Chuyển dữ liệu cá nhân xuyên biên giới là gì? Khi nào phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới? Khi nào được miễn?

Bản tin pháp luật

Chuyển dữ liệu cá nhân xuyên biên giới là gì? Khi nào phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới? Khi nào được miễn?

LexNovum Lawyers

LexNovum Lawyers

13/07/2026

Trong bối cảnh chuyển đổi số và hội nhập toàn cầu, hoạt động kinh doanh đa quốc gia cùng việc sử dụng các nền tảng công nghệ và dịch vụ xuyên biên giới đã trở thành xu hướng phổ biến của nhiều cơ quan, tổ chức và cá nhân. Từ việc lưu trữ dữ liệu nhân sự trên dịch vụ điện toán đám mây, chia sẻ thông tin khách hàng với công ty mẹ, đối tác ở nước ngoài, cho đến việc sử dụng các nền tảng có máy chủ đặt ngoài lãnh thổ Việt Nam, các cơ quan, tổ chức, cá nhân Việt Nam đều đang thực hiện hoạt động chuyển dữ liệu cá nhân xuyên biên giới.

Song, theo quy định của pháp luật bảo vệ dữ liệu cá nhân, việc chuyển dữ liệu cá nhân xuyên biên giới đòi hỏi các cơ quan, tổ chức, cá nhân phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và thực hiện các thủ tục theo quy định, trừ một số trường hợp ngoại lệ. Việc không nhận diện đúng nghĩa vụ này có thể dẫn đến những rủi ro pháp lý, ảnh hưởng đến hoạt động kinh doanh cũng như công tác quản trị dữ liệu của cơ quan, tổ chức, cá nhân.

Vậy như thế nào là hoạt động chuyển dữ liệu cá nhân xuyên biên giới? Khi nào một cơ quan, tổ chức, cá nhân phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới? Khi nào được miễn thực hiện nghĩa vụ này? Trong bài viết dưới đây, LexNovum Lawyers (“LNV”) sẽ phân tích các quy định pháp luật hiện hành để trả lời cho  các câu hỏi trên và chia sẻ một số nội dung cần lưu ý để bảo đảm việc chuyển dữ liệu cá nhân xuyên biên giới được thực hiện đúng quy định.

1. Chuyển dữ liệu cá nhân xuyên biên giới là gì?

Theo khoản 1 Điều 20 Luật Bảo vệ dữ liệu cá nhân 2025 và khoản 1 Điều 17 Nghị định 356/2025/NĐ-CP, cơ quan, tổ chức hoặc cá nhân được xem là thực hiện hoạt động chuyển dữ liệu cá nhân xuyên biên giới khi thực hiện một trong các hoạt động sau:

(i) Lưu trữ dữ liệu cá nhân có sự chuyển giao dữ liệu cá nhân thu thập, lưu trữ tại Việt Nam đến hệ thống máy chủ đặt ngoài lãnh thổ Việt Nam hoặc trên dịch vụ điện toán đám mây của nhà cung cấp dịch vụ ở nước ngoài.

(ii) Chuyển dữ liệu cá nhân từ cơ quan, tổ chức, cá nhân Việt Nam cho bên nhận là tổ chức, cá nhân ở nước ngoài.

(iii) Xử lý dữ liệu cá nhân được thu thập tại Việt Nam và chuyển đến nền tảng ở ngoài lãnh thổ Việt Nam để tiếp tục xử lý.

Từ quy định trên, có thể thấy, phạm vi của hoạt động chuyển dữ liệu cá nhân xuyên biên giới được hiểu khá rộng. Trên thực tế, nhiều cơ quan, tổ chức, cá nhân có thể đang thực hiện hoạt động chuyển dữ liệu cá nhân xuyên biên giới trong quá trình hoạt động hằng ngày mà không phải lúc nào cũng nhận diện được đây là hoạt động chịu sự điều chỉnh của pháp luật về bảo vệ dữ liệu cá nhân, chẳng hạn như:

  • Lưu trữ dữ liệu cá nhân của khách hàng, người lao động trên máy chủ hoặc dịch vụ điện toán đám mây do nhà cung cấp nước ngoài vận hành.
  • Gửi dữ liệu nhân sự, khách hàng hoặc dữ liệu giao dịch có thông tin cá nhân cho công ty mẹ, công ty liên kết hoặc đối tác ở nước ngoài để phục vụ hoạt động quản trị, báo cáo, cung cấp dịch vụ hoặc thực hiện hợp đồng.
  • Sử dụng dịch vụ của nhà cung cấp nước ngoài để xử lý dữ liệu cá nhân, ví dụ như các phần mềm quản trị nhân sự, quản lý quan hệ khách hàng, email marketing hoặc các nền tảng phân tích dữ liệu.
  • Sử dụng nền tảng, ứng dụng hoặc hệ thống công nghệ có hạ tầng kỹ thuật, máy chủ hoặc đội ngũ vận hành ở nước ngoài để lưu trữ, xử lý hoặc quản lý dữ liệu cá nhân.

Như vậy, việc chuyển dữ liệu cá nhân xuyên biên giới có thể phát sinh trong rất nhiều hoạt động thường nhật của cá nhân, cơ quan, tổ chức, kể cả khi các chủ thể không trực tiếp chuyển dữ liệu cho bên ở nước ngoài. Do đó, việc nhận diện đúng các trường hợp được xem là chuyển dữ liệu cá nhân xuyên biên giới là bước đầu tiên để xác định nghĩa vụ tuân thủ, đặc biệt là nghĩa vụ lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới trong những trường hợp pháp luật yêu cầu.

2. Khi nào phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới?

Căn cứ khoản 2 Điều 20 Luật Bảo vệ dữ liệu cá nhân 2025, cơ quan, tổ chức, cá nhân khi thực hiện hoạt động chuyển dữ liệu cá nhân xuyên biên giới có trách nhiệm lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới và gửi 01 bản chính cho cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời gian 60 ngày kể từ ngày đầu tiên chuyển dữ liệu cá nhân xuyên biên giới.

Song, không phải mọi trường hợp chuyển dữ liệu cá nhân xuyên biên giới đều phải thực hiện nghĩa vụ này. Cụ thể, theo khoản 6 Điều 20 Luật Bảo vệ dữ liệu cá nhân 2025 và khoản 3 Điều 17 Nghị định 356/2025/NĐ-CP, các trường hợp được miễn thực hiện nghĩa vụ này bao gồm:

(i) Việc chuyển dữ liệu cá nhân xuyên biên giới của cơ quan nhà nước có thẩm quyền. Ví dụ: Cơ quan ngoại giao Việt Nam chuyển dữ liệu cá nhân của công dân Việt Nam cho cơ quan đại diện Việt Nam ở nước ngoài để giải quyết các thủ tục lãnh sự theo quy định của pháp luật.

(ii) Cơ quan, tổ chức lưu trữ dữ liệu cá nhân của người lao động thuộc cơ quan, tổ chức đó trên dịch vụ điện toán đám mây. Ví dụ: Công ty A tại Việt Nam lưu trữ hồ sơ nhân viên (hợp đồng lao động, thông tin liên hệ và bảng chấm công) trên Microsoft OneDrive do nhà cung cấp nước ngoài vận hành để phục vụ công tác quản lý nhân sự.

(iii) Chủ thể dữ liệu cá nhân tự chuyển dữ liệu cá nhân của mình xuyên biên giới. Ví dụ: Ông C ứng tuyển vào một doanh nghiệp tại Singapore thông qua website tuyển dụng của doanh nghiệp và tự cung cấp thông tin cá nhân, sơ yếu lý lịch, bằng cấp và kinh nghiệm làm việc.

(iv) Hoạt động báo chí, truyền thông theo quy định của pháp luật. Ví dụ: Đài truyền hình thực hiện đăng tải chương trình phỏng vấn một cá nhân trên kênh truyền hình đối ngoại quốc gia có phạm vi phát sóng toàn cầu, trong đó có sử dụng dữ liệu cá nhân như họ tên, hình ảnh, giọng nói và các thông tin liên quan của người được phỏng vấn theo quy định của pháp luật về báo chí.

(v) Việc chuyển dữ liệu cá nhân xuyên biên giới đã được công khai theo quy định của pháp luật. Ví dụ: Công ty A tại Việt Nam cung cấp cho tập đoàn mẹ ở nước ngoài thông tin về Ban Giám đốc hoặc đội ngũ lãnh đạo tại Việt Nam (bao gồm họ tên, chức danh và hình ảnh) để đăng tải trên website chính thức của tập đoàn nhằm giới thiệu cơ cấu tổ chức. Trường hợp các thông tin này được chuyển và công khai đúng quy định của pháp luật, đúng mục đích đã được chủ thể dữ liệu đồng ý thì việc chuyển dữ liệu cá nhân xuyên biên giới thuộc trường hợp không phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

(vi) Trong các tình huống khẩn cấp, thực sự cần thiết phải cung cấp dữ liệu cá nhân xuyên biên giới để bảo vệ tính mạng, sức khỏe và an toàn tài sản của cá nhân; để thực hiện nhiệm vụ, nghĩa vụ theo quy định của pháp luật. Ví dụ: Một công dân Việt Nam đi du lịch tại Singapore bị tai nạn và cần phẫu thuật khẩn cấp. Để phục vụ việc cấp cứu, bệnh viện tại Singapore cần cá nhân, cơ quan, tổ chức Việt Nam cung cấp hồ sơ bệnh án, thông tin về nhóm máu, tiền sử bệnh, dị ứng thuốc và các kết quả xét nghiệm của công dân. Việc cá nhân, cơ quan, tổ chức tại Việt Nam chuyển các dữ liệu cá nhân này cho bệnh viện tại Singapore nhằm bảo vệ tính mạng và sức khỏe của công dân Việt Nam, thuộc trường hợp không phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

(vii) Hoạt động chuyển dữ liệu cá nhân xuyên biên giới để quản lý nhân sự xuyên biên giới theo quy tắc, quy chế lao động và thỏa ước lao động tập thể theo quy định của pháp luật. Ví dụ: Tập đoàn A có trụ sở tại Nhật Bản và công ty con tại Việt Nam. Để quản lý nhân sự trên phạm vi toàn cầu, tập đoàn A sử dụng hệ thống quản trị nhân sự đặt trên máy chủ ở Nhật Bản. Công ty con tại Việt Nam cập nhật thông tin của người lao động như họ tên, chức danh, phòng ban, hợp đồng lao động, quá trình công tác, kết quả đánh giá hiệu suất và lịch sử đào tạo lên hệ thống này để tập đoàn A thực hiện công tác quản lý nhân sự nội bộ.

(viii) Việc cung cấp dữ liệu cá nhân xuyên biên giới để ký kết hợp đồng hoặc thực hiện các thủ tục liên quan đến vận chuyển xuyên biên giới, hậu cần, chuyển tiền, thanh toán, khách sạn, xin thị thực, xin học bổng. Ví dụ: Công ty A tại Việt Nam ký hợp đồng mua hàng với nhà cung cấp tại Hàn Quốc và cung cấp thông tin của người đại diện (họ tên, chức danh, email, số điện thoại) cho đối tác nước ngoài để ký kết hợp đồng và thực hiện thanh toán quốc tế. Việc chuyển các dữ liệu cá nhân này phục vụ trực tiếp cho quá trình giao kết và thực hiện hợp đồng nên thuộc trường hợp không phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới.

Lưu ý rằng, các trường hợp nêu trên chỉ là những ngoại lệ được pháp luật quy định và chỉ áp dụng khi đáp ứng đầy đủ các điều kiện tương ứng. Đối với các hoạt động chuyển dữ liệu cá nhân xuyên biên giới không thuộc các trường hợp ngoại lệ này, bên chuyển dữ liệu vẫn phải lập và nộp Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của pháp luật.

Có thể thấy, nghĩa vụ lập và nộp Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới là một trong những yêu cầu quan trọng của pháp luật về bảo vệ dữ liệu cá nhân đối với các hoạt động chuyển dữ liệu ra ngoài lãnh thổ Việt Nam. Song, không phải mọi trường hợp chuyển dữ liệu cá nhân xuyên biên giới đều phải thực hiện nghĩa vụ này. Vì vậy, trước khi thực hiện bất kỳ hoạt động chuyển dữ liệu xuyên biên giới nào, cơ quan, tổ chức và cá nhân cần rà soát hoạt động xử lý dữ liệu để xác định chính xác nghĩa vụ pháp lý của mình, bao gồm việc xác định hoạt động đó có thuộc trường hợp phải lập Hồ sơ đánh giá tác động hay không. Việc chủ động tuân thủ đầy đủ các quy định của pháp luật không chỉ giúp hạn chế rủi ro pháp lý mà còn góp phần xây dựng cơ chế quản trị dữ liệu an toàn, bảo vệ hiệu quả quyền, lợi ích hợp pháp của chủ thể dữ liệu trong bối cảnh chuyển đổi số và hội nhập quốc tế.

3. Một số nội dung cá nhân, cơ quan, tổ chức cần lưu ý để bảo đảm tuân thủ pháp luật khi thực hiện chuyển dữ liệu cá nhân xuyên biên giới

Để bảo đảm tuân thủ quy định của pháp luật về bảo vệ dữ liệu cá nhân khi thực hiện hoạt động chuyển dữ liệu cá nhân xuyên biên giới, cơ quan, tổ chức và cá nhân cần lưu ý một số vấn đề sau:

(i) Rà soát và nhận diện các hoạt động chuyển dữ liệu cá nhân xuyên biên giới: Không chỉ các trường hợp chuyển dữ liệu trực tiếp cho cơ quan, tổ chức, cá nhân ở nước ngoài mà cả việc lưu trữ dữ liệu trên dịch vụ điện toán đám mây, sử dụng phần mềm hoặc nền tảng có máy chủ đặt ở nước ngoài cũng có thể được xem là hoạt động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của pháp luật.

(ii) Xác định đúng nghĩa vụ pháp lý trước khi thực hiện việc chuyển dữ liệu: Trước khi thực hiện việc chuyển dữ liệu, cơ quan, tổ chức, cá nhân cần đánh giá hoạt động đó có thuộc trường hợp phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới hay thuộc một trong các trường hợp được miễn theo quy định của Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP. Việc nhận diện đúng nghĩa vụ pháp lý ngay từ đầu sẽ giúp hạn chế các rủi ro phát sinh trong quá trình hoạt động.

(iii) Thực hiện đầy đủ nghĩa vụ lập và nộp Hồ sơ đánh giá tác động (nếu thuộc trường hợp phải thực hiện): Trường hợp thuộc diện phải lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, cơ quan, tổ chức, cá nhân cần chuẩn bị đầy đủ hồ sơ và gửi đến cơ quan chuyên trách bảo vệ dữ liệu cá nhân trong thời hạn luật định. Đồng thời, cơ quan, tổ chức, cá nhân nên lưu giữ hồ sơ và các tài liệu chứng minh việc tuân thủ để phục vụ công tác thanh tra, kiểm tra hoặc giải trình khi có yêu cầu.

(iv) Đảm bảo dữ liệu được chuyển đúng mục đích, phạm vi và có cơ sở hợp pháp: Việc chuyển dữ liệu cá nhân chỉ nên được thực hiện trong phạm vi cần thiết, đúng mục đích đã thông báo cho chủ thể dữ liệu và trên cơ sở phù hợp với quy định của pháp luật về bảo vệ dữ liệu cá nhân.

(v) Áp dụng các biện pháp bảo mật dữ liệu phù hợp: Cơ quan, tổ chức, cá nhân cần triển khai các biện pháp kỹ thuật và quản lý nhằm bảo đảm an toàn dữ liệu trong suốt quá trình lưu trữ, chuyển và xử lý, đồng thời lựa chọn các đối tác hoặc nhà cung cấp dịch vụ có cơ chế bảo vệ dữ liệu phù hợp để hạn chế nguy cơ rò rỉ hoặc truy cập trái phép.

(vi) Thường xuyên rà soát hoạt động xử lý dữ liệu và cập nhật quy định pháp luật: Hoạt động chuyển dữ liệu cá nhân xuyên biên giới có thể phát sinh từ nhiều quy trình nghiệp vụ khác nhau và thay đổi theo quá trình vận hành của cơ quan, tổ chức. Vì vậy, cơ quan, tổ chức nên định kỳ rà soát các hoạt động xử lý dữ liệu, cập nhật Hồ sơ đánh giá tác động và theo dõi các quy định pháp luật để bảo đảm việc tuân thủ được thực hiện liên tục và đầy đủ.

Tóm lại, việc chuyển dữ liệu cá nhân xuyên biên giới không chỉ đơn thuần là vấn đề kỹ thuật hay vận hành mà còn là một nội dung quan trọng trong công tác tuân thủ pháp luật về bảo vệ dữ liệu cá nhân. Việc chủ động nhận diện các hoạt động chuyển dữ liệu, xác định đúng nghĩa vụ pháp lý và thực hiện đầy đủ các yêu cầu của pháp luật sẽ giúp cơ quan, tổ chức, cá nhân hạn chế rủi ro pháp lý, nâng cao hiệu quả quản trị dữ liệu, đồng thời bảo đảm quyền và lợi ích hợp pháp của chủ thể dữ liệu trong quá trình chuyển dữ liệu cá nhân xuyên biên giới.

Trên đây là một số phân tích của LNV về hoạt động chuyển dữ liệu cá nhân xuyên biên giới và nghĩa vụ thực hiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định của pháp luật hiện hành. Trường hợp Quý khách hàng cần tư vấn chi tiết hơn về một vấn đề liên quan đến nội dung bài viết này hoặc một trường hợp cụ thể, Quý khách hàng vui lòng liên hệ đến số hotline hoặc email của LexNovum Lawyers tại địa chỉ info@lexnovum.com.vn để được tư vấn chi tiết.  

Thực hiện: Cộng sự Hoàng Vy, Thực tập sinh Bá Huân

Tham vấn: Luật sư Phan Nhi 

Lưu ý: 

Những thông tin tại bài viết này chỉ nên được sử dụng nhằm mục đích tham khảo. Chúng tôi không chịu trách nhiệm hay có nghĩa vụ pháp lý đối với bất kỳ cá nhân, tổ chức nào sử dụng thông tin tại bài viết này ngoài mục đích tham khảo. Trước khi đưa ra bất kỳ sự lựa chọn hoặc quyết định nào, Quý Khách hàng vui lòng tham vấn thêm các khuyến nghị một cách chính thức, hoặc liên hệ LexNovum Lawyers để nhận được sự tư vấn chuyên sâu từ chúng tôi.  

Vui lòng trích dẫn nguồn “LexNovum Lawyers” khi sử dụng hoặc chia sẻ bài viết này tại bất kỳ đâu.