NHÂN SỰ BẢO VỆ DỮ LIỆU CÁ NHÂN (DPO) THEO LUẬT BẢO VỆ DỮ LIỆU CÁ NHÂN 2025: VAI TRÒ, ĐIỀU KIỆN VÀ LƯU Ý BỔ NHIỆM

Tìm hiểu vai trò, trách nhiệm và điều kiện bổ nhiệm nhân sự bảo vệ dữ liệu cá nhân (DPO) theo Luật BVDLCN 2025. Đặc biệt, doanh nghiệp có thể thuê ngoài hoặc chỉ định DPO nội bộ.

Nhân sự bảo vệ dữ liệu cá nhân (DPO) là gì?

Nhân sự bảo vệ dữ liệu cá nhân (DPO – Data Protection Officer) là cá nhân và bộ phận được doanh nghiệp chỉ định để thực hiện nhiệm vụ liên quan tới bảo vệ dữ liệu cá nhân (DLCN).

Điều 33 Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN 2025) yêu cầu mỗi doanh nghiệp có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ DLCN hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN. Luật BVDLCN 2025 cũng đưa ra một số ngoại lệ hoặc thời hạn chuyển tiếp cho doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp. Cụ thể, doanh nghiệp nhỏ và doanh nghiệp khởi nghiệp có thể được quyền miễn trừ trong vòng 5 năm kể từ khi Luật có hiệu lực (tức từ 1/1/2026) còn doanh nghiệp siêu nhỏ hoặc hộ kinh doanh được miễn trừ hoàn toàn nghĩa vụ này nếu không kinh doanh dịch vụ xử lý DLCN, trực tiếp xử lý DLCN nhạy cảm hoặc xử lý DLCN số lượng lớn.

Vai trò của DPO trong doanh nghiệp theo Luật BVDLCN 2025

Hiện nay Luật BVDLCN 2025 chưa có quy định cụ thể về vai trò của DPO trong doanh nghiệp, nhưng có thể nhận định rằng DPO có vai trò trung tâm trong hệ thống tuân thủ bảo vệ DLCN của doanh nghiệp. Nhìn chung, trách nhiệm của DPO là nhằm bảo vệ DLCN khỏi các hành vi xâm phạm; bao gồm việc thực hiện các hoạt động phòng ngừa, ngăn chặn và giải quyết các vụ việc vi phạm quy định pháp luật về DLCN; đầu mối liên lạc với cơ quan nhà nước.

Tham khảo Quy định chung về bảo vệ DLCN của EU (GDPR) thì một số trách nhiệm mà DPO có thể sẽ phải tiến hành như tư vấn cho chủ thể kiểm soát/xử lý về nghĩa vụ bảo vệ dữ liệu; giám sát việc tuân thủ quy định của pháp luật về bảo vệ DLCN; đưa ra lời khuyên khi được yêu cầu liên quan đến đánh giá tác động xử lý dữ liệu; hợp tác với cơ quan nhà nước trong hoạt động bảo vệ DLCN.

Điều kiện cần có của DPO trong doanh nghiệp theo Luật BVDLCN 2025

Tương tự như vai trò của DPO thì Luật BVDLCN cũng không quy định điều kiện cần thiết để cá nhân/bộ phận được chỉ định là DPO của doanh nghiệp mà chỉ quy định chung rằng DPO cần “đủ điều kiện năng lực bảo vệ dữ liệu cá nhân”.

Tham khảo yêu cầu đối với bộ phận bảo vệ an toàn dữ liệu theo Luật Dữ liệu 2024 thì cá nhân làm việc tại bộ phận này không được có tiền án trong lĩnh vực công nghệ thông tin, mạng viễn thông. Trong khi đó, GDPR cũng không quy định tiêu chuẩn định lượng làm căn cứ chỉ định DPO, nhưng Điều 37.5 GDPR vẫn xác định các yếu tố cơ bản làm căn cứ để chỉ định DPO, bao gồm có năng lực chuyên môn tốt; có kiến thức chuyên sâu về pháp luật và thực tiễn áp dụng luật về bảo vệ DLCN; có khả năng thực hiện tốt các trách nhiệm của DPO theo Điều 39 GDPR. Cụ thể về trình độ chuyên môn cần thiết của DPO được xác định tùy thuộc vào hoạt động xử lý DLCN của tổ chức, doanh nghiệp và mức độ bảo vệ tương ứng với hoạt động xử lý.

Lưu ý cho Doanh nghiệp khi bổ nhiệm DPO theo Luật BVDLCN 2025

Để đảm bảo việc chỉ định DPO thực sự hiệu quả, doanh nghiệp cần lưu ý:

Phạm vi trách nhiệm rõ ràng

• Xác định các nhiệm vụ, quyền hạn, trách nhiệm cụ thể trong quy định nội bộ hoặc hợp đồng lao động / hợp đồng dịch vụ.
• Đảm bảo DPO có quyền truy cập đầy đủ vào thông tin, tài nguyên cần thiết để thực hiện kiểm tra, đánh giá, báo cáo; được tham gia vào các quyết định liên quan xử lý DLCN.

Nguồn lực và hỗ trợ cần thiết

• Trang bị nguồn lực như nhân sự hỗ trợ, công cụ kỹ thuật (phần mềm, hệ thống giám sát, an toàn thông tin), ngân sách để DPO thực hiện nhiệm vụ của mình.
• Hỗ trợ từ lãnh đạo cấp cao của doanh nghiệp để đảm bảo DPO được coi trọng, và được tạo điều kiện để thực hiện tốt nhiệm vụ.
• Nên đảm bảo DPO không bị xử lý kỷ luật vì thực hiện đúng nhiệm vụ của một DPO, ví dụ như chỉ ra vi phạm về bảo vệ DLCN của doanh nghiệp.

Kiểm soát xung đột lợi ích

• DPO có thể đảm nhiệm các vị trí công việc khác như cần tránh để DPO kiêm quá nhiều vai trò, đặc biệt là các vị trí có thể ảnh hưởng tới tính độc lập trong công việc, ví dụ vừa đảm nhiệm vị trí DPO vừa là quản lý hệ thống IT.
• Nếu thuê ngoài, cần yêu cầu DPO đảm bảo chất lượng và cam kết trách nhiệm; đồng thời doanh nghiệp cần kiểm soát việc tuân thủ và bảo mật thông tin từ bên cung cấp dịch vụ.

Thông tin của DPO

• Ngoài việc báo cáo với cơ quan nhà nước có thẩm quyền trong hồ sơ đánh giá tác động xử lý DLCN, doanh nghiệp nên công khai thông tin liên hệ của DPO để chủ thể dữ liệu có thể liên hệ khi cần.

Những lưu ý này không chỉ giúp đảm bảo hiệu quả hoạt động của DPO mà còn hạn chế xung đột lợi ích, đặc biệt trong trường hợp doanh nghiệp lựa chọn chỉ định DPO nội bộ.

CÁC CÂU HỎI THƯỜNG GẶP

Có thể thuê ngoài DPO hay không?

Có. Luật BVDLCN 2025 cho phép tổ chức, doanh nghiệp nếu không tự chỉ định được nhân sự nội bộ phù hợp thì có thể thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ DLCN để đảm nhận vai trò DPO.

Tuy nhiên, khi thuê ngoài DPO cần lưu ý:

• Cần đảm bảo bên thuê dịch vụ có đủ năng lực chuyên môn, có cam kết trách nhiệm;
• Có hợp đồng rõ ràng về nhiệm vụ, quyền hạn, trách nhiệm, bảo mật thông tin;
• Doanh nghiệp vẫn phải giám sát, chịu trách nhiệm nếu có vi phạm từ hoạt động của DPO thuê ngoài.

DPO có thể kiêm nhiệm các công việc khác hay không?

Hiện tại Luật BVDLCN 2025 chưa có quy định cụ thể cấm DPO kiêm nhiệm công việc khác. Tuy nhiên, doanh nghiệp cần lưu ý rằng việc kiêm nhiệm nhiều vai trò có thể gây xung đột lợi ích, ảnh hưởng đến khả năng thực hiện trách nhiệm kiểm tra, giám sát và tính độc lập của DPO.

Có thể bổ nhiệm một nhân sự đảm nhiệm vị trí DPO cho nhiều công ty trong tập đoàn?

Hiện tại Luật BVDLCN 2025 chưa có quy định cụ thể về việc một nhân sự đảm nhiệm  vị trí DPO ở nhiều doanh nghiệp. Về nguyên tắc, nếu người đó có đủ thời gian, năng lực, hiểu biết về ngành nghề của từng công ty và được chỉ định rõ ràng thì có thể. Nhưng cần lưu ý:

• Từng công ty trong tập đoàn phải đảm bảo người được chỉ định đáp ứng yêu cầu phù hợp với ngành nghề, lĩnh vực kinh doanh của mình;
• Có hợp đồng hoặc quyết định bổ nhiệm rõ ràng cho từng công ty, nêu rõ trách nhiệm, quyền hạn cụ thể;
• Tránh tình trạng quá tải; nếu DPO thực hiện nhiệm cho nhiều công ty có thể dẫn đến hiệu quả thấp hoặc vi phạm do bỏ sót;
• Ngoài ra nếu có xung đột lợi ích giữa các công ty trong tập đoàn, cần có biện pháp quản lý để tránh rủi ro.

DPO có chịu trách nhiệm pháp lý nếu doanh nghiệp không tuân thủ quy định về bảo vệ DLCN hay không?

Có thể, nhưng mức độ và hình thức trách nhiệm phụ thuộc vào vai trò, phạm vi trách nhiệm mà DPO được giao, và việc chứng minh xem DPO có vi phạm hay bỏ sót trong phạm vi trách nhiệm đó hay không.

• Theo Luật BVDLCN 2025, Bên Kiểm soát hoặc Bên Kiểm soát và xử lý DLCN chịu trách nhiệm trước chủ thể dữ liệu nếu vi phạm các quy định về bảo vệ DLCN, trong khi Bên Xử lý sẽ phải chịu trách nhiệm trước Bên Kiểm soát cho các vi phạm này.
• Nếu DPO là người thực hiện, giám sát, tư vấn mà doanh nghiệp không thực hiện theo khuyến nghị của DPO hoặc bỏ qua cảnh báo, thì trách nhiệm chính vẫn thuộc về doanh nghiệp.
• Tuy nhiên, trong hợp đồng thuê ngoài hoặc quyết định bổ nhiệm nội bộ/hợp đồng lao động có thể có điều khoản về trách nhiệm của DPO trong một số trường hợp, ví dụ như khi DPO không thực hiện đúng yêu cầu công việc.

Trong bối cảnh Luật BVDLCN 2025, việc chỉ định hoặc thuê ngoài nhân sự bảo vệ dữ liệu cá nhân (DPO) trở thành yêu cầu bắt buộc. Doanh nghiệp cần hiểu rõ vai trò, trách nhiệm và điều kiện bổ nhiệm DPO để xây dựng hệ thống bảo vệ dữ liệu cá nhân vững chắc và tuân thủ pháp luật.

#DPO #DataProtectionOfficer #nhansubaovedulieu #OutsourcedDPO #DPORole #DPOCompliance #DPOSolutions #DLCN #dulieucanhan

Tuyên bố miễn trừ trách nhiệm: Thông tin trong tài liệu này chỉ có tính chất tham khảo, không cấu thành ý kiến tư vấn pháp lý chính thức. PrivacyCompliance không chịu trách nhiệm đối với mọi thiệt hại phát sinh từ việc sử dụng hoặc dựa vào thông tin này.