Tìm hiểu Luật Bảo vệ dữ liệu cá nhân 2025 - Phần 3

DỮ LIỆU NHẠY CẢM & CHUYỂN DỮ LIỆU RA NƯỚC NGOÀI: "VÙNG CẤM" PHÁP LÝ DOANH NGHIỆP CẦN BIẾT

Phân tích chuyên sâu Luật 91/2025/QH15: Hồ sơ TIA, Dữ liệu sinh trắc học và những rủi ro tiền tỷ.

Nếu như phần trước chúng ta đã bàn về những quy định cơ bản, thì ở phần này, tôi muốn cảnh báo các bạn về những "cạm bẫy" pháp lý tinh vi hơn nhưng cũng nguy hiểm hơn rất nhiều. Đó là câu chuyện về Dữ liệu cá nhân nhạy cảm và hoạt động Chuyển dữ liệu ra nước ngoài.

Trong kỷ nguyên mà mọi doanh nghiệp đều dùng Facebook để quảng cáo, dùng Google Drive để lưu trữ, hoặc dùng máy chấm công vân tay... ranh giới vi phạm pháp luật trở nên mong manh hơn bao giờ hết. Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) đã thiết lập những hàng rào kỹ thuật cực kỳ nghiêm ngặt cho các hoạt động này.

1. Dữ liệu nhạy cảm: "Hàng nóng" cần chế độ bảo vệ đặc biệt

Không phải mọi dữ liệu đều bình đẳng. Luật pháp Việt Nam phân định rạch ròi giữa Dữ liệu cơ bản (Họ tên, ngày sinh, giới tính...) và Dữ liệu nhạy cảm.

Việc xử lý dữ liệu nhạy cảm giống như việc bạn vận chuyển chất cháy nổ: Phải xin phép kỹ càng, bảo vệ nghiêm ngặt và chịu trách nhiệm nặng nề hơn nếu xảy ra sự cố.

A. Nhận diện Dữ liệu nhạy cảm

Ngoài những loại thông tin mang tính riêng tư cao như quan điểm chính trị, tôn giáo, đời sống tình dục, các doanh nghiệp cần đặc biệt lưu ý 3 loại dữ liệu phổ biến sau đây:

• Dữ liệu sinh trắc học: Vân tay, mống mắt, khuôn mặt (FaceID), giọng nói.
• Dữ liệu định vị (Location): Vị trí thực tế của cá nhân được xác định qua GPS.
• Thông tin tài chính/Ngân hàng: Số tài khoản, số dư, lịch sử giao dịch, thông tin thẻ tín dụng.

Ví dụ: Một công ty lắp máy chấm công bằng vân tay cho nhân viên -> Họ đang xử lý Dữ liệu sinh trắc học (Nhạy cảm). Một ứng dụng giao đồ ăn theo dõi vị trí shipper -> Họ đang xử lý Dữ liệu định vị (Nhạy cảm).

B. Nghĩa vụ bắt buộc khi xử lý

Khi chạm vào dữ liệu nhạy cảm, doanh nghiệp phải tuân thủ:

1. Sự đồng ý riêng biệt: Không được gộp chung vào một nút "Đồng ý tất cả". Bạn phải hỏi riêng: "Bạn có đồng ý cho tôi thu thập vân tay không?".
2. Bổ nhiệm DPO: Phải có bộ phận hoặc nhân sự chuyên trách bảo vệ dữ liệu.
3. Thông báo vi phạm khẩn cấp: Nếu xảy ra lộ lọt, phải báo cáo cơ quan chức năng và nạn nhân ngay lập tức.

2. Chuyển dữ liệu ra nước ngoài: Không còn chuyện "Thích là gửi"

Đây là nội dung gây đau đầu nhất cho các doanh nghiệp sử dụng dịch vụ Cloud quốc tế (như AWS, Google Cloud, Azure) hoặc các công ty đa quốc gia.

A. Thế nào là "Chuyển dữ liệu ra nước ngoài"?

Rất nhiều chủ doanh nghiệp lầm tưởng rằng "tôi không gửi email cho người nước ngoài thì không phải là chuyển dữ liệu". Sai lầm!

Hành vi chuyển dữ liệu ra nước ngoài bao gồm:

• Lưu trữ dữ liệu trên máy chủ (Server) đặt tại nước ngoài.
• Cho phép một bên ở nước ngoài truy cập vào dữ liệu tại Việt Nam.
• Gửi danh sách khách hàng/nhân viên cho công ty mẹ ở nước ngoài.

B. Điều kiện chuyển dữ liệu (Hồ sơ TIA)

Để dữ liệu được phép "xuất ngoại", doanh nghiệp phải đáp ứng đủ 3 điều kiện kiên quyết:

1. Sự đồng ý của chủ thể: Người dùng phải biết và đồng ý việc dữ liệu của mình sẽ đi đâu.

2. Bảo đảm an toàn: Bên nhận dữ liệu ở nước ngoài phải có biện pháp bảo vệ tương đương tiêu chuẩn Việt Nam.

3. Lập Hồ sơ Đánh giá tác động chuyển dữ liệu ra nước ngoài (TIA): Đây là hồ sơ pháp lý bắt buộc, phải gửi về Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) trong vòng 60 ngày kể từ ngày chuyển dữ liệu.

Lưu ý quan trọng: Hồ sơ TIA (Transfer Impact Assessment) khác hoàn toàn với hồ sơ DPIA (Data Protection Impact Assessment). Nếu bạn vừa xử lý dữ liệu tại Việt Nam, vừa gửi ra nước ngoài, bạn phải làm CẢ HAI loại hồ sơ này.

3. Bài học thực tế: Đừng chết vì thiếu hiểu biết

CASE STUDY: CÔNG TY XUẤT KHẨU THỦY SẢN A
(Tình huống giả định điển hình)

Công ty A tại Đồng Tháp sử dụng phần mềm nhân sự của Singapore để quản lý chấm công và trả lương. Hàng ngày, dữ liệu vân tay và hồ sơ sức khỏe của 500 công nhân được đồng bộ lên máy chủ tại Singapore.

Sai phạm nghiêm trọng của Công ty A:

• Về loại dữ liệu: Họ đang chuyển Dữ liệu sinh trắc học và Y tế (Dữ liệu nhạy cảm) mà không có quy trình bảo vệ đặc biệt.
• Về thủ tục: Họ không lập hồ sơ TIA gửi Bộ Công an vì nghĩ rằng "dùng nội bộ thì không cần báo cáo".

👉 Hậu quả: Nếu bị thanh tra, Công ty A đối mặt với mức phạt lên tới 5% doanh thu vì vi phạm quy định về bảo vệ dữ liệu nhạy cảm và chuyển dữ liệu trái phép qua biên giới.

KIỂM TRA KIẾN THỨC CỦA BẠN

5 câu hỏi nhanh để xem bạn đã sẵn sàng tuân thủ luật chưa?

Câu 1: Dữ liệu nào sau đây KHÔNG PHẢI là dữ liệu nhạy cảm?

Vân tay chấm công. Vị trí định vị (GPS). Họ tên và Số điện thoại.

Câu 2: Thời hạn nộp hồ sơ đánh giá tác động chuyển dữ liệu ra nước ngoài (TIA) là bao lâu?

30 ngày. 60 ngày kể từ ngày chuyển dữ liệu. 90 ngày.

Câu 3: Doanh nghiệp lưu trữ dữ liệu khách hàng trên Google Drive (máy chủ tại Mỹ) có được coi là chuyển dữ liệu ra nước ngoài không?

Có. Không, vì Google là công ty toàn cầu. Chỉ tính khi gửi qua email.

Câu 4: Khi thu thập dữ liệu nhạy cảm, doanh nghiệp cần làm gì?

Chỉ cần thông báo là đủ. Tự động thu thập nếu khách hàng không phản đối. Phải có sự đồng ý rõ ràng, cụ thể và bổ nhiệm DPO.

Câu 5: Hồ sơ TIA và DPIA là một loại hồ sơ?

Đúng, là một. Sai, là hai hồ sơ riêng biệt cho hai mục đích khác nhau.

Bài viết này giúp bạn tránh được rủi ro pháp lý? Hãy chia sẻ ngay!

Đã sao chép liên kết thành công!