LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN (PDPL) - CHUYỂN DỮ LIỆU CÁ NHÂN RA NƯỚC NGOÀI
- loanlelawlinkvn
- 1 giờ trước
- 4 phút đọc
Trong bối cảnh doanh nghiệp ngày càng phụ thuộc vào hệ sinh thái công nghệ toàn cầu (Cloud, SaaS, CRM, HRM…), hoạt động chuyển dữ liệu cá nhân xuyên biên giới đang trở thành rủi ro tuân thủ lớn nếu không được nhận diện đúng.
PDPL tiếp cận theo hướng thực chất: chỉ cần dữ liệu cá nhân được lưu trữ, chia sẻ hoặc xử lý trên hệ thống đặt ngoài lãnh thổ Việt Nam thì có thể đã được xem là chuyển dữ liệu ra nước ngoài, bất kể việc có “chuyển file” hay không.
1. Chuyển dữ liệu cá nhân ra nước ngoài
Các trường hợp chuyển dữ liệu cá nhân ra nước ngoài:
Tiêu chí | Mô tả hoạt động | Chủ thể thực hiện | Dấu hiệu nhận diện thực tế | Ví dụ |
(a) Chuyển dữ liệu từ Việt Nam ra nước ngoài | Chuyển dữ liệu cá nhân đang được lưu trữ tại Việt Nam sang hệ thống lưu trữ dữ liệu đặt ngoài lãnh thổ Việt Nam | Cơ quan, tổ chức, cá nhân tại Việt Nam | - Máy chủ/Cloud đặt ở nước ngoài- Thực hiện sao lưu, đồng bộ dữ liệu ra hệ thống overseas | Doanh nghiệp tại Việt Nam lưu dữ liệu khách hàng trên server đặt tại Singapore/US |
(b) Chuyển dữ liệu cho chủ thể ở nước ngoài | Cơ quan, tổ chức, cá nhân tại Việt Nam chuyển dữ liệu cá nhân cho tổ chức, cá nhân ở nước ngoài | Bên chuyển tại Việt Nam; bên nhận ở nước ngoài | - Có bên nhận dữ liệu là pháp nhân/cá nhân nước ngoài- Có trao đổi, thỏa thuận, có chia chia sẻ dữ liệu | Công ty Việt Nam gửi danh sách nhân sự cho công ty mẹ ở nước ngoài |
(c) Xử lý dữ liệu trên nền tảng đặt ngoài lãnh thổ Việt Nam | Sử dụng nền tảng ở ngoài lãnh thổ Việt Nam để xử lý dữ liệu cá nhân được thu thập tại Việt Nam | Cơ quan, tổ chức, cá nhân tại Việt Nam hoặc ở nước ngoài | - Dữ liệu thu thập tại Việt Nam nhưng xử lý trên SaaS/Cloud quốc tế | Sử dụng CRM, HRM, email marketing (Salesforce, HubSpot, Google, Meta…) để xử lý dữ liệu người Việt |
👉 Chỉ cần rơi vào 1 trong 3 trường hợp trên thì được xem là có hoạt động chuyển dữ liệu cá nhân xuyên biên giới, mà không phụ thuộc vào: Quốc tịch của cá nhân hoặc nơi doanh nghiệp/tổ chức thành lập, có “gửi file dữ liệu” đi hay không
Nghĩa vụ: Lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
Thời hạn nộp: 60 ngày kể từ ngày đầu tiên chuyển dữ liệu cá nhân xuyên biên giới
Tần suất: Chỉ thực hiện 01 lần cho suốt thời gian hoạt động của cơ quan, tổ chức, cá nhân đó và được cập nhật định kỳ 6 tháng khi có sự thay đổi hoặc cập nhật ngay khi có các thay đổi sau:
“a) Khi cơ quan, tổ chức, đơn vị được tổ chức lại, chấm dứt hoạt động, giải thể, phá sản theo quy định của pháp luật;
b) Khi có sự thay đổi thông tin về tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân;
c) Khi phát sinh hoặc thay đổi ngành, nghề, dịch vụ kinh doanh liên quan đến xử lý dữ liệu cá nhân đã đăng ký trong hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.”
Một số trường hợp chuyển dữ liệu cá nhân ra nước ngoài được miễn trừ nghĩa vụ lập hồ sơ đánh giá tác động gồm:
Trường hợp | Chủ thể được miễn | Phạm vi | Ví dụ thực tế | Lưu ý |
Chuyển dữ liệu cá nhân xuyên biên giới của cơ quan nhà nước có thẩm quyền | Cơ quan nhà nước | Không rõ giới hạn | Bộ/ngành chuyển dữ liệu phục vụ hợp tác quốc tế, điều tra, quản lý | Doanh nghiệp, tổ chức không thuộc miễn trừ này |
Lưu trữ dữ liệu cá nhân của người lao động trên dịch vụ điện toán đám mây | Cơ quan, tổ chức sử dụng lao động | Chỉ giới hạn dữ liệu người lao động của chính đơn vị | Công ty lưu hồ sơ nhân sự trên Google Drive, Microsoft Azure | Không bao gồm dữ liệu khách hàng, đối tác |
Chủ thể dữ liệu tự chuyển dữ liệu cá nhân của mình xuyên biên giới | Cá nhân (chủ thể dữ liệu) | Giới hạn ở dữ liệu cá nhân của chính người chuyển | Cá nhân tự gửi CV, hộ chiếu, hồ sơ cá nhân ra nước ngoài | Tổ chức không thuộc miễn trừ này |
Các trường hợp khác theo quy định của Chính phủ | Theo quy định cụ thể | Phụ thuộc văn bản hướng dẫn | Sẽ được bổ sung tại Nghị định/hướng dẫn | Cần theo dõi quy định dưới luật |
Nghĩa vụ lập hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới là yêu cầu trọng tâm của PDPL, và có thể ảnh hưởng trực tiếp đến cách doanh nghiệp lựa chọn nhà cung cấp công nghệ hoặc cấu trúc hệ thống dữ liệu.
Bài tiếp theo sẽ đi sâu vào một nghĩa vụ nền tảng khác: đánh giá tác động xử lý dữ liệu cá nhân và cơ chế thông báo vi phạm dữ liệu.
Bài viết: Bởi LLVN.
Hình minh họa: LLVN.
-------------------------------
Lawlink Việt Nam (LLVN) là hãng Luật cung cấp các giải pháp pháp lý cho các doanh nghiệp, doanh nhân về ĐẦU TƯ, hoạt động doanh nghiệp & kinh doanh, Mua bán & Sáp nhập; Tranh tụng và Giải quyết tranh chấp. Chúng tôi cung cấp dịch vụ trọn gói từ các khâu tư vấn mô hình hoạt động, đến giấy phép, hợp đồng, cấu trúc vốn và thu xếp vốn, dịch vụ kế toán & thuế, và đại diện. Các ngành mà chúng tôi thực hành liên tục gồm: Bất động sản & Xây dựng, Hạ tầng, Xử lý rác thải & môi trường, Y & Dược, Giáo dục, Fintech, Nông nghiệp, Truyền thông & Xuất bản, Thương mại điện tử.
-------------------------------
Liên hệ chúng tôi tại:
Website: www.lawlink.com
Instagram: lawlink.vietnam
Facebook: Lawlink Vietnam
Tel: +84 908 107 788
Văn phòng Hồ Chí Minh
Phòng 22.02, Aqua 1, Vinhomes Golden River, Số 2 Tôn Đức Thắng, HCM
Bình luận