Chuyển dữ liệu cá nhân ra nước ngoài là một nhu cầu phổ biến trong kỷ nguyên số nhằm tận dụng hạ tầng công nghệ, phát triển dịch vụ phân tích, lưu trữ dài hạn hay tối ưu cá nhân hóa dịch vụ khách hàng phục vụ kinh doanh của doanh nghiệp. Tuy nhiên, bất kỳ hoạt động chuyển dữ liệu cá nhân ra ngoài lãnh thổ Việt Nam phải tuân thủ quy trình khắt khe theo quy định của pháp luật, đảm bảo an ninh mạng quốc gia cũng như bảo vệ quyền riêng tư của người sở hữu dữ liệu.
Chỉ chuyển dữ liệu cá nhân ra nước ngoài cho mục đích được phép
Dữ liệu cá nhân chỉ có thể được thu thập, xử lý cũng như chuyển ra nước ngoài cho mục đích được phép, như phục vụ nghiệp vụ chuyên sâu về phân tích dữ liệu lớn, đào tạo mô hình AI, cải tiến dịch vụ khách hàng hay mục đích hợp pháp khác theo thỏa thuận các bên… Bên cạnh tuân thủ quy định của pháp luật, mục đích của việc chuyển dữ liệu cá nhân ra nước ngoài bắt buộc được đồng ý rõ ràng bởi chủ thể dữ liệu dưới dạng điện tử hoặc định dạng kiểm chứng được – định dạng có thể được in, sao chép bằng văn bản.
Chuyển dữ liệu cá nhân nước ngoài được thực hiện thông qua hai hình thức: (i) trực tiếp bởi tổ chức, doanh nghiệp, cá nhân tại Việt Nam tới doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý; hoặc (ii) thông qua hệ thống tự động nằm ngoài lãnh thổ Việt Nam.
Dữ liệu cá nhân bao gồm mọi thông tin định danh trực tiếp (họ tên, ngày sinh, CMND/CCCD/hộ chiếu) và gián tiếp (hành vi sử dụng dịch vụ, dữ liệu vị trí, dữ liệu sức khỏe, tài chính), căn cứ Nghị định số 13/2023/NĐ-CP được phân loại thành dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm trên cơ sở mức độ tác động đối với chủ thể dữ liệu.
Đối tượng được phép chuyển dữ liệu cá nhân ra nước ngoài gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba theo quy định.
Doanh nghiệp cần thực hiện đầy đủ thủ tục pháp lý khi chuyển dữ liệu cá nhân ra nước ngoài
Quy định tại Điều 25 Nghị định số 13/2023/NĐ-CP, việc chuyển dữ liệu cá nhân của công dân Việt Nam ra khỏi phạm vi lãnh thổ phải đáp ứng điều kiện và chấp hành đầy đủ thủ tục pháp lý.
Đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
Doanh nghiệp phải lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo mẫu và nộp cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an trong vòng 60 ngày kể từ thời điểm bắt đầu xử lý dữ liệu. Trong đó, hồ sơ phải mô tả cụ thể mục đích, phạm vi, loại dữ liệu; đánh giá mức độ ảnh hưởng và hậu quả có thể xảy ra cùng biện pháp loại bỏ hoặc giảm thiểu nguy cơ tương ứng.
Đồng thời, thông tin về việc chuyển dữ liệu, chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản cũng phải được thông báo tới Bộ Công an sau khi việc chuyển dữ liệu được hoàn thành.
Báo cáo cập nhật kịp thời đối với nội dung hồ sơ
Trường hợp phát sinh bất kỳ thay đổi về nội dung hồ sơ đã gửi cơ quan có thẩm quyền, Bên chuyển dữ liệu phải kịp thời cập nhật, bổ sung hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài tương ứng. Thời gian hoàn thiện là 10 ngày kể từ ngày yêu cầu.
Trường hợp doanh nghiệp không chấp hành quy định, Bộ Công an có quyền quyết định yêu cầu ngừng chuyển dữ liệu cá nhân ra nước ngoài.
Lưu trữ hồ sơ phục vụ kiểm tra định kỳ và đột xuất
Việc kiểm tra hoạt động chuyển dữ liệu cá nhân ra nước ngoài được kiểm tra định kỳ 01 lần/năm, tùy thuộc tình hình cụ thể theo quyết định của Bộ Công an. Kiểm tra đột xuất được tiến hành trong trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân hoặc để xảy ra sự cố lộ, mất dữ liệu.
Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá theo yêu cầu của cơ quan có thẩm quyền.
Trách nhiệm của doanh nghiệp khi xảy ra sự cố lộ dữ liệu
Với vai trò bên kiểm soát, xử lý dữ liệu cá nhân, doanh nghiệp không chỉ chịu trách nhiệm trước pháp luật mà còn phải chịu trách nhiệm trực tiếp với chủ thể dữ liệu đối với bất kỳ sự cố rò rỉ, mất mát dữ liệu phát sinh.
Khi sự cố xảy ra, doanh nghiệp phải báo cáo Cục An ninh mạng – Bộ Công an trong vòng 72 giờ, đồng thời ngay lập tức triển khai các biện pháp kỹ thuật và quản lý để phòng ngừa, ngăn chặn hậu quả cũng như khôi phục dữ liệu. Bộ Công an có quyền yêu cầu ngừng chuyển dữ liệu cá nhân ra nước ngoài đến khi khắc phục hoàn toàn sự cố.
Doanh nghiệp phải có trách nhiệm minh bạch trong xác minh nguyên nhân, bảo đảm quyền của chủ thể dữ liệu theo quy định và cam kết. Trách nhiệm bồi thường sẽ được xác định tương ứng mức độ thiệt hại thực tế.
>> QUY ĐỊNH MỚI VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN, DOANH NGHIỆP CẦN LÀM GÌ? https://linconlaw.vn/quy-dinh-moi-ve-bao-ve-du-lieu-ca-nhan-doanh-nghiep-can-lam-gi/
>> DỮ LIỆU CÁ NHÂN NHẠY CẢM LÀ GÌ? TRÁCH NHIỆM CỦA BÊN XỬ LÝ DỮ LIỆU? https://linconlaw.vn/du-lieu-ca-nhan-nhay-cam-la-gi-trach-nhiem-cua-ben-xu-ly-du-lieu-the-nao/
Căn cứ pháp lý:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
𝐋𝐈𝐍𝐂𝐎𝐍 𝐋𝐀𝐖 𝐅𝐈𝐑𝐌 – 𝐇𝐨̛̣𝐩 𝐭𝐚́𝐜 𝐯𝐮̛̃𝐧𝐠 𝐛𝐞̂̀𝐧
- Tại Hà Nội: Tầng 4, Tòa nhà Sudico, đường Mễ Trì, phường Mỹ Đình 1, quận Nam Từ Liêm, Hà Nội
- Tại TP.HCM: 272 Đỗ Pháp Thuận, phường An Phú, TP. Thủ Đức, TP. Hồ Chí Minh
- Website: http://linconlaw.vn/
- Email: Lawyer@linconlaw.vn
- Facebook: https://www.facebook.com/Linconlawfirmm
- Linkedln: linkedin.com/in/lincon-law-firm-100b96201
- Hotline: +84.987.733.358
