1. Giới thiệu
Bài viết thứ nhất của Chuỗi Bài viết phân tích quy định pháp luật Việt Nam về bổ nhiệm bộ phận, nhân sự bảo vệ dữ liệu cá nhân (“DPO”) đã giới thiệu sơ lược các nội dung liên quan đến đối tượng có thể được bổ nhiệm và các trường hợp phát sinh nghĩa vụ bổ nhiệm theo Quy định chung về Bảo vệ dữ liệu của Liên minh Châu Âu (“GDPR”) và pháp luật Việt Nam về bảo vệ dữ liệu cá nhân (bao gồm Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025).
Để thiết lập một cơ chế tuân thủ quy định pháp luật bảo vệ dữ liệu liên quan đến việc bổ nhiệm DPO, việc tuân thủ không chỉ dừng lại ở các vấn đề cần bổ nhiệm ai hay khi nào thì phải bổ nhiệm. Theo đó, các cơ quan, tổ chức, doanh nghiệp còn phải xem xét đến các vấn đề về số lượng và điều kiện nhân sự đảm nhiệm vai trò DPO.
Tiếp nối Chuỗi Bài viết trên, Bài viết thứ hai này sẽ so sánh, đối chiếu các quy định của GDPR và pháp luật Việt Nam dựa trên hai tiêu chí: (i) Số lượng DPO; và (ii) Tiêu chuẩn năng lực, các yêu cầu về trình độ chuyên môn, kiến thức pháp luật và kỹ năng thực hành cần thiết đối với một DPO.
2. Quy định về DPO theo GDPR và Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân
2.1. Số lượng DPO có thể được bổ nhiệm
2.1.1. GDPR
Về số lượng DPO có thể được bổ nhiệm, GDPR quy định rõ Bên Kiểm soát, Bên Xử lý có thể chỉ cần bổ nhiệm một (01) cá nhân (“shall designate a data protection officer”) để giữ vai trò DPO của Bên Kiểm soát, Bên Xử lý tại Điều 37.1 37.2, 37.3 và 37.4 GDPR. Điều này áp dụng cả trong trường hợp Bên Kiểm soát, Bên Xử lý là một tập đoàn bao gồm nhiều công ty con, Bên Kiểm Soát, Bên Xử lý có thể chỉ định một DPO duy nhất cho cả tập đoàn (Điều 37.2 GDPR).
2.1.2. Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân
Khác với GDPR, Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân không quy định cụ thể số lượng nhân sự DPO có thể được bổ nhiệm. Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân chỉ quy định một cách chung chung về việc bổ nhiệm “bộ phận, nhân sự bảo vệ dữ liệu cá nhân” (Điều 28.2 Nghị Định 13 và Điều 33.2 LBVDLCN 2025).
Theo đó, Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân chưa quy định rõ các vấn đề sau:
- Số lượng DPO mà Bên Kiểm soát, Bên Xử lý có thể bổ nhiệm, đặc biệt là đối với trường hợp bổ nhiệm bộ phận bảo vệ dữ liệu cá nhân. Cụ thể, có quan điểm cho rằng xuất phát từ thuật ngữ “bộ phận”, Bên Kiểm soát, Bên Xử lý phải bổ nhiệm ít nhất hai (02) DPOs trở lên, do một “bộ phận” thì phải được cấu thành từ ít nhất hai (02) nhân sự trở lên;
- Liệu Bên Kiểm soát, Bên Xử lý (i) phải vừa bổ nhiệm bộ phận và bổ nhiệm nhân sự bảo vệ dữ liệu cá nhân hay có thể chỉ cần (ii) bổ nhiệm nhân sự bảo vệ dữ liệu cá nhân hoặc bộ phận bảo vệ dữ liệu cá nhân.
- Theo quan điểm tác giả, dù là cách hiểu nào thì Bên Kiểm soát, Bên Xử lý cũng phải bổ nhiệm ít nhất một (01) DPO để đảm bảo thực hiện các nghĩa vụ về bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, doanh nghiệp và đảm bảo cơ quan, tổ chức, doanh nghiệp luôncó ít nhất một đầu mối liên lạc với Chủ Thể Dữ Liệu, Cơ Quan Nhà Nước Có Thẩm Quyền, các bên thứ ba khác trong trường hợp theo yêu cầu hoặc theo quy định pháp luật.
2.1.3. Sơ kết
Tóm lại, về vấn đề số lượng DPO có thể được bổ nhiệm, Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân có sự khác biệt đối với GDPR. Trong khi GDPR quy định rõ Bên Kiểm soát, Bên Xử lý có thể chỉ cần bổ nhiệm một (01) nhân sự bảo vệ dữ liệu cá nhân, Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân chưa quy định rõ Bên Kiểm soát, Bên Xử lý phải bổ nhiệm bao nhiêu DPO. Bên cạnh đó, liệu Bên Kiểm soát, Bên Xử lý phải đồng thời bổ nhiệm cả bộ phận và nhân sự bảo vệ dữ liệu cá nhân hay Bên Kiểm soát, Bên Xử lý có thể chỉ cần bổ nhiệm nhân sự bảo vệ dữ liệu cá nhân hoặc
2.2. Tiêu chuẩn của DPO được bổ nhiệm
2.2.1. GDPR
Theo Điều 37.5 GDPR, nhân sự bảo vệ dữ liệu phải được bổ nhiệm trên cơ sở các phẩm chất chuyên môn và đặc biệt là kiến thức chuyên sâu về luật và các thông lệ bảo vệ dữ liệu và khả năng hoàn thành các nhiệm vụ được đề cập tại Điều 39 GDPR.
GDPR không nêu rõ các tiêu chí để xác định các phẩm chấm chuyên môn bao gồm các tiêu chí cụ thể nào và GDPR sẽ để cho pháp luật của các quốc gia thành viên quy định chi tiết về vấn đề này.
2.2.2. Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân
Nghị Định 13 chưa quy định cụ thể về tiêu chuẩn theo đó các cá nhân, tổ chức phải đảm bảo để được bổ nhiệm giữ vai trò là DPO. Kể từ thời điểm LBVDLCN 2025 có hiệu lực, Điều 33.2 LBVDLCN 2025 đã nhấn mạnh các bộ phận, nhân sự được chỉ định phải đủ điều kiện năng lực bảo vệ dữ liệu cá nhân. Về các điều kiện năng lực cụ thể, LBVDLCN 2025 chưa quy định cụ thể vấn đề này và có thể trong thời gian tới các văn bản hướng dẫn thi hành LBVDLCN 2025 sẽ điều chỉnh, hướng dẫn chi tiết nội dung này.
2.2.3. Sơ kết
Tóm lại, Điều 37.5 GDPR và Điều 33.2 LBVDLCN 2025 đã quy định một cách khái quát các tiêu chuẩn dành cho DPO. Chi tiết các tiêu chuẩn này sẽ được quy định cụ thể tại quy định pháp luật của các quốc gia thành viên (đối với GDPR) và các văn bản quy phạm pháp luật hướng dẫn thi hành (đối với LBVDLCN 2025).
3. Kết luận Phần 2
Các nội dung trên cho thấy giữa GDPR và quy định pháp luật Việt Nam về bảo vệ dữ liệu cá nhân có một số điểm khác biệt nhất định, đặc biệt là quy định về số lượng DPO có thể được bổ nhiệm.
Cụ thể, về vấn đề số lượng DPO, GDPR quy định rõ và thể hiện tính linh hoạt cao với cơ chế Bên Kiểm soát, Bên Xử lý có thể chỉ cần bổ nhiệm một (01) DPO (áp dụng cho cả Tập đoàn bao gồm nhiều công ty con, công ty liên kết, công ty đa quốc gia,…); ngược lại, pháp luật Việt Nam đang để ngỏ các diễn giải về mô hình “bộ phận” và “nhân sự”, tạo ra thách thức nhất định trong việc tối ưu hóa bộ máy tuân thủ.
Về điều kiện của DPO, cả GDPR và quy định pháp luật Việt Nam đều đã quy định một cách khái quát các tiêu chuẩn dành cho DPO. Chi tiết các tiêu chuẩn này sẽ được quy định cụ thể tại quy định pháp luật của các quốc gia thành viên (đối với GDPR) và các văn bản quy phạm pháp luật hướng dẫn thi hành (đối với LBVDLCN 2025).
Bài viết liên quan
- Bổ nhiệm bộ phận, nhân sự bảo vệ dữ liệu cá nhân (DPO) theo Luật Bảo vệ dữ liệu cá nhân 2025 và GDPR (Phần 1)
- Trách nhiệm hình sự đối với hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân Việt Nam
Ngày viết bài: 20/11/2025
Khuyến cáo:
Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý cho bất kỳ trường hợp cụ thể nào. Các quy định pháp luật được dẫn chiếu trong nội dung bài viết có hiệu lực vào thời điểm đăng tải bài viết nhưng có thể đã hết hiệu lực tại thời điểm bạn đọc. Do đó, chúng tôi khuyến nghị bạn luôn tham khảo ý kiến của chuyên gia trước khi áp dụng.
Các vấn đề liên quan đến nội dung hoặc quyền sở hữu trí tuệ của bài viết, vui lòng gửi email đến cs@apolatlegal.vn.
Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Bảo mật và xử lý dữ liệu. Vui lòng tham khảo về dịch vụ của chúng tôi tại đây và liên hệ với đội ngũ luật sư tại Viêt Nam của chúng tôi thông qua email info@apolatlegal.com.
