Quy định xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân (Dự thảo lần 3)

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã chính thức có hiệu lực, đánh dấu bước tiến quan trọng trong việc bảo vệ quyền riêng tư của người dân. Tuy nhiên, để đảm bảo tính khả thi và hiệu quả của Nghị định 13, Bộ Công an đã hoàn thiện dự thảo lần 3 Nghị định về quy định xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân. Dự thảo đề xuất một hệ thống chế tài mạnh mẽ, với các mức phạt nghiêm khắc nhằm răn đe và ngăn chặn các hành vi xâm phạm dữ liệu cá nhân.

Theo quy định tại Điều 4 Nghị định 13 thì cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định. Theo đó, tùy theo tính chất, mức độ của hành vi có thể bị xử lý cao nhất là hình sự.

Tuy nhiên, tại Nghị định 13 không nêu chi tiết các mức xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân. Nhằm cụ thể hóa và làm rõ các quy định xử phạt, Dự thảo Nghị định về Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng. Nghị định này được kỳ vọng sẽ là công cụ hữu hiệu để răn đe và ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, đảm bảo an toàn thông tin trong môi trường mạng. Hãy cùng DPVN tìm hiểu về các mức xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân trong phần tiếp theo.

Dự thảo Nghị định Xử phạt vi phạm hành chính quy định 3 hình thức xử phạt: Phạt tiền (hình thức xử phạt chính), xử phạt bổ sung và biện pháp khắc phục hậu quả.

• Các hình phạt bổ sung bao gồm đình chỉ hoạt động, tước giấy phép, tịch thu tang vật và trục xuất.
• Biện pháp khắc phục hậu quả bao gồm xóa bỏ, chỉnh sửa dữ liệu, thu hồi thông tin và buộc xin lỗi công khai. Hành vi cố tình vi phạm, không hợp tác sẽ bị xử lý nghiêm khắc hơn.
• Đối với các vi phạm nghiêm trọng, mức phạt có thể lên tới 5% tổng doanh thu năm tài chính liền kề.

Thẩm quyền xử phạt thuộc về các cơ quan chức năng như Công an nhân dân, Ủy ban nhân dân, Thanh tra các Bộ, Bộ đội Biên phòng, Cảnh sát biển Việt Nam, trong đó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) có thẩm quyền cao nhất.

Theo Dự thảo Nghị định về Quy định xử phạt hành chính trong lĩnh vực an ninh mạng có nhắc đến 5 hành vi vi phạm cụ thể:

• Vi phạm nghĩa vụ liên quan đến bảo đảm an ninh thông tin
• Vi phạm nghĩa vụ liên quan đến bảo vệ dữ liệu cá nhân
• Vi phạm nghĩa vụ liên quan đến phòng, chống tấn công mạng
• Vi phạm nghĩa vụ liên quan đến hoạt động bảo vệ an ninh mạng
• Vi phạm nghĩa vụ liên quan đến sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử

Tuy nhiên, DPVN chỉ bàn đến hành vi vi phạm nghĩa vụ liên quan đến bảo vệ dữ liệu theo Nghị định 13/2023/NĐ-CP. Cụ thể, các mức xử phạt được quy định trong dự thảo như sau:

Theo Điều 25, Dự thảo Nghị định về Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng có nêu các hành vi, mức xử phạt, biện pháp khác phục hậu quả vi phạm về đánh giá tác động xử lý dữ liệu cá nhân.

Các hành vi vi phạm:

• Không lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
• Không gửi hồ sơ đến Bộ Công an trong thời hạn 60 ngày.
• Không thông báo cho Bộ Công an sau khi chuyển dữ liệu thành công.
• Không chấp hành yêu cầu chỉnh sửa, hoàn thiện hồ sơ hoặc yêu cầu kiểm tra từ Bộ Công an.
• Để lộ, mất hoặc chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài với số lượng từ 100.000 đến trên 5.000.000 người.

Mức phạt và hình phạt bổ sung:

• Phạt tiền: Từ 70 triệu đến 100 triệu đồng cho các hành vi không lập hồ sơ, không gửi hồ sơ, không thông báo, không chấp hành yêu cầu.
• Mức phạt tăng gấp đôi, gấp năm lần hoặc từ 3% đến 5% tổng doanh thu năm tùy theo số lượng dữ liệu cá nhân bị lộ, mất hoặc chuyển ra nước ngoài.
• Hình phạt bổ sung: Tước quyền sử dụng giấy phép kinh doanh, tịch thu phương tiện xử lý dữ liệu, trục xuất người nước ngoài, đình chỉ xử lý dữ liệu cá nhân từ 1 đến 3 tháng.

Biện pháp khắc phục hậu quả:

• Buộc lập và lưu giữ hồ sơ đánh giá tác động.
• Buộc hủy, xóa dữ liệu cá nhân.
• Hoàn trả lợi bất hợp pháp.
• Công khai xin lỗi.

Tìm hiểu chi tiết hơn: Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Cũng theo Điều 26 tại Dự thảo Nghị định trên có quy định

Các hành vi vi phạm:

• Không lập hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.
• Không gửi hồ sơ đến Bộ Công an trong thời hạn 60 ngày.
• Không thông báo cho Bộ Công an sau khi chuyển dữ liệu thành công.
• Không chấp hành yêu cầu chỉnh sửa, hoàn thiện hồ sơ hoặc yêu cầu kiểm tra từ Bộ Công an.
• Để lộ, mất hoặc chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài với số lượng từ 100.000 đến trên 5.000.000 người.

Mức phạt và hình phạt bổ sung:

• Phạt tiền: Từ 70 triệu đến 100 triệu đồng cho các hành vi không lập hồ sơ, không gửi hồ sơ, không thông báo, không chấp hành yêu cầu.
• Mức phạt tăng gấp đôi, gấp năm lần hoặc từ 3% đến 5% tổng doanh thu năm tùy theo số lượng dữ liệu cá nhân bị lộ, mất hoặc chuyển ra nước ngoài.
• Hình phạt bổ sung: Tước quyền sử dụng giấy phép kinh doanh, tịch thu phương tiện xử lý dữ liệu, trục xuất người nước ngoài, đình chỉ xử lý dữ liệu cá nhân từ 1 đến 3 tháng.

Biện pháp khắc phục hậu quả:

• Buộc lập và lưu giữ hồ sơ đánh giá tác động.
• Buộc hủy, xóa dữ liệu cá nhân.
• Hoàn trả lợi bất hợp pháp.
• Công khai xin lỗi.

Tìm hiểu chi tiết hơn: Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài

Ngoài các quy định xử phạt về đánh giá tác động xử lý dữ liệu cá nhân, chuyển dữ liệu cá nhân ra nước ngoài, tại Dự thảo Nghị định này cũng nêu quy định xử phạt vi phạm quy định về biện pháp bảo vệ dữ liệu cá nhân tại Điều 27.

Các hành vi vi phạm:

• Không áp dụng các biện pháp bảo vệ dữ liệu cá nhân theo quy định.
• Không xây dựng, ban hành quy định nội bộ về bảo vệ dữ liệu cá nhân.
• Không chỉ định bộ phận, nhân sự phụ trách bảo vệ dữ liệu cá nhân nhạy cảm.
• Không thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân nhạy cảm (trừ trường hợp được miễn).

Mức phạt và hình phạt bổ sung:

• Phạt tiền: Từ 10 triệu đến 50 triệu đồng tùy theo hành vi vi phạm.
• Hình phạt bổ sung: Tước quyền sử dụng giấy phép kinh doanh, tịch thu phương tiện xử lý dữ liệu, đình chỉ xử lý dữ liệu cá nhân từ 1 đến 3 tháng.

Biện pháp khắc phục hậu quả:

• Buộc áp dụng biện pháp bảo vệ dữ liệu cá nhân.
• Buộc hủy, xóa dữ liệu cá nhân.
• Công khai xin lỗi.

Dự thảo xử phạt vi phạm hành chính về bảo vệ dữ liệu cá nhân đã thể hiện rõ quyết tâm của Chính phủ trong việc bảo vệ quyền riêng tư của người dân. Các hành vi vi phạm, từ nhẹ đến nghiêm trọng, đều sẽ phải đối mặt với chế tài xử phạt tương xứng. Điều này không chỉ có tác dụng răn đe mạnh mẽ, ngăn chặn các hành vi xâm phạm dữ liệu cá nhân mà còn góp phần nâng cao nhận thức của toàn xã hội về tầm quan trọng của việc bảo vệ thông tin cá nhân. Để đảm bảo an toàn cho chính mình và tránh những rủi ro pháp lý không đáng có, các tổ chức, cá nhân cần chủ động tìm hiểu, cập nhật và tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân. Liên hệ ngay với DPVN để được tư vấn pháp lý bảo vệ dữ liệu cá nhân.