Xử phạt về bảo vệ dữ liệu cá nhân (Dự thảo) – Fine on Personal Data

Pháp luật Việt Nam quy định mức xử phạt nghiêm khắc đối với hành vi vi phạm các quy định bảo vệ dữ liệu cá nhân. Các hình phạt bao gồm từ phạt tiền đến các biện pháp trừng phạt bổ sung như đình chỉ giấy phép kinh doanh, tùy thuộc vào mức độ nghiêm trọng và tính chất của hành vi vi phạm.

Tiền phạt 

DLCN4

Tiền phạt thay đổi đáng kể tùy theo loại vi phạm. Ví dụ: đối với việc không thông báo cho chủ thể dữ liệu về hoạt động xử lý dữ liệu cá nhân hoặc tiếp tục xử lý dữ liệu khi chủ thể đã rút lại sự đồng ý rõ ràng, mức phạt có thể dao động từ 10.000.000 đồng đến 20.000.000 đồng. Những vi phạm nghiêm trọng hơn, đặc biệt là những vi phạm liên quan đến xử lý dữ liệu cá nhân trái phép hoặc vi phạm an ninh ảnh hưởng đến một số lượng lớn công dân, có thể bị phạt lên tới 100.000.000 đồng hoặc một phần trăm doanh thu hàng năm, thể hiện mức độ nghiêm trọng trong việc bảo vệ dữ liệu.

Hình phạt bổ sung

Ngoài phạt tiền, hình phạt bổ sung thường bao gồm đình chỉ giấy phép kinh doanh trong thời gian từ một đến ba tháng, tịch thu các vật dụng được sử dụng để vi phạm hành chính và ngừng tạm thời đến vĩnh viễn các hoạt động xử lý dữ liệu cá nhân. Các biện pháp này nhằm ngăn chặn các hành vi vi phạm tiếp theo và đảm bảo tuân thủ luật bảo vệ dữ liệu.

Các biện pháp khắc phục

Cần có các hành động khắc phục để giải quyết hậu quả của việc vi phạm bảo vệ dữ liệu. Chúng bao gồm việc hủy dữ liệu đến trạng thái không thể khôi phục, hoàn trả các khoản thu được bất hợp pháp và đưa ra lời xin lỗi công khai đối với các chủ thể dữ liệu bị ảnh hưởng. Trong trường hợp việc xử lý dữ liệu tiếp tục mà không có sự đồng ý, cần phải dừng ngay lập tức và xác nhận xóa dữ liệu.

Các trường hợp cụ thể

Luật cũng đề cập đến các tình huống cụ thể như vi phạm dữ liệu liên quan đến khối lượng lớn dữ liệu cá nhân, với mức phạt tăng tỷ lệ thuận với số lượng cá nhân bị ảnh hưởng. Ví dụ: rò rỉ hoặc xử lý dữ liệu không đúng cách ảnh hưởng đến hơn 5.000.000 cá nhân có thể dẫn đến mức phạt lên tới một tỷ lệ đáng kể trong doanh thu của năm trước, nhấn mạnh tầm quan trọng cao liên quan đến việc bảo vệ dữ liệu quy mô lớn.

Truyền dữ liệu quốc tế

Đặc biệt chú ý đến việc truyền dữ liệu cá nhân ra nước ngoài. Các vi phạm trong danh mục này bao gồm không đánh giá đầy đủ tác động của việc truyền dữ liệu, không lưu giữ hồ sơ thích hợp hoặc không tuân thủ các yêu cầu thông báo cho cơ quan có liên quan trong khoảng thời gian quy định. Những vi phạm như vậy cũng bị phạt nặng và các biện pháp khắc phục nghiêm ngặt để đảm bảo tuân thủ nghiêm ngặt các nguyên tắc truyền dữ liệu quốc tế.

Nhìn chung, các quy định này nêu bật cam kết của chính phủ Việt Nam trong việc duy trì quyền riêng tư và bảo mật dữ liệu, phản ánh sự phù hợp với các tiêu chuẩn toàn cầu trong bảo vệ dữ liệu. Việc tuân thủ được thực thi chặt chẽ bằng hệ thống xử phạt nhiều cấp được thiết kế để ngăn chặn các hành vi vi phạm và thúc đẩy các phương pháp hay nhất trong quản lý dữ liệu cá nhân.

Nghị định về bảo vệ dữ liệu cá nhân có hiệu lực từ 01/07/2023

Dịch vụ Hỗ trợ của Manabox – Our Service

Dịch vụ Bảo vệ dữ liệu cá nhân – PROTECTION OF PERSONAL DATA

English Summary

Vietnamese law stipulates strict penalties for violations of personal data protection regulations. Penalties range from financial fines to additional punitive measures such as business license suspension and public apologies, depending on the severity and nature of the infraction.
 
Fines and Violations: Fines vary significantly based on the type of violation. For example, for failing to inform data subjects about personal data processing activities or continuing data processing against a subject’s explicit withdrawal of consent, fines can range from 10,000,000 đồng to 20,000,000 đồng. More severe violations, particularly those involving unauthorized personal data processing or security breaches affecting a large number of citizens, can attract fines up to 100,000,000 đồng or a percentage of the annual revenue, demonstrating the seriousness with which data protection is regarded.
 
Supplementary Penalties: In addition to monetary fines, supplementary penalties often include the suspension of business licenses for periods ranging from one to three months, confiscation of items used in the administrative violation, and temporary to permanent cessation of personal data processing activities. These measures aim to prevent further breaches and ensure compliance with data protection laws.
 
Remedial Measures: Remedial actions are required to address the consequences of data protection violations. They include destruction of data to an irrecoverable state, restitution of illegally obtained gains, and public apologies to affected data subjects. In cases where data processing continues without consent, immediate cessation and confirmation of data deletion are required.
 
Specific Cases: The law also addresses specific scenarios such as data breaches involving large volumes of personal data, with penalties increasing proportionally to the number of affected individuals. For instance, leaks or improper handling of data affecting more than 5,000,000 individuals could lead to fines amounting to a significant percentage of the previous year’s revenue, emphasizing the high stakes involved in large-scale data protection.
 
International Data Transfer: Special attention is given to the transfer of personal data abroad. Violations in this category include failing to evaluate the impact of data transfer adequately, not maintaining proper records, or not complying with notification requirements to relevant authorities within stipulated timelines. Such violations also carry hefty fines and stringent remedial measures to ensure strict adherence to international data transfer guidelines.
 
Overall, these regulations highlight the Vietnamese government’s commitment to upholding data privacy and security, reflecting an alignment with global standards in data protection. Compliance is heavily enforced with a multi-tier penalty system designed to deter violations and promote best practices in personal data management.

Mẫu quy chế bảo vệ dữ liệu cá nhân – Personal Data Protection

Trích dẫn Quy định Dự thảo

Trích dẫn

Mục 2. VI PHẠM QUY ĐỊNH VỀ BẢO VỆ DỮ LIỆU CÁ NHÂN

Điều 13. Vi phạm nguyên tắc bảo vệ dữ liệu cá nhân

1. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với một trong các hành vi sau:

a) Dữ liệu cá nhân được xử lý trái quy định của pháp luật;

b) Chủ thể dữ liệu không được biết và không được nhận thông báo về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình;

c) Dữ liệu cá nhân không được xử lý đúng với mục đích được đăng ký, tuyên bố về xử lý dữ liệu cá nhân;

d) Dữ liệu cá nhân thu thập không phù hợp và không đúng giới hạn trong phạm vi, mục đích cần xử lý;

đ) Dữ liệu cá nhân được cập nhật, bổ sung trái với mục đích xử lý;

e) Dữ liệu cá nhân không được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật;

g) Dữ liệu cá nhân được lưu trữ quá thời gian phục vụ mục đích xử lý dữ liệu và quy định của pháp luật có liên quan.

2. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại điểm a, g khoản 1 Điều này.

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại điểm b, đ, e khoản 1 Điều này;

3. Biện pháp khắc phục hậu quả:

a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại điểm a, c, d, đ khoản 1 Điều này;

b) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này;

c) Công khai xin lỗi chủ thể dữ liệu cá nhân đối với các hành vi vi phạm quy định tại điểm a, b, c, d, đ khoản 1 Điều này.

Điều 14. Vi phạm quyền của chủ thể dữ liệu

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Chủ thể dữ liệu không được biết về hoạt động xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác;

c) Chủ thể dữ liệu không được truy cập để xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác;

d) Chủ thể dữ liệu đã rút lại sự đồng ý của mình mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba (nếu có) vẫn tiếp tục thu thập, xử lý, trừ trường hợp luật có quy định khác;

đ) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không xóa dữ liệu cá nhân theo đề nghị của chủ thể dữ liệu hoặc không xóa, hủy dữ liệu cá nhân đã thu thập theo quy định trong trường hợp không còn cần thiết cho mục đích thu thập ban đầu, trừ trường hợp luật có quy định khác;

e) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không xóa dữ liệu trong 48 giờ, trừ ngày nghỉ, ngày lễ, ngày Tết sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp luật có quy định khác;

g) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba (nếu có) không hạn chế xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu yêu cầu, trừ trường hợp luật có quy định khác;

h) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba (nếu có) không cung cấp dữ liệu cá nhân theo yêu cầu của chủ thể dữ liệu hoặc không bảo đảm việc cung cấp được thực hiện trong 48 giờ, trừ ngày nghỉ, ngày lễ, ngày Tết sau khi có yêu cầu của Chủ thể dữ liệu;

2. Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với các hành vi: Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không thực hiện việc ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân hoặc tiếp tục sử dụng cho mục đích quảng cáo, tiếp thị sau khi có sự phản đối của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác hoặc không bảo đảm việc thực hiện trong 48 giờ, trừ ngày nghỉ, ngày lễ, ngày Tết sau khi có yêu cầu của Chủ thể dữ liệu;

3. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với các hành vi:

Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên thứ ba (nếu có) thực hiện các hoạt động nhằm ngăn chủ thể dữ liệu khiếu nại, tố cáo hoặc khởi kiện theo quy định của Luật Khiếu nại, Luật Tố cáo và các văn bản pháp luật khác có liên quan trọng các trường hợp được quy định tại khoản 9 Điều 5 Nghị định bảo vệ dữ liệu cá nhân.

4. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khi tổ chức, cá nhân vi phạm đối với các quy định tại khoản 1, 2, 3 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại điểm đ khoản 1, khoản 2 Điều này;

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại điểm d khoản 1, khoản 2 Điều này.

5. Biện pháp khắc phục hậu quả:

a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại điểm đ khoản 1 Điều này;

b) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 2 Điều này.

Điều 15. Vi phạm quy định về sự đồng ý của chủ thể dữ liệu

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Việc xử lý dữ liệu cá nhân không được sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác;

b) Chủ thể dữ liệu bị bắt buộc phải đồng ý cho xử lý dữ liệu cá nhân để thực hiện một dịch vụ khác ngoài mục đích thu thập;

c) Thu thập không đúng loại dữ liệu cá nhân được chủ thể dữ liệu đồng ý cho xử lý;

d) Xử lý sai mục đích xử lý dữ liệu cá nhân mà chủ thể dữ liệu đã đồng ý;

đ) Sự đồng ý của chủ thể dữ liệu không được thể hiện rõ ràng, cụ thể bằng văn bản, giọng nói, đánh dấu vào ô đồng ý, cú pháp đồng ý qua tin nhắn, chọn các thiết lập kỹ thuật đồng ý hoặc qua một hành động khác thể hiện được điều này;

e) Không có quy định thể hiện chủ thể dữ liệu có thể đồng ý một phần hoặc với điều kiện kèm theo;

g) Không thông báo hoặc thể hiện rõ cho chủ thể dữ liệu biết dữ liệu cần xử lý là dữ liệu cá nhân nhạy cảm;

h) Không chứng minh hoặc từ chối nghĩa vụ chứng minh sự đồng ý của chủ thể dữ liệu thuộc về Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.

2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với các hành vi:

a) Tiếp tục thực hiện xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản;

b) Xử lý dữ liệu cá nhân khi chủ thể dữ liệu im lặng hoặc không phản hồi trước yêu cầu đồng ý;

c) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không chứng minh hoặc không nhận chứng minh rằng chủ thể dữ liệu đã đồng ý cho xử lý dữ liệu cá nhân.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khi tổ chức, cá nhân vi phạm đối với các quy định tại điểm a, c, d khoản 1, khoản 2 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại điểm a, c, d khoản 1, khoản 2 Điều này.

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại điểm a, c, d khoản 1, khoản 2 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại điểm a, c, d khoản 1, khoản 2 Điều này.

b) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại điểm a, c, d khoản 1, khoản 2 Điều này;

c) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại điểm a khoản 2 Điều này.

Điều 16. Vi phạm quy định về rút lại sự đồng ý

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Ngăn chặn hoặc cố tình gây khó khăn cho sự rút lại sự đồng ý xử lý dữ liệu cá nhân của chủ thể dữ liệu;

b) Không thông báo cho chủ thể dữ liệu về hậu quả có thể xảy ra khi rút lại sự đồng ý;

2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với hành vi không ngừng xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu đã rút lại sự đồng ý.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khi tổ chức, cá nhân vi phạm đối với các quy định tại khoản 2 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 2 Điều này.

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 2 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 2 Điều này.

b) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 2 Điều này;

c) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại điểm a khoản 2 Điều này.

Điều 17. Vi phạm quy định về thông báo xử lý dữ liệu cá nhân

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Không thông báo cho chủ thể dữ liệu trước khi tiến hành chỉnh sửa, tiết lộ, xóa, hủy dữ liệu cá nhân;

b) Không thông báo đầy đủ cho chủ thể dữ liệu về mục đích xử lý; loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý; cách thức xử lý; thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý; hậu quả, thiệt hại không mong muốn có khả năng xảy ra; thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu;

c) Việc thông báo của chủ thể dữ liệu không được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được;

d) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng trong trường hợp vi phạm lần thứ 02 quy định tại khoản 1 Điều này.

2. Biện pháp khắc phục hậu quả:

Buộc thực hiện biện pháp thông báo xử lý dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 18. Vi phạm quy định về cung cấp dữ liệu cá nhân

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Không cung cấp hoặc tìm cách gây khó khăn cản trở việc cung cấp dữ liệu cá nhân khi chủ thể dữ liệu có yêu cầu;

a) Cung cấp dữ liệu cá nhân cho chủ thể dữ liệu, dữ liệu cá nhân thuộc sở hữu hoặc dưới sự kiểm soát của tổ chức khi chủ thể dữ liệu chưa đồng ý cho phép đại diện;

b) Cung cấp dữ liệu cá nhân của chủ thể dữ liệu cho cho tổ chức, cá nhân khác khi chưa có sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác;

c) Không thực hiện cung cấp dữ liệu cá nhân trong 72 giờ, không tính ngày nghỉ, ngày lễ, ngày Tết sau khi có yêu cầu của chủ thể dữ liệu, trừ trường hợp luật có quy định khác;

d) Vi phạm quy định về không cung cấp dữ liệu cá nhân trong trường hợp gây tổn hại tới quốc phòng, an ninh quốc gia, trật tự an toàn xã hội; việc cung cấp dữ liệu cá nhân của chủ thể dữ liệu có thể ảnh hưởng tới sự an toàn, sức khỏe thể chất hoặc tinh thần của người khác; chủ thể dữ liệu không đồng ý cung cấp, cho phép đại diện hoặc ủy quyền nhận dữ liệu cá nhân;

đ) Cung cấp dữ liệu cá nhân mà không sử dụng Phiếu yêu cầu cung cấp dữ liệu cá nhân hoặc ghi không đầy đủ thông tin của Phiếu yêu cầu cung cấp dữ liệu cá nhân;

e) Không thông báo về thời hạn, địa điểm, hình thức cung cấp dữ liệu cá nhân; chi phí thực tế để in, sao, chụp, gửi thông tin qua dịch vụ bưu chính, fax (nếu có) và phương thức, thời hạn thanh toán;

g) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng trong trường hợp vi phạm lần thứ 02 quy định tại khoản 1 Điều này;

2. Biện pháp khắc phục hậu quả:

a) Buộc cung cấp dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

b) Công khai xin lỗi trên các phương tiện thông tin đại chúng.

Điều 19. Vi phạm quy định về chỉnh sửa dữ liệu cá nhân

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Không cho phép chủ thể dữ liệu được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác;

b) Không chấp thuận yêu cầu đề nghị chỉnh sửa dữ liệu cá nhân trong trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác;

c) Cố tình trì hoãn hoặc không chỉnh sửa dữ liệu cá nhân sau khi đã đồng ý với đề nghị của chủ thể dữ liệu;

d) Không thông báo tới chủ thể dữ liệu về trường hợp không thể chỉnh sửa dữ liệu cá nhân trong 72 giờ, trừ ngày nghỉ, ngày lễ, ngày Tết kể từ khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu;

đ) Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu khi chưa được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu;

e) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng trong trường hợp vi phạm lần thứ 02 quy định tại khoản 1 Điều này.

2. Biện pháp khắc phục hậu quả:

Buộc thực hiện biện pháp chỉnh sửa dữ liệu cá nhân khi có yêu cầu hợp pháp của chủ thể dữ liệu đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

Điều 20. Vi phạm quy định về lưu trữ, xóa, hủy dữ liệu cá nhân

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Tiếp tục lưu trữ dữ liệu cá nhân khi không còn phù hợp với mục đích thu thập, khi chủ thể dữ liệu đã rút lại sự đồng ý hoặc yêu cầu xóa, hủy, dữ liệu cá nhân của mình;

b) Lưu trữ dữ liệu cá nhân mà không có hợp đồng hoặc không có văn bản của cơ quan nhà nước có thẩm quyền quy định về chức năng, nhiệm vụ được giao phù hợp với việc lưu trữ dữ liệu cá nhân;

c) Tiếp tục xử lý dữ liệu cá nhân khi đã có phản đối của chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý dữ liệu cá nhân;

d) Việc xóa dữ liệu không được thực hiện trong 72 giờ, trừ ngày nghỉ, ngày lễ, ngày Tết sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác;

đ) Xóa dữ liệu nhưng có thể khôi phục trong trường hợp tại khoản 7 Điều 16 Nghị định số 13/2023/NĐ-CP;

2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:

a) Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;

b) Dữ liệu cá nhân phải xóa theo quy định của pháp luật.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này;

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1, 2 Điều này.

b) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1, 2 Điều này;

c) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại khoản 1, 2 Điều này.

Điều 21. Vi phạm quy định về xử lý dữ liệu cá nhân thu được từ hoạt động ghi âm, ghi hình tại nơi công cộng

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với hành vi ghi âm, ghi hình nơi công cộng và xử lý dữ liệu cá nhân thu được từ hoạt động trên mà không thông báo để chủ thể hiểu được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.

2. Hình thức xử phạt bổ sung:

Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng trong trường hợp vi phạm lần thứ 02 quy định tại khoản 1 Điều này.

3. Biện pháp khắc phục hậu quả:

Buộc áp dụng hình thức thông báo để chủ thể hiểu được mình đang bị ghi âm, ghi hình.

Điều 22. Vi phạm quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo

1. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:

a) Sử dụng dữ liệu cá nhân của khách hàng không được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo;

b) Cung cấp thông tin của khách hàng trái với nguyên tắc xử lý dữ liệu cá nhân;

c) Khách hàng không biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm;

d) Không chứng minh được việc sử dụng dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo đúng với quy định tại khoản 1 và 2 Điều 21 Nghị định 13/2023/NĐ-CP.

2. Phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi vi phạm từ lần 2 trở lên đối với các quy định tại khoản 1 Điều này.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

b) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này;

c) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại khoản 1 Điều này;

d) Buộc sửa đổi thông tin đối với sản phẩm, thiết bị, dịch vụ, phần mềm có liên quan tới hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 23. Vi phạm quy định về thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân

1. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:

a) Chuyển giao dữ liệu cá nhân không thuộc các trường hợp được pháp luật quy định cho phép chuyển giao hoặc trái với nguyên tắc bảo vệ dữ liệu cá nhân;

b) Mua, bán trái phép dữ liệu cá nhân nhưng chưa đến mức truy cứu trách nhiệm hình sự;

c) Thiết lập các hệ thống phần mềm, biện pháp kỹ thuật thu thập, xử lý trái phép dữ liệu cá nhân.

2. Phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi vi phạm từ lần 2 trở lên đối với các quy định tại khoản 1 Điều này.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

b) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này.

c) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 24. Vi phạm quy định về thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không thông báo trong thời gian quy định khi phát hiện xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân;

b) Bên Xử lý dữ liệu cá nhân không thông báo hoặc thông báo sau 72 giờ, trừ ngày nghỉ, ngày lễ, ngày Tết cho Bên Kiểm soát dữ liệu cá nhân sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân;

c) Thông báo không đầy đủ các nội dung liên quan tới vi phạm quy định về bảo vệ dữ liệu cá nhân;

d) Không lập biên bản vi phạm quy định bảo vệ dữ liệu cá nhân;

đ) Không phối hợp hoặc phối hợp không đầy đủ với lực lượng chức năng, cơ quan chức năng có thẩm quyền xử lý vi phạm quy định về bảo vệ dữ liệu cá nhân.

2. Hình thức xử phạt bổ sung:

Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng trong trường hợp vi phạm lần thứ 02 quy định tại khoản 1 Điều này.

3. Biện pháp khắc phục hậu quả:

Buộc thông báo đầy đủ vi phạm quy định về bảo vệ dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 25. Vi phạm quy định về đánh giá tác động xử lý dữ liệu cá nhân

1. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với các hành vi:

a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không lập hoặc không lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân;

b) Bên Xử lý dữ liệu cá nhân không lập hoặc không lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân.

c) Không gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 04 tại Phụ lục của Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân;

d) Không chấp hành yêu cầu chỉnh sửa, hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).

2. Phạt tiền gấp 02 lần quy định tại khoản 1 Điều này đối với hành vi để lộ, mất dữ liệu cá nhân của 100.000 công dân Việt Nam tới dưới 1.000.000 công dân Việt Nam.

3. Phạt tiền gấp 05 lần quy định tại khoản 1 Điều này đối với hành vi để lộ, mất dữ liệu cá nhân của 1.000.000 công dân Việt Nam trở lên tới dưới 5.000.000 công dân Việt Nam.

4. Phạt tiền bằng 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi để lộ, mất dữ liệu cá nhân của 5.000.000 công dân Việt Nam trở lên.

5. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khi tổ chức, cá nhân vi phạm đối với các quy định tại khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện xử lý dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

6. Biện pháp khắc phục hậu quả:

a) Buộc lập hoặc không lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân đối với các hành vi vi phạm tại khoản 1 Điều này;

b) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này.

d) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 26. Vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài

1. Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:

a) Bên chuyển dữ liệu ra nước ngoài không lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 3, 4 và 5 Điều 25 Nghị định 13/2023/NĐ-CP;

b) Không lập hoặc không lưu giữ Hồ sơ đánh giá tác động chuyển dữ liệu

cá nhân ra nước ngoài của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân;

c) Không gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 06 tại Phụ lục của Nghị định 13/2023/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân;

d) Không thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công;

d) Không chấp hành yêu cầu chỉnh sửa, hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).

đ) Không chấp hành yêu cầu kiểm tra chuyển dữ liệu cá nhân ra nước ngoài của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).

2. Phạt tiền gấp 02 lần quy định tại khoản 1 Điều này đối với hành vi quy định tại khoản 1 Điều này mà để lộ, mất dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân của 100.000 công dân Việt Nam tới dưới 1.000.000 công dân Việt Nam ra nước ngoài.

3. Phạt tiền gấp 05 lần quy định tại khoản 1 Điều này đối với hành vi quy định tại khoản 1 Điều này mà để lộ, mất dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân của 1.000.000 công dân Việt Nam tới dưới 5.000.000 công dân Việt Nam ra nước ngoài.

4. Phạt tiền bằng 3% đến 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi để lộ, mất dữ liệu cá nhân hoặc hoặc chuyển dữ liệu cá nhân của trên 5.000.000 công dân Việt Nam ra nước ngoài.

5. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khi tổ chức, cá nhân vi phạm đối với các quy định tại khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện xử lý dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Trục xuất khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam đối với người nước ngoài có hành vi vi phạm quy định tại khoản 1 Điều này;

d) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

6. Biện pháp khắc phục hậu quả:

a) Buộc lập và lưu giữ Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài đối với các hành vi vi phạm tại khoản 1 Điều này;

b) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm quy định tại khoản 1 Điều này.

d) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại khoản 1 Điều này.

Điều 27. Vi phạm quy định về biện pháp bảo vệ dữ liệu cá nhân

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

a) Không áp dụng các biện pháp bảo vệ dữ liệu cá nhân theo quy định;

b) Không xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân cơ bản, không nêu rõ những việc cần thực hiện theo quy định của Nghị định số 13/2023/NĐ-CP và không kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc huỷ các thiết bị chứa dữ liệu cá nhân cơ bản.

2. Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với một trong các hành vi sau:

a) Không chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân nhạy cảm, không chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân nhạy cảm và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân nhạy cảm với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân;

b) Không thông báo cho chủ thể dữ liệu biết việc dữ liệu cá nhân nhạy cảm của chủ thể dữ liệu được xử lý, trừ trường hợp quy định tại khoản 4 Điều 13, Điều 17 va Điều 18 Nghị định số 13/2023/NĐ-CP.

3. Hình thức xử phạt bổ sung:

a) Tước quyền sử dụng giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại điểm a khoản 1 Điều này;

b) Tịch thu tang vật, phương tiện xử lý dữ liệu cá nhân đối với các hành vi vi phạm quy định tại điểm a khoản 1 Điều này.

c) Tạm đình chỉ hoặc đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm quy định tại khoản 1 Điều này.

4. Biện pháp khắc phục hậu quả:

a) Buộc áp dụng biện pháp bảo vệ dữ liệu cá nhân đối với các hành vi vi phạm tại khoản 1 Điều này;

b) Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân đối với các hành vi vi phạm quy định tại khoản 1 Điều này;

c) Công khai xin lỗi trên các phương tiện thông tin đại chúng đối với hành vi vi phạm quy định tại điểm a khoản 1, điểm b khoản 2 Điều này.

Liên hệ nếu quý khách cần tư vấn thêm: Ms Huyền Hotline/Zalo – 094 719 2091

Email: pham.thi.thu.huyen@manaboxvn.jp.

_______________

Công ty TNHH Manabox Việt Nam
Phòng 701, tầng 7, tòa nhà 3D center, số 3 Duy Tân, Phường Dịch Vọng Hậu, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam Facebook: https://www.facebook.com/ManaboxVietnam

    Liên hệ với chúng tôi




    You cannot copy content of this page.

    Please contact with Manabox for more support.