Cập nhật Mức Xử Phạt Vi Phạm Hành Chính Về Bảo Vệ Dữ Liệu Cá Nhân

Ngày đăng - 15/04/2024

Luật sư Nguyễn Lâm Sơn Tư vấn Luật bảo vệ dữ liệu cá nhân, Tư vấn Nghị định 13/2023/NĐ-CP

Quy định xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân đã được nâng lên một tầm mức mới, với các mức phạt vi phạm mang tính răn đe cao. Tại DPVN, chúng tôi cung cấp giải pháp giúp doanh nghiệp hiểu rõ khung hình phạt và các hành vi bị xử phạt, từ đó xây dựng một chương trình quản trị rủi ro hiệu quả.

Các văn bản pháp luật mới nhất nào về xử phạt vi phạm hành chính liên quan đến bảo vệ dữ liệu cá nhân?

Khung pháp lý chính thức và nghiêm khắc nhất về xử phạt vi phạm hành chính trong lĩnh vực này được quy định tại Điều 8 của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (có hiệu lực từ 01/01/2026). Trước thời điểm này, các vi phạm vẫn có thể bị xử lý theo các quy định liên quan tại Nghị định 15/2020/NĐ-CP về xử phạt trong lĩnh vực bưu chính, viễn thông.

Sự ra đời của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15 đã tạo ra một bước ngoặt, lần đầu tiên thiết lập một nghị định xử phạt chuyên ngành với các chế tài đủ mạnh để răn đe. Trong khi Nghị định 13/2023/NĐ-CP đặt ra các nghĩa vụ, thì Luật 2025 chính là công cụ để thực thi các nghĩa vụ đó. Việc hiểu rõ khung hình phạt này là yếu tố sống còn để ban lãnh đạo có thể đánh giá đúng rủi ro pháp lý khi xử lý dữ liệu cá nhân.

Về chuyên môn sâu, việc Luật 2025 đưa ra các mức phạt tiền có thể được tính dựa trên doanh thu hoặc khoản thu bất chính là một sự thay đổi mang tính cách mạng. Nó chuyển đổi rủi ro từ một con số cố định, có thể dự đoán được, sang một con số biến đổi, có khả năng tác động nghiêm trọng đến sức khỏe tài chính của doanh nghiệp. Cách tiếp cận này buộc các doanh nghiệp phải xem tuân thủ bảo vệ dữ liệu là một hoạt động quản trị rủi ro chiến lược, thay vì chỉ là một công việc hành chính.

Quy định về mức phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân theo Luật 2025 là bao nhiêu?

Điều 8 Luật 91/2025/QH15 đã thiết lập 3 khung hình phạt có mức độ nghiêm khắc cao nhất: (1) Phạt tiền đến 5% tổng doanh thu của năm trước liền kề đối với hành vi chuyển dữ liệu cá nhân xuyên biên giới trái phép; (2) Phạt tiền đến 10 lần khoản thu có được từ hành vi mua, bán dữ liệu cá nhân; và (3) Phạt tiền đến 3 tỷ đồng cho các vi phạm khác.

Việc hiểu rõ các mức phạt cụ thể này giúp doanh nghiệp nhận diện và ưu tiên các nỗ lực tuân thủ của mình.

Khung hình phạt 1: Phạt tiền đến 5% tổng doanh thu

Đây là mức phạt có khả năng gây thiệt hại tài chính lớn nhất, được áp dụng cho hành vi chuyển dữ liệu cá nhân ra nước ngoài mà không tuân thủ đúng các điều kiện và thủ tục. Mức phạt này nhắm trực tiếp vào các doanh nghiệp có hoạt động quốc tế, sử dụng các dịch vụ đám mây hoặc có công ty mẹ ở nước ngoài.

Khung hình phạt 2: Phạt tiền đến 10 lần khoản thu bất chính

Cơ chế này được áp dụng cho hành vi mua bán dữ liệu cá nhân trái phép. Mục tiêu là để triệt tiêu hoàn toàn động cơ kinh tế của việc buôn bán dữ liệu, đảm bảo rằng lợi ích thu được từ hành vi vi phạm sẽ không thể bù đắp được khoản tiền phạt.

Khung hình phạt 3: Phạt tiền đến 3 tỷ đồng

Đây là mức phạt tiền tối đa áp dụng cho các hành vi bị nghiêm cấm khác không thuộc hai trường hợp trên, ví dụ như xử lý dữ liệu mà không có sự đồng ý hợp lệ, sử dụng sai mục đích, hoặc không thực hiện các biện pháp bảo vệ phù hợp.

💡 Luật sư Nguyễn Lâm Sơn chia sẻ: “Luật cũng quy định rõ nguyên tắc áp dụng mức phạt cao hơn. Ví dụ, nếu hành vi mua bán dữ liệu có khoản thu bất chính là 50 triệu đồng, mức phạt 10 lần sẽ là 500 triệu đồng. Nếu mức phạt 10 lần này thấp hơn 3 tỷ đồng, cơ quan chức năng có thể cân nhắc áp dụng mức phạt cao hơn lên tới 3 tỷ đồng để đảm bảo tính răn đe.”

Những hành vi vi phạm hành chính nào thường gặp trong lĩnh vực bảo vệ dữ liệu cá nhân?

Các hành vi vi phạm thường gặp nhất thường xuất phát từ việc không tuân thủ các nguyên tắc và nghĩa vụ cơ bản, bao gồm: xử lý dữ liệu mà không có sự đồng ý hợp lệ, không minh bạch về mục đích xử lý, không thực hiện các thủ tục hành chính bắt buộc, không có biện pháp bảo vệ phù hợp dẫn đến rò rỉ, và không đáp ứng các quyền của chủ thể dữ liệu.

Dưới đây là một số ví dụ thực tế về các hành vi có thể bị xử phạt:

Hành vi Vi phạm Ví dụ thực tế
Không có sự đồng ý hợp lệ Tự động thêm email khách hàng vào danh sách marketing sau khi mua hàng mà không có sự cho phép riêng.
Không thực hiện thủ tục hành chính Không lập và nộp Hồ sơ ĐGTĐ xử lý dữ liệu cá nhân cho Cục A05.
Không đáp ứng quyền của chủ thể dữ liệu Không xử lý yêu cầu xóa dữ liệu của người dùng trong vòng 72 giờ.
Không có biện pháp bảo vệ phù hợp Lưu trữ dữ liệu cá nhân nhạy cảm (ví dụ: mật khẩu, thông tin sức khỏe) dưới dạng văn bản thuần, không mã hóa.

Quy trình, thủ tục xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân diễn ra như thế nào?

Quy trình xử phạt tuân thủ theo các quy định của Luật Xử lý Vi phạm Hành chính. Quy trình này thường bắt đầu bằng một cuộc thanh tra, kiểm tra, sau đó là lập biên bản vi phạm, giải trình từ phía doanh nghiệp, và cuối cùng là ban hành quyết định xử phạt bởi người có thẩm quyền.

Doanh nghiệp cần nắm rõ các bước này để bảo vệ quyền lợi hợp pháp của mình trong quá trình bị xử lý.

  1. Phát hiện vi phạm: Thông qua hoạt động thanh tra, kiểm tra, hoặc từ đơn thư khiếu nại, tố cáo.
  2. Lập Biên bản Vi phạm Hành chính: Ghi nhận lại hành vi, thời gian, địa điểm và các tình tiết liên quan. Doanh nghiệp có quyền đọc và ghi ý kiến bảo lưu vào biên bản.
  3. Giải trình: Doanh nghiệp có quyền gửi văn bản giải trình về các tình tiết của vụ việc.
  4. Ban hành Quyết định Xử phạt: Người có thẩm quyền sẽ ra quyết định xử phạt, trong đó nêu rõ hình thức phạt (phạt tiền, các biện pháp khắc phục hậu quả).
  5. Thi hành Quyết định: Doanh nghiệp có nghĩa vụ phải chấp hành quyết định xử phạt. Nếu không đồng ý, doanh nghiệp có quyền khiếu nại hoặc khởi kiện hành chính.

DPVN: Dịch Vụ Tư Vấn và Hỗ Trợ Xử Lý Vi Phạm

Việc đối mặt với một cuộc thanh tra và nguy cơ bị xử phạt là một tình huống pháp lý phức tạp và căng thẳng.

Đội ngũ của DPVN, với kinh nghiệm của Luật sư Nguyễn Lâm Sơn, chuyên tư vấn và đại diện cho doanh nghiệp trong các quy trình làm việc với cơ quan nhà nước, giúp bạn bảo vệ tốt nhất quyền và lợi ích hợp pháp của mình. Hãy liên hệ với chúng tôi:

Hotline: 0982976486

Email: lamson@baovedlcn.vn

Địa chỉ: Tầng 6 Tòa Star Tower, Phố Trương Công Giai, Phường Yên Hòa, Quận Cầu Giấy, Thành Phố Hà Nội

Câu hỏi thường gặp về Xử phạt Vi phạm Hành chính

1. Hiện tại, Nghị định nào đang được áp dụng để xử phạt các vi phạm về dữ liệu cá nhân?

Do chưa có nghị định xử phạt chuyên ngành cho Nghị định 13, các cơ quan chức năng hiện có thể vận dụng các quy định liên quan tại Nghị định 15/2020/NĐ-CP (về lĩnh vực bưu chính, viễn thông, công nghệ thông tin) để xử lý một số hành vi. Tuy nhiên, một nghị định xử phạt mới dự kiến sẽ được ban hành để hướng dẫn chi tiết cho Luật 91/2025/QH15.

2. Doanh thu để tính mức phạt 5% được hiểu như thế nào?

Luật 91/2025/QH15 chưa định nghĩa chi tiết. Dự kiến Chính phủ sẽ có Nghị định hướng dẫn cụ thể về phương pháp tính doanh thu này. Có thể đây sẽ là tổng doanh thu của pháp nhân vi phạm tại Việt Nam trong năm tài chính trước đó.

3. Ngoài phạt tiền, doanh nghiệp còn có thể bị áp dụng hình thức phạt bổ sung nào?

Có. Ngoài phạt tiền, doanh nghiệp có thể bị áp dụng các hình thức phạt bổ sung như đình chỉ hoạt động có thời hạn, tước quyền sử dụng giấy phép, và các biện pháp khắc phục hậu quả như buộc hủy bỏ dữ liệu đã thu thập trái phép.

4. Các vụ xử phạt vi phạm hành chính có được công khai không?

Theo quy định của Luật Xử lý Vi phạm Hành chính, các quyết định xử phạt có thể được công khai trên trang thông tin điện tử của cơ quan ra quyết định. Điều này có nghĩa là vi phạm của doanh nghiệp có thể bị công chúng biết đến, gây thêm thiệt hại về uy tín.

5. Ai có thẩm quyền ra quyết định xử phạt cuối cùng?

Thẩm quyền xử phạt sẽ tuân theo các quy định của Luật Xử lý Vi phạm Hành chính. Tùy thuộc vào mức độ nghiêm trọng và mức phạt tiền, thẩm quyền có thể thuộc về Cục trưởng Cục A05, Chánh Thanh tra Bộ, hoặc Chủ tịch Ủy ban nhân dân cấp tỉnh.

Nguồn tham khảo:

  1. Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Luat-Bao-ve-du-lieu-ca-nhan-2025-so-91-2025-QH15-625628.aspx
  2. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân: https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-562955.aspx
  3. Luật Xử lý Vi phạm Hành chính 2012 (sửa đổi 2020): https://thuvienphapluat.vn/van-ban/Vi-pham-hanh-chinh/Luat-xu-ly-vi-pham-hanh-chinh-2012-140235.aspx
  4. Cổng thông tin quốc gia về bảo vệ dữ liệu cá nhân: https://baovedlcn.gov.vn
  5. Article 83 of GDPR – General conditions for imposing administrative fines: https://gdpr-info.eu/art-83-gdpr/
Liên hệ với DPVN để được tư vấn miễn phí
Hotline 0982976486