Trong bài viết này, Công ty Luật TNHH HT Legal VN xin gửi đến quý khách một số thông tin liên quan đến việc chuyển dữ liệu cá nhân ra nước ngoài và Hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài như sau:
I. Cơ sở pháp lý:
Nghị định 13/2023/NĐ-CP ngày 17/04/2023 do Chính phủ ban hành (“Nghị định 13”).
II. Nội dung:
1. Khái niệm Chuyển dữ liệu cá nhân ra nước ngoài:
Chuyển dữ liệu cá nhân ra nước ngoài được định nghĩa tại Điều 2.1 Nghị định 14 như sau:
“14. Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm:
a) Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý;
b) Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.”
Như vậy, chuyển dữ liệu cá nhân nước ngoài gồm hoạt động (i) chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài để xử lý và (ii) xử lý dữ liệu cá nhân của công dân Việt Nam ở nước ngoài. Theo đó, hoạt động chuyển dữ liệu cá nhân ra nước ngoài là hoạt động được phép thực hiện, tuy nhiên, phải phù hợp với mục đích mà chủ thể dữ liệu đã đồng ý.
2. Một số quy định về việc chuyển dữ liệu cá nhân ra nước ngoài:
Theo Điều 25 Nghị định 13, bên cạnh việc nhận được sự đồng ý của chủ thể dữ liệu đối với mục đích xử lý dữ liệu, một điều kiện khác để chuyển dữ liệu cá nhân ra nước ngoài đó là phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
- Chủ thể phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài được quy định là Bên chuyển dữ liệu ra nước ngoài gồm:
(i) Bên Kiểm soát dữ liệu cá nhân;
(ii) Bên Kiểm soát và xử lý dữ liệu cá nhân;
(iii) Bên Xử lý dữ liệu cá nhân;
(iv) Bên thứ ba.
- Thành phần hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài được quy định tại Điều 25.2 Nghị định 13 gồm:
(i) Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
(ii) Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
(iii) Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
(iv) Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;
(v) Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân tại Nghị định 13, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
(vi) Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
(vii) Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định 13 trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh;
(viii) Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.
- Về nghĩa vụ gửi hồ sơ, thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo quy định tại Điều 25 Nghị định 13, Bên chuyển dữ liệu ra nước ngoài phải:
(i) gửi 01 bản chính Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Mẫu số 06 tại Phụ lục của Nghị định 13 trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân;
(ii) thông báo gửi thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công;
(iii) hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định;
(iv) cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài khi có sự thay đổi về nội dung hồ sơ đã gửi theo Mẫu số 05 tại Phụ lục của Nghị định 13. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu.
- Về việc kiểm tra định kỳ, theo Điều 25.7 Nghị định 13, căn cứ tình hình cụ thể, Bộ Công an quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định 13 hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam
- Về các trường hợp bị yêu cầu phải ngừng chuyển dữ liệu cá nhân ra nước ngoài:
Theo quy định tại Điều 25.8 Nghị định 13, Bộ Công an quyết định yêu cầu Bên chuyển dữ liệu ra nước ngoài ngừng chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp:
(i) Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động vi phạm lợi ích, an ninh quốc gia của nước Cộng hòa xã hội chủ nghĩa Việt Nam;
(ii) Bên chuyển dữ liệu ra nước ngoài không chấp hành quy định tại khoản 5, khoản 6 Điều này;
(iii) Để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
Trên đây là bài viết giới thiệu tổng quát về quy định liên quan đến việc chuyển dữ liệu cá nhân ra nước ngoài. Công ty Luật TNHH HT Legal VN sẵn sàng cung cấp các dịch vụ rà soát nội bộ để đảm bảo tuân thủ các quy định của pháp luật về xử lý dữ liệu cá nhân, soạn thảo, rà soát các chính sách bảo vệ dữ liệu cá nhân cho doanh nghiệp, tổ chức,... Để được hỗ trợ và tư vấn chi tiết, vui lòng liên hệ:
CÔNG TY LUẬT TNHH HT LEGAL VN
VP1: 37/12 Hẻm 602 Điện Biên Phủ, P.22, quận Bình Thạnh, Tp. Hồ Chí Minh (Bên cạnh UBND phường 22).
VP2: 207B Nguyễn Phúc Chu, P.15, quận Tân Bình, Tp. Hồ Chí Minh.
Email: info@htlegalvn.com Hotline: 09 6161 4040 – 09 0161 4040