1. Giới thiệu
Bổ nhiệm bộ phận, nhân sự bảo vệ dữ liệu cá nhân (“DPO”) là một nghĩa vụ pháp lý trọng yếu trong chương trình tuân thủ về bảo vệ dữ liệu cá nhân của các cơ quan, tổ chức, doanh nghiệp. Nghĩa vụ này được ghi nhận tại hầu hết khuôn khổ quy định pháp luật về bảo vệ dữ liệu cá nhân như Quy định chung về Bảo vệ dữ liệu của Liên minh Châu Âu (General Data Protection Regulation – “GDPR”) và đồng thời cũng là một nghĩa vụ tuân thủ quan trọng theo pháp luật Việt Nam về bảo vệ dữ liệu cá nhân.
Chuỗi Bài viết này nhằm mục đích so sánh sơ bộ các quy định về bổ nhiệm DPO tại GDPR (Điều 37, 38 và 39 GDPR) và quy định pháp luật Việt Nam về bảo vệ dữ liệu cá nhân (“Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân”), bao gồm các quy định tại Nghị định số 13/2023/NĐ-CP (“Nghị Định 13”) và Luật Bảo vệ dữ liệu cá nhân 2025 (“LBVDLCN 2025”). Để làm rõ các điểm tương đồng và khác biệt giữa hai hệ thống pháp luật, Chuỗi Bài viết sẽ được cấu trúc thành ba phần, tập trung vào các tiêu chí so sánh như sau:
- Bài viết thứ nhất tập trung vào các tiêu chí: (i) Chủ thể có thể được bổ nhiệm để trở thành DPO; và (ii) Các trường hợp pháp lý làm phát sinh nghĩa vụ bổ nhiệm DPO.
- Bài viết thứ hai tập trung vào các tiêu chí: (i) Số lượng DPO có thể được bổ nhiệm; và (ii) Tiêu chuẩn của DPO được bổ nhiệm;
- Bài viết thứ ba tập trung vào các tiêu chí: (i) Quy trình bổ nhiệm DPO; và (ii) Quyền và nghĩa vụ của DPO.
Trong phạm vi bài viết đầu tiên này, Bài viết sẽ so sánh quy định về bổ nhiệm DPO giữa GDPR và Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân dựa trên hai tiêu chí so sánh đầu tiên, bao gồm: (i) Chủ thể có thể được bổ nhiệm để trở thành DPO và (ii) Các trường hợp pháp lý làm phát sinh nghĩa vụ bổ nhiệm DPO.
2. Quy định về DPO theo GDPR và Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân
2.1. Chủ thể có thể được bổ nhiệm để trở thành DPO
2.1.1. GDPR
Về đối tượng chủ thể có thể được bổ nhiệm giữ vai trò DPO, Điều 37.6 GDPR quy định: “Nhân viên bảo vệ dữ liệu có thể là một nhân viên của bên kiểm soát hoặc bên xử lý, hoặc thực hiện các nhiệm vụ trên cơ sở một hợp đồng dịch vụ”.
Như vậy, theo GDPR, Bên Kiểm soát hoặc Bên Xử lý dữ liệu cá nhân có thể (a) hoặc bổ nhiệm nhân sự nội bộ của Bên Kiểm soát hoặc Bên Xử lý dữ liệu cá nhân để trở thành DPO; hoặc (b) thoả thuận với các tổ chức, cá nhân bên ngoài chuyên hoạt động cung ứng dịch vụ DPO để các tổ chức, cá nhân này đảm nhiệm vai trò DPO của Bên Kiểm soát, Bên Xử lý dữ liệu cá nhân trên cơ sở hợp đồng dịch vụ.
2.1.2. Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân
Cùng vấn đề này theo Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân, hướng quy định giữa Nghị Định 13 và LBVDLCN 2025 đang có sự khác biệt, cụ thể như sau:
- Điều 30.1.b Nghị Định 13 quy định: “Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân”. Như vậy, theo Nghị Định 13, cơ quan, tổ chức, doanh nghiệp chỉ có thể bổ nhiệm các bộ phận, nhân sự nội bộ để giữ vai trò DPO;
- Điều 33.2 LBVDLCN 2025 quy định: “Cơ quan, tổ chức có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân”. Như vậy, từ ngày 01/01/2026, các cơ quan, tổ chức sẽ có quyền thuê các tổ chức, cá nhân bên ngoài (outsource) để trở thành các bộ phận, nhân sự thực hiện trách nhiệm bảo vệ dữ liệu cá nhân cho các cơ quan, tổ chức này.
2.1.3. Sơ kết Mục 2.1
Tóm lại, kể từ thời điểm LBVDLCN 2025 có hiệu lực (ngày 01/01/2026), GDPR và Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân sẽ quy định tương đồng về điều kiện chủ thể có thể được chỉ định, bổ nhiệm để trở thành DPO. Cụ thể, các cơ quan, tổ chức có thể (i) bổ nhiệm nhân sự nội bộ; (ii) thuê/giao kết hợp đồng dịch vụ với các tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân để giữ vai trò DPO.
2.2. Trách nhiệm bổ nhiệm nhân sự bảo vệ dữ liệu cá nhân phát sinh trong những trường hợp nào?
2.2.1. GDPR
Điều 37.1 GDPR quy định các trường hợp Bên Kiểm soát, Bên Xử lý dữ liệu cá nhân có trách nhiệm bổ nhiệm DPO như sau:
- việc xử lý dữ liệu cá nhân được thực hiện bởi một cơ quan hoặc tổ chức công quyền, ngoại trừ các tòa án đang thực hiện chức năng tư pháp của mình;
- các hoạt động cốt lõi của Bên Kiểm soát hoặc Bên Xử lý bao gồm các hoạt động xử lý mà, do bản chất, phạm vi và/hoặc mục đích của hoạt động này, đòi hỏi phải giám sát các chủ thể dữ liệu một cách thường xuyên và có hệ thống trên quy mô lớn; hoặc
- các hoạt động cốt lõi của Bên Kiểm soát hoặc Bên Xử lý bao gồm việc xử lý trên quy mô lớn các loại dữ liệu đặc biệt theo Điều 9 hoặc dữ liệu cá nhân liên quan đến các bản án và hành vi phạm tội hình sự được đề cập tại Điều 10 GDPR.
Điều 37.1 GDPR quy định các trường hợp mà Bên Kiểm soát, Bên Xử lý bắt buộc phải bổ nhiệm DPO. Ngoài các trường hợp bắt buộc bổ nhiệm theo Điều 37.1, Điều 37.4 GDPR quy định thêm trường hợp Bên Kiểm soát, Bên Xử lý có thể bổ nhiệm DPO, cụ thể: “Trong các trường hợp khác với các trường hợp được đề cập tại khoản 1, Bên Kiểm soát hoặc Bên Xử lý hoặc các hiệp hội và các tổ chức khác đại diện cho các loại Bên Kiểm soát hoặc Bên Xử lý có thể, hoặc khi luật của Liên minh hoặc của Quốc gia thành viên yêu cầu thì phải, bổ nhiệm một nhân viên bảo vệ dữ liệu. Nhân viên bảo vệ dữ liệu có thể hành động cho các hiệp hội và các tổ chức khác đại diện cho Bên Kiểm soát hoặc Bên Xử lý đó”.
Tóm lại, theo GDPR, Bên Kiểm soát, Bên Xử lý: (a) phải bổ nhiệm DPO nếu thuộc các trường hợp quy định tại Điều 37.1 GDPR và (b) có thể bổ nhiệm DPO theo trường hợp tại Điều 37.4 GDPR.
2.2.2. Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân
Theo Điều 28 Nghị Định 13, khi cơ quan, tổ chức, doanh nghiệp thực hiện hoạt động xử lý dữ liệu cá nhân nhạy cảm, cơ quan, tổ chức, doanh nghiệp này sẽ phát sinh trách nhiệm chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân. Cơ quan, tổ chức, doanh nghiệp có thể được miễn trách nhiệm chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong các trường hợp sau theo các quy định tại Nghị Định 13:
- Cơ quan, tổ chức, doanh nghiệp chỉ xử lý dữ liệu cá nhân cơ bản, không xử lý dữ liệu cá nhân nhạy cảm;
- Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp theo Điều 43.2 Nghị Định 13.
Đến LBVDLCN 2025, Điều 33.2 LBVDLCN 2025 quy định các cơ quan, tổ chức, doanh nghiệp có trách nhiệm chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân trong mọi trường hợp mà không phân biệt loại dữ liệu cá nhân được xử lý hay quy mô của doanh nghiệp thực hiện hoạt động xử lý dữ liệu cá nhân như hướng tiếp cận của Nghị Định 13.
2.2.3. Sơ kết Mục 2.2
Về cơ sở phát sinh trách nhiệm bổ nhiệm DPO, GDPR quy định các trường hợp Bên Kiểm soát, Bên Xử lý phải bổ nhiệm DPO (Điều 37.1) hoặc có thể bổ nhiệm DPO trên cơ sở tự nguyện (Điều 37.4). Cùng vấn đề này theo Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân, trong khi Nghị Định 13 quy định trách nhiệm bổ nhiệm DPO chỉ phát sinh trong trường hợp Bên Kiểm soát, Bên Xử lý thực hiện xử lý dữ liệu cá nhân nhạy cảm và đi kèm một số ngoại lệ; LBVDLCN 2025 quy định trách nhiệm bổ nhiệm DPO sẽ phát sinh trong mọi trường hợp và không quy định bất kì ngoại lệ nào cho trách nhiệm này.
3. Kết luận Phần 1
Phân tích trên cho thấy cách tiếp cận của Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân: vừa hài hòa hóa với các tiêu chuẩn quốc tế, vừa thiết lập những yêu cầu riêng biệt. Việc cho phép thuê DPO từ bên ngoài theo LBVDLCN 2025 là một bước đi tiệm cận với thông lệ của GDPR. Ngược lại, việc quy định nghĩa vụ bổ nhiệm DPO áp dụng cho mọi trường hợp lại cho thấy một yêu cầu tuân thủ ở mức độ cao và phổ quát hơn so với cách tiếp cận dựa trên rủi ro của GDPR.
Việc hiểu rõ hai khía cạnh về bổ nhiệm DPO được so sánh tại Phần 1 này là bước đầu tiên để các cơ quan, tổ chức xây dựng lộ trình tuân thủ hiệu quả. Các vấn đề về tiêu chuẩn năng lực và số lượng DPO sẽ được phân tích sâu hơn trong Phần 2 của Chuỗi Bài viết.
Ngày viết bài: 20/10/2025
Khuyến cáo:
Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý cho bất kỳ trường hợp cụ thể nào. Các quy định pháp luật được dẫn chiếu trong nội dung bài viết có hiệu lực vào thời điểm đăng tải bài viết nhưng có thể đã hết hiệu lực tại thời điểm bạn đọc. Do đó, chúng tôi khuyến nghị bạn luôn tham khảo ý kiến của chuyên gia trước khi áp dụng.
Các vấn đề liên quan đến nội dung hoặc quyền sở hữu trí tuệ của bài viết, vui lòng gửi email đến cs@apolatlegal.vn.
Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Bảo mật và xử lý dữ liệu. Vui lòng tham khảo về dịch vụ của chúng tôi tại đây và liên hệ với đội ngũ luật sư tại Viêt Nam của chúng tôi thông qua email info@apolatlegal.com.
