Chuyển đến nội dung chính
← Quay Về Blog
cross-borderdata-transferpdplforeign-companies

Yêu Cầu Chuyển Giao Dữ Liệu Xuyên Biên Giới Tại Việt Nam: Những Điều Người Dùng Google Workspace Cần Biết

CompliScan Team8 phút đọc

Nếu doanh nghiệp của bạn sử dụng Google Workspace tại Việt Nam, gần như chắc chắn bạn đang chuyển giao dữ liệu cá nhân xuyên biên giới. Hạ tầng của Google mang tính toàn cầu. Trừ khi bạn đã cấu hình chính sách vùng dữ liệu — yêu cầu gói Enterprise — dữ liệu cá nhân của nhân viên có thể được lưu trữ và xử lý trên máy chủ ngoài Việt Nam.

Theo Luật BVDLCN (Luật 91/2025/QH15) và Nghị định 356, chuyển giao dữ liệu cá nhân xuyên biên giới phải tuân thủ các yêu cầu cụ thể mà nhiều doanh nghiệp chưa xử lý. Bài viết này giải thích các quy định, đối tượng bị ảnh hưởng, và các bước cần thực hiện.

Khi Nào Quy Định Chuyển Giao Xuyên Biên Giới Áp Dụng?

Các quy định xuyên biên giới của Luật BVDLCN áp dụng khi dữ liệu cá nhân của công dân Việt Nam được chuyển giao, lưu trữ, hoặc xử lý ngoài lãnh thổ Việt Nam. Bao gồm:

  • Gửi dữ liệu đến công ty mẹ ở nước ngoài — hồ sơ nhân viên, báo cáo tài chính chứa dữ liệu cá nhân, hoặc dữ liệu vận hành chia sẻ với trụ sở chính
  • Sử dụng nền tảng đám mây có hạ tầng toàn cầu — Google Workspace, Microsoft 365, Salesforce và hầu hết công cụ SaaS lưu trữ dữ liệu trên nhiều vùng địa lý
  • Thuê ngoài cho nhà cung cấp nước ngoài — xử lý lương, hỗ trợ IT, hoặc quản trị HR do công ty ngoài Việt Nam thực hiện
  • Chia sẻ dữ liệu với khách hàng hoặc đối tác nước ngoài — tài liệu dự án, hồ sơ nhân sự, hoặc báo cáo tuân thủ gửi quốc tế

Điểm mấu chốt: yếu tố kích hoạt không phải là ý định chuyển dữ liệu ra nước ngoài. Mà là thực tế dữ liệu nằm ngoài Việt Nam, bất kể bằng cách nào hay lý do gì.

Luật BVDLCN Yêu Cầu Gì

1. Đánh Giá Tác Động Chuyển Giao Xuyên Biên Giới

Trước khi chuyển giao dữ liệu cá nhân ra ngoài Việt Nam, doanh nghiệp phải hoàn thành Đánh giá Tác động Chuyển giao Xuyên biên giới. Tài liệu này phải đánh giá:

  • Loại dữ liệu cá nhân được chuyển giao
  • Mục đích và sự cần thiết của việc chuyển giao
  • Pháp luật bảo vệ dữ liệu của quốc gia nhận
  • Các biện pháp bảo vệ kỹ thuật và tổ chức đang áp dụng
  • Rủi ro đối với chủ thể dữ liệu và cách giảm thiểu

Đây không giống DPIA tiêu chuẩn. Đây là đánh giá riêng biệt tập trung cụ thể vào tính chất xuyên biên giới. Nghị định 356 quy định yêu cầu về hình thức và nội dung.

2. Đăng Ký Với Bộ Công An

Doanh nghiệp thực hiện chuyển giao xuyên biên giới phải đăng ký các hoạt động này với Bộ Công an. Việc đăng ký phải hoàn thành trước khi chuyển giao diễn ra và phải bao gồm Đánh giá Tác động Chuyển giao Xuyên biên giới.

Yêu cầu này không có tương đương trong GDPR. Luật bảo vệ dữ liệu châu Âu cho phép chuyển giao xuyên biên giới thông qua các cơ chế như Điều khoản Hợp đồng Tiêu chuẩn mà không cần đăng ký trước với cơ quan nhà nước. Cách tiếp cận của Việt Nam khác biệt căn bản — yêu cầu thông báo chủ động cho cơ quan nhà nước.

3. Đồng Ý Rõ Ràng Từ Chủ Thể Dữ Liệu

Chủ thể dữ liệu phải đồng ý rõ ràng, có đầy đủ thông tin cụ thể cho việc chuyển giao xuyên biên giới. Sự đồng ý này phải:

  • Tách biệt khỏi đồng ý xử lý dữ liệu chung
  • Cụ thể về dữ liệu nào được chuyển giao và đến đâu
  • Cung cấp thông tin về tiêu chuẩn bảo vệ dữ liệu tại quốc gia nhận
  • Tự nguyện và có thể thu hồi

Đối với người sử dụng lao động, điều này có nghĩa là cập nhật mẫu đồng ý của nhân viên để bao gồm điều khoản đồng ý chuyển giao xuyên biên giới riêng biệt.

4. Nghĩa Vụ Tuân Thủ Liên Tục

Tuân thủ chuyển giao xuyên biên giới không phải việc làm một lần. Doanh nghiệp phải:

  • Cập nhật Đánh giá Tác động khi tính chất hoặc phạm vi chuyển giao thay đổi
  • Lưu giữ hồ sơ về tất cả các lần chuyển giao
  • Phản hồi yêu cầu của chủ thể dữ liệu về dữ liệu đã chuyển giao
  • Thông báo cho Bộ Công an về bất kỳ thay đổi đáng kể nào

Vấn Đề Google Workspace

Google Workspace đặt ra thách thức cụ thể cho doanh nghiệp Việt Nam. Google vận hành hạ tầng đám mây toàn cầu, dữ liệu được phân phối trên các trung tâm dữ liệu khắp thế giới. Điều này có nghĩa:

Cấu hình mặc định = chuyển giao xuyên biên giới. Trừ khi bạn kích hoạt chính sách vùng dữ liệu (có trên gói Enterprise), bạn không thể đảm bảo dữ liệu cá nhân Việt Nam nằm trong lãnh thổ Việt Nam.

Ngay cả siêu dữ liệu cũng quan trọng. Không chỉ nội dung file. Header email, nhật ký truy cập, quyền chia sẻ và dữ liệu hoạt động người dùng cũng có thể được xử lý ngoài Việt Nam.

Thỏa thuận xử lý dữ liệu của Google có thể chưa đủ. Dù Google cung cấp thỏa thuận xử lý dữ liệu tham chiếu GDPR, nhưng không tự động đáp ứng yêu cầu Luật BVDLCN. Bạn vẫn cần hoàn thành Đánh giá Tác động và đăng ký với Bộ Công an.

Tại Sao Doanh Nghiệp FDI Chịu Rủi Ro Lớn Hơn

Doanh nghiệp FDI đối mặt với thách thức kép. Họ không chỉ sử dụng công cụ đám mây có hạ tầng toàn cầu — mà còn chủ động gửi dữ liệu đến công ty mẹ, văn phòng khu vực và nhà cung cấp nước ngoài như hoạt động bình thường. Mỗi luồng dữ liệu này là một chuyển giao xuyên biên giới riêng biệt.

Các tình huống phổ biến bao gồm:

  • Báo cáo HR hàng tháng gửi đến trụ sở khu vực chứa tên, số CCCD và lương nhân viên
  • Quy trình hợp nhất tài chính chuyển dữ liệu nhân viên Việt Nam sang hệ thống toàn cầu
  • Dịch vụ helpdesk IT vận hành từ quốc gia khác có quyền truy cập tài khoản người dùng Việt Nam
  • Yêu cầu kiểm toán từ công ty mẹ cần dữ liệu cá nhân nhân viên

Mỗi trường hợp phải được đánh giá, ghi nhận và đăng ký với Bộ Công an.

Các Bước Thực Tế Cần Thực Hiện Ngay

1. Kiểm Kê Luồng Dữ Liệu

Lập bản đồ mọi luồng dữ liệu cá nhân rời khỏi Việt Nam. Bao gồm lưu trữ đám mây, công cụ SaaS, dữ liệu chia sẻ với tổ chức nước ngoài và dịch vụ thuê ngoài.

2. Hoàn Thành Đánh Giá Tác Động

Chuẩn bị Đánh giá Tác động theo mẫu quy định tại Nghị định 356 cho mỗi luồng chuyển giao đã xác định.

3. Đăng Ký Với Bộ Công An

Nộp Đánh giá Tác động và đăng ký hoạt động chuyển giao xuyên biên giới với Bộ Công an trước khi chuyển giao diễn ra.

4. Cập Nhật Cơ Chế Đồng Ý

Rà soát và cập nhật mẫu đồng ý nhân viên, thông báo quyền riêng tư để bao gồm đồng ý chuyển giao xuyên biên giới rõ ràng.

5. Kiểm Toán Google Workspace

Hiểu rõ dữ liệu cá nhân Việt Nam nào tồn tại trong Google Workspace, lưu trữ ở đâu và liệu có thể truy cập từ hoặc sao chép đến máy chủ ngoài Việt Nam hay không.

Đừng Chờ Đợi

Luật BVDLCN đã có hiệu lực. Doanh nghiệp thực hiện chuyển giao xuyên biên giới mà không có Đánh giá Tác động và đăng ký Bộ Công an đang hoạt động ngoài khuôn khổ pháp luật. Các yêu cầu rõ ràng và các bước tuân thủ được xác định cụ thể. Bắt đầu ngay sẽ cho bạn thời gian thực hiện đúng cách.

CompliScan giúp doanh nghiệp xác định dữ liệu cá nhân nào tồn tại trong Google Workspace trước khi xử lý tuân thủ xuyên biên giới. Quét chỉ đọc của chúng tôi nhận dạng PII Việt Nam trên Drive, Gmail, Sheets và Docs, cung cấp bản kiểm kê dữ liệu cần thiết cho Đánh giá Tác động Chuyển giao Xuyên biên giới. Yêu cầu đánh giá rủi ro miễn phí →

Bài viết này chỉ mang tính thông tin và không cấu thành tư vấn pháp lý. Vui lòng tham khảo ý kiến luật sư Việt Nam có chuyên môn về nghĩa vụ chuyển giao dữ liệu xuyên biên giới cho tình huống cụ thể của doanh nghiệp bạn.

Chia sẻ trên LinkedIn

Bài Viết Liên Quan

pdplforeign-companies
8 phút đọc

Luật BVDLCN Việt Nam: Những Điều Doanh Nghiệp FDI Cần Biết

Luật Bảo vệ Dữ liệu Cá nhân (Luật 91/2025/QH15) đặt ra yêu cầu vượt xa GDPR. Dưới đây là những gì doanh nghiệp có vốn đầu tư nước ngoài cần thực hiện — bao gồm đăng ký chuyển giao dữ liệu xuyên biên giới, DPIA theo mẫu Việt Nam và các danh mục dữ liệu đặc thù.

google-workspacedata-protection
8 phút đọc

Bảo Vệ Dữ Liệu Google Workspace Tại Việt Nam: Những Lỗ Hổng Tuân Thủ Đang Ẩn Giấu Ở Đâu

Các doanh nghiệp Việt Nam sử dụng Google Workspace thường có dữ liệu cá nhân phân tán khắp Drive, Gmail và Sheets mà không nhận ra. Dưới đây là những rủi ro và cách xử lý.