Trong thực tế vận hành, nhiều doanh nghiệp mặc nhiên cho rằng việc chuyển dữ liệu cho đối tác là một nhu cầu “hiển nhiên” phục vụ cho các hoạt động như Marketing, Lưu trữ Cloud hay Xử lý lương (Payroll). Tuy nhiên, dưới góc nhìn của Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP, pháp luật không đánh giá tính hợp lệ dựa trên nhu cầu nội bộ, mà dựa trên các căn cứ pháp lý chặt chẽ cho từng mục đích xử lý cụ thể. Theo đó việc chuyển giao dữ liệu mà thiếu sự đồng ý hợp lệ của chủ thể, hoặc sự đồng ý đó chỉ mang tính hình thức, chung chung, sẽ khiến toàn bộ chuỗi xử lý dữ liệu của doanh nghiệp bị coi là vượt quá giới hạn pháp lý. Rủi ro không chỉ dừng lại ở các chế tài xử phạt hành chính nghiêm khắc mà còn dẫn đến việc mất quyền kiểm soát thực tế đối với “tài sản thông tin” khi dữ liệu lan sang các nhà thầu phụ hoặc các hệ thống trung gian xuyên biên giới.
1. Nhân sự, Bộ phận bảo vệ DLCN trong doanh nghiệp cần đáp ứng điều kiện nào?
Theo khoản 2 Điều 33 Luật Bảo vệ dữ liệu cá nhân 2025 (“Luật BVDLCN”), doanh nghiệp có trách nhiệm chỉ định bộ phận, nhân sự đủ điều kiện năng lực bảo vệ dữ liệu cá nhân hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân.
Theo đó, doanh nghiệp có thể tự chỉ định bộ phận riêng và nhân sự kiêm nhiệm bảo vệ DLCN tùy thuộc vào quy mô và nhu cầu nội bộ, miễn là đáp ứng đủ điều kiện về năng lực theo quy định hoặc thuê tổ chức, cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân. Trong trường hợp doanh nghiệp tự chỉ định nhân sự, bộ phận bảo vệ DLCN, việc chỉ định phải được lập bằng văn bản và thể hiện việc phân công, chức năng nhiệm vụ, quyền hạn và các yêu cầu khác đối với công tác bảo vệ dữ liệu cá nhân tại doanh nghiệp theo quy định tại khoản 1 Điều 13 Nghị định 356/2025/NĐ-CP (“Nghị định 356”).
Nhân sự bảo vệ dữ liệu cá nhân, các nhân sự trong bộ phận dữ liệu cá nhân (trường hợp thành lập bộ phận bảo vệ dữ liệu cá nhân) phải đáp ứng các điều kiện về năng lực được nêu tại khoản 2 và 3 Điều 13 Nghị định 356 như sau:
- Có trình độ cao đẳng trở lên;
- Có ít nhất 02 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, công nghệ thông tin, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ, quản lý nhân sự, tổ chức cán bộ;
- Đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.
Đối với điều kiện ”đã được đào tạo, bồi dưỡng kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân”, hiện nay cả Luật BVDLCN và Nghị định 356 vẫn chưa có quy định cụ thể hoặc hướng dẫn chi tiết về nội dung chương trình đào tạo, thời lượng đào tạo, cũng như chủ thể có thẩm quyền tổ chức các khóa đào tạo, bồi dưỡng này.
2. Điều kiện để làm cá nhân, tổ chức cung cấp dịch vụ bảo vệ DLCN là gì?
Điều kiện đối với cá nhân cung cấp dịch vụ bảo vệ DLCN được quy định tại khoản 2 Điều 15 Nghị định 356 như sau:
- Có trình độ cao đẳng trở lên;
- Có ít nhất 03 năm kinh nghiệm công tác (kể từ thời điểm tốt nghiệp) liên quan đến một trong các lĩnh vực về pháp chế, xử lý dữ liệu cá nhân, an ninh mạng, an ninh dữ liệu, quản trị rủi ro, kiểm soát tuân thủ;
- Đã được đào tạo, bồi dưỡng chuyên sâu kiến thức pháp luật và kỹ năng chuyên môn về bảo vệ dữ liệu cá nhân.
Đối với tổ chức cung cấp dịch vụ bảo vệ DLCN, các điều kiện được quy định tại khoản 1 Điều 16 Nghị định 356 như sau:
- Là tổ chức, doanh nghiệp có chức năng, nhiệm vụ hoặc ngành nghề, lĩnh vực kinh doanh về công nghệ, pháp lý hoặc tư vấn về công nghệ, pháp lý được cơ quan, tổ chức thuê để tư vấn việc tuân thủ quy định bảo vệ dữ liệu cá nhân và thực hiện nhiệm vụ bảo vệ dữ liệu cá nhân theo thỏa thuận;
- Có tối thiểu 03 nhân sự đáp ứng đủ các điều kiện năng lực của cá nhân cung cấp dịch vụ bảo vệ dữ liệu cá nhân
Tương tự điều kiện về đào tạo đối với nhân sự/Bộ phận bảo vệ DLCN trong doanh nghiệp, hiện chưa có văn bản quy định cụ thể về chương trình đào tạo, thời lượng đào tạo, cũng như chủ thể có thẩm quyền tổ chức các khóa đào tạo, bồi dưỡng đối với cá nhân, tổ chức cung cấp dịch vụ bảo vệ DLCN
Ngoài ra, khoản 2 Điều 16 Nghị định 356 yêu cầu tổ chức cung cấp dịch vụ bảo vệ dữ liệu cá nhân phải xây dựng hồ sơ năng lực chứng minh khả năng bảo vệ dữ liệu cá nhân và cung cấp cho cơ quan, tổ chức có nhu cầu sử dụng dịch vụ. Hồ sơ phải thể hiện ngành nghề, lĩnh vực kinh doanh; quy mô, phạm vi, kinh nghiệm cung cấp dịch vụ; chính sách cung cấp dịch vụ; tiêu chuẩn, trình độ, năng lực nhân sự; các văn bản, giấy tờ minh chứng có liên quan.
Việc Nghị định 356/2025/NĐ-CP nâng ngưỡng kinh nghiệm lên 03 năm đối với dịch vụ thuê ngoài (so với 02 năm của nhân sự nội bộ) đã khẳng định vị thế của DPO là một nghiệp vụ tư vấn rủi ro đặc thù, không phải hỗ trợ hành chính đơn thuần. Theo kinh nghiệm của CDLAF, doanh nghiệp cần chuyển dịch tư duy từ việc “thuê để hoàn thiện thủ tục” sang “thuê để bảo vệ vận hành”.
Mấu chốt nằm ở Hồ sơ năng lực của đơn vị tư vấn: một tổ chức đủ tiêu chuẩn phải chứng minh được sự kết hợp giữa kiến thức pháp lý và khả năng kiểm soát kỹ thuật (Technical Controls) từ ít nhất 03 nhân sự chuyên trách. Trong bối cảnh chương trình đào tạo chuyên sâu của Bộ Công an chưa có hướng dẫn chi tiết, hồ sơ năng lực chính là “chứng chỉ ngoại phạm” quan trọng nhất giúp doanh nghiệp chứng minh với cơ quan thanh tra rằng mình đã thực hiện đầy đủ nghĩa vụ thẩm định đối tác. Do đó, lựa chọn một tổ chức có quy trình xử lý sự cố bài bản và am hiểu sâu sắc luồng dữ liệu thực tế không chỉ giúp doanh nghiệp tuân thủ pháp luật mà còn là khoản bảo hiểm tốt nhất cho uy tín và tài chính của đơn vị trong kỷ nguyên số 2026.
Thời gian viết bài: 19/01/2026
Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn
Vì sao chọn dịch vụ CDLAF
- Chúng tôi cung cấp đến bạn giải pháp pháp lý hiệu quả và toàn diện, giúp bạn tiết kiệm ngân sách, duy trì sự tuân thủ trong doanh nghiệp;
- Chúng tôi tiếp tục duy trì việc theo dõi vấn đề pháp lý của bạn ngay cả khi dịch vụ đã hoàn thành và cập nhật đến bạn khi có bất kỳ sự thay đổi nào từ hệ thống pháp luật Việt Nam;
- Hệ thống biểu mẫu về doanh nghiệp, đầu tư được xây dựng và cập nhật liên tục sẽ cung cấp khi khách hàng yêu cầu, rút ngắn thời gian thực hiện thủ tục;
- Doanh nghiệp cập nhật kịp thời các chính sách và phương thức làm việc tại các cơ quan nhà nước có thẩm quyền;
- Đội ngũ Luật sư của CDLAF nhiều năm kinh nghiệm hoạt động tại lĩnh vực Lao động, Doanh nghiệp, Đầu tư cùng với các cố vấn nhân sự, tài chính;
- Quy trình bảo mật thông tin nghiêm ngặt trong suốt quá trình thực hiện dịch vụ và ngay cả khi dịch vụ được hoàn thành sau đó;
Bạn có thể tham thảo thêm:
- Các điều kiện để việc chuyển dữ liệu cho đối tác được coi là “hợp lệ”
- Quy định liên quan đến Dữ liệu cá nhân theo Pháp luật Bảo vệ dữ liệu cá nhân hiện hành
- Tổng quan các quy định mới và cơ chế ưu đãi tại Nghị định 354/2025/NĐ-CP về Khu công nghệ số tập trung
- Nghị định 356/2025/NĐ-CP, Doanh nghiệp nào được miễn trừ thực hiện thủ tục về Dữ liệu cá nhân
- [Cập Nhật 2026] chuyển dữ liệu xuyên biên giới theo nghị định 336/2025/NĐ-CP: Quy định và thủ tục tuân thủ
