong đó cụ thể:

  • Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó
  • Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định thì áp dụng mức phạt tiền tối đa là 03 tỷ đồng
  • Mức phạt tiền tối đa quy định được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai mức phạt tiền đối với tổ chức 

KẾT LUẬN

Việc thực hiện đúng thủ tục và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới không chỉ là nghĩa vụ pháp lý mà còn là biện pháp quan trọng giúp doanh nghiệp nâng cao mức độ tuân thủ, bảo vệ quyền và lợi ích hợp pháp của chủ thể dữ liệu. Trong bối cảnh công tác quản lý và thanh tra về bảo vệ dữ liệu cá nhân ngày càng được siết chặt, việc chuẩn bị hồ sơ đầy đủ, đúng quy định sẽ giúp tổ chức, doanh nghiệp giảm thiểu rủi ro và tránh các chế tài không đáng có.

Trên đây là Thủ tục, yêu cầu hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới. Nếu bạn còn thắc mắc liên quan đến vấn đề này. Hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm: