Các Trường Hợp Không Được Miễn Trừ Bổ Nhiệm Nhân Sự Bảo Vệ Dữ Liệu Cá Nhân

Avatar of baovedlcn

Ngày đăng -

baovedlcn Tư vấn Luật bảo vệ dữ liệu cá nhân

Trong lộ trình tuân thủ Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 và Nghị định 356/2025/NĐ-CP, việc xác định trường hợp không được miễn trừ bổ nhiệm nhân sự bảo vệ dữ liệu cá nhân là bước đi chiến lược để doanh nghiệp tránh án phạt nặng. DPVN khuyến nghị Quý doanh nghiệp cần rà soát ngay mô hình hoạt động để kịp thời chỉ định nhân sự chuyên trách, đặc biệt khi kinh doanh dịch vụ xử lý dữ liệu hoặc xử lý dữ liệu nhạy cảm.

Nội dung chính: Phân tích chi tiết các tiêu chí bắt buộc phải có nhân sự bảo vệ dữ liệu (DPO) theo quy định mới nhất năm 2026, bất kể quy mô doanh nghiệp.

Doanh nghiệp siêu nhỏ, khởi nghiệp có luôn được miễn bổ nhiệm nhân sự bảo vệ dữ liệu không?

Không. Mặc dù Điều 38 Luật 91/2025 cho phép doanh nghiệp siêu nhỏ, khởi nghiệp được miễn thực hiện một số nghĩa vụ trong 05 năm đầu, nhưng quyền miễn trừ này sẽ bị tước bỏ ngay lập tức nếu doanh nghiệp thuộc một trong hai trường hợp: (1) Kinh doanh dịch vụ xử lý dữ liệu cá nhân; hoặc (2) Trực tiếp xử lý dữ liệu cá nhân nhạy cảm/xử lý dữ liệu quy mô lớn (từ 100.000 chủ thể trở lên theo Điều 41 Nghị định 356).

Quy định này nhằm đảm bảo rằng các hoạt động có rủi ro cao đối với quyền riêng tư của công dân phải luôn được kiểm soát chặt chẽ, bất kể quy mô kinh tế của đơn vị xử lý. Dưới đây là phân tích chi tiết các nhóm đối tượng không được hưởng cơ chế “ân hạn”:

1. Nhóm Kinh doanh dịch vụ xử lý dữ liệu cá nhân

Đây là nhóm đối tượng bị quản lý chặt chẽ nhất. Nếu doanh nghiệp của bạn cung cấp các dịch vụ như:

  • Cho thuê hạ tầng máy chủ, điện toán đám mây để lưu trữ dữ liệu khách hàng.
  • Cung cấp phần mềm quản lý nhân sự (HRM), quản lý khách hàng (CRM) có tính năng xử lý dữ liệu tự động.
  • Dịch vụ phân tích dữ liệu thị trường, chạy quảng cáo dựa trên dữ liệu người dùng (Data Broker).

Thì doanh nghiệp bắt buộc phải có nhân sự bảo vệ dữ liệu cá nhân đáp ứng đủ điều kiện năng lực ngay từ ngày đầu hoạt động. Thậm chí, theo Điều 22 Nghị định 356, doanh nghiệp kinh doanh dịch vụ này còn phải có tối thiểu 03 nhân sự chuyên trách để được cấp Giấy chứng nhận đủ điều kiện kinh doanh.

2. Nhóm Xử lý dữ liệu cá nhân nhạy cảm

Dữ liệu nhạy cảm bao gồm thông tin sức khỏe, quan điểm chính trị, dữ liệu sinh trắc học, lý lịch tư pháp… (Chi tiết tại Dữ liệu cá nhân nhạy cảm là gì?). Bất kỳ doanh nghiệp nào, dù chỉ có 1 nhân sự, nếu hoạt động chính liên quan đến việc thu thập, xử lý loại dữ liệu này (ví dụ: Phòng khám tư nhân, công ty Fintech chấm điểm tín dụng, Start-up công nghệ nhận diện khuôn mặt) đều KHÔNG được miễn trừ. Rủi ro rò rỉ từ nhóm dữ liệu này có thể gây hậu quả nghiêm trọng, do đó pháp luật yêu cầu phải có người chịu trách nhiệm giám sát ngay lập tức.

3. Nhóm Xử lý dữ liệu quy mô lớn

Theo khoản 1 Điều 41 Nghị định 356/2025/NĐ-CP, ngưỡng quy mô lớn được xác định là từ 100.000 chủ thể dữ liệu trở lên. Điều này có nghĩa là một Start-up thương mại điện tử hoặc ứng dụng mạng xã hội nếu tăng trưởng nóng, đạt mốc 100.000 người dùng (user) trong năm đầu tiên, sẽ ngay lập tức mất quyền miễn trừ và phải bổ nhiệm bộ phận/nhân sự bảo vệ dữ liệu, đồng thời phải thực hiện đầy đủ các nghĩa vụ đánh giá tác động.

Tiêu chí xác định “Kinh doanh dịch vụ xử lý dữ liệu” là gì?

Theo Điều 21 Nghị định 356, kinh doanh dịch vụ xử lý dữ liệu bao gồm: cung cấp hệ thống/phần mềm tự động thay mặt bên kiểm soát xử lý dữ liệu; chấm điểm tín dụng; thu thập dữ liệu trực tuyến; phân tích/khai thác dữ liệu; mã hóa dữ liệu; và dịch vụ nền tảng định vị. Đây là ngành nghề kinh doanh có điều kiện và yêu cầu nhân sự chuyên môn cao.

Việc xác định đúng loại hình dịch vụ là cực kỳ quan trọng. Rất nhiều công ty công nghệ lầm tưởng mình chỉ là đơn vị cung cấp giải pháp phần mềm (Software Provider) đơn thuần. Tuy nhiên, nếu phần mềm đó có chức năng lưu trữ, xử lý thay cho khách hàng (SaaS), hoặc công ty có quyền truy cập vào dữ liệu của khách hàng để “tối ưu hóa dịch vụ”, thì về bản chất pháp lý, đó là hoạt động kinh doanh dịch vụ xử lý dữ liệu cá nhân.

Doanh nghiệp cần đối chiếu hoạt động thực tế với danh mục tại Điều 21 Nghị định 356. Nếu thuộc nhóm này, doanh nghiệp không chỉ không được miễn trừ bổ nhiệm nhân sự, mà còn phải thực hiện thủ tục xin cấp Giấy chứng nhận đủ điều kiện kinh doanh tại Bộ Công an.

Vai trò và trách nhiệm của Nhân sự bảo vệ dữ liệu trong các trường hợp không được miễn trừ?

Nhân sự này (thường gọi là DPO) đóng vai trò là “Lá chắn thép”, chịu trách nhiệm tham mưu xây dựng chính sách, giám sát tuân thủ, xử lý các yêu cầu của chủ thể dữ liệu và là đầu mối liên lạc với cơ quan chức năng (A05). Đối với các doanh nghiệp không được miễn trừ, DPO là vị trí bắt buộc phải có trong cơ cấu tổ chức.

Trong bối cảnh các quy định pháp luật ngày càng chặt chẽ, DPO là gì? không còn là khái niệm xa lạ. Với các doanh nghiệp thuộc nhóm rủi ro cao nêu trên, DPO phải thực hiện các nhiệm vụ trọng tâm sau:

Nhiệm vụ Chi tiết thực hiện Căn cứ pháp lý
Lập hồ sơ đánh giá tác động Xây dựng và duy trì Hồ sơ đánh giá tác động xử lý dữ liệu (DPIA) và chuyển dữ liệu ra nước ngoài. Cập nhật định kỳ 6 tháng. Điều 14 Nghị định 356
Xử lý sự cố Tiếp nhận và báo cáo vi phạm dữ liệu cho Bộ Công an trong vòng 72 giờ. Phối hợp khắc phục hậu quả. Điều 23 Luật 91/2025
Đào tạo nội bộ Tổ chức các khóa đào tạo nâng cao nhận thức về bảo mật dữ liệu cho toàn bộ nhân viên trong công ty. Điểm đ Khoản 1 Điều 14 NĐ 356

Nếu doanh nghiệp chưa có nhân sự đủ năng lực, giải pháp thuê ngoài Dịch vụ tư vấn và nhân sự bảo vệ dữ liệu từ các đơn vị chuyên nghiệp như DPVN là một lựa chọn tối ưu để đảm bảo tính tuân thủ ngay lập tức.

Hậu quả pháp lý khi thuộc diện bắt buộc nhưng không bổ nhiệm nhân sự là gì?

Doanh nghiệp sẽ đối mặt với mức phạt hành chính rất cao, tối đa lên tới 5% tổng doanh thu năm tài chính liền kề hoặc 03 tỷ đồng (theo Điều 8 Luật 91/2025). Ngoài ra, doanh nghiệp còn có thể bị đình chỉ hoạt động xử lý dữ liệu, tước giấy phép kinh doanh dịch vụ xử lý dữ liệu có thời hạn.

Việc cố tình không bổ nhiệm nhân sự hoặc bộ phận bảo vệ dữ liệu khi đã thuộc diện bắt buộc (không được miễn trừ) được xem là hành vi vi phạm nghiêm trọng quy định về điều kiện đảm bảo an toàn dữ liệu. Cơ quan chức năng sẽ xem xét đây là tình tiết tăng nặng khi xử lý các sự cố lộ lọt dữ liệu.

Hơn nữa, đối với doanh nghiệp kinh doanh dịch vụ xử lý dữ liệu, việc thiếu nhân sự đủ điều kiện (theo Điều 13 Nghị định 356) đồng nghĩa với việc không đủ điều kiện để được cấp phép hoạt động, dẫn đến nguy cơ phải đóng cửa kinh doanh.

Doanh nghiệp của bạn có thuộc nhóm “Không được miễn trừ”?

Đừng để sự chủ quan biến thành rủi ro pháp lý nghìn tỷ. Hãy để các chuyên gia của DPVN giúp bạn rà soát mô hình kinh doanh và tư vấn giải pháp nhân sự phù hợp nhất.

DPVN – Đối Tác Tin Cậy Về Bảo Vệ Dữ Liệu Cá Nhân

Hotline: 0982976486

Email: info@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Thành Phố Hà Nội

Liên hệ tư vấn ngay

Câu hỏi thường gặp (FAQ)

1. Tôi là hộ kinh doanh cá thể bán hàng online, tôi có cần bổ nhiệm nhân sự bảo vệ dữ liệu không?

Nếu bạn chỉ bán hàng thông thường, bạn được miễn trừ trong 5 năm đầu. Tuy nhiên, nếu bạn thu thập dữ liệu khách hàng để bán lại (kinh doanh dữ liệu) hoặc xử lý dữ liệu nhạy cảm (như thông tin sức khỏe khách hàng để bán thực phẩm chức năng) với quy mô lớn (>100.000 khách), bạn KHÔNG được miễn trừ và phải bổ nhiệm nhân sự ngay.

2. Nhân sự bảo vệ dữ liệu (DPO) có bắt buộc phải là nhân viên chính thức của công ty không?

Không bắt buộc. Theo Điều 33 Luật 91/2025, doanh nghiệp có thể chỉ định nhân sự nội bộ hoặc thuê tổ chức/cá nhân bên ngoài cung cấp dịch vụ bảo vệ dữ liệu, miễn là họ đáp ứng đủ điều kiện năng lực theo quy định.

3. Điều kiện năng lực của nhân sự bảo vệ dữ liệu là gì?

Theo Điều 13 Nghị định 356, nhân sự này phải có trình độ cao đẳng trở lên; ít nhất 02 năm kinh nghiệm trong lĩnh vực luật, CNTT, an toàn thông tin…; và đã qua đào tạo bồi dưỡng kiến thức về bảo vệ dữ liệu cá nhân.

4. Doanh nghiệp khởi nghiệp công nghệ (Tech Start-up) có được miễn trừ không?

Hầu hết Tech Start-up đều xử lý dữ liệu trên nền tảng số hoặc cung cấp giải pháp công nghệ (SaaS). Nếu hoạt động này rơi vào định nghĩa “kinh doanh dịch vụ xử lý dữ liệu” theo Điều 21 Nghị định 356, Start-up đó sẽ KHÔNG được miễn trừ, dù mới thành lập.

5. Cần làm gì để thông báo về nhân sự bảo vệ dữ liệu với cơ quan chức năng?

Thông tin về bộ phận/nhân sự bảo vệ dữ liệu phải được kê khai trong Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (Mẫu số 10) gửi về Bộ Công an (Cục A05) trong vòng 60 ngày kể từ khi bắt đầu xử lý dữ liệu.

Nguồn tham khảo:

  • Thư viện Pháp luật: Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
  • Cổng thông tin điện tử Chính phủ: Nghị định 356/2025/NĐ-CP quy định chi tiết Luật Bảo vệ dữ liệu cá nhân.
  • Bộ Công an: Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân.
  • Cục An toàn thông tin: Hướng dẫn đảm bảo an toàn hệ thống thông tin theo cấp độ.
  • DPVN: Các bài viết phân tích chuyên sâu về pháp luật dữ liệu.
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486