Nhiều chủ doanh nghiệp nghĩ "DPO" là chuyện của tập đoàn lớn. Nhưng từ 01/01/2026, khi Luật 91/2025/QH15 và Nghị định 356/2025/NĐ-CP có hiệu lực, nghĩa vụ bố trí nhân sự bảo vệ dữ liệu áp dụng với mọi tổ chức có hoạt động kiểm soát hoặc xử lý dữ liệu cá nhân.
DPO là ai và làm gì?
DPO (Data Protection Officer) là bộ phận hoặc nhân sự chịu trách nhiệm giám sát việc tổ chức tuân thủ quy định bảo vệ dữ liệu cá nhân: rà soát hoạt động thu thập – lưu trữ – chia sẻ dữ liệu, xây quy trình, đào tạo nhân viên, làm đầu mối tiếp nhận yêu cầu của chủ thể dữ liệu và làm việc với cơ quan quản lý.
Doanh nghiệp nào bắt buộc phải có?
Theo Luật 91/2025, cơ quan, tổ chức kiểm soát hoặc xử lý dữ liệu cá nhân có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân, hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân. Điều kiện và nhiệm vụ cụ thể được quy định chi tiết tại Nghị định 356/2025.
Đáng chú ý, Nghị định 356/2025 lần đầu đặt ra tiêu chuẩn cho nhân sự bảo vệ dữ liệu — trong đó yêu cầu có tối thiểu khoảng 2 năm kinh nghiệm ở lĩnh vực liên quan (pháp luật, công nghệ thông tin, an ninh mạng, an toàn dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, nhân sự...) cùng việc được đào tạo về pháp luật bảo vệ dữ liệu cá nhân.
Tự bố trí nội bộ hay thuê ngoài?
Doanh nghiệp lớn, dòng dữ liệu phức tạp thường cần nhân sự chuyên trách nội bộ. Với phần lớn doanh nghiệp vừa và nhỏ, việc nuôi một nhân sự đủ năng lực pháp lý lẫn kỹ thuật là tốn kém và khó tuyển — nên thuê dịch vụ bảo vệ dữ liệu bên ngoài (DPO thuê ngoài) thường tiết kiệm và hiệu quả hơn ở giai đoạn đầu. Luật cho phép cả hai phương án.
Tự kiểm tra nhanh
Doanh nghiệp bạn có xử lý dữ liệu cá nhân ở quy mô lớn không? Có xử lý dữ liệu nhạy cảm (tài chính, sức khỏe, sinh trắc học) không? Việc xử lý dữ liệu có phải hoạt động cốt lõi không? Nếu phần lớn câu trả lời là "có", khả năng bạn cần bố trí nhân sự bảo vệ dữ liệu là rất cao.
Câu hỏi thường gặp
Công ty nhỏ có cần DPO không?
Nghĩa vụ chỉ định nhân sự/bộ phận bảo vệ dữ liệu áp dụng với tổ chức kiểm soát hoặc xử lý dữ liệu cá nhân; quy mô nhỏ không tự động được miễn nếu doanh nghiệp xử lý dữ liệu nhạy cảm hoặc ở quy mô đáng kể.
DPO có bắt buộc là nhân viên cơ hữu không?
Không bắt buộc. Luật cho phép tổ chức tự bố trí nhân sự nội bộ hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.
Nhân sự bảo vệ dữ liệu cần điều kiện gì?
Nghị định 356/2025 yêu cầu năng lực và kinh nghiệm phù hợp (khoảng 2 năm ở lĩnh vực liên quan) cùng đào tạo về pháp luật bảo vệ dữ liệu cá nhân.
Soft Space Việt Nam hỗ trợ doanh nghiệp rà soát và tuân thủ pháp luật bảo vệ dữ liệu cá nhân — vận hành theo tiêu chuẩn. Liên hệ tư vấn.
Đây là thông tin tham khảo. Nếu phát hiện sai sót, vui lòng liên hệ để chúng tôi cập nhật.
Bình luận (0)
Chưa có bình luận nào. Hãy là người đầu tiên chia sẻ ý kiến.