Mẫu Báo cáo đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới

PHẦN A. HỒ SƠ ĐÁNH GIÁ TÁC ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI CỦA BÊN CHUYÊN

I. THÔNG TIN CƠ BẢN CỦA BÊN CHUYÊN

1

Tên tổ chức/cá nhân (tiếng Việt):

1a

Tên tổ chức/cá nhân (nước ngoài):

1b

Tên tổ chức/cá nhân (viết tắt):

1c

Mã số thuế:

2

Địa chỉ (trụ sở chính):

3

Điện thoại:

4

Lĩnh vực kinh doanh có xử lý dữ liệu cá nhân (kèm theo mã ngành đăng ký kinh doanh tương ứng):

5

Số lượng chi nhánh, văn phòng đại diện:

6

Email:

7

Website:

8

Bộ phận/Nhân sự bảo vệ dữ liệu cá nhân của tổ chức, cá nhân

8.1

Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có, kèm theo hợp đồng sử dụng dịch vụ):

Tên tổ chức:                                                 Mã số thuế:

Người đại diện theo pháp luật:

Địa chỉ:                                                         Điện thoại:

Email:                                                            Website:

8.2

Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân (nếu có, kèm theo hợp đồng sử dụng dịch vụ):

TT

Họ và tên

Đơn vị công tác

Số điện thoại

Email

8.3

Bộ phận/ nhân sự bảo vệ dữ liệu cá nhân nội bộ của tổ chức (kèm theo bản sao quyết định hoặc văn bản thể hiện việc chỉ định, phân công và giấy tờ chứng minh đáp ứng điều kiện tại Nghị định số 356/2025/NĐ-CP ngày 31 tháng 12 năm 2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân)

Tên Bộ phận:

Điện thoại Bộ phận:                                                                    Email Bộ phận:

Tên người đứng đầu Bộ phận/ Tên nhân sự:                             Chức vụ:

Điện thoại di động:                                                                      Email cá nhân:

II.

HOẠT ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI

1

1.1. Chuyển giao dữ liệu cá nhân thu thập, lưu trữ tại Việt Nam đến hệ thống máy chủ đặt ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam ☐

- Tên đối tượng chủ thể dữ liệu cá nhân:                                Số lượng:

(Ghi rõ các loại, nhóm đối tượng chủ thể dữ liệu cá nhân như khách hàng, người lao động, ứng viên... kèm theo số lượng tính đến thời điểm nộp hồ sơ)

1.2. Lưu trữ, xử lý dữ liệu cá nhân trên dịch vụ điện toán đám mây của nhà cung cấp dịch vụ ở nước ngoài   ☐

- Tên đối tượng chủ thể dữ liệu cá nhân:              Số lượng:

....

1.3.Thu thập dữ liệu cá nhân của cá nhân sử dụng dịch vụ tại Việt Nam và chuyển đến nền tảng ở ngoài lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam để tiếp tục xử lý    ☐

- Tên đối tượng chủ thể dữ liệu cá nhân:               Số lượng:

....

1.4. Chuyển dữ liệu cá nhân xuyên biên giới thông qua đối tác, đại lý trung gian tại Việt Nam   ☐

- Tên đối tượng chủ thể dữ liệu cá nhân:                Số lượng:

....

1.5.Trường hợp khác (nêu cụ thể) ☐

- Tên đối tượng chủ thể dữ liệu cá nhân:                                         Số lượng:

....

2

Luồng chuyển dữ liệu cá nhân xuyên biên giới (nêu rõ đối tượng chủ thể, mục đích chuyển, có chuyển dữ liệu cá nhân nhạy cảm hay không và hoạt động xử lý sau khi chuyển tương ứng; mô hình hóa sơ đồ quy trình và hệ thống chuyển dữ liệu cá nhân xuyên biên giới)

3

Loại dữ liệu cá nhân được xử lý

Tổng số loại dữ liệu cá nhân cơ bản:

Tổng số loại dữ liệu cá nhân nhạy cảm:

3.1.

Dữ liệu cá nhân cơ bản (căn cứ Điều 3 Nghị định số 356/2025/NĐ-CP ngày 31 tháng 12 năm 2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân; tích √ vào loại dữ liệu cá nhân quy định)

Họ, chữ đệm và tên khai sinh

Địa chỉ liên hệ

Tên gọi khác (nếu có)

Quốc tịch

Ngày, tháng, năm sinh

Hình ảnh của cá nhân

Ngày, tháng, năm chết hoặc mất tích

Số điện thoại

Giới tính

Số định danh cá nhân

Nơi sinh

Số hộ chiếu

Nơi đăng ký khai sinh

Số giấy phép lái xe

Nơi đăng ký thường trú

Số biển số xe

Nơi đăng ký tạm trú

Tình trạng hôn nhân

Nơi ở hiện tại

Thông tin về mối quan hệ gia đình (cha mẹ, con, vợ chồng)

Quê quán

Thông tin về tài khoản số của cá nhân

Các thông tin khác gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể không thuộc các mục trên

3.2.

Dữ liệu cá nhân nhạy cảm (căn cứ khoản 1 Điều 4 Nghị định số 356/2025/NĐ-CP ngày 31 tháng 12 năm 2025 của Chính phủ quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân; tích √ vào loại dữ liệu cá nhân quy định)

Dữ liệu tiết lộ nguồn gốc chủng tộc, nguồn gốc dân tộc

Vị trí của cá nhân được xác định qua dịch vụ định vị

Quan điểm chính trị

Thông tin tên đăng nhập và mật khẩu truy cập tài khoản định danh điện tử của cá nhân

Quan điểm tôn giáo, tín ngưỡng

Hình ảnh thẻ căn cước, thẻ căn cước công dân, chứng minh nhân dân

Thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình

Tên đăng nhập, mật khẩu truy cập của tài khoản ngân hàng

Tình trạng sức khỏe

Thông tin thẻ ngân hàng, dữ liệu về lịch sử giao dịch của tài khoản ngân hàng

Dữ liệu sinh trắc học, đặc điểm di truyền

Thông tin tài chính, tín dụng và các thông tin về hoạt động, lịch sử giao dịch tài chính, chứng khoán, bảo hiểm của khách hàng tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, chứng khoán, bảo hiểm, các tổ chức được phép khác

Dữ liệu tiết lộ đời sống tình dục, xu hướng tình dục của cá nhân

Dữ liệu theo dõi hành vi, hoạt động sử dụng dịch vụ viễn thông, mạng xã hội, dịch vụ truyền thông trực tuyến và các dịch vụ khác trên không gian mạng

Dữ liệu về tội phạm, vi phạm pháp luật được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật

Dữ liệu cá nhân khác được pháp luật quy định cần giữ bí mật hoặc cần có biện pháp bảo mật chặt chẽ

4

Nội dung quy định về việc lưu trữ dữ liệu cá nhân (kèm theo văn bản thể hiện chính sách, quy định lưu trữ dữ liệu cá nhân)

5

Nội dung quy định về việc xóa, hủy dữ liệu cá nhân (kèm theo văn bản thể hiện chính sách, quy định xóa, hủy dữ liệu cá nhân)

6

Chuyển giao dữ liệu cá nhân (theo quy định tại Điều 17 Luật Bảo vệ dữ liệu cá nhân)

Có ☐ / Không: ☐

Chuyển giao dữ liệu cá nhân có thu phí:

Có ☐ / Không: ☐

7

Tham gia hoạt động giao dịch trên sàn dữ liệu:

Có ☐ / Không: ☐

8

Kinh doanh dịch vụ xử lý dữ liệu cá nhân:

Có ☐ / Không: ☐

Danh mục dịch vụ xử lý dữ liệu cá nhân tổ chức cung cấp:

Dịch vụ cung cấp và vận hành hệ thống, phần mềm tự động để thay mặt Bên kiểm soát, Bên kiểm soát và xử lý tiến hành xử lý dữ liệu cá nhân

Dịch vụ phân tích và khai thác dữ liệu cá nhân, gồm: sử dụng các công cụ phân tích để tìm kiếm thông tin, xu hướng và mẫu từ dữ liệu cá nhân; áp dụng các phương pháp khai thác dữ liệu để trích xuất giá trị từ dữ liệu cá nhân, dự đoán hành vi người dùng hoặc tối ưu hóa dịch vụ

Dịch vụ chấm điểm, xếp hạng, đánh giá mức độ tín nhiệm của chủ thể dữ liệu cá nhân

Dịch vụ mã hóa dữ liệu cá nhân trong quá trình truyền tải và lưu trữ

Dịch vụ thu thập, xử lý dữ liệu cá nhân trực tuyến từ trang web, ứng dụng, phần mềm và mạng xã hội

Dịch vụ xử lý dữ liệu cá nhân tự động dựa trên công nghệ dữ liệu lớn, trí tuệ nhân tạo, chuỗi khối, vũ trụ ảo

Dịch vụ thu thập, xử lý dữ liệu cá nhân qua trang web, ứng dụng, phần mềm chăm sóc sức khỏe, theo dõi sức khỏe, dịch vụ y tế

Dịch vụ nền tảng ứng dụng cung cấp dữ liệu vị trí cá nhân

Dịch vụ thu thập, xử lý dữ liệu cá nhân qua ứng dụng, phần mềm giáo dục có yếu tố giám sát như điểm danh, ghi hình, chấm điểm hành vi, nhận diện cảm xúc

9

Biện pháp bảo vệ dữ liệu cá nhân

9.1

Phương án bảo đảm an toàn dữ liệu cá nhân (nêu rõ các phương án đang triển khai để bảo đảm an toàn dữ liệu cá nhân)

9.2

Biện pháp bảo vệ dữ liệu cá nhân (nêu rõ các biện pháp kỹ thuật, quản lý, đào tạo đã triển khai; việc áp dụng tiêu chuẩn liên quan đến bảo vệ dữ liệu cá nhân; sơ đồ thiết kế hệ thống và các biện pháp bảo vệ tương ứng)

9.3

Kiểm tra, đánh giá an ninh mạng, an toàn hệ thống thông tin, phương tiện, thiết bị nhằm bảo vệ dữ liệu cá nhân (nêu cụ thể nội dung, đối tượng, tần suất, mục đích)

9.4

Phương án bảo đảm an toàn dữ liệu cá nhân của Bên nhận dữ liệu cá nhân xuyên biên giới

10

Đánh giá tuân thủ các quy định về bảo vệ dữ liệu cá nhân (nêu cụ thể hình thức, thời điểm và kết quả đánh giá tuân thủ)

III

ĐÁNH GIÁ TÁC ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI

1

Đánh giá tổng quan tình hình, hoạt động kinh doanh có liên quan tới việc chuyển dữ liệu cá nhân xuyên biên giới (nêu rõ sự cần thiết của hoạt động chuyển dữ liệu cá nhân xuyên biên giới trong lĩnh vực hoạt động của tổ chức; thực trạng xử lý dữ liệu cá nhân của tổ chức bao gồm thuận lợi và khó khăn, rủi ro trong việc chuyển dữ liệu cá nhân xuyên biên giới)

2

Đánh giá tác động việc chuyển dữ liệu cá nhân xuyên biên giới (đánh giá theo từng nội dung cụ thể, phân tích mỗi vấn đề, bao gồm mô tả thực trạng, phân tích yêu cầu, dự kiến tình huống phát sinh, nguyên nhân, giải pháp; đánh giá tác động các giải pháp đề xuất (tích cực, tiêu cực) của từng giải pháp; kiến nghị trên cơ sở so sánh tác động tích cực, tiêu cực. Tác động được đánh giá theo phương pháp định lượng, phương pháp định tính, nêu rõ hậu quả, thiệt hại không mong muốn có khả năng xảy ra, các biện pháp giảm thiểu hoặc loại bỏ nguy cơ, tác hại đó.)

2.1.

Tác động đến chủ thể dữ liệu: được đánh giá trên cơ sở phân tích khả năng tác động trực tiếp của việc xử lý dữ liệu cá nhân tới các quyền và lợi ích của chủ thể dữ liệu

1. Xác định các khía cạnh bị tác động và vấn đề

2. Mục tiêu giải quyết vấn đề

3. Các biện pháp bảo vệ dữ liệu cá nhân đã áp dụng và đề xuất để giải quyết vấn đề

4. Đánh giá hiệu quả và tác động của các biện pháp đối với đối tượng chịu sự tác động trực tiếp của biện pháp và các đối tượng khác có liên quan

5. Kiến nghị biện pháp bảo vệ dữ liệu cá nhân lựa chọn

2.2

Tác động đến an ninh, an toàn thông tin hệ thống của tổ chức: được đánh giá dựa trên khả năng ảnh hưởng trực tiếp của hoạt động xử lý dữ liệu cá nhân tới mức độ bảo mật, toàn vẹn và khả năng sẵn sàng của hệ thống thông tin. Việc đánh giá tập trung vào các yếu tố liên quan đến nguy cơ lộ lọt, truy cập trái phép, thay đổi trái phép dữ liệu, gián đoạn vận hành hệ thống, mức độ đáp ứng của các biện pháp kỹ thuật hiện hữu và khả năng phát sinh lỗ hổng bảo mật trong quá trình xử lý dữ liệu.

1. Xác định các khía cạnh tác động và vấn đề

2. Mục tiêu giải quyết vấn đề

3. Các biện pháp bảo vệ dữ liệu cá nhân đã áp dụng và đề xuất để giải quyết vấn đề

4. Đánh giá hiệu quả và tác động của các biện pháp đối với đối tượng chịu sự tác động trực tiếp của biện pháp và các đối tượng khác có liên quan

5. Kiến nghị biện pháp bảo vệ dữ liệu cá nhân lựa chọn

2.3

Tác động đến an ninh quốc gia, trật tự an toàn xã hội: đánh giá trong trường hợp xử lý và chuyển dữ liệu cá nhân cơ bản của trên 100.000 chủ thể dữ liệu hoặc xử lý dữ liệu cá nhân nhạy cảm của trên 10.000 chủ thể dữ liệu. Việc đánh giá tập trung vào các yếu tố liên quan đến việc chuyển dữ liệu cá nhân xuyên biên giới với số lượng lớn có thể gây ảnh hưởng đến an ninh quốc gia, trật tự an toàn xã hội và các biện pháp bảo vệ dữ liệu cá nhân tương ứng.

1. Xác định các khía cạnh tác động và vấn đề

2. Mục tiêu giải quyết vấn đề

3. Các biện pháp bảo vệ dữ liệu cá nhân đã áp dụng và đề xuất để giải quyết vấn đề

4. Đánh giá hiệu quả và tác động của các biện pháp đối với đối tượng chịu sự tác động trực tiếp của biện pháp và các đối tượng khác có liên quan

5. Kiến nghị biện pháp bảo vệ dữ liệu cá nhân lựa chọn

3

Đánh giá mức độ bảo vệ dữ liệu cá nhân của Bên nhận dữ liệu cá nhân

3.1

Cách thức xử lý và lưu trữ dữ liệu của Bên nhận dữ liệu cá nhân (nêu rõ với từng luồng xử lý dữ liệu)

3.2

Phương án bảo đảm an toàn dữ liệu cá nhân của Bên nhận dữ liệu cá nhân (nêu rõ các phương án đang triển khai để bảo đảm an toàn dữ liệu cá nhân)

3.3

Các biện pháp bảo vệ dữ liệu cá nhân của Bên nhận dữ liệu cá nhân (nêu rõ các biện pháp kỹ thuật, quản lý, đào tạo được triển khai; việc áp dụng tiêu chuẩn liên quan đến bảo vệ dữ liệu cá nhân)

3.4

Đánh giá cách thức xử lý và lưu trữ, phương án bảo đảm và các biện pháp bảo vệ dữ liệu cá nhân của Bên nhận dữ liệu cá nhân (đánh giá mức độ đầy đủ, phù hợp và hiệu quả của cách thức xử lý, phương án bảo đảm an toàn dữ liệu cá nhân và các biện pháp bảo vệ dữ liệu cá nhân đã triển khai; mức độ đáp ứng yêu cầu bảo vệ dữ liệu cá nhân theo pháp luật Việt Nam; khả năng phòng ngừa, phát hiện và ứng phó rủi ro, sự cố vi phạm dữ liệu cá nhân; nhận định rủi ro còn tồn tại và đề xuất biện pháp bổ sung, khắc phục nếu có)

IV

PHỤ LỤC (Liệt kê danh sách tên các tài liệu, chính sách, quy trình, quy định, biểu mẫu kèm theo hồ sơ khai này)

PHẦN B. THÔNG TIN CÁC BÊN LIÊN QUAN TRONG HOẠT ĐỘNG CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI

I. THÔNG TIN CỦA BÊN THAY MẶT BÊN CHUYỂN THỰC HIỆN CHUYỂN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI (Kê khai trong trường hợp thỏa thuận cho bên khác trực tiếp chuyển dữ liệu cá nhân xuyên biên giới)

STT

Tên tổ chức/cá nhân

Mã số thuế

Thông tin Bộ phận/ Nhân sự bảo vệ dữ liệu cá nhân

Hợp đồng/ Thỏa thuận chuyển dữ liệu cá nhân xuyên biên giới
(Số, ngày tháng năm)

Dịch vụ hợp tác

Ghi chú

(Lý do, nội dung giải thích)

II. THÔNG TIN CỦA BÊN NHẬN DỮ LIỆU CÁ NHÂN XUYÊN BIÊN GIỚI (Kê khai phù hợp với mối quan hệ trong hoạt động chuyển và nhận dữ liệu cá nhân)

STT

Tên tổ chức/cá nhân

Mã số thuế

Thông tin Bộ phận/ Nhân sự bảo vệ dữ liệu cá nhân

Hợp đồng/ Thỏa thuận chuyển dữ liệu cá nhân xuyên biên giới
(Số, ngày tháng năm)

Dịch vụ hợp tác

Ghi chú

(Lý do, nội dung giải thích)

III. THÔNG TIN CỦA BÊN KHÁC (Các bên khác có liên quan trong hoạt động chuyển dữ liệu cá nhân xuyên biên giới)

STT

Tên tổ chức/cá nhân

Mã số thuế

Thông tin Bộ phận/ Nhân sự bảo vệ dữ liệu cá nhân

Hợp đồng/ Thỏa thuận có liên quan
(Số, ngày tháng năm)

Dịch vụ hợp tác

Ghi chú

(Lý do, nội dung giải thích)