[Cập Nhật 2026] chuyển dữ liệu xuyên biên giới theo nghị định 356/2025/NĐ-CP: Quy định và thủ tục tuân thủ

Chuyển dữ liệu cá nhân xuyên biên giới theo Nghị định 356/2025/NĐ-CP bao gồm việc lưu trữ dữ liệu trên máy chủ/đám mây nước ngoài hoặc chuyển cho tổ chức, cá nhân ngoại quốc. Doanh nghiệp bắt buộc phải lập và nộp Hồ sơ đánh giá tác động trong vòng 60 ngày kể từ ngày chuyển dữ liệu. Một số trường hợp như quản lý nhân sự, vận chuyển hậu cần, thanh toán quốc tế hoặc tình huống khẩn cấp được miễn thực hiện đánh giá tác động. Cơ quan chức năng có quyền yêu cầu ngừng chuyển dữ liệu nếu phát hiện hành vi xâm phạm an ninh quốc gia hoặc vi phạm bảo vệ dữ liệu gây tổn hại đến quốc phòng.

1. Nhận diện hoạt động chuyển dữ liệu cá nhân xuyên biên giới

Theo Điều 17 Nghị định 356/2025/NĐ- CP mới được thông qua có quy định về các trường hợp doanh nghiệp được xem là có hoạt động chuyển dữ liệu xuyên biên giới với tư cách: Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân và Bên thứ ba thực hiện hoạt động chuyển dữ liệu cá nhân, theo đó khi doanh nghiệp có một trong các hoạt động sau thì xác định doanh nghiệp đang thực hiện chuyển dữ liệu cá nhân xuyên biên giới:

Hoạt động lưu trữ dữ liệu cá nhân có sự chuyển giao dữ liệu cá nhân thu thập, lưu trữ tại Việt Nam đến hệ thống máy chủ đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc trên dịch vụ điện toán đám mây của nhà cung cấp dịch vụ ở nước ngoài;

Hoạt động chuyển dữ liệu cá nhân từ cơ quan, tổ chức, cá nhân từ Việt Nam cho bên nhận là tổ chức, cá nhân ở nước ngoài;

Hoạt động xử lý dữ liệu cá nhân được thu thập tại Việt Nam và chuyển đến nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để tiếp tục xử lý.

Trường hợp ngoại lệ: các trường hợp có thực hiện chuyển dữ liệu cá nhân xuyên biên giới nhưng không phải thực hiện quy định về đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới bao gồm:

• Hoạt động báo chí, truyền thông theo quy định của pháp luật;
• Việc chuyển dữ liệu cá nhân xuyên biên giới đã được công khai theo quy định của pháp luật;
• Trong các tình huống khẩn cấp, thực sự cần thiết phải cung cấp dữ liệu cá nhân xuyên biên giới để bảo vệ tính mạng, sức khỏe và an toàn tài sản của cá nhân; để thực hiện nhiệm vụ, nghĩa vụ theo quy định của pháp luật;
• Hoạt động chuyển dữ liệu cá nhân xuyên biên giới để quản lý nhân sự xuyên biên giới theo quy tắc, quy chế lao động và thỏa ước lao động tập thể theo quy định của pháp luật;
• Việc cung cấp dữ liệu cá nhân xuyên biên giới để ký kết hợp đồng hoặc thực hiện các thủ tục liên quan đến vận chuyển xuyên biên giới, hậu cần, chuyển tiền, thanh toán, khách sạn, xin thị thực, xin học bổng.

Lưu ý rằng, cơ quan có thẩm quyền về bảo vệ dữ liệu cá nhân quyết định yêu cầu bên chuyển dữ liệu xuyên biên giới ngừng chuyển dữ liệu cá nhân xuyên biên giới trong trường hợp:

Khi phát hiện dữ liệu cá nhân được chuyển được sử dụng vào hoạt động xâm phạm quốc phòng, an ninh quốc gia;

Có hành vi vi phạm các quy định về bảo vệ dữ liệu cá nhân có thể gây tổn hại đến quốc phòng, an ninh quốc gia.

CDLAF nhận thấy đã đến lúc doanh nghiệp cần xây dựng một bộ phận hoặc nhóm nhân sự để chuyên trách cho việc tuân thủ quy định về dữ liệu cá nhân để đảm bảo rằng bộ phận này sẽ giúp doanh nghiệp phân loại được các loại dữ liệu, vai trò của doanh nghiệp trong từng loại dữ liệu cá nhân. Từ đó doanh nghiệp mới có thể xác định được chính xác doanh nghiệp thuộc trường hợp có chuyển dữ liệu xuyên biên giới hay không, hay nói cách khác là doanh nghiệp phải nắm được dòng chảy dữ liệu của chính doanh nghiệp. Quy định trước đây được hiểu như một sự tiếp cận ban đầu cho doanh nghiệp, chính vì vậy các vấn đề về kiểm soát dữ liệu cá nhân chưa được mạnh mẽ, tuy nhiên khi Luật bảo vệ dữ liệu cá nhân và Nghị định 356/2025/NĐ-CP được ban hành, cùng đó là chế tài xử phạt thì tất cả đang đặt doanh nghiệp vào tâm thế tuân thủ bắt buộc mà không ở tâm thế “ quan sát và thử nghiệm”.

2. Thủ tục lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Sau khi đã xác định doanh nghiệp có hoạt động chuyển dữ liệu xuyên biên giới và không thuộc trường hợp loại trừ, doanh nghiệp phải thực hiện lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới bao gồm:

• Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới ;
• Bản sao hợp đồng hoặc văn bản chuyển giao dữ liệu cá nhân thể hiện sự ràng buộc, trách nhiệm giữa các tổ chức, cá nhân chuyển và nhận dữ liệu cá nhân xuyên biên giới;
• Chính sách, quy trình, quy định, biểu mẫu và các tài liệu khác có liên quan về bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có hoạt động chuyển dữ liệu cá nhân xuyên biên giới.

Hướng dẫn lập Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, theo đó báo cáo phải có các nội dung sau:

• Thông tin và chi tiết liên lạc của bên chuyển dữ liệu cá nhân, bên nhận dữ liệu cá nhân, bên xử lý dữ liệu cá nhân và các bên khác có liên quan đến hoạt động chuyển dữ liệu cá nhân xuyên biên giới;
• Chi tiết liên lạc của bộ phận, nhân sự bảo vệ dữ liệu cá nhân; tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có) của bên chuyển dữ liệu cá nhân, bên nhận dữ liệu cá nhân;
• Mô tả và luận giải mục đích chuyển dữ liệu cá nhân xuyên biên giới, loại dữ liệu cá nhân chuyển xuyên biên giới, chi tiết các hoạt động chuyển và xử lý dữ liệu cá nhân xuyên biên giới và sơ đồ luồng xử lý dữ liệu cá nhân;
• Mô tả và luận giải về việc thực hiện xin sự đồng ý của chủ thể dữ liệu cá nhân, chính sách lưu trữ, xóa, hủy dữ liệu cá nhân;
• Phương án bảo đảm an toàn dữ liệu cá nhân sau khi chuyển xuyên biên giới, các biện pháp bảo vệ dữ liệu cá nhân, tiêu chuẩn bảo vệ dữ liệu cá nhân được áp dụng;
• Sơ đồ hệ thống, mô tả tính năng của hệ thống lưu trữ, xử lý dữ liệu cá nhân sau khi tiếp nhận dữ liệu cá nhân xuyên biên giới;
• Quy trình về việc bên tiếp nhận dữ liệu cá nhân xuyên biên giới chuyển giao, cung cấp dữ liệu cá nhân cho bên thứ ba;
• Kết quả tự đánh giá tuân thủ quy định về bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có hoạt động chuyển dữ liệu cá nhân xuyên biên giới;
• Đánh giá mức độ bảo vệ dữ liệu cá nhân của bên nhận dữ liệu cá nhân; mức độ ảnh hưởng, rủi ro của việc chuyển và xử lý dữ liệu cá nhân xuyên biên giới; hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, rủi ro đó.

Trình tự thực hiện thủ tục đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

Doanh nghiệp nộp 01 bản chính hồ sơ đầy đủ bằng phương thức trực tuyến hoặc trực tiếp hoặc qua dịch vụ bưu chính về cơ quan chuyên trách bảo vệ dữ liệu cá nhân kèm theo Mẫu số 01a/01b tại Phụ lục của Nghị định này trong thời hạn 60 ngày kể từ ngày tiến hành chuyển dữ liệu cá nhân xuyên biên giới. CDLAF lưu ý rằng, doanh nghiệp đặc biệt cần chú ý đối với thời hạn 60 ngày này để tránh bị xử phạt vi phạm, đồng thời cần biết rằng hồ sơ chuẩn bị hiện nay khá phức tạp và nhiều dữ liệu do đó thời gian chuẩn bị nội bộ trên thực tế chúng tôi đã xử lý thì mất khá nhiều thời gian.

Cơ quan quản lý về bảo vệ dữ liệu cá nhân đánh giá và trả kết quả đối với Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới đạt yêu cầu hoặc không đạt yêu cầu trong thời hạn 15 ngày.

Cơ quan quản lý đánh giá, yêu cầu bên chuyển dữ liệu cá nhân xuyên biên giới hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới trong thời hạn 30 ngày đối với trường hợp hồ sơ chưa đầy đủ và đúng quy định. Trường hợp bên chuyển dữ liệu cá nhân không thực hiện hoàn thiện hồ sơ theo đúng quy định, cơ quan chuyên trách bảo vệ dữ liệu cá nhân xem xét áp dụng các quy định về xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân.

Lưu ý từ CDLAF: Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới phải luôn có sẵn để phục vụ hoạt động kiểm tra, đánh giá của cơ quan chuyên trách bảo vệ dữ liệu cá nhân. Trong quá trình hoạt động khi có thay đổi thông tin thì doanh nghiệp thực hiện cập nhật, bổ sung Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới theo quy định.

Nghị định 356/2025/NĐ-CP đã minh bạch hóa các trường hợp miễn trừ (như quản lý nhân sự), giúp giảm bớt gánh nặng hành chính cho các tập đoàn đa quốc gia. Tuy nhiên, doanh nghiệp không nên chủ quan. Đối với các hoạt động lưu trữ Cloud hay xử lý dữ liệu tập trung tại công ty mẹ không thuộc diện miễn trừ, việc lập báo cáo theo Mẫu số 09 đòi hỏi sự phối hợp cực kỳ chặt chẽ giữa bộ phận Pháp chế và bộ phận IT. Sai sót thường gặp nhất là sơ đồ luồng dữ liệu (Data Flow) không khớp với mô tả kỹ thuật, dẫn đến việc hồ sơ bị trả về và rủi ro bị ngừng chuyển dữ liệu nếu cơ quan chức năng phát hiện nguy cơ xâm phạm an ninh quốc gia.

CDLAF – Đơn vị tư vấn chuyên sâu và thực hiện thủ tục tuân thủ về Bảo vệ dữ liệu cá nhân tại Việt Nam.

• Email tư vấn: info@cdlaf.vn

• Hotline: (+84) 909 668 216

Thời gian viết bài: 02/01/2026

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Bạn có thể tham thảo thêm:

• Quyền và phương thức Xác lập Sự đồng ý của Chủ thể Dữ liệu cá nhân theo nghị định 356/2025/NĐ-CP
• Phân biệt Giấy phép ATTTM và Giấy phép Mật mã dân sự: Những nhầm lẫn cần loại bỏ
• Giao kết hợp đồng lao động điện tử diều kiện tuân thủ và Quy trình thực thi
• Tác động của Nghị định 337/2025/NĐ-CP liên quan đến Hợp đồng lao động điện tử
• Thuế áp dụng cho các cá nhân nước ngoài làm việc tự do tại Việt Nam
• Hướng dẫn lập Phương án kinh doanh – Giấy phép kinh doanh dịch vụ, sản phẩm an toàn thông tin mạng (Phần 2)