Có được phép chuyển dữ liệu cá nhân ra nước ngoài không và điều kiện thế nào?

Trong thời đại liên kết toàn cầu và trao đổi thông tin không giới hạn, việc chuyển dữ liệu thông cá nhân ra nước ngoài đã trở thành một vấn đề nổi cộm. Tuy nhiên, liệu chúng ta có được phép tự do chuyển dữ liệu cá nhân qua biên giới và điều kiện để thực hiện việc này là gì? Trên thực tế, việc chuyển dữ liệu cá nhân ra nước ngoài không chỉ phụ thuộc vào quy định của từng quốc gia mà còn đòi hỏi sự cân nhắc cẩn thận để đảm bảo sự bảo vệ quyền riêng tư và an toàn thông tin của người dùng. Trên cơ sở đó, bài viết này sẽ điểm qua quy định về việc chuyển dữ liệu cá nhân ra nước ngoài và những điều kiện quan trọng cần được tuân thủ.

1. Thông tin cá nhân có phải là dữ liệu cá nhân hay không?

Căn cứ khoản 3 Điều 2 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân cơ bản bao gồm:

– Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);

– Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;

– Giới tính;

– Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;

– Quốc tịch;

– Hình ảnh của cá nhân;

– Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;

– Tình trạng hôn nhân;

– Thông tin về mối quan hệ gia đình (cha mẹ, con cái);

– Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;

– Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc quy định tại khoản 4 Điều này.

Thông tin cá nhân và dữ liệu cá nhân

Như vậy, thông tin cá nhân và dữ liệu cá nhân là hai khái niệm có mối liên hệ chặt chẽ với nhau. Thông tin cá nhân thường được coi là một phần của dữ liệu cá nhân. Thông tin cá nhân đề cập đến bất kỳ thông tin nào liên quan đến một người cụ thể, bao gồm tên, địa chỉ, số điện thoại, ngày sinh, hình ảnh cá nhân và bất kỳ thông tin nào có thể được sử dụng để xác định hoặc nhận dạng một người đó. Dữ liệu cá nhân, theo khái niệm rộng hơn, bao gồm thông tin cá nhân cũng như bất kỳ loại dữ liệu nào liên quan đến một người cụ thể. Điều này có thể bao gồm thông tin về hành vi trực tuyến, thông tin tài chính, thông tin y tế, dữ liệu địa lý và nhiều hơn nữa.

2. Đánh giá tác động dữ liệu cá nhân

Căn cứ Điều 24 Nghị định 13/2023/NĐ-CP, đánh giá tác động dữ liệu cá nhân được quy định như sau:

“1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân.

Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, bao gồm:

a) Thông tin và chi tiết liên lạc của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;

b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân và nhân viên bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân;

c) Mục đích xử lý dữ liệu cá nhân;

d) Các loại dữ liệu cá nhân được xử lý;

đ) Tổ chức, cá nhân nhận dữ liệu cá nhân, bao gồm tổ chức, cá nhân ngoài lãnh thổ Việt Nam;

e) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;

g) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);

h) Mô tả về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;

i) Đánh giá mức độ hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.

2. Bên Xử lý dữ liệu cá nhân tiến hành lập và lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân, bao gồm:

a) Thông tin và chi tiết liên lạc của Bên Xử lý dữ liệu cá nhân;

b) Họ tên, chi tiết liên lạc của tổ chức được phân công thực hiện xử lý dữ liệu cá nhân và nhân viên thực hiện xử lý dữ liệu cá nhân của Bên Xử lý dữ liệu cá nhân;

c) Mô tả các hoạt động xử lý và các loại dữ liệu cá nhân được xử lý theo hợp đồng với Bên Kiểm soát dữ liệu cá nhân;

d) Thời gian xử lý dữ liệu cá nhân; thời gian dự kiến để xoá, hủy dữ liệu cá nhân (nếu có);

đ) Trường hợp chuyển dữ liệu cá nhân ra nước ngoài;

e) Mô tả chung về các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;

g) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.

3. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 1 và khoản 2 Điều này được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.

4. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an và gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

5. Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.

6. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân cập nhật, bổ sung Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này.”

Đánh giá tác động dữ liệu cá nhân

3. Chuyển dữ liệu cá nhân ra nước ngoài

Căn cứ Điều 25 Nghị định 13/2023/NĐ-CP, chuyển dữ liệu thông cá nhân ra nước ngoài được quy định như sau:

– Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều này. Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba.

– Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, gồm:

+ Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;

+ Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam;

+ Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;

+ Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;

+ Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định này, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;

+ Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;

+ Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định này trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;

+ Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.

Chuyển dữ liệu cá nhân ra nước ngoài

– Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.

Bên chuyển dữ liệu ra nước ngoài gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định này trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.

– Bên chuyển dữ liệu thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.

– Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên chuyển dữ liệu ra nước ngoài hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.

– Bên chuyển dữ liệu ra nước ngoài cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 05 tại Phụ lục của Nghị định này. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu.

– Căn cứ tình hình cụ thể, Bộ Công an quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định này hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.

– Bộ Công an quyết định yêu cầu Bên chuyển dữ liệu ra nước ngoài ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp:

+ Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam;

+ Bên chuyển dữ liệu ra nước ngoài không chấp hành quy định tại khoản 5, khoản 6 Điều này;

+ Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.

          Xem thêm: Quy định chính thức của Chính phủ về bảo vệ dữ liệu cá nhân tại đây.

4. Các hình thức chuyển dữ liệu cá nhân ra nước ngoài

Căn cứ khoản 14 Điều 2 Nghị định 13/2023/NĐ-CP định nghĩa về chuyển dữ liệu cá nhân, ta có thể nhận thấy có 02 hình thức chuyển dữ liệu thông cá nhân ra nước ngoài, gồm:

– Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài;

– Xử lý dữ liệu cá nhân của công dân Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân.

Có 02 hình thức chuyển dữ liệu cá nhân ra nước ngoài

5. Các trường hợp ngừng chuyển dữ liệu cá nhân ra nước ngoài

Căn cứ khoản 8 Điều 25 Nghị định 13/2023/NĐ-CP, các trường hợp ngừng chuyển dữ liệu thông cá nhân ra nước ngoài gồm:

– Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam;

– Bên chuyển dữ liệu ra nước ngoài không hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định theo yêu cầu của Bộ Công an.

– Bên chuyển dữ liệu ra nước ngoài không cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an.

– Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.

Các trường hợp ngừng chuyển dữ liệu cá nhân ra nước ngoài

Trên thực tế, việc chuyển dữ liệu thông cá nhân ra nước ngoài không chỉ đơn giản là việc truyền tải thông tin từ một địa điểm đến một địa điểm khác. Nó đòi hỏi sự quan tâm đến quyền riêng tư và bảo mật dữ liệu cá nhân, và tuân thủ các quy định pháp luật liên quan. Việc xác định xem liệu chúng ta có được phép chuyển dữ liệu cá nhân ra nước ngoài hay không và những điều kiện thực hiện điều này là một quá trình phức tạp và cần sự cân nhắc đúng đắn. Các quy định và quyền riêng tư dữ liệu đã và đang được đặt ra để bảo vệ thông tin cá nhân và đảm bảo rằng việc chuyển dữ liệu ra nước ngoài được tiến hành một cách an toàn và đúng đắn.

Khuyến cáo:

Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý cho bất kỳ trường hợp cụ thể nào. Các quy định pháp luật được dẫn chiếu trong nội dung bài viết có hiệu lực vào thời điểm đăng tải bài viết nhưng có thể đã hết hiệu lực tại thời điểm bạn đọc. Do đó, chúng tôi khuyến nghị bạn luôn tham khảo ý kiến của chuyên gia trước khi áp dụng.

Các vấn đề liên quan đến nội dung hoặc quyền sở hữu trí tuệ của bài viết, vui lòng gửi email đến cs@apolatlegal.vn.

Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Sở hữu trí tuệ. Vui lòng tham khảo về dịch vụ của chúng tôi Sở hữu trí tuệ và liên hệ với đội ngũ luật sư tại Viêt Nam của chúng tôi thông qua email info@apolatlegal.com.

Chia sẻ: share facebook share twitter share linkedin share instagram

Tìm hiểu cách chúng tôi có thể giúp doanh nghiệp của bạn

Khách hàng của chúng tôi

Liên hệ tư vấn



    Send Contact
    Call Us
    Zalo
    This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.