Hiện tại công ty tôi có sử dụng hệ thống của một doanh nghiệp nước ngoài để lưu trữ các thông tin như nhân sự của các đại lý (tên, mã nhân viên, sđt, ...), thông tin của đối tác cung cấp dịch vụ, thông tin cá nhân của khách hàng,... Server được đặt tại nước ngoài. Vậy khi tôi chuyển dữ liệu cá nhân trên sang nước ngoài thì cần đảm bảo gì? Và công ty tôi cần thực hiện gì khi sắp tới Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có hiệu lực?
1. Chuyển dữ liệu cá nhân sang nước ngoài bao gồm những công việc nào?
Tại Khoản 14 Điều 2 Nghị định 13/2023/NĐ-CP quy định như sau:
Chuyển dữ liệu cá nhân ra nước ngoài là hoạt động sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam tới một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc sử dụng một địa điểm nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam để xử lý dữ liệu cá nhân của công dân Việt Nam, bao gồm:
- Tổ chức, doanh nghiệp, cá nhân chuyển dữ liệu cá nhân của công dân Việt Nam cho tổ chức, doanh nghiệp, bộ phận quản lý ở nước ngoài để xử lý phù hợp với mục đích đã được chủ thể dữ liệu đồng ý;
- Xử lý dữ liệu cá nhân của công dân Việt Nam bằng các hệ thống tự động nằm ngoài lãnh thổ của nước Cộng hòa xã hội chủ nghĩa Việt Nam của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân phù hợp với mục đích đã được chủ thể dữ liệu đồng ý.
=> Theo đó, chuyển dữ liệu cá nhân sang nước ngoài là việc tổ chức, doanh nghiệp, cá nhân sử dụng không gian mạng, thiết bị, phương tiện điện tử hoặc các hình thức khác chuyển dữ liệu cá nhân của công dân Việt Nam sang nước ngoài để xử lý thông qua các hệ thống tự động với với mục đích đã được chủ thể dữ liệu đồng ý.
2. Quy định khi chuyển dữ liệu cá nhân ra nước ngoài
Căn cứ theo Điều 25 Nghị định 13/2023/NĐ-CP quy định:
Dữ liệu cá nhân của công dân Việt Nam được chuyển ra nước ngoài trong trường hợp Bên chuyển dữ liệu ra nước ngoài lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều 25 Nghị định 13/2023/NĐ-CP. Bên chuyển dữ liệu ra nước ngoài bao gồm Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba.
Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Bộ Công an.
Bên chuyển dữ liệu sẽ gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 Phụ lục tại Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân.
Bên chuyển dữ sẽ thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công.
Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) đánh giá, yêu cầu Bên chuyển dữ liệu ra nước ngoài hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài trong trường hợp hồ sơ chưa đầy đủ và đúng quy định.
Khi có sự thay đổi về nội dung hồ sơ đã gửi cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao), Anh cần phải cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Mẫu số 05 Phụ lục tại Nghị định 13/2023/NĐ-CP. Thời gian hoàn thiện hồ sơ dành cho Bên chuyển dữ liệu ra nước ngoài là 10 ngày kể từ ngày yêu cầu.
Căn cứ tình hình cụ thể, Bộ Công an quyết định việc kiểm tra chuyển dữ liệu cá nhân ra nước ngoài 01 lần/năm, trừ trường hợp phát hiện hành vi vi phạm quy định của pháp luật về bảo vệ dữ liệu cá nhân tại Nghị định 13/2023/NĐ-CP hoặc để xảy ra sự cố lộ, mất dữ liệu cá nhân của công dân Việt Nam.
=> Theo đó, khi chuyển dữ liệu cá nhân ra nước ngoài thì cần phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục chuyển dữ liệu cá nhân ra nước ngoài theo quy định tại Nghị định 13/2023/NĐ-CP.
3. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài
Tại Khoản 2 Điều 25 Nghị định 13/2023/NĐ-CP hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài gồm:
- Thông tin và chi tiết liên lạc của Bên chuyển dữ liệu và Bên tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
- Họ tên, chi tiết liên lạc của tổ chức, cá nhân phụ trách của Bên chuyển dữ liệu có liên quan tới việc chuyển và tiếp nhận dữ liệu cá nhân của công dân Việt Nam;
- Mô tả và luận giải mục tiêu của các hoạt động xử lý dữ liệu cá nhân của Công dân Việt Nam sau khi được chuyển ra nước ngoài;
- Mô tả và làm rõ loại dữ liệu cá nhân chuyển ra nước ngoài;
- Mô tả và nêu rõ sự tuân thủ quy định bảo vệ dữ liệu cá nhân, chi tiết các biện pháp bảo vệ dữ liệu cá nhân được áp dụng;
- Đánh giá mức độ ảnh hưởng của việc xử lý dữ liệu cá nhân; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó;
- Sự đồng ý của chủ thể dữ liệu theo quy định tại Điều 11 Nghị định 13/2023/NĐ-CP trên cơ sở biết rõ cơ chế phản hồi, khiếu nại khi có sự cố hoặc yêu cầu phát sinh. Sự đồng ý của chủ thể dữ liệu phải được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này.
- Có văn bản thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam về việc xử lý dữ liệu cá nhân.
Như vậy, quy định pháp luật không hạn chế việc chuyển dữ liệu của cá nhân ra ngoài lãnh thổ Việt Nam. Tuy nhiên, khi xử lý dữ liệu cá nhân của nhân viên, khách hàng, cần phải có sự đồng ý cho phép của họ và thực hiện các công việc về liên quan đến Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài quy định. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân bắt đầu có hiệu lực từ 01/7/2023.