Sự ra đời của Luật bảo vệ dữ liệu cá nhân, Nghị định 356/2025/NĐ-CP, và gần đây nhất là Dự thảo xử phạt vi phạm trong lĩnh vực dữ liệu cá nhân đang được lấy ý kiến thông qua bởi cơ quan có thẩm quyền. Điều này liệu có đặt ra những gánh nặng về tài chính cho doanh nghiệp hay không? nhất là trong bối cảnh pháp luật yêu cầu mỗi doanh nghiệp tùy thuộc vào từng quy mô, năng lực để thiết lập bộ phận quản lý DLCN hoặc nhân sự phụ trách bảo vệ DLCN của doanh nghiệp hoặc thuê ngoài. Tuy nhiên để đảm bảo rằng xây dựng bộ phận hay chỉ định nhân sự phụ trách DLCN đúng tiêu chuẩn mà pháp luật đã quy định, cũng như xác định được phạm vi quyền, giới hạn chịu trách nhiệm của nhân sự phụ trách thì doanh nghiệp cần lưu ý đến một số vấn đề dưới đây.
1. Hình thức chỉ định
Việc chỉ định nhân sự bảo vệ dữ liệu cá nhân hoặc bộ phận bảo vệ dữ liệu cá nhân phải được thực hiện bằng văn bản chính thức của doanh nghiệp. Văn bản này phải thể hiện việc phân công, chức năng, nhiệm vụ, quyền hạn và các yêu cầu khác đối với công tác bảo vệ dữ liệu cá nhân. Lưu ý rằng, doanh nghiệp có thể bổ nhiệm nhân sự kiêm nhiệm, tuy nhiên đây sẽ là những nhân sự nắm giữ và đảm bảo an toàn cho dữ liệu cá nhân của chủ thể dữ liệu mà chính doanh nghiệp là bên cam kết chịu trách nhiệm. Vì vậy, dù với hình thức độc lập chuyên môn hay kiêm nhiệm, thì nội quy về phạm vi công việc, quyền hạn, nghĩa vụ sẽ cần rõ ràng, chi tiết nhất có thể.
2. Điều kiện năng lực của nhân sự được chỉ định
Theo quy định Nhân sự bảo vệ dữ liệu cá nhân được chỉ định trong doanh nghiệp phải đáp ứng đủ 3 điều kiện sau:
- Có trình độ cao đẳng trở lên.
- Có ít nhất 03 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực: pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ.
- Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.
Trong đó quy định về đào tạo hiện tại còn ghi nhận chung chung và chưa được hướng dẫn cụ thể, tuy nhiên tại thời điểm hiện tại thì với quy định ở bên, việc được đào tạo, bồi dưỡng về pháp lý – kỹ năng trong lĩnh vực dữ liệu cá nhân có thể thông qua một bên thứ ba hoạt động trong lĩnh vực pháp lý về dữ liệu cá nhân.
Nhiệm vụ của Nhân sự bảo vệ dữ liệu cá nhân: Thực hiện các nhiệm vụ tương tự như bộ phận nhưng ở vai trò tham mưu và tham gia thực hiện (bao gồm: tham mưu xây dựng chính sách; tham gia triển khai quyền của chủ thể; tham gia đánh giá tuân thủ; thực hiện lập hồ sơ đánh giá tác động; tham gia các khóa đào tạo và tham gia thực hiện các biện pháp kỹ thuật).
Trường hợp doanh nghiệp xây dựng bộ phận bảo vệ dữ liệu cá nhân thì nhân sự trong bộ phận đó phải đáp ứng điều kiện đã nêu trên.
3. Doanh nghiệp cần lưu ý gì khi xây dựng bộ phận – nhân sự phụ trách về DLCN
Doanh nghiệp chỉ định nhân sự nhưng không có sự rõ ràng và độc lập, theo quy định doanh nghiệp phải chỉ định nhân sự hoặc bộ phận bảo vệ dữ liệu cá nhân, và bộ phận – nhân sự này sẽ chịu trách nhiệm chính trong việc kiểm soát và bảo đảm sự an toàn của dòng chảy dữ liệu, đảm bảo sự tuân thủ về DLCN với các chủ thể dữ liệu. Tuy nhiên xuất phát từ việc đây là quy định mới, do đó trong một số trường hợp để không là gánh nặng chi phí thì doanh nghiệp lựa chọn hình thức nhân sự/ bộ phận kiêm nhiệm. Chính bởi sự kiêm nhiệm và chuyên môn tập trung cho một số lĩnh vực nhất định mà nhân sự kiêm nhiệm thường sẽ bị thiếu đi sự độc lập trong quá trình thực hiện công việc. Bởi ít nhiều nhân sự bảo vệ dữ liệu cá nhân sẽ không nắm và hiểu được hết các loại dữ liệu cá nhân, luồng chảy dữ liệu, các rủi ro có thể phát sinh …, ví dụ nếu nhân sự được chỉ định là IT thì nhân sự thường thiên về kỹ thuật, khó có thể nắm được các vấn đề pháp lý, hay dữ liệu bên bộ phận kế toán, HR …
Các tiêu chuẩn nhân sự hiện naychưa rõ ràng, hiện tại nhân sự phụ trách bảo vệ DLCN trong doanh nghiệp phải có trình độ từ cao đẳng trở lên, tối thiểu 3 năm kinh nghiệm, đã qua đào tạo về bản chất chỉ dừng lại ở điều kiện hình thức, mà chưa phản ánh đúng năng lực thực chất cần có để kiểm soát dữ liệu cá nhân. Quy định này không làm rõ tiêu chí cốt lõi: một cá nhân cần hiểu đến mức nào về luồng dữ liệu (data flow), hệ thống công nghệ thông tin và rủi ro pháp lý để có thể thực hiện vai trò kiểm soát hay cần phải có một chứng nhận từ tổ chức đào tạo đủ điều kiện.
Trên thực tế, một nhân sự có 3 năm kinh nghiệm hành chính – nhân sự vẫn có thể “đủ điều kiện” theo quy định, nhưng lại không có khả năng nhận diện điểm rò rỉ dữ liệu, không đánh giá được biện pháp kỹ thuật hay nghĩa vụ tuân thủ pháp lý. Điều này dẫn đến nghịch lý: việc chỉ định có thể hợp lệ về mặt pháp lý, nhưng không đảm bảo hiệu quả kiểm soát trên thực tế. Dưới góc nhìn CDLAF, chúng tôi cho rằng có thể trong thời gian tới sẽ có những văn bản mới được ban hành cho mục đích xác định khung năng lực, tiêu chuẩn cụ thể của nhân sự phụ trách bảo vệ DLCN, còn tại thời điểm hiện tại có thể chỉ đáp ứng được phần nào nhu cầu để triển khai trên thực tế. Việc xây dựng bộ phận với nhân sự chất lượng hay không sẽ tùy thuộc vào mỗi doanh nghiệp nếu doanh nghiệp đó thấy cần có đội ngũ đủ điều kiện để giúp họ an toàn về dữ liệu cá nhân.
Phạm vi công việc của bộ phận quản lý dữ liệu cá nhân có quá rộng không?, Hiện tại theo chúng tôi phạm vi nhiệm vụ của bộ phận quản lý dữ liệu cá nhân theo quy định hiện hành được thiết kế với độ bao phủ rất rộng: từ xây dựng chính sách nội bộ, triển khai quyền của chủ thể dữ liệu, đánh giá tuân thủ, lập báo cáo đánh giá tác động (DPIA), đến kiểm soát kỹ thuật, đào tạo và ứng phó sự cố. Về bản chất, đây là sự kết hợp của nhiều lĩnh vực chuyên môn khác nhau, bao gồm pháp lý, công nghệ thông tin, vận hành và quản trị rủi ro. Tuy nhiên, trong thực tiễn doanh nghiệp, việc kỳ vọng một cá nhân – thậm chí một bộ phận đơn lẻ – có thể đảm nhiệm đầy đủ các chức năng này là không khả thi. Nếu không có cơ chế phân công phù hợp (ví dụ: pháp lý – IT – vận hành phối hợp theo mô hình liên phòng ban hoặc thuê ngoài chuyên gia), thì chính phạm vi quá rộng này sẽ trở thành rào cản lớn nhất khiến doanh nghiệp không thể triển khai hiệu quả.
Tiêu chuẩn đánh giá hiệu quả chưa có, quy định hiện tại chủ yếu dừng ở việc yêu cầu doanh nghiệp “có” bộ phận, “có” nhân sự và “có” chức năng liên quan đến kiểm soát dữ liệu, nhưng lại không thiết lập bất kỳ tiêu chí định lượng nào để đánh giá hiệu quả hoạt động. Không có tiêu chuẩn đo lường, không có chuẩn kiểm tra, cũng không có cơ chế đánh giá độc lập, dẫn đến một thực tế phổ biến: doanh nghiệp có thể xây dựng đầy đủ bộ máy trên giấy tờ, nhưng vẫn vi phạm nghĩa vụ bảo vệ dữ liệu cá nhân. Nguyên nhân cốt lõi không nằm ở việc thiếu tổ chức, mà nằm ở việc không có chuẩn mực để xác định “đã làm đủ hay chưa” và “làm đúng đến mức nào”. Dưới góc nhìn CDLAF, đây là điểm yếu quan trọng của khung pháp lý hiện tại khi không có cơ chế đo lường, tuân thủ dễ bị biến thành hình thức, và rủi ro pháp lý chỉ được nhận diện khi sự cố đã xảy ra, thay vì được kiểm soát từ trướcTop of Form
Tổng thể, khung quy định hiện hành về nhân sự và bộ phận bảo vệ dữ liệu cá nhân đã bước đầu thiết lập được khung nền cho hoạt động tuân thủ bảo vệ DLCN, nhưng vẫn còn khoảng cách đáng kể giữa yêu cầu pháp lý và khả năng triển khai thực tế của doanh nghiệp. Dưới góc nhìn CDLAF, điều doanh nghiệp cần quan tâm không phải là việc “đã chỉ định đúng người hay chưa”, mà là có xây dựng được một cơ chế kiểm soát dữ liệu vận hành thực sự hiệu quả hay không. Điều này đòi hỏi cách tiếp cận vượt ra ngoài phạm vi tuân thủ hình thức, hướng tới việc thiết kế mô hình phù hợp với quy mô, mức độ rủi ro và năng lực nội tại của từng doanh nghiệp; đồng thời kết hợp linh hoạt giữa nguồn lực nội bộ và chuyên gia bên ngoài.
Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn
Vì sao chọn dịch vụ CDLAF
- Chúng tôi cung cấp đến bạn giải pháp pháp lý hiệu quả và toàn diện, giúp bạn tiết kiệm ngân sách, duy trì sự tuân thủ trong doanh nghiệp;
- Chúng tôi tiếp tục duy trì việc theo dõi vấn đề pháp lý của bạn ngay cả khi dịch vụ đã hoàn thành và cập nhật đến bạn khi có bất kỳ sự thay đổi nào từ hệ thống pháp luật Việt Nam;
- Hệ thống biểu mẫu về doanh nghiệp, đầu tư được xây dựng và cập nhật liên tục sẽ cung cấp khi khách hàng yêu cầu, rút ngắn thời gian thực hiện thủ tục;
- Doanh nghiệp cập nhật kịp thời các chính sách và phương thức làm việc tại các cơ quan nhà nước có thẩm quyền;
- Đội ngũ Luật sư của CDLAF nhiều năm kinh nghiệm hoạt động tại lĩnh vực Lao động, Doanh nghiệp, Đầu tư cùng với các cố vấn nhân sự, tài chính;
- Quy trình bảo mật thông tin nghiêm ngặt trong suốt quá trình thực hiện dịch vụ và ngay cả khi dịch vụ được hoàn thành sau đó;
Bạn có thể tham thảo thêm:
- Dự Thảo Xử Phạt Vi phạm Về Dữ Liệu Cá Nhân Đã Quy Định Các Hành Vi Và Mức Phạt Như Thế Nào? (Phần 2)
- Dự Thảo Xử Phạt Vi phạm Về Dữ Liệu Cá Nhân Đã Quy Định Các Hành Vi Và Mức Phạt Như Thế Nào? (Phần 1)
- Hướng Dẫn Xây Dựng Chính Sách Bảo Vệ Dữ Liệu Cá Nhân Theo Luật Mới (Phần 1)
- Rút Đơn Khởi Kiện Để Thương Lượng Ngoài Tố Tụng: Góc Nhìn Chiến Lược Trong Giải Quyết Tranh Chấp
- Giao dịch với người có liên quan và những điều kiện để giao dịch có hiệu lực
