GDPR · Hub

DPA Và SCCs: Quản Lý Data Transfer Ra Ngoài EU

Tại Sao Doanh Nghiệp Việt Nam Cần Quan Tâm Đến DPA Và SCCs

Khi một công ty Việt Nam cung cấp dịch vụ cho khách hàng EU, dù là SaaS, outsourcing hay e-commerce, dữ liệu cá nhân của người dùng EU thường xuyên phải đi qua các server đặt ngoài Liên minh châu Âu. Đây là lúc GDPR đặt ra hai công cụ pháp lý cốt lõi: Data Processing Agreement (DPA)Standard Contractual Clauses (SCCs). Thiếu một trong hai, mọi hoạt động xử lý data đều có thể bị xem là vi phạm, bất kể dữ liệu được bảo mật tốt đến đâu về mặt kỹ thuật.


DPA Là Gì Và Khi Nào Bắt Buộc Phải Có

Data Processing Agreement là hợp đồng ràng buộc pháp lý giữa data controller (bên quyết định mục đích xử lý dữ liệu) và data processor (bên thực thi việc xử lý theo chỉ thị của controller). Theo Điều 28 GDPR, nếu bạn là nhà cung cấp dịch vụ xử lý dữ liệu EU thay mặt cho một controller ở EU, DPA là bắt buộc, không có ngoại lệ.

Nội dung DPA phải bao gồm:

  • Phạm vi, tính chất và mục đích của việc xử lý
  • Loại dữ liệu và danh mục data subject
  • Nghĩa vụ và quyền của controller
  • Cam kết về bảo mật kỹ thuật và tổ chức (technical and organisational measures)
  • Điều khoản về sub-processors, nếu bạn thuê thêm bên thứ ba xử lý data

Nhiều công ty Việt Nam bỏ qua DPA vì xem đây là thủ tục hành chính. Thực tế, đây là văn bản định hình toàn bộ trách nhiệm pháp lý giữa các bên khi xảy ra sự cố.


SCCs, Cơ Chế Chuyển Dữ Liệu Qua Biên Giới

Ngay cả khi có DPA đầy đủ, việc chuyển dữ liệu từ EU sang Việt Nam vẫn cần thêm một lớp bảo vệ pháp lý riêng. Lý do: Việt Nam chưa có adequacy decision từ Ủy ban châu Âu, tức EU chưa công nhận mức độ bảo vệ dữ liệu của Việt Nam là tương đương với GDPR.

Standard Contractual Clauses là bộ điều khoản hợp đồng chuẩn được Ủy ban châu Âu phê duyệt, dùng để tạo ra một "cầu nối pháp lý" cho phép data transfer hợp lệ sang các quốc gia chưa có adequacy decision. Ủy ban châu Âu ban hành phiên bản SCCs mới vào năm 2021, với bốn module tương ứng bốn kịch bản phổ biến:

  • Module 1: Controller → Controller
  • Module 2: Controller → Processor
  • Module 3: Processor → Processor
  • Module 4: Processor → Controller

Doanh nghiệp Việt Nam nhận xử lý dữ liệu từ khách hàng EU thường rơi vào Module 2 hoặc Module 3 tùy theo cấu trúc hợp đồng. SCCs cần được ký kết trước hoặc đồng thời với DPA, không phải sau khi data đã được chuyển.

Ngoài SCCs, các cơ chế thay thế khác như Binding Corporate Rules (BCRs) hoặc adequacy decisions cũng có thể áp dụng trong một số trường hợp, nhưng với doanh nghiệp Việt Nam vừa và nhỏ, SCCs vẫn là lựa chọn thực tế và phổ biến nhất.


Transfer Impact Assessment, Bước Không Thể Bỏ Qua

Sau phán quyết Schrems II năm 2020, Ủy ban Bảo vệ Dữ liệu châu Âu (EDPB) yêu cầu các bên ký SCCs phải thực hiện thêm Transfer Impact Assessment (TIA): đánh giá xem luật pháp và thực tiễn của quốc gia nhận data có thể gây ảnh hưởng đến các bảo đảm trong SCCs hay không.

TIA không cần phải là tài liệu phức tạp, nhưng phải trả lời được: luật pháp địa phương có yêu cầu bên xử lý data tiết lộ thông tin cho cơ quan nhà nước không? Có biện pháp kỹ thuật bổ sung nào (như mã hóa end-to-end, pseudonymisation) giúp giảm thiểu rủi ro không?

Doanh nghiệp cần lưu lại kết quả TIA như một phần của hồ sơ accountability, không phải nộp cho cơ quan nào, nhưng cần có sẵn nếu bị thanh tra.


Câu Hỏi Thường Gặp

DPA và SCCs có thể gộp vào một hợp đồng không? Có. Nhiều công ty tích hợp SCCs trực tiếp vào DPA dưới dạng phụ lục (annex). Điều này hợp lệ miễn là nội dung của từng tài liệu đáp ứng đầy đủ yêu cầu theo GDPR.

Nếu khách hàng EU là doanh nghiệp nhỏ, họ có cần yêu cầu SCCs không? Có. Nghĩa vụ ký SCCs không phụ thuộc vào quy mô của controller, mà phụ thuộc vào việc dữ liệu EU có được chuyển ra ngoài EEA hay không.

SCCs có cần công chứng hoặc xác nhận của cơ quan nhà nước Việt Nam không? Không bắt buộc theo quy định GDPR. Tuy nhiên, một số khách hàng EU có thể yêu cầu bản dịch tiếng Việt hoặc tiếng Anh có xác nhận để phục vụ mục đích audit nội bộ.


Việc thiết lập DPA và SCCs đúng cách đòi hỏi hiểu rõ cấu trúc luồng dữ liệu của từng tổ chức, không có một bản mẫu nào áp dụng được cho tất cả. pTrackly hỗ trợ doanh nghiệp Việt Nam xây dựng và duy trì hồ sơ GDPR, từ mapping data flows đến theo dõi trạng thái ký kết DPA/SCCs với từng đối tác, như một phần trong quy trình compliance tổng thể.

pTrackly giúp bạn triển khai GDPR nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo