Việc khi nào doanh nghiệp bắt buộc phải có bộ phận bảo vệ dữ liệu cá nhân phụ thuộc vào loại dữ liệu xử lý và các quy định pháp luật hiện hành. Tại DPVN, chúng tôi sẽ cung cấp hướng dẫn chi tiết về điều kiện, thời điểm và các chức năng của bộ phận này, giúp bạn chỉ định nhân sự bảo vệ dữ liệu đúng luật.
Quy định pháp luật nào của Việt Nam quy định về việc doanh nghiệp bắt buộc phải có bộ phận bảo vệ dữ liệu cá nhân?
Cơ sở pháp lý chính được quy định tại Khoản 2, Điều 28 của Nghị định 13/2023/NĐ-CP (hiện hành) và được phát triển, mở rộng tại Khoản 2, Điều 33 của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (hiệu lực từ 01/01/2026). Các quy định này đã chuyển việc chỉ định nhân sự từ một thực hành tốt thành một nghĩa vụ pháp lý bắt buộc đối với nhiều doanh nghiệp.
Việc chỉ định một đầu mối chịu trách nhiệm về bảo vệ dữ liệu cá nhân không còn là một lựa chọn tùy ý. Đây là một yêu cầu pháp lý rõ ràng nhằm đảm bảo tính chuyên trách và trách nhiệm giải trình trong doanh nghiệp.
Về chuyên môn sâu, việc có một bộ phận/nhân sự chuyên trách (thường được gọi là Data Protection Officer – DPO) là một yêu cầu cốt lõi của các khung pháp lý hiện đại như GDPR của Châu Âu. Việc pháp luật Việt Nam đưa ra quy định tương tự cho thấy sự hội nhập và một bước tiến lớn trong việc chuẩn hóa công tác quản trị dữ liệu. Nó đảm bảo rằng trong mỗi tổ chức, sẽ có một người hoặc một đội ngũ có chuyên môn để giám sát, tư vấn và làm đầu mối liên lạc cho các vấn đề phức tạp liên quan đến quyền riêng tư.
Doanh nghiệp nào thuộc diện bắt buộc phải có bộ phận bảo vệ dữ liệu cá nhân theo quy định của pháp luật Việt Nam?
Theo quy định hiện hành của Nghị định 13, các doanh nghiệp xử lý dữ liệu cá nhân nhạy cảm bắt buộc phải chỉ định bộ phận và nhân sự phụ trách. Từ ngày 01/01/2026, theo Luật 91/2025/QH15, yêu cầu này sẽ được mở rộng ra cho hầu hết các cơ quan, tổ chức, trừ một số trường hợp được miễn trừ.
Việc xác định mình có thuộc đối tượng bắt buộc hay không phụ thuộc vào thời điểm và bản chất hoạt động xử lý dữ liệu của doanh nghiệp.
Quy định hiện hành (Theo Nghị định 13/2023/NĐ-CP)
Hiện tại, điều kiện tiên quyết kích hoạt nghĩa vụ này là việc xử lý dữ liệu cá nhân nhạy cảm.
Ví dụ các doanh nghiệp bắt buộc phải có bộ phận bảo vệ dữ liệu ngay bây giờ:
- Các cơ sở y tế (bệnh viện, phòng khám) xử lý hồ sơ bệnh án.
- Các tổ chức tài chính, ngân hàng, công ty bảo hiểm xử lý thông tin khách hàng.
- Các công ty sử dụng hệ thống chấm công bằng dữ liệu sinh trắc học (vân tay, khuôn mặt).
- Các ứng dụng di động thu thập dữ liệu vị trí của người dùng.
Quy định mới (Theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 – Hiệu lực từ 01/01/2026)
Luật mới đã mở rộng đối tượng áp dụng ra gần như tất cả các cơ quan, tổ chức, nhưng đồng thời cũng đưa ra các quy định miễn trừ để giảm gánh nặng cho các doanh nghiệp nhỏ.
| Đối tượng | Nghĩa vụ Chỉ định Nhân sự |
|---|---|
| Doanh nghiệp vừa và lớn | Bắt buộc. |
| Doanh nghiệp nhỏ và Doanh nghiệp khởi nghiệp | Được miễn trừ có thời hạn (05 năm), trừ khi thuộc trường hợp rủi ro cao. |
| Hộ kinh doanh và Doanh nghiệp siêu nhỏ | Được miễn trừ vĩnh viễn, trừ khi thuộc trường hợp rủi ro cao. |
Để tìm hiểu chi tiết về các trường hợp miễn trừ, bạn có thể tham khảo bài viết: Doanh nghiệp nào được miễn trừ lập hồ sơ đánh giá tác động xử lý dữ liệu?
Bộ phận bảo vệ dữ liệu cá nhân của doanh nghiệp có những chức năng và nhiệm vụ gì?
Bộ phận bảo vệ dữ liệu cá nhân đóng vai trò là “người lính gác” cho dữ liệu trong doanh nghiệp. Chức năng và nhiệm vụ chính của họ bao gồm: tư vấn cho ban lãnh đạo về tuân thủ, giám sát việc thực thi chính sách nội bộ, nâng cao nhận thức cho nhân viên, và là đầu mối liên lạc với chủ thể dữ liệu cũng như cơ quan quản lý nhà nước.
💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Trong thực tiễn tư vấn, chúng tôi nhận thấy nhiều doanh nghiệp chỉ định nhân sự phụ trách một cách hình thức để đối phó. Đây là một sai lầm. Một DPO hiệu quả phải có sự độc lập nhất định và được trao đủ quyền hạn để thực hiện nhiệm vụ. Họ không phải là người ra quyết định kinh doanh, mà là người cố vấn, đảm bảo rằng các quyết định đó tuân thủ pháp luật về bảo vệ dữ liệu. Vai trò của họ là bảo vệ công ty khỏi các rủi ro, không phải là cản trở hoạt động kinh doanh.”
Dưới đây là các nhiệm vụ cốt lõi mà bộ phận/nhân sự này cần thực hiện:
- Tư vấn và Cố vấn: Cung cấp ý kiến chuyên môn cho các phòng ban khi triển khai các dự án mới có xử lý dữ liệu cá nhân.
- Giám sát Tuân thủ: Thực hiện các cuộc đánh giá, kiểm tra nội bộ định kỳ để đảm bảo các phòng ban đang tuân thủ đúng chính sách và quy trình.
- Đào tạo và Nâng cao nhận thức: Xây dựng và triển khai các chương trình đào tạo cho toàn thể nhân viên.
- Quản lý Sự cố: Là đầu mối điều phối khi có sự cố vi phạm xảy ra, đảm bảo việc thông báo vi phạm được thực hiện đúng hạn.
- Đầu mối Liên lạc: Là điểm liên hệ chính thức cho khách hàng, nhân viên và Cục An ninh mạng.
DPVN: Dịch Vụ Tư Vấn Thành Lập và Vận Hành Bộ Phận Bảo Vệ Dữ Liệu
Việc lựa chọn mô hình, xây dựng quy chế và soạn thảo các văn bản pháp lý để thành lập bộ phận bảo vệ dữ liệu đòi hỏi sự am hiểu sâu sắc.
DPVN cung cấp dịch vụ trọn gói, từ tư vấn mô hình đến soạn thảo toàn bộ hồ sơ pháp lý cần thiết, bao gồm cả dịch vụ “DPO thuê ngoài” (DPO-as-a-Service). Hãy liên hệ với Luật sư Nguyễn Lâm Sơn để được hỗ trợ:
Hotline: 0982976486
Email: lamson@baovedlcn.vn
Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận, Cầu Giấy, Thành Phố Hà Nội
Câu hỏi thường gặp về việc thành lập bộ phận bảo vệ dữ liệu cá nhân
1. Nhân sự phụ trách bảo vệ dữ liệu (DPO) có cần bằng cấp chuyên môn gì không?
Luật Việt Nam hiện chưa quy định về bằng cấp cụ thể. Tuy nhiên, Luật 91/2025/QH15 yêu cầu nhân sự phải có “”đủ điều kiện năng lực””. Thực tế, một DPO hiệu quả cần có kiến thức tổng hợp về luật bảo vệ dữ liệu, an ninh thông tin và quy trình hoạt động của doanh nghiệp. Các chứng chỉ quốc tế như CIPP/E, CIPM của IAPP là một lợi thế lớn.
2. Trưởng phòng IT hoặc Trưởng phòng Nhân sự có thể kiêm nhiệm vị trí DPO không?
Có thể, nhưng cần cẩn trọng về xung đột lợi ích. Ví dụ, Trưởng phòng IT có thể ưu tiên sự tiện lợi của hệ thống hơn là quyền riêng tư. Trưởng phòng Nhân sự có thể gặp khó khăn khi phải giám sát chính hoạt động xử lý dữ liệu của phòng mình. Do đó, người kiêm nhiệm cần có một cơ chế báo cáo độc lập và được đảm bảo không bị phạt vì thực hiện nhiệm vụ giám sát của mình.
3. Điều kiện để được miễn trừ theo Luật Bảo vệ dữ liệu cá nhân 2025 là gì?
Điều kiện là doanh nghiệp phải thuộc loại hình siêu nhỏ, nhỏ, hoặc khởi nghiệp VÀ không thuộc một trong ba trường hợp rủi ro cao: kinh doanh dịch vụ xử lý dữ liệu, xử lý dữ liệu nhạy cảm, hoặc xử lý dữ liệu quy mô lớn.
4. Lợi ích của việc thuê ngoài dịch vụ DPO là gì?
Lợi ích chính là tiếp cận được ngay lập tức nguồn chuyên môn cao mà không tốn chi phí tuyển dụng và đào tạo; đảm bảo tính độc lập và khách quan; và thường có chi phí linh hoạt hơn so với việc duy trì một nhân sự chuyên trách toàn thời gian.
5. Nếu đã chỉ định bộ phận và nhân sự, chúng tôi có cần thông báo cho ai không?
Có. Doanh nghiệp phải kê khai thông tin chi tiết về bộ phận và nhân sự phụ trách trong Hồ sơ Đánh giá Tác động xử lý dữ liệu cá nhân và nộp cho Cục A05 – Bộ Công an. Đồng thời, thông tin liên hệ của họ cũng nên được công khai trong chính sách bảo vệ dữ liệu.
Nguồn tham khảo:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
- Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
- Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
- Article 37-39 of GDPR – Data Protection Officer: https://gdpr-info.eu/art-37-gdpr/
- International Association of Privacy Professionals (IAPP): https://iapp.org