Chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân theo quy định pháp luật Việt Nam về bảo vệ dữ liệu cá nhân

1. Giới thiệu 

Bảo vệ dữ liệu cá nhân gần đây đang là một vấn đề được quan tâm tại Việt Nam. Trong hệ thống pháp luật Việt Nam, Nghị định số 13/2023/NĐ-CP (“Nghị Định 13”) và thời gian tới là Luật Bảo vệ dữ liệu cá nhân năm 2025 (“LBVDLCN 2025”) (có hiệu lực thi hành từ ngày 01/01/2026) là các văn bản quy phạm pháp luật chính, trực tiếp điều chỉnh các vấn đề pháp lý liên quan đến bảo vệ dữ liệu cá nhân.  

Một trong những trách nhiệm tuân thủ mà các doanh nghiệp, cơ quan, tổ chức cần lưu ý là trách nhiệm chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân. Mục đích của Bài viết này là nhằm giới thiệu khái quát, phân tích sơ lược, so sánh các quy định có liên quan của Nghị Định 13 và LBVDLCN 2025 về trách nhiệm chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân. 

2. Trách nhiệm Chỉ định Bộ phận, Nhân sự bảo vệ dữ liệu cá nhân theo quy định pháp luật Việt Nam 

2.1. Bộ phận hay cá nhân nào có thể trở thành Bộ phận, Nhân sự bảo vệ dữ liệu cá nhân? 

Điều 30.1.b Nghị Định 13 quy định: “Bộ phận, nhân sự có chức năng bảo vệ dữ liệu cá nhân được chỉ định trong cơ quan, tổ chức, doanh nghiệp nhằm bảo đảm thực hiện quy định về bảo vệ dữ liệu cá nhân”. Theo đó, cơ quan, tổ chức, doanh nghiệp sẽ chỉ định các bộ phận, nhân sự nội bộ để thực hiện các trách nhiệm về bảo vệ dữ liệu. Các cơ quan, tổ chức, doanh nghiệp có toàn quyền quyết định chỉ định bất kì bộ phận nào (như Phòng Pháp chế, Phòng Nhân sự, Phòng Công nghệ thông tin,…) hoặc bất kì nhân sự nào (như Chuyên viên pháp lý, Chuyên viên hành chính – nhân sự, Chuyên viên công nghệ thông tin,…) để trở thành bộ phận, nhân sự bảo vệ dữ liệu cá nhân của các cơ quan, tổ chức, doanh nghiệp đó. 

Đối với LBVDLCN 2025, LBVDLCN 2025 bổ sung sự lựa chọn cho các cơ quan, tổ chức, doanh nghiệp đối với hoạt động chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân. Cụ thể, Điều 33.2 LBVDLCN 2025 quy định: “Cơ quan, tổ chức có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân”. Như vậy, từ ngày 01/01/2026, các cơ quan, tổ chức sẽ có quyền thuê các tổ chức, cá nhân bên ngoài  (outsource) để trở thành các bộ phận, nhân sự thực hiện trách nhiệm bảo vệ dữ liệu cá nhân cho các cơ quan, tổ chức này. Điều 33.2 LBVDLCN 2025 đồng thời nhấn mạnh các bộ phận, nhân sự được chỉ định phải đủ điều kiện năng lực bảo vệ dữ liệu cá nhân. Về các điều kiện năng lực cụ thể, LBVDLCN 2025 chưa quy định cụ thể vấn đề này và có thể trong thời gian tới các văn bản hướng dẫn thi hành LBVDLCN 2025 sẽ điều chỉnh, hướng dẫn chi tiết nội dung này. 

Một nội dung chưa rõ đối với cả Nghị Định 13 và LBVDLCN 2025 là liệu các cơ quan, tổ chức, doanh nghiệp phải vừa bổ nhiệm cả bộ phận và nhân sự bảo vệ dữ liệu cá nhân hay có thể lựa chọn bổ nhiệm bộ phận hoặc nhân sự bảo vệ dữ liệu cá nhân? Theo cách diễn đạt tại Điều 30.1.b Nghị Định 13 và Điều 33.2 LBVDLCN 2025, có thể cơ quan, tổ chức doanh nghiệp cần phải vừa bổ nhiệm cả bộ phận và nhân sự bảo vệ dữ liệu cá nhân. Trong trường hợp này, số lượng nhân sự bảo vệ dữ liệu cá nhân có bắt buộc phải bao gồm từ hai (02) nhân sự trở lên hay không? Các nội dung này vì vậy cần được làm rõ, quy định cụ thể hơn tại các văn bản hướng dẫn thi hành LBVDLCN 2025 trong thời gian tới. 

2.2. Trách nhiệm chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân phát sinh trong những trường hợp nào? 

Theo Điều 28 Nghị Định 13, khi cơ quan, tổ chức, doanh nghiệp thực hiện hoạt động xử lý dữ liệu cá nhân nhạy cảm, cơ quan, tổ chức, doanh nghiệp này sẽ phát sinh trách nhiệm chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân. Cơ quan, tổ chức, doanh nghiệp có thể được miễn trách nhiệm chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân trong các trường hợp sau theo các quy định tại Nghị Định 13: 

1. Cơ quan, tổ chức, doanh nghiệp chỉ xử lý dữ liệu cá nhân cơ bản, không xử lý dữ liệu cá nhân nhạy cảm; 
2. Các doanh nghiệp siêu nhỏ, doanh nghiệp nhỏ, doanh nghiệp vừa, doanh nghiệp khởi nghiệp được quyền lựa chọn miễn trừ quy định về chỉ định cá nhân và bộ phận bảo vệ dữ liệu cá nhân trong thời gian 02 năm đầu kể từ khi thành lập doanh nghiệp theo Điều 43.2 Nghị Định 13. 

Đến LBVDLCN 2025, Điều 33.2 LBVDLCN 2025 quy định các cơ quan, tổ chức, doanh nghiệp có trách nhiệm chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân trong mọi trường hợp mà không phân biệt loại dữ liệu cá nhân được xử lý hay quy mô của doanh nghiệp thực hiện hoạt động xử lý dữ liệu cá nhân như hướng tiếp cận của Nghị Định 13. 

2.3. Tại sao các cơ quan, tổ chức, doanh nghiệp phải chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân? 

Như đã đề cập tại Mục 1 Giới thiệu, trách nhiệm chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân là một trong những trách nhiệm pháp lý bắt buộc đối với các cơ quan, tổ chức, doanh nghiệp thực hiện các hoạt động xử lý dữ liệu cá nhân (Nghị Định 13 giới hạn áp dụng đối với hoạt động xử lý dữ liệu cá nhân nhạy cảm).  

Mục đích của quy định này là nhằm: 

1. Bảo đảm cơ quan, tổ chức, doanh nghiệp luôn có bộ phận, nhân sự chuyên trách thực hiện quy định về bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, doanh nghiệp đó (Điều 30.1.b Nghị Định 13);  
2. Ngoài ra, các bộ phận, nhân sự được chỉ định sẽ đóng vai trò là đầu mối liên lạc với Cơ quan nhà nước chuyên trách về bảo vệ dữ liệu cá nhân hoặc với Chủ Thể Dữ Liệu trong trường hợp Chủ Thể Dữ Liệu thực hiện các yêu cầu của họ (quyền đồng ý, quyền rút lại sự đồng ý, quyền yêu cầu cung cấp, cập nhật, chỉnh sửa,…) theo quy định pháp luật về bảo vệ dữ liệu cá nhân. 

2.4. Thông tin về Bộ phận, Nhân sự bảo vệ dữ liệu cá nhân có thể được ghi nhận tại những văn bản, tài liệu, hồ sơ pháp lý nào? 

Như đề cập tại Mục 2.3, bộ phận và nhân sự bảo vệ dữ liệu cá nhân đóng vai trò là đầu mối liên lạc với Cơ quan nhà nước chuyên trách về bảo vệ dữ liệu cá nhân và Chủ Thể Dữ Liệu. Theo đó, các thông tin như tên bộ phận/nhân sự, số điện thoại, email, chức vụ/học hàm, học vị của nhân sự bảo vệ dữ liệu cá nhân sẽ được ghi nhận tại các văn bản, tài liệu, hồ sơ pháp lý như: 

1. Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo Mẫu Đ24-DLCN-01; 
2. Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo Mẫu Đ25-DLCN-01; 
3. Thông báo xử lý dữ liệu cá nhân gửi đến Chủ Thể Dữ Liệu; Chính sách bảo vệ dữ liệu cá nhân được đăng tải công khai của cơ quan, tổ chức, doanh nghiệp; 
4. Quyết định bổ nhiệm/chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân theo mẫu nội bộ của cơ quan, tổ chức, doanh nghiệp. 
5. Thỏa thuận xử lý dữ liệu cá nhân với Bên Xử lý dữ liệu, với Người lao động; 
6. Các văn bản, tài liệu, hồ sơ pháp lý khác theo quyết định của cơ quan, tổ chức, doanh nghiệp hoặc theo quy định pháp luật bảo vệ dữ liệu cá nhân được điều chỉnh, sửa đổi, bổ sung tại từng thời điểm. 

2.5. Cơ quan, tổ chức, doanh nghiệp chỉ định Bộ phận, Nhân sự bảo vệ dữ liệu cá nhân như thế nào? 

Nghị Định 13 và LBVDLCN 2025 không quy định cụ thể quy trình chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân. Như vậy, các cơ quan, tổ chức, doanh nghiệp được toàn quyền quyết định về quy trình chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân theo các trình tự, thủ tục bổ nhiệm nhân sự được quy định tại các văn bản pháp lý nội bộ doanh nghiệp như Điều lệ, các quy chế, chính sách nội bộ (như chính sách bảo vệ dữ liệu cá nhân),… của cơ quan, tổ chức, doanh nghiệp đó.  

Cơ quan, tổ chức, doanh nghiệp không cần thực hiện một thủ tục hành chính độc lập với Cơ quan chuyên trách về việc chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân. Tuy nhiên, do thông tin của bộ phận, nhân sự bảo vệ dữ liệu cá nhân được ghi nhận tại Hồ sơ đánh giá tác động xử lý dữ liệu và Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, cơ quan, tổ chức, doanh nghiệp cần thực hiện thủ tục thông báo thay đổi nội dung Hồ sơ đánh giá tác động xử lý dữ liệu, thủ tục thông báo thay đổi nội dung Hồ sơ đánh giá chuyển dữ liệu cá nhân ra nước ngoài trong các trường hợp có sự thay đổi bộ phận, nhân sự bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, doanh nghiệp đó. Thông tin về sự thay đổi này đồng thời cần được cơ quan, tổ chức, doanh nghiệp cập nhật tại các văn bản, tài liệu, hồ sơ pháp lý được nêu tại Mục 2.4 Bài viết này và thông báo về sự cập nhật này đến các đối tượng có liên quan như Chủ Thể Dữ Liệu, các đối tác, Bên Xử lý dữ liệu, người lao động,…. của cơ quan, tổ chức, doanh nghiệp. 

3. Kết luận 

Tóm lại, trách nhiệm chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân là một trong những trách nhiệm tuân thủ quan trọng của các cơ quan, tổ chức, doanh nghiệp. Một cách tổng quát, các cơ quan, tổ chức, doanh nghiệp cần lưu ý các nội dung sau liên quan đến trách nhiệm tuân thủ này theo các quy định tại Nghị Định 13 và LBVDLCN 2025: 

Ngày viết bài: 20/09/2025

Chia sẻ: