Trường hợp phải có nhân sự hoặc bộ phận bảo vệ dữ liệu cá nhân tại doanh nghiệp

Trong cấu trúc quản trị hiện đại, sự xuất hiện của nhân sự hoặc bộ phận bảo vệ dữ liệu cá nhân đang trở thành yêu cầu cấp thiết. Việc xác định đúng trường hợp phải có nhân sự hoặc bộ phận bảo vệ dữ liệu cá nhân giúp doanh nghiệp không chỉ tuân thủ pháp luật mà còn thiết lập được quy trình kiểm soát dữ liệu chuyên nghiệp, hạn chế tối đa các sự cố rò rỉ thông tin.

Trong bài viết này, VDPC sẽ phân tích chi tiết các tiêu chí xác định doanh nghiệp cần có nhân sự chuyên trách, vai trò của người bảo vệ dữ liệu và lộ trình triển khai bộ phận này tại doanh nghiệp.

Căn cứ pháp lý: Điều 13, 15, 41 Nghị định 356/2025/NĐ-CP

1. Yêu cầu về chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân

(1) Yêu cầu chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân – Cơ quan, tổ chức có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc
thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.
(2) Số lương bộ phận, nhân sự bảo vệ dữ liệu cá nhân tại doanh nghiệp

– Theo quy định hiện hành, chưa có quy định cụ thể về số lượng bộ phận, nhân sự tham gia bảo vệ dữ liệu cá nhân tại doanh nghiệp. Nhưng yêu cầu tối thiểu có ít nhất 01 bộ phận, nhân sự thực hiện bảo vệ dữ liệu cá nhân và phải đáp ứng các điều kiện về trình độ và kinh nghiệm trong lĩnh vực bảo vệ dữ liệu cá nhân.

– Theo đó, cơ quan, tổ chức phải bắt buộc chỉ định bộ phận, nhân sự hoặc thuê cá nhân có đủ điều kiện tham gia thực hiện bảo vệ dữ liệu cá nhân tại cơ quan, tổ chức mình trừ các trường hợp được quy định tại khoản 2 Điều 33 Luật Bảo vệ dữ liệu cá nhân 2025.

2. Điều kiện về nhân sự, bộ phận bảo vệ dữ liệu cá nhân 

(1) Điều kiện của bộ phận, nhân sự bảo vệ dữ liệu cá nhân của doanh nghiệp

Việc chỉ định nhân sự bảo vệ dữ liệu cá nhân hoặc bộ phận bảo vệ dữ liệu cá nhân phải được thực hiện bằng văn bản chính thức của cơ quan, tổ chức đó; thể hiện việc phân công, chức năng nhiệm vụ, quyền hạn và các yêu cầu khác đối với công tác bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức đó.

Nhân sự bảo vệ dữ liệu cá nhân được cơ quan, tổ chức chỉ định phải đáp ứng đủ các điều kiện năng lực như sau:

• Có trình độ cao đẳng trở lên;
• Có ít nhất 02 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ;
• Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.

Trường hợp cơ quan, tổ chức thành lập bộ phận bảo vệ dữ liệu cá nhân, các nhân sự trong bộ phận phải đáp ứng đủ các điều kiện năng lực quy định tại khoản 2 Điều 13 Nghị định 356/2025/NĐ-CP.

(2) Điều kiện của cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân

Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân là người đáp ứng đủ các điều kiện năng lực quy định tại khoản 2 Điều 15 Nghị định 356/2025/NĐ-CP, được cơ quan, tổ chức thuê làm nhân sự bảo vệ dữ liệu cá nhân.

Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân phải đáp ứng đủ các điều kiện năng lực như sau:

• Có trình độ cao đẳng trở lên;
• Có ít nhất 03 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, xử lý dữ liệu cá nhân, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ;
• Đã được đào tạo, bồi dưỡng chuyên sâu kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.

3. Trách nhiệm của cơ quan, tổ chức trong chỉ định bộ phận, nhân sự bảo vệ dữ liệu cá nhân

• Cơ quan, tổ chức chịu trách nhiệm đánh giá, lựa chọn nhân sự bảo vệ dữ liệu cá nhân.
• Cơ quan, tổ chức ký thỏa thuận trách nhiệm bảo mật với nhân sự bảo vệ dữ liệu cá nhân, có thể thỏa thuận về các trường hợp miễn trừ trách nhiệm khi xảy ra vi phạm hoặc thiệt hại đối với dữ liệu cá nhân được bảo vệ.
• Cơ quan, tổ chức chỉ định nhân sự bảo vệ dữ liệu cá nhân hoặc bộ phận bảo vệ dữ liệu cá nhân có trách nhiệm đào tạo, bồi dưỡng kiến thức, kỹ năng về bảo vệ dữ liệu cá nhân cho nhân sự bảo vệ dữ liệu cá nhân.

4. Trách nhiệm của bộ phận, nhân sự bảo vệ dữ liệu cá nhân 

(1) Trách nhiệm của bộ phận, nhân sự bảo vệ dữ liệu cá nhân tại doanh nghiệp

• Thực hiện biện pháp quản lý, kỹ thuật phù hợp để bảo vệ dữ liệu cá nhân theo quy định;
• Thông báo hành vi vi phạm về bảo vệ dữ liệu cá nhân cho cơ quan chuyên trách;
• Ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép;
• Phối hợp với Bộ Công an, cơ quan nhà nước có thẩm quyền trong bảo vệ dữ liệu cá nhân, cung cấp thông tin; phục vụ điều tra, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

(2)  Trách nhiệm của cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân tại doanh nghiệp

• Thực hiện dịch vụ theo đúng phạm vi và nhiệm vụ trong hợp đồng, thỏa thuận;
• Không lợi dụng việc cung cấp dịch vụ để thực hiện các hành vi vi phạm pháp luật;
• Thực hiện xóa, hủy dữ liệu cá nhân xử lý trong quá trình cung cấp dịch vụ sau khi đã hoàn thành hợp đồng và theo quy định pháp luật.

5. Trường hợp miễn trừ phải bộ phận, nhân sự bảo vệ dữ liệu cá nhân

Theo quy định tại khoản 2 Điều 33 Luật Bảo vệ dữ liệu cá nhân 2025: “Cơ quan, tổ chức có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.”

Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện quy định tại khoản 2 Điều 33 của Luật Bảo vệ dữ liệu cá nhân 2025 trong thời gian 05 năm kể từ ngày Luật này có hiệu lực thi hành từ ngày 01/01/2026. Ngoại trừ doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp:

• Kinh doanh dịch vụ xử lý dữ liệu cá nhân;
• Trực tiếp xử lý dữ liệu cá nhân nhạy cảm;
• Trực tiếp xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.

Hộ kinh doanh, doanh nghiệp siêu nhỏ không phải thực hiện chỉ định bộ phận, nhân sự bảo vệ dữ liệu trong cơ quan, tổ chức quy định tại khoản 2 Điều 33 của Luật Bảo vệ dữ liệu cá nhân 2025, ngoại trừ hộ kinh doanh, doanh nghiệp siêu nhỏ:

• Kinh doanh dịch vụ xử lý dữ liệu cá nhân;
• Trực tiếp xử lý dữ liệu cá nhân nhạy cảm;
• Trực tiếp xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.

KẾT LUẬN

Việc thiết lập nhân sự hoặc bộ phận bảo vệ dữ liệu cá nhân chính là nền tảng để doanh nghiệp phát triển bền vững trong nền kinh tế số. Việc xác định đúng và đủ các trường hợp phải có bộ phận chuyên trách sẽ giúp doanh nghiệp tối ưu hóa chi phí vận hành và quản trị rủi ro hiệu quả.

Trên đây là Trường hợp phải có nhân sự hoặc bộ phận bảo vệ dữ liệu cá nhân tại doanh nghiệp. Nếu bạn còn thắc mắc liên quan đến vấn đề này. Hãy liên hệ với VDPC để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm:

• Dữ liệu cá nhân cơ bản theo Nghị định 356/2025/NĐ-CP
• Thủ tục, yêu cầu hồ sơ đánh giá tác động xử lý dữ liệu cá nhân
• Thủ tục, yêu cầu hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới
• Trách nhiệm của Phòng khám Chuyên khoa Da liễu khi dữ liệu cá nhân của chủ thể dữ liệu cá nhân bị tiết lộ
• Trường hợp phải thực hiện đánh giá tác động xử lý dữ liệu cá nhân
• Quyền và nghĩa vụ của bên xử lý dữ liệu cá nhân.
• Quyền và nghĩa vụ của Bên thứ ba đối với xử lý dữ liệu cá nhân
• So sánh dự thảo Nghị định hướng dẫn Luật bảo vệ DLCN và Nghị định 13/2023/NĐ-CP
• Trách nhiệm của Bên kiểm soát và xử lý dữ liệu trong khử nhận dạng và bảo vệ dữ liệu cá nhân