Bổ nhiệm bộ phận, nhân sự bảo vệ dữ liệu cá nhân (DPO) theo Luật Bảo vệ dữ liệu cá nhân 2025 và GDPR (Phần 3)

Nội dung

1. Giới thiệu

Phần Một và Phần Hai của Chuỗi Bài viết phân tích quy định pháp luật Việt Nam về bổ nhiệm bộ phận, nhân sự bảo vệ dữ liệu cá nhân (“DPO”) đã giới thiệu sơ lược các nội dung liên quan đến các vấn đề về đối tượng có thể được bổ nhiệm, các trường hợp phát sinh trách nhiệm bổ nhiệm DPO, số lượng DPO phải bổ nhiệm và tiêu chuẩn đối với DPO được bổ nhiệm theo Quy định chung về Bảo vệ dữ liệu của Liên minh Châu Âu (“GDPR”) và Quy Định Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân (bao gồm Nghị định 13/2023/NĐ-CP và Luật Bảo vệ dữ liệu cá nhân 2025).

Xem phần 1: Bổ nhiệm bộ phận, nhân sự bảo vệ dữ liệu cá nhân (DPO) theo Luật Bảo vệ dữ liệu cá nhân 2025 và GDPR (Phần 1)

Xem phần 2: Bổ nhiệm bộ phận, nhân sự bảo vệ dữ liệu cá nhân (DPO) theo Luật Bảo vệ dữ liệu cá nhân 2025 và GDPR (Phần 2)

Ngoài các vấn đề đã được đề cập và so sánh sơ lược tại Phần Một và Phần Hai, quy trình bổ nhiệm cũng như quyền và nghĩa vụ của DPO là các vấn đề pháp lý quan trọng mà Bên Kiểm soát, Bên Xử lý dữ liệu cá nhân cần lưu ý để đảm bảo tuân thủ các quy định pháp luật về DPO.

Tiếp nối Chuỗi Bài viết trên, Phần Ba và cũng là phần cuối của Chuỗi Bài viết này sẽ so sánh, đối chiếu các quy định của GDPR và pháp luật Việt Nam dựa trên các tiêu chí sau (i) Quy trình bổ nhiệm DPO; và (ii) Quyền và nghĩa vụ của DPO.

2. Quy định về DPO theo GDPR và Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân

2.1. Quy trình bổ nhiệm DPO

GDPR và Quy Định Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân chưa quy định chi tiết về trình tự, thủ tục bổ nhiệm DPO. Như vậy, Bên Kiểm soát, Bên Xử lý có thể chủ động và toàn quyền quyết định về quy trình chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân theo các trình tự, thủ tục bổ nhiệm nhân sự được quy định tại các văn bản, tài liệu pháp lý nội bộ doanh nghiệp như Điều lệ, các quy chế, chính sách nội bộ (như chính sách bảo vệ dữ liệu cá nhân),… của Bên Kiểm soát, Bên Xử lý dữ liệu cá nhân.

Tuy pháp luật không quy định cụ thể, kết quả của quy trình chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân thông thường sẽ được ghi nhận tại Quyết định chỉ định/bổ nhiệm bộ phận, nhân sự bảo vệ dữ liệu cá nhân (“Quyết Định Chỉ Định DPO”). Quyết Định Chỉ Định DPO là tài liệu pháp lý quan trọng bởi đây là một trong những thành phần hồ sơ pháp lý bắt buộc của Bộ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và Bộ Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài. Bên cạnh là thành phần hồ sơ bắt buộc cho các thủ tục trên, Chủ thể dữ liệu, các đối tác của Bên Kiểm soát, Bên Xử lý dữ liệu cá nhân có thể yêu cầu Bên Kiểm soát, Bên Xử lý dữ liệu cá nhân cung cấp tài liệu này như là một cách thức để xác minh và đánh giá mức độ tuân thủ quy định pháp luật về bảo vệ dữ liệu cá nhân của Bên Kiểm soát, Bên Xử lý dữ liệu.

GDPR và Quy Định Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân cũng không quy định chi tiết các nội dung tối thiểu mà Quyết Định Chỉ Định DPO phải đảm bảo. Trên thực tế, xuất phát từ vai trò là đầu mối liên lạc với cơ quan nhà nước có thẩm quyền, Chủ thể dữ liệu và các bên có liên quan, Quyết Định Chỉ Định DPO có thể bao gồm các thông tin mô tả chung về bộ phận và nhân sự bảo vệ dữ liệu cá nhân (chẳng hạn như nêu rõ bộ phận, nhân sự nào chịu trách nhiệm bảo vệ dữ liệu cá nhân, chức vụ, vị trí công việc của các nhân sự thuộc tổ chức); thông tin liên hệ (như số điện thoại, email, địa chỉ liên lạc,…) của bộ phận và các nhân sự bảo vệ dữ liệu cá nhân; quyền và nghĩa vụ của bộ phận, nhân sự bảo vệ dữ liệu cá nhân,…

Tóm lại, Bên Kiểm soát, Bên Xử lý dữ liệu cá nhân được chủ động và quyết định quy trình bổ nhiệm DPO và có thể ghi nhận quy trình bổ nhiệm DPO này tại các tài liệu pháp lý nội bộ doanh nghiệp của Bên Kiểm soát, Bên Xử lý dữ liệu cá nhân. Đồng thời, Bên Kiểm soát, Bên Xử lý dữ liệu cần lưu ý lập và lưu trữ Quyết Định Chỉ Định DPO bởi đây là tài liệu pháp lý quan trọng cho các thủ tục hành chính với cơ quan nhà nước có thẩm quyền và là một trong những minh chứng cho nghĩa vụ tuân thủ quy định pháp luật về bảo vệ dữ liệu cá nhân.

2.2. Quyền và nghĩa vụ DPO

2.2.1. GDPR

GDPR quy định các quyền và nghĩa vụ theo luật định tại Điều 38 và Điều 39 GDPR. Một cách tổng quát, DPO có trách nhiệm tham gia một cách phù hợp và kịp thời vào tất cả vấn đề liên quan đến bảo vệ dữ liệu cá nhân của Bên Kiểm soát, Bên Xử lý dữ liệu cá nhân (Điều 38.1 GDPR).

Đáng chú ý, Điều 38 GDPR bao gồm các nội dung nhằm mục đích đảm bảo sự độc lập của DPO. Cụ thể, Điều 38.3 GDPR quy định Bên Kiểm soát và Bên Xử lý phải đảm bảo DPO không nhận bất kì chỉ đạo nào liên quan đến việc thực hiện các nhiệm vụ của mình cũng như DPO không bị sa thải hoặc xử phạt bởi Bên Kiểm soát hoặc Bên Xử lý do việc thực hiện các nhiệm vụ của mình. Đồng thời, DPO có thể thực hiện các nhiệm vụ và nghĩa vụ khác, nhưng phải đảm bảo rằng các nhiệm vụ đó không dẫn đến xung đột lợi ích với vai trò bảo vệ dữ liệu (Điều 38.6 GDPR).

2.2.2. Quy Định Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân

Về quyền và nghĩa vụ của DPO, Điều 30.1.b Nghị Định 13 chỉ quy định một cách khái quát: “Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân”. Trong khi đó, LBVDLCN 2025 không quy định chi tiết các quyền và nghĩa vụ của DPO và để vấn đề này cho các văn bản hướng dẫn LBVDLCN 2025 như các nghị định, thông tư hướng dẫn thi hành quy định (Điều 33.3 LBVDLCN 2025).

2.2.3. Sơ kết

Tóm lại, khác với GDPR, Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân chưa quy định cụ thể các quyền và nghĩa vụ của DPO.

3. Kết luận chung

Tóm lại, Chuỗi Bài viết đã so sánh sơ lược các quy định về bổ nhiệm Bộ Phận, Nhân Sự Bảo Vệ Dữ Liệu Cá Nhân theo Quy Định Chung Về Bảo Vệ Dữ Liệu của Liên Minh Châu Âu và Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân dựa trên các tiêu chí (i) đối tượng có thể được bổ nhiệm, (ii) các trường hợp phát sinh trách nhiệm bổ nhiệm DPO, (iii) số lượng DPO phải bổ nhiệm (iv) tiêu chuẩn đối với DPO được bổ nhiệm, (v) quy trình bổ nhiệm và (vi) quyền và nghĩa vụ của DPO. Các điểm tương đồng và khác biệt giữa GDPR và Quy Định Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân được tóm tắt sơ lược tại bảng dưới đây:

Tiêu chí	GDPR	Quy Định Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân
Đối tượng có thể được bổ nhiệm	Kể từ thời điểm LBVDLCN 2025 có hiệu lực (ngày 01/01/2026), GDPR và Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân sẽ quy định tương đồng về điều kiện chủ thể có thể được chỉ định, bổ nhiệm để trở thành DPO. Cụ thể, các cơ quan, tổ chức có thể (i) bổ nhiệm nhân sự nội bộ; (ii) thuê/giao kết hợp đồng dịch vụ với các tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân để giữ vai trò DPO
Trường hợp phải bổ nhiệm DPO	GDPR quy định các trường hợp: (a) bắt buộc phải bổ nhiệm DPO tại Điều 37.1 GDPR và (b) chủ động hoặc bổ nhiệm DPO theo quy định pháp luật Quốc gia thành viên (Điều 37.4 GDPR).	(a) Nghị Định 13 quy định Bên Kiểm soát, Bên Xử lý, Bên Kiểm soát – Xử lý dữ liệu cá nhân phải chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong trường hợp xử lý dữ liệu cá nhân nhạy cảm (b) Luật Bảo vệ dữ liệu cá nhân 2025 quy định Bên Kiểm soát, Bên Xử lý, Bên Kiểm soát – Xử lý dữ liệu cá nhân phải chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong mọi trường hợp.
Số lượng DPO phải bổ nhiệm	Bên Kiểm soát, Bên Xử lý có thể chỉ cần bổ nhiệm một (01) cá nhân giữ vai trò là DPO.	Chưa quy định rõ số lượng DPO phải bổ nhiệm.
Tiêu chuẩn DPO được bổ nhiệm	Điều 37.5 GDPR và Điều 33.2 LBVDLCN 2025 đã quy định một cách khái quát các tiêu chuẩn dành cho DPO. Chi tiết các tiêu chuẩn này sẽ được quy định cụ thể tại quy định pháp luật của các quốc gia thành viên (đối với GDPR) và các văn bản quy phạm pháp luật hướng dẫn thi hành (đối với LBVDLCN 2025)
Quy trình bổ nhiệm DPO	Bên Kiểm soát, Bên Xử lý dữ liệu cá nhân được chủ động và quyết định quy trình bổ nhiệm DPO và có thể ghi nhận quy trình bổ nhiệm DPO này tại các tài liệu pháp lý nội bộ doanh nghiệp của Bên Kiểm soát, Bên Xử lý dữ liệu cá nhân. Đối với Quy Định Pháp Luật Việt Nam về Bảo Vệ Dữ Liệu Cá Nhân, Bên Kiểm soát, Bên Xử lý dữ liệu cần lưu ý lập và lưu trữ Quyết Định Chỉ Định DPO bởi đây là tài liệu pháp lý quan trọng cho các thủ tục hành chính với cơ quan nhà nước có thẩm quyền và là một trong những minh chứng cho nghĩa vụ tuân thủ quy định pháp luật về bảo vệ dữ liệu cá nhân
Quyền và nghĩa vụ DPO	GDPR quy định các quyền và nghĩa vụ theo luật định tại Điều 38 và Điều 39 GDPR	Chưa quy định cụ thể các quyền và nghĩa vụ của DPO

Ngày viết bài: 20/12/2025

Bài viết liên quan

Khuyến cáo:

Bài viết này chỉ nhằm mục đích cung cấp các thông tin chung và không nhằm cung cấp bất kỳ ý kiến tư vấn pháp lý cho bất kỳ trường hợp cụ thể nào. Các quy định pháp luật được dẫn chiếu trong nội dung bài viết có hiệu lực vào thời điểm đăng tải bài viết nhưng có thể đã hết hiệu lực tại thời điểm bạn đọc. Do đó, chúng tôi khuyến nghị bạn luôn tham khảo ý kiến của chuyên gia trước khi áp dụng.

Các vấn đề liên quan đến nội dung hoặc quyền sở hữu trí tuệ của bài viết, vui lòng gửi email đến cs@apolatlegal.vn.

Apolat Legal là một công ty luật tại Việt Nam có kinh nghiệm và năng lực cung cấp các dịch vụ tư vấn liên quan đến Bảo mật và xử lý dữ liệu. Vui lòng tham khảo về dịch vụ của chúng tôi tại đây và liên hệ với đội ngũ luật sư tại Viêt Nam của chúng tôi thông qua email info@apolatlegal.com.