HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN THEO LUẬT BVDLCN 2025: QUY TRÌNH, THÀNH PHẦN VÀ LƯU Ý KHI CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI

Hướng dẫn chi tiết lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới (DTIA) theo Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN 2025): đối tượng áp dụng, quy trình, rủi ro và các sai lầm cần tránh khi chuyển dữ liệu cá nhân (DLCN) xuyên biên giới.

Hồ sơ DTIA là gì?

Hồ sơ DTIA là tài liệu phân tích và đánh giá các rủi ro tiềm ẩn trong quá trình chuyển DLCN ra khỏi lãnh thổ Việt Nam, nhằm áp dụng biện pháp giảm thiểu rủi ro và bảo vệ dữ liệu.

Theo Luật BVDLCN 2025, chuyển DLCN xuyên biên giới bao gồm các trường hợp: (a) Chuyển dữ liệu lưu trữ tại Việt Nam đến hệ thống ngoài lãnh thổ; (b) Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển cho tổ chức, cá nhân nước ngoài; (c) Sử dụng nền tảng ngoài lãnh thổ để xử lý DLCN thu thập tại Việt Nam.

Hồ sơ này không chỉ là thủ tục hành chính mà còn là công cụ để doanh nghiệp tự đánh giá và chứng minh việc chuyển dữ liệu tuân thủ pháp luật, tránh lạm dụng hoặc gây hại đến an ninh quốc gia.

Ai phải lập Hồ sơ DTIA theo Luật BVDLCN 2025?

Cơ quan, tổ chức, cá nhân thực hiện chuyển DLCN xuyên biên giới phải lập hồ sơ và gửi 01 bản chính cho cơ quan chuyên trách bảo vệ DLCN trong vòng 60 ngày kể từ ngày đầu tiên chuyển dữ liệu.

Tuy nhiên, có các trường hợp miễn trừ bao gồm: (a) Cơ quan nhà nước có thẩm quyền; (b) Lưu trữ DLCN của nhân viên trên dịch vụ điện toán đám mây; (c) Chủ thể DLCN tự chuyển dữ liệu của mình; (d) Các trường hợp khác do Chính phủ quy định.

Thành phần Hồ sơ DTIA

Luật BVDLCN 2025 không quy định chi tiết vấn đề này mà giao cho Chính phủ quy định, bao gồm thành phần hồ sơ, điều kiện, trình tự, thủ tục đánh giá. Tuy nhiên, tham khảo Nghị định 13/2023/NĐ-CP (Nghị định 13) và Quyết định 4660/QĐ-BCA-A05, Hồ sơ DTIA có thể sẽ bao gồm các nội dung như:

• Thông tin bên lập hồ sơ;
• Thông tin Bên nhận dữ liệu ở nước ngoài;
• Mục đích, hoạt động chuyển DLCN;
• Các loại DLCN chuyển;
• Thời gian xử lý, lưu trữ, xóa hủy DLCN;
• Các biện pháp tổ chức, kỹ thuật áp dụng;
• Đánh giá tác động chuyển DLCN và biện pháp khắc phục vấn đề; v.v.

Bên cạnh đó, các tài liệu đính kèm có thể bao gồm:

• Tài liệu thành lập, quyết định bổ nhiệm cán bộ, bộ phận bảo vệ DLCN của bên nhận DLCN;
• Hợp đồng giữa bên lập hồ sơ và bên nhận DLCN; v.v.

Cơ quan tiếp nhận Hồ sơ DTIA

Theo Nghị định 13, Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (A05) là cơ quan tiếp nhận Hồ sơ DTIA.

Theo Luật BVDLCN 2025,  cơ quan tiếp nhận hồ sơ là cơ quan chuyên trách bảo vệ DLCN. Tuy nhiên, hiện chưa có văn bản quy định cụ thể cơ quan nào sẽ đảm nhiệm vai trò này theo luật mới nhưng nhiều khả năng vẫn sẽ là A05.

Khi nào phải cập nhật Hô sơ DTIA?

Hồ sơ DTIA được cập nhật định kỳ 06 tháng khi có sự thay đổi. Trong các trường hợp sau thì cần cập nhật ngay:

• Khi cơ quan, tổ chức, đơn vị được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật;
• Khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;
• Khi phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký trong Hồ sơ DTIA.

Quy trình lập Hồ sơ DTIA

Bước 1: Xác định các hoạt động xử lý, chuyển DLCN của doanh nghiệp

• Mục đích xử lý và tính cần thiết của việc chuyển DLCN ra nước ngoài;
• Vai trò của doanh nghiệp trong hoạt động xử lý (Bên kiểm soát, Bên xử lý);
• Loại dữ liệu được chuyển giao (bao gồm dữ liệu cơ bản và dữ liệu nhạy cảm);
• Nhóm chủ thể dữ liệu (người lao động, ứng viên, khách hàng…);
• Cách thức thu thập, lưu trữ, xử lý, truyền tải và xóa dữ liệu;
• Xây dựng sơ đồ xử lý DLCN.

Bước 2: Phân tích rủi ro

Phân tích các rủi ro liên quan đến quyền riêng tư của cá nhân, bao gồm:

• Rò rỉ dữ liệu;
• Truy cập, chỉnh sửa trái phép;
• Mất kiểm soát dữ liệu, v.v.

Đánh giá hậu quả tiềm ẩn nếu xảy ra vi phạm và tác động đến quyền, lợi ích của chủ thể dữ liệu, các tác động đến vấn đề về kinh tế, xã hội, v.v.

Bước 3: Xác định và mô tả các biện pháp bảo vệ DLCN

Doanh nghiệp nêu rõ các biện pháp bảo vệ DLCN được áp dụng:

• Biện pháp tổ chức: chính sách nội bộ, đào tạo nhân viên, quy trình xử lý khi có vi phạm dữ liệu, v.v.
• Biện pháp kỹ thuật: mã hóa, phân quyền truy cập, bảo mật máy chủ, v.v.

Bước 4: Lập hồ sơ đánh giá tác động

Tiến hành lập hồ sơ theo mẫu. Hiện tại, doanh nghiệp thực hiện theo Mẫu số 25 ban hành kèm theo Quyết định 4660/QĐ-BCA-A05.

Bước 5: Nộp hồ sơ cho cơ quan có thẩm quyền

Tiến hành nộp trực tiếp hoặc qua Cổng thông tin quốc gia về bảo vệ DLCN. Tuy nhiên, hình thức nộp trực tuyến hiện nay vẫn chưa thực hiện được.

Những sai lầm cần tránh khi lập hồ sơ?

Doanh nghiệp nên lưu ý các điểm sau để tránh vi phạm quy định khi lập Hồ sơ DTIA:

• Không lập hồ sơ kịp thời: Phải hoàn thành trong vòng 60 ngày kể từ khi bắt đầu chuyển dữ liệu; chậm trễ có thể dẫn đến vi phạm và bị xử phạt hành chính với mức tối đa lên đến 5% doanh thu của năm trước liền kề của tổ chức đó hoặc 03 tỷ đồng, tùy theo mức nào lớn hơn;
• Không xác định đúng đối tượng áp dụng: Không xác định được hết các trường hợp phải lập hồ sơ khiến hồ sơ không đầy đủ, không phản ánh hết được các hoạt động chuyển DLCN của doanh nghiệp;
• Thiếu thông tin đầy đủ và chính xác: Không xác định được hết các mục đích chuyển dữ liệu, hoạt động xử lý DLCN ở nước ngoài, và các bên liên quan đến hoạt động chuyển dữ liệu;
• Bỏ qua cập nhật hồ sơ: Không rà soát và bổ sung khi có thay đổi trong hoạt động xử lý dữ liệu, dẫn đến hồ sơ lỗi thời và không phản ánh thực tế.

CÂU HỎI THƯỜNG GẶP

Doanh nghiệp đã lập hồ sơ theo Nghị định 13 thì có phải làm lại theo Luật BVDLCN 2025 không?

Theo Luật BVDLCN 2025, Hồ sơ DTIA lập theo quy định của Nghị định số 13 của Chính phủ đã được cơ quan chuyên trách bảo vệ dữ liệu cá nhân tiếp nhận trước ngày Luật BVDLCN 2025 có hiệu lực thi hành thì tiếp tục được sử dụng và không phải lập Hồ sơ DTIA theo quy định mới; việc cập nhật hồ sơ đã lập sau ngày Luật BVDLCN 2025 có hiệu lực thi hành thì thực hiện theo quy định của Luật BVDLCN 2025.

Nếu không nộp thì bị xử phạt hành chính ra sao?

Vi phạm sẽ có thể bị xử phạt hành chính tối đa lên đến 5% doanh thu năm trước liền kề của tổ chức (hoặc 3 tỷ đồng, tùy theo mức nào lớn hơn). Đối với cá nhân, mức phạt tối đa bằng ½ của tổ chức. Mức xử phạt chi tiết đối với từng trường hợp cụ thể sẽ được Chính phủ ban hành văn bản quy định chi tiết.

Đã lập Hồ sơ đánh giá tác động xử lý DLCN thì có phải làm Hồ sơ DTIA nữa hay không?

Có, đây là hai hồ sơ riêng biệt. Hồ sơ đánh giá tác động xử lý DLCN là cho toàn bộ quá trình xử lý dữ liệu, trong khi Hồ sơ DTIA chỉ dành cho chuyển dữ liệu ra nước ngoài.

Công ty chỉ có dữ liệu cơ bản của nhân viên gửi về công ty mẹ ở nước ngoài hàng tháng để báo cáo, vậy có phải lập hồ sơ này không?

Có, nếu gửi dữ liệu cơ bản (như nhân thân, lai lịch) của người lao động Việt Nam cho công ty mẹ nước ngoài, đây là chuyển DLCN xuyên biên giới. Tuy nhiên, nếu công ty chỉ lưu trữ trên đám mây của công ty mẹ mà không xử lý thêm/ cấp quyền truy cập cho công ty mẹ thì có thể được miễn trừ trách nhiệm này.

Tập đoàn/công ty mẹ có thể nộp chung một bộ hồ sơ cho cả tập đoàn được không?

Không. Mỗi đơn vị kiểm soát hoặc xử lý dữ liệu cá nhân (bao gồm công ty mẹ và các công ty con trong tập đoàn) được xem là một pháp nhân riêng biệt, chịu trách nhiệm độc lập về việc tuân thủ quy định. Do đó, mỗi pháp nhân phải lập Hồ sơ DTIA riêng dựa trên hoạt động chuyển dữ liệu xuyên biên giới cụ thể của mình. Bên cạnh đó, các công ty trong tập đoàn có thể có mục đích, phạm vi, và cách thức chuyển dữ liệu khác nhau. Hồ sơ DTIA cần phản ánh chính xác từng hoạt động xử lý, bao gồm mô tả, rủi ro, và biện pháp bảo vệ, không thể gộp chung một cách tổng quát.

#PDPL #DTIA #privacy #personaldata #admin #privacycompliance #A05 #dulieucanhan #danhgiatacdong #DLCN #HosoDTIA

Tuyên bố miễn trừ trách nhiệm: Thông tin trong tài liệu này chỉ có tính chất tham khảo, không cấu thành ý kiến tư vấn pháp lý chính thức. PrivacyCompliance không chịu trách nhiệm đối với mọi thiệt hại phát sinh từ việc sử dụng hoặc dựa vào thông tin này.