Dữ liệu và Lưu ý Pháp lý trong Hợp đồng Thuê ngoài (Outsourcing) (Phần 1)

Trong mô hình quản trị hiện đại, việc sử dụng dịch vụ thuê ngoài (Outsourcing) cho các mảng Kế toán – Payroll, HR, CRM, ERP hay IT Managed Services đã trở thành tiêu chuẩn để tối ưu chi phí và vận hành. Tuy nhiên, sự dịch chuyển này đang tạo ra “khoảng trống pháp lý” lớn khi doanh nghiệp thường chỉ đánh giá dưới góc độ kỹ thuật mà bỏ qua quyền kiểm soát dữ liệu thực tế. Khi dữ liệu được lưu trữ trên các nền tảng như Cloud hoặc xử lý bởi bên thứ ba có quyền truy cập xuyên quốc gia, ranh giới giữa việc “thuê dịch vụ” và “chuyển giao quyền kiểm soát dữ liệu” trở nên mờ nhạt. Điều này đặt ra yêu cầu cấp bách cho doanh nghiệp trong việc xác minh tính tuân thủ pháp luật Việt Nam của đối tác để bảo vệ tài sản thông tin và tránh các vi phạm về bảo vệ dữ liệu cá nhân.

Nội dung bài viết:

1. Mức độ tiếp cận các dữ liệu từ nhóm doanh nghiệp thuê ngoài

Ở góc độ pháp lý, outsourcing không đơn thuần là việc doanh nghiệp “mua một dịch vụ” để thay thế nguồn lực nội bộ. Mỗi quyết định thuê ngoài, đặc biệt trong các mảng như kế toán – payroll, HR system, CRM/ERP hay IT managed services, đều đồng thời là một quyết định giao quyền xử lý dữ liệu cho bên thứ ba. Khi doanh nghiệp chuyển giao dữ liệu nhân sự cho đơn vị làm payroll, hay mở quyền truy cập hệ thống cho nhà cung cấp IT quản trị, doanh nghiệp đang cho phép một chủ thể khác được trực tiếp thao tác, sử dụng và ảnh hưởng đến dữ liệu – chứ không chỉ “thực hiện công việc thay mình”. Qua quá trình làm việc với các doanh nghiệp chuyên cung cấp dịch vụ thuê ngoài, chúng tôi nhận ra rằng các doanh nghiệp sẽ xây dựng các hành lang an ninh để bảo toàn dữ liệu của khách hàng, và để làm được điều này, ít nhiều doanh nghiệp thuê ngoài sẽ cần sử dụng đến dịch vụ từ các bên thứ ba điển hình là nhóm doanh nghiệp cung cấp nền tảng lưu trữ, cung cấp công nghệ, phần mềm.

Về phía doanh nghiệp cung cấp dịch vụ thuê ngoài, với phạm vi công việc sẽ thực hiện từ doanh nghiệp cung cấp dịch vụ thuê ngoài và bên thứ ba, có thể thấy một khối lượng lớn các dữ liệu cá nhân, dữ liệu doanh nghiệp và đặc biệt là dữ liệu cá nhân nhạy cảm được các bên cung cấp dịch vụ tiếp cận, nắm giữ, lưu trữ và xử lý. Tuy nhiên hiện nay đa phần các hợp đồng giữa các bên chỉ dừng lại ở mức độ ghi nhận nội dung công việc, ghi nhận rằng bên cung cấp dịch vụ phải bảo mật thông tin, không được bán dữ liệu khách hàng. Các hợp đồng chưa đề cập đến trách nhiệm kiểm soát và xử lý dữ liệu nói chung và dữ liệu cá nhân nói riêng, phương thức bảo vệ, điều khoản xử lý vi phạm về dữ liệu, quy trình ứng phó sự cố khi bị rò rỉ dữ liệu, quy trình tiếp nhận và quản lý dữ liệu khách hàng từ bên cung cấp dịch vụ. Và nếu theo quy định hiện nay về bảo vệ dữ liệu cá nhân được nêu tại Luật bảo vệ dữ liệu cá nhân và Nghị định 356/2025/NĐ- CP về dữ liệu cá nhân thì việc các doanh nghiệp đáp ứng được thủ tục mà luật quy định được xem là điều kiện tiên quyết để các doanh nghiệp thuê ngoài chào bán dịch vụ cho khách hàng.

Về phía khách hàng, khi thuê các doanh nghiệp thuê ngoài, khách hàng cần lưu ý rằng trong nhiều hợp đồng outsourcing, quyền tiếp cận dữ liệu được trao đi rất rộng. Bên cung cấp dịch vụ có thể được phép truy cập toàn bộ cơ sở dữ liệu để vận hành hệ thống, được quyền tải về dữ liệu để xử lý, thậm chí được quyền chia sẻ cho các nhà thầu phụ kỹ thuật – tất cả chỉ được gói gọn trong một câu cam kết bảo mật chung chung. Khi đó, câu hỏi pháp lý không còn là “họ có bảo mật hay không”, mà là vai trò pháp lý của mỗi bên trong chuỗi xử lý dữ liệu là gì. Doanh nghiệp là bên kiểm soát dữ liệu – người quyết định mục đích và phạm vi xử lý? Đối tác chỉ là bên xử lý dữ liệu – làm theo chỉ dẫn? Hay trên thực tế, hai bên đang cùng quyết định cách thức xử lý, dẫn đến trạng thái đồng kiểm soát dữ liệu mà rất nhiều doanh nghiệp không hề nhận ra. Việc bỏ sót hoặc xác định sai vai trò này chính là nguyên nhân phổ biến khiến doanh nghiệp không xây dựng được cơ chế kiểm soát phù hợp, và mất lợi thế pháp lý khi phát sinh tranh chấp hoặc bị thanh tra.

2. Rủi ro pháp lý khi giao dữ liệu doanh nghiệp, khách hàng cho bên thứ ba

Trước khi đi đến phương thức cần thiết lập để bảo vệ dữ liệu doanh nghiệp, dữ cá nhân của người dùng, cá nhân người lao động và của các bên là khách hàng của chính doanh nghiệp, bằng kinh nghiệm tư vấn pháp lý doanh nghiệp cũng như với vai trò là chuyên gia về dữ liệu cá nhân, tôi muốn lưu ý đến doanh nghiệp với tư cách là khách hàng hay bên cung cấp dịch vụ một số rủi ro pháp lý mà các bên cần chú ý, đặc biệt là trong bối cảnh Chính phủ đang đẩy mạnh việc tuân thủ dữ liệu.

Rủi ro về tính hợp lệ của việc chuyển giao dữ liệu, trong nhiều mô hình outsourcing và cung cấp nền tảng lưu trữ, nền tảng làm việc online, doanh nghiệp mặc nhiên cho rằng việc chuyển dữ liệu cho đối tác là hợp pháp vì đó là nhu cầu vận hành “hiển nhiên”. Tuy nhiên, pháp luật không đánh giá sự hợp lệ dựa trên nhu cầu nội bộ của doanh nghiệp, mà dựa trên căn cứ pháp lý cụ thể cho từng mục đích xử lý. Nếu doanh nghiệp chưa có sự đồng ý hợp lệ của chủ thể dữ liệu, hoặc sự đồng ý đó được thu thập một cách hình thức, chung chung, không phản ánh đúng phạm vi xử lý thực tế, thì toàn bộ chuỗi chuyển giao dữ liệu cho bên thứ ba có thể bị coi là vượt quá giới hạn cho phép. Rủi ro càng lớn khi dữ liệu được sử dụng cho các mục đích phát sinh sau này – phân tích, tối ưu hệ thống, đào tạo thuật toán, hoặc tích hợp đa nền tảng – trong khi các mục đích này chưa từng được thông báo hoặc được chủ thể dữ liệu chấp thuận ngay từ đầu. Tất cả đều có mối quan hệ liên kết với nhau mà chúng ta có thể hiểu như sau: doanh nghiệp chưa nhận được sự đồng ý của chủ thể dữ liệu (cá nhân người lao động, khách hàng, người dùng…), chưa xác lập đầy đủ các điều kiện mà luật đã đặt ra thì việc chuyển giao dữ liệu đều không có tính “đúng pháp lý” một cách hiển nhiên.

Rủi ro về mất quyền kiểm soát thực tế đối với dữ liệu, trên giấy tờ, doanh nghiệp có thể vẫn là “chủ dữ liệu”, nhưng trên thực tế, họ không biết chính xác dữ liệu đang được lưu trữ ở đâu, được sao lưu tại những trung tâm dữ liệu nào, ai là người có quyền truy cập trực tiếp, và dữ liệu sẽ được lưu giữ trong bao lâu sau khi hợp đồng chấm dứt. Trong nhiều mô hình cloud và outsourcing phức tạp, quyền truy cập dữ liệu không chỉ nằm ở một nhà cung cấp, mà lan sang các nhà thầu phụ (sub-processor), các đội ngũ kỹ thuật ở nhiều quốc gia khác nhau, và các hệ thống trung gian phục vụ sao lưu, phân tích hoặc hỗ trợ kỹ thuật. Nếu hợp đồng không giới hạn và kiểm soát chặt chẽ các quyền này, doanh nghiệp sẽ rất khó chứng minh rằng mình vẫn duy trì được quyền kiểm soát cần thiết đối với dữ liệu.

Lưu ý rằng, mỗi quốc gia có một khung pháp lý và mức độ bảo vệ dữ liệu khác nhau. Doanh nghiệp có thể vô tình tham gia vào một chuỗi chuyển dữ liệu xuyên biên giới mà chính họ không đủ thông tin để đánh giá rủi ro, chứ chưa nói đến việc chủ động kiểm soát hay dừng lại khi cần thiết. Khi đó, quyền kiểm soát dữ liệu tồn tại nhiều hơn trên lý thuyết, trong khi quyền kiểm soát thực tế đã bị phân mảnh và phân tán.

Rủi ro khi sự cố về dữ liệu xảy ra, khi dữ liệu bị mất, hay một hành vi truy cập trái phép, hay một sự cố rò rỉ dữ liệu nhân sự và khách hàng không chỉ là vấn đề kỹ thuật hay uy tín thương hiệu. Dưới góc nhìn pháp lý, nó ngay lập tức đặt doanh nghiệp vào tâm điểm trách nhiệm. Cơ quan quản lý, khi vào cuộc, sẽ không chỉ ỏi “sự cố xảy ra như thế nào”, mà quan trọng hơn là hỏi doanh nghiệp đã thực hiện đầy đủ các quy định mà Luật bảo vệ dữ liệu cá nhân, Luật dữ liệu… đặt ra cho doanh nghiệp hay chưa? Và doanh nghiệp làm gì để ngăn ngừa và kiểm soát rủi ro từ đối tác. Nếu doanh nghiệp thực tế không thực hiện bất kỳ quy định tuân thủ nào thì rất khó để chứng minh rằng mình đã thực hiện đầy đủ nghĩa vụ quản trị rủi ro.

Tóm lại, trong kỷ nguyên số, Outsourcing không chỉ là thuê dịch vụ, mà là chuyển giao trách nhiệm pháp lý đối với tài sản dữ liệu. Doanh nghiệp không thể phó mặc sự an toàn thông tin cho một câu cam kết bảo mật chung chung trong hợp đồng. Đừng đợi đến khi xảy ra một vụ rò rỉ dữ liệu (Data Breach) hay bị cơ quan chuyên trách thanh tra thì mới xem lại hợp đồng. Trong bối cảnh Chính phủ đang đẩy mạnh thực thi Nghị định 356/2025/NĐ-CP, sự tuân thủ không còn là một lựa chọn mà là điều kiện tiên quyết để doanh nghiệp duy trì hoạt động kinh doanh bền vững. Tại CDLAF, tôi luôn nhấn mạnh với khách hàng: Một hợp đồng thuê ngoài an toàn phải được thiết kế dựa trên sự thấu hiểu sâu sắc về luồng dữ liệu kỹ thuật kết hợp với rào cản pháp lý chặt chẽ. Chỉ khi bạn kiểm soát được đối tác trong toàn bộ vòng đời của dữ liệu, bạn mới thực sự sở hữu dữ liệu của chính mình.

Thời gian viết bài: 14/01/2026

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Vì sao chọn dịch vụ CDLAF

Chúng tôi cung cấp đến bạn giải pháp pháp lý hiệu quả và toàn diện, giúp bạn tiết kiệm ngân sách, duy trì sự tuân thủ trong doanh nghiệp;
Chúng tôi tiếp tục duy trì việc theo dõi vấn đề pháp lý của bạn ngay cả khi dịch vụ đã hoàn thành và cập nhật đến bạn khi có bất kỳ sự thay đổi nào từ hệ thống pháp luật Việt Nam;
Hệ thống biểu mẫu về doanh nghiệp, đầu tư được xây dựng và cập nhật liên tục sẽ cung cấp khi khách hàng yêu cầu, rút ngắn thời gian thực hiện thủ tục;
Doanh nghiệp cập nhật kịp thời các chính sách và phương thức làm việc tại các cơ quan nhà nước có thẩm quyền;
Đội ngũ Luật sư của CDLAF nhiều năm kinh nghiệm hoạt động tại lĩnh vực Lao động, Doanh nghiệp, Đầu tư cùng với các cố vấn nhân sự, tài chính;
Quy trình bảo mật thông tin nghiêm ngặt trong suốt quá trình thực hiện dịch vụ và ngay cả khi dịch vụ được hoàn thành sau đó;

Bạn có thể tham thảo thêm: