Dữ liệu cá nhân ngày càng được trú trọng và bảo vệ, đặc biệt trong bối cảnh nền kinh tế số phát triển, ngày càng nhiều thủ đoạn lừa đảo tinh vi. Mỗi một Doanh nghiệp đều có trách nhiệm bảo vệ dữ liệu cá nhân của Khách hàng, Đối tác, Người lao động,…. Để vận hành an toàn và đúng quy định pháp luật, việc xây dựng một bộ máy chuyên trách về bảo vệ dữ liệu cá nhân không còn là lựa chọn “nên có”, mà là NGHĨA VỤ BẮT BUỘC theo quy định của pháp luật.
Khoản 2 Điều 33 Luật Bảo vệ dữ liệu cá nhân quy định: “Cơ quan, tổ chức có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân”.
Có phải ai cũng tham gia lực lượng bảo vệ dữ liệu cá nhân được không? Cần lưu ý gì khi tổ chức lực lượng bảo vệ dữ liệu cá nhân?
Nghị định 356/2025/NĐ-CP quy định:
Điều 13. Điều kiện của nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức
1. Việc chỉ định nhân sự bảo vệ dữ liệu cá nhân hoặc bộ phận bảo vệ dữ liệu cá nhân phải được thực hiện bằng văn bản chính thức của cơ quan, tổ chức đó; thể hiện việc phân công, chức năng nhiệm vụ, quyền hạn và các yêu cầu khác đối với công tác bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức đó.
2. Nhân sự bảo vệ dữ liệu cá nhân được cơ quan, tổ chức chỉ định phải đáp ứng đủ các điều kiện năng lực như sau:
a) Có trình độ cao đẳng trở lên;
b) Có ít nhất 02 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ;
c) Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.
3. Trường hợp cơ quan, tổ chức thành lập bộ phận bảo vệ dữ liệu cá nhân, các nhân sự trong bộ phận phải đáp ứng đủ các điều kiện năng lực quy định tại khoản 2 Điều này.
4. Cơ quan, tổ chức chịu trách nhiệm đánh giá, lựa chọn nhân sự bảo vệ dữ liệu cá nhân.
5. Cơ quan, tổ chức ký thỏa thuận trách nhiệm bảo mật với nhân sự bảo vệ dữ liệu cá nhân, có thể thỏa thuận về các trường hợp miễn trừ trách nhiệm khi xảy ra vi phạm hoặc thiệt hại đối với dữ liệu cá nhân được bảo vệ.
6. Cơ quan, tổ chức chỉ định nhân sự bảo vệ dữ liệu cá nhân hoặc bộ phận bảo vệ dữ liệu cá nhân có trách nhiệm đào tạo, bồi dưỡng kiến thức, kỹ năng về bảo vệ dữ liệu cá nhân cho nhân sự bảo vệ dữ liệu cá nhân.
Điều 15. Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân
1. Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân là người đáp ứng đủ các điều kiện năng lực quy định tại khoản 2 Điều này, được cơ quan, tổ chức thuê làm nhân sự bảo vệ dữ liệu cá nhân.
2. Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân phải đáp ứng đủ các điều kiện năng lực như sau:
a) Có trình độ cao đẳng trở lên;
b) Có ít nhất 03 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, xử lý dữ liệu cá nhân, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ;
c) Đã được đào tạo, bồi dưỡng chuyên sâu kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.
3. Cơ quan, tổ chức có nhu cầu thuê cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân tiến hành xem xét điều kiện năng lực theo khoản 2 Điều này, giao kết hợp đồng sử dụng nhân sự bảo vệ dữ liệu cá nhân; công khai thông tin về nhân sự bảo vệ dữ liệu cá nhân cho chủ thể dữ liệu cá nhân và các bên liên quan được biết.
…
Điều 16. Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân
1. Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân:
a) Là tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc ngành nghề, lĩnh vực kinh doanh về công nghệ, pháp lý hoặc tư vấn về công nghệ, pháp lý được cơ quan, tổ chức thuê để tư vấn việc tuân thủ quy định bảo vệ dữ liệu cá nhân và thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân theo thỏa thuận;
b) Có tối thiểu 03 nhân sự đáp ứng đủ các điều kiện năng lực theo khoản 2 Điều 15 Nghị định này;
c) Đã cung cấp các sản phẩm, dịch vụ liên quan đến bảo mật, an ninh mạng, công nghệ thông tin, đánh giá tiêu chuẩn, tư vấn về bảo vệ dữ liệu cá nhân.
2. Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân phải xây dựng hồ sơ năng lực chứng minh khả năng bảo vệ dữ liệu cá nhân và cung cấp cho cơ quan, tổ chức có nhu cầu sử dụng dịch vụ. Hồ sơ phải thể hiện ngành nghề, lĩnh vực kinh doanh; quy mô, phạm vi, kinh nghiệm cung cấp dịch vụ; chính sách cung cấp dịch vụ; tiêu chuẩn, trình độ, năng lực nhân sự; các văn bản, giấy tờ minh chứng có liên quan.
3. Cơ quan, tổ chức có nhu cầu thuê dịch vụ bảo vệ dữ liệu cá nhân tiến hành xem xét hồ sơ năng lực, giao kết hợp đồng sử dụng dịch vụ và thỏa thuận xử lý dữ liệu cá nhân với tổ chức bảo vệ dữ liệu cá nhân; công khai thông tin về tổ chức bảo vệ dữ liệu cá nhân đó cho chủ thể dữ liệu cá nhân và các bên liên quan được biết.
4. Cơ quan, tổ chức tùy theo nhu cầu có thể đồng thời chỉ định nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân và thuê cá nhân, tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân.
…
Lực lượng bảo vệ dữ liệu cá nhân có chức năng, nhiệm vụ, trách nhiệm gì?
Điều 14 Nghị định 356/2025/NĐ-CP quy định Nhiệm vụ của bộ phận bảo vệ dữ liệu cá nhân, nhân sự bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức:
1. Bộ phận bảo vệ dữ liệu cá nhân có chức năng, nhiệm vụ như sau:
a) Tổ chức xây dựng chính sách, quy trình, quy định, biểu mẫu để tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân;
b) Tổ chức triển khai thực hiện các quyền của chủ thể dữ liệu cá nhân;
c) Định kỳ tổ chức đánh giá thực trạng tuân thủ pháp luật về bảo vệ dữ liệu cá nhân của tổ chức bằng báo cáo đánh giá mức độ thực hiện các nghĩa vụ theo quy định pháp luật để đề xuất các biện pháp nâng cao hiệu quả tuân thủ pháp luật, phòng ngừa và kiểm soát rủi ro trong hoạt động xử lý dữ liệu cá nhân;
d) Thực hiện lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, tiếp nhận và báo cáo vi phạm về bảo vệ dữ liệu cá nhân và thực hiện các yêu cầu khác của cơ quan có thẩm quyền theo quy định;
đ) Xây dựng kế hoạch và triển khai đào tạo, bồi dưỡng định kỳ về bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức;
e) Tổ chức triển khai thực hiện các biện pháp kỹ thuật bảo mật dữ liệu cá nhân, tiêu chuẩn, quy chuẩn bảo vệ dữ liệu cá nhân, kế hoạch ứng cứu khẩn cấp sự cố bảo vệ dữ liệu cá nhân;
g) Nghiên cứu và đề xuất các quyết định liên quan đến bảo vệ dữ liệu cá nhân.
2. Nhân sự bảo vệ dữ liệu cá nhân có nhiệm vụ như sau:
a) Tham mưu xây dựng chính sách, quy trình, quy định, biểu mẫu để tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân;
b) Tham gia triển khai thực hiện các quyền của chủ thể dữ liệu cá nhân;
c) Tham gia hoạt động định kỳ đánh giá thực trạng tuân thủ pháp luật về bảo vệ dữ liệu cá nhân và đề xuất các biện pháp nâng cao hiệu quả tuân thủ pháp luật, phòng ngừa và kiểm soát rủi ro;
d) Thực hiện lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, tiếp nhận và báo cáo vi phạm về bảo vệ dữ liệu cá nhân và thực hiện các yêu cầu khác của cơ quan có thẩm quyền theo quy định;
đ) Tham gia các chương trình, khóa học bồi dưỡng về bảo vệ dữ liệu cá nhân;
e) Tham gia thực hiện các biện pháp kỹ thuật bảo mật dữ liệu cá nhân, tiêu chuẩn, quy chuẩn bảo vệ dữ liệu cá nhân, kế hoạch ứng cứu khẩn cấp sự cố bảo vệ dữ liệu cá nhân.
Khoản 4 Điều 15 Nghị định 356/2025/NĐ-CP quy định:
Điều 15. Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân
4. Cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân có trách nhiệm:
a) Thực hiện dịch vụ theo đúng phạm vi và nhiệm vụ trong hợp đồng, thỏa thuận;
b) Không lợi dụng việc cung cấp dịch vụ để thực hiện các hành vi vi phạm pháp luật;
c) Thực hiện xóa, hủy dữ liệu cá nhân xử lý trong quá trình cung cấp dịch vụ sau khi đã hoàn thành hợp đồng và theo quy định pháp luật.
Khoản 5, 6 Điều 16 Nghị định 356/2025/NĐ-CP quy định:
Điều 16. Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân
5. Căn cứ vào thỏa thuận với cơ quan, tổ chức thuê dịch vụ bảo vệ dữ liệu cá nhân, tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân thực hiện các nhiệm vụ của bộ phận bảo vệ dữ liệu cá nhân cho cơ quan, tổ chức đó.
6. Tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân có trách nhiệm:
a) Thực hiện dịch vụ theo đúng phạm vi và nhiệm vụ trong hợp đồng, thỏa thuận;
b) Không lợi dụng việc cung cấp dịch vụ để thực hiện các hành vi vi phạm pháp luật;
c) Thực hiện xóa, hủy dữ liệu cá nhân xử lý trong quá trình cung cấp dịch vụ sau khi đã hoàn thành hợp đồng và theo quy định pháp luật.
TỔ CHỨC LỰC LƯỢNG BẢO VỆ DỮ LIỆU CÁ NHÂN LÀ BẮT BUỘC ĐỐI VỚI MỌI DOANH NGHIỆP HAY CÓ TRƯỜNG HỢP NGOẠI LỆ NÀO KHÔNG?
Điều 38 Luật Bảo vệ dữ liệu cá nhân 2025, Điều 41 Nghị định 356/2025/NĐ-CP quy định:
Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp được quyền lựa chọn thực hiện hoặc không thực hiện nghĩa vụ tổ chức lực lượng bảo vệ dữ liệu cá nhân trong thời gian 05 năm kể từ ngày 01/01/2026. Hộ kinh doanh, doanh nghiệp siêu nhỏ thì không phải thực hiện nghĩa vụ này.
Tuy nhiên, ngoại lệ này không áp dụng đối với Doanh nghiệp nhỏ, doanh nghiệp khởi nghiệp, hộ kinh doanh, doanh nghiệp siêu nhỏ kinh doanh dịch vụ xử lý dữ liệu cá nhân, trực tiếp xử lý dữ liệu cá nhân nhạy cảm hoặc xử lý dữ liệu cá nhân kể từ thời điểm có quy mô đạt từ 100 nghìn chủ thể dữ liệu cá nhân trở lên dựa trên kết quả tích lũy tổng lượng dữ liệu cá nhân đã xử lý.