Dự Thảo Xử Phạt Vi phạm Về Dữ Liệu Cá Nhân Đã Quy Định Các Hành Vi Và Mức Phạt Như Thế Nào? (Phần 2)

Nếu ở Phần 1, các hành vi vi phạm chủ yếu tập trung vào giai đoạn thu thập và xử lý dữ liệu ban đầu, thì sang Phần 2, chúng ta sẽ xem xét tiếp những chế tài sẽ áp dụng khi doanh nghiệp vi phạm các quy định liên quan đến vòng đời của dữ liệu, vi phạm về không bố trí nhân sự phụ trách xử lý dữ liệu cá nhân, vi phạm trong vận hành hệ thống camera, triển khai quảng cáo, đến chuyển dữ liệu ra nước ngoài và xây dựng hệ thống bảo vệ nội bộ.

1. Vi phạm quy định về lưu trữ, xóa, hủy dữ liệu cá nhân

Kiểm soát vòng đời dữ liệu là một trong những thử thách lớn nhất về mặt kỹ thuật và quản trị. Việc duy trì dữ liệu “thừa” hoặc trì hoãn việc tiêu hủy không chỉ gây lãng phí tài nguyên mà còn là hành vi vi phạm trực tiếp các quy định về quyền riêng tư tại Điều 62 của dự thảo nghị định:

Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với các hành vi:

• Tiếp tục lưu trữ dữ liệu cá nhân khi không còn phù hợp với mục đích thu thập, khi chủ thể dữ liệu đã rút lại sự đồng ý hoặc yêu cầu xóa, hủy, dữ liệu cá nhân của mình;
• Lưu trữ dữ liệu cá nhân mà không có hợp đồng hoặc không có văn bản của cơ quan nhà nước có thẩm quyền quy định về chức năng, nhiệm vụ được giao phù hợp với việc lưu trữ dữ liệu cá nhân;
• Tiếp tục xử lý dữ liệu cá nhân khi đã có phản đối của chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và Xử lý dữ liệu cá nhân không có lý do chính đáng để tiếp tục xử lý dữ liệu cá nhân;
• Việc xóa dữ liệu không được thực hiện trong 02 ngày làm việc sau khi có yêu cầu của chủ thể dữ liệu với toàn bộ dữ liệu cá nhân mà Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập được, trừ trường hợp pháp luật có quy định khác.

Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với các hành vi:

• Dữ liệu cá nhân được xử lý không đúng với mục đích đã đồng ý hoặc việc xử lý dữ liệu cá nhân là vi phạm quy định của pháp luật;
• Không xóa dữ liệu cá nhân thuộc diện phải xóa theo quy định của pháp luật.

Nhiều doanh nghiệp có xu hướng lưu giữ dữ liệu cá nhân của khách hàng, đối tác, người lao động “mãi mãi”. Tuy nhiên, theo quy định mới, ngay khi mục đích thu thập đã đạt được hoặc chủ thể đã rút đồng ý, bạn phải xóa dữ liệu ngay. Việc lưu trữ dữ liệu “không còn sử dụng theo mục đích thu thập” trong máy chủ mà không có căn cứ pháp lý/hợp đồng rõ ràng chính là hành vi tự tạo rủi ro bị phạt. Vì vậy cần dọn dẹp dữ liệu định kỳ. Dữ liệu nào không còn dùng, không có cơ sở pháp lý để giữ, hãy xóa bỏ.

2. Vi phạm quy định về xử lý dữ liệu thu được từ hoạt động ghi âm, ghi hình nơi công cộng

Trong bối cảnh các hệ thống giám sát an ninh (CCTV) và thiết bị ghi âm kỹ thuật số được triển khai rộng khắp, việc xử lý dữ liệu từ các hoạt động này đang trở thành một bài toán tuân thủ nhạy cảm. Dự thảo quy định rất rõ về mức xử phạt khi doanh nghiệp vi phạm nghĩa vụ mà pháp luật đã đặt ra khi xử lý các dữ liệu nơi công cộng, cụ thể:

Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với hành vi: ghi âm, ghi hình nơi công cộng và xử lý dữ liệu cá nhân thu được từ hoạt động trên mà không thông báo để chủ thể hiểu được mình đang bị ghi âm, ghi hình, trừ trường hợp pháp luật có quy định khác.

Hình thức xử phạt bổ sung: Đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng trong trường hợp vi phạm lần thứ 02 theo từng quy định cụ thể.

Pháp luật không cấm việc lắp đặt camera để bảo vệ an ninh, nhưng cấm việc ghi hình “ngầm”. Thông báo phải được thực hiện sao cho chủ thể dữ liệu có thể dễ dàng nhận biết trước khi đi vào khu vực bị ghi hình. Vì vậy có chăng doanh nghiệp cần cân nhắc việc dán biển thông báo về việc ghi âm/ghi hình tại các vị trí dễ thấy như cửa ra vào, quầy lễ tân hoặc khu vực sảnh chờ. Biển báo nên có biểu tượng camera rõ ràng kèm theo dòng chữ thông báo về việc xử lý dữ liệu. Nếu hệ thống camera của doanh nghiệp có tích hợp các công nghệ thông minh (như nhận diện khuôn mặt, đo lường mật độ khách hàng), dữ liệu thu được sẽ chuyển từ dữ liệu cá nhân cơ bản sang dữ liệu cá nhân nhạy cảm. Điều này đòi hỏi quy trình thông báo và bảo vệ phải khắt khe hơn gấp nhiều lần.

3. Vi phạm quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ quảng cáo

Trong nền kinh tế số, việc khai thác dữ liệu cho mục đích tiếp thị và quảng cáo mang lại giá trị thương mại khổng lồ nhưng cũng tiềm ẩn rủi ro xâm phạm quyền riêng tư nghiêm trọng nhất. Điều 64 của Dự thảo Nghị định thiết lập những chế tài phạt tiền với mức phạt tương đối cao, cụ thể:

Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với các hành vi:

• Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo sử dụng dữ liệu cá nhân ngoài khách hàng được bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân chuyển giao theo thỏa thuận hoặc thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ quảng cáo;
• Tổ chức, cá nhân kinh doanh dịch vụ quảng cáo không thiết lập phương thức cho phép chủ thể dữ liệu cá nhân từ chối chia sẻ dữ liệu; xác định thời gian lưu trữ; xóa, hủy dữ liệu khi không còn cần thiết.

Phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi vi phạm từ lần 2 trở lên đối với vi phạm đã bị phạt tiền nêu trên, được hiểu là tái phạm.

Hình thức xử phạt bổ sung: Tước quyền sử dụng giấy phép kinh doanh ngành nghề có vi phạm xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm; Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm c) Đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng.

Lưu ý rằng, đây là lĩnh vực mà xử lý một khối lượng lớn dữ liệu cá nhân, đặc biệt là đến từ nhiều nguồn và nền tảng khác nhau, việc quản lý cho đúng với quy định của pháp luật về dữ liệu cá nhân được xem là thách thức lớn với các doanh nghiệp. Tuy nhiên với cơ chế phạt như dự thảo đã ghi nhận thì các doanh nghiệp có hoạt động trong lĩnh vực  quảng cáo cần chú ý kiểm soát luồng dữ liệu cá nhân đầu vào, cơ chế thiết lập các nút để chủ thể dữ liệu có thể chủ động đồng ý, chỉnh sửa thông tin cá nhân. Và khi thực hiện bất kỳ chiến dịch quảng cáo, truyền thông này hãy đi kèm với hệ thống quản trị dữ liệu: biết rõ dữ liệu từ đâu đến, được lưu trữ bao lâu và khi nào phải xóa.

4. Vi phạm quy định về thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân

Đây là nhóm hành vi xâm phạm nghiêm trọng đến quyền sở hữu dữ liệu và trật tự quản lý không gian mạng. Điều 65 của Dự thảo Nghị định quy định các mức phạt dự kiến như sau:

Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với các hành vi:

• Chuyển giao dữ liệu cá nhân không thuộc các trường hợp được pháp luật quy định cho phép chuyển giao hoặc trái với nguyên tắc bảo vệ dữ liệu cá nhân;
• Mua, bán trái phép dữ liệu cá nhân nhưng chưa đến mức truy cứu trách nhiệm hình sự;
• Thiết lập các hệ thống phần mềm, biện pháp kỹ thuật thu thập, xử lý trái phép dữ liệu cá nhân;
• Thu thập, xử lý hoặc sử dụng dữ liệu để phát triển, huấn luyện, kiểm thử hoặc vận hành hệ thống trí tuệ nhân tạo trái với quy định của pháp luật về dữ liệu, bảo vệ dữ liệu cá nhân.
• Phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi vi phạm từ lần 2 trở lên đối với các vi phạm ở trên

5. Vi phạm quy định về thông báo vi phạm bảo vệ dữ liệu cá nhân

Tính minh bạch và tốc độ phản ứng khi xảy ra sự cố dữ liệu là thước đo trách nhiệm của một doanh nghiệp. Điều 66 của Dự thảo Nghị định đặt ra những yêu cầu khắt khe về mặt thời gian và quy trình báo cáo sự cố nhằm đảm bảo cơ quan chức năng có thể can thiệp kịp thời:

Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với các hành vi:

• Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không thông báo hoặc thông báo sau 02 ngày làm việc cho cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) sau khi nhận thấy có sự vi phạm quy định về bảo vệ dữ liệu cá nhân mà không có lý do chậm, muộn chính đáng;
• Thông báo không đầy đủ các nội dung liên quan tới vi phạm quy định về bảo vệ dữ liệu cá nhân;
• Không lập biên bản vi phạm quy định bảo vệ dữ liệu cá nhân;
• Không phối hợp hoặc phối hợp không đầy đủ với lực lượng chức năng, cơ quan chức năng có thẩm quyền xử lý vi phạm quy định về bảo vệ dữ liệu cá nhân.

Doanh nghiệp nên xây dựng một Kế hoạch ứng phó sự cố dữ liệu (Data Breach Response Plan). Trong đó, chỉ định rõ nhân sự chịu trách nhiệm liên lạc với Bộ Công an và chuẩn bị sẵn các kịch bản báo cáo theo mẫu quy định. Sự chủ động minh bạch trong vòng 48 giờ đầu tiên chính là cách tốt nhất để bảo vệ uy tín doanh nghiệp và giảm thiểu tối đa các thiệt hại về pháp lý.

6. Vi phạm quy định về đánh giá tác động xử lý dữ liệu cá nhân (DPIA)

Hồ sơ đánh giá tác động (DPIA) không chỉ là một thủ tục hành chính mà là “bản cam kết” về năng lực bảo vệ dữ liệu của doanh nghiệp. Điều 67 của Dự thảo Nghị định đặt ra các chế tài cực nặng, tỷ lệ thuận với mức độ lộ lọt dữ liệu thực tế:

Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với các hành vi:

• Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không lập hoặc không lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân;
• Bên Xử lý dữ liệu cá nhân không lập hoặc không lưu giữ Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân trong trường hợp thực hiện hợp đồng với Bên Kiểm soát dữ liệu cá nhân.
• Không gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) 01 bản chính theo Mẫu số 02a/02b tại Phụ lục của Nghị định 356/2025/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân;
• Không chấp hành yêu cầu chỉnh sửa, hoàn thiện Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).

Phạt tiền gấp 02 lần mức phạt nêu trên đối với hành vi để lộ, mất dữ liệu cá nhân của 100.000 công dân Việt Nam tới dưới 1.000.000 công dân Việt Nam. Mức phạt gấp 5 lần đối với hành vi để lộ, mất dữ liệu cá nhân của 1.000.000 công dân Việt Nam trở lên tới dưới 5.000.000 công dân Việt Nam.

Phạt tiền bằng 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi để lộ, mất dữ liệu cá nhân của 5.000.000 công dân Việt Nam trở lên.

Hình thức xử phạt bổ sung: Tước quyền sử dụng giấy phép kinh doanh có vi phạm xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm; Tịch thu tang vật, phương tiện xử lý dữ liệu cá nhân đối với các hành vi vi phạm; Đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với các hành vi vi phạm.

7. Vi phạm quy định về chuyển dữ liệu cá nhân ra nước ngoài

Trong bối cảnh toàn cầu hóa, việc chuyển dữ liệu ra nước ngoài là hoạt động thường nhật nhưng lại chứa đựng rủi ro cao nhất về an ninh quốc gia và quyền riêng tư. Điều 68 của Dự thảo Nghị định đã ghi nhận các mức phạt cho hành vi vi phạm quy định về chuyển dữ liệu xuyên biên giới cụ thể:

Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với các hành vi:

• Bên chuyển dữ liệu ra nước ngoài không lập Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài và thực hiện các thủ tục theo quy định tại khoản 2 Điều 18 Nghị định 356/2025/NĐ-CP;
• Không lập hoặc không lưu giữ Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài của mình kể từ thời điểm bắt đầu xử lý dữ liệu cá nhân;
• Không gửi 01 bản chính hồ sơ tới Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) theo Mẫu số 01a/01b tại Phụ lục của Nghị định 356/2025/NĐ-CP trong thời gian 60 ngày kể từ ngày tiến hành xử lý dữ liệu cá nhân;
• Không thông báo gửi Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao) thông tin về việc chuyển dữ liệu và chi tiết liên lạc của tổ chức, cá nhân phụ trách bằng văn bản sau khi việc chuyển dữ liệu diễn ra thành công;
• Không chấp hành yêu cầu chỉnh sửa, hoàn thiện Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).
• Không chấp hành yêu cầu kiểm tra chuyển dữ liệu cá nhân ra nước ngoài của Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao).

Phạt tiền gấp 02 lần mức nêu trên đối với hành vi vi phạm tương tự trên và để lộ, mất dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân của 100.000 công dân Việt Nam tới dưới 1.000.000 công dân Việt Nam ra nước ngoài. Mức phạt tiền gấp 05 lần khi để lộ, mất dữ liệu cá nhân hoặc chuyển dữ liệu cá nhân của 1.000.000 công dân Việt Nam tới dưới 5.000.000 công dân Việt Nam ra nước ngoài.

Phạt tiền bằng 3% đến 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi để lộ, mất dữ liệu cá nhân hoặc hoặc chuyển dữ liệu cá nhân của trên 5.000.000 công dân Việt Nam ra nước ngoài.

Lời khuyên cuối cùng: Hãy kiểm tra lại “bản đồ dòng chảy dữ liệu” của công ty. Nếu dòng chảy có điểm dừng hoặc đi ngang qua máy chủ đặt tại nước ngoài, hãy hoàn thiện Hồ sơ đánh giá tác động theo đúng mẫu 01a/01b ngay. Việc chấp hành các yêu cầu kiểm tra và chỉnh sửa hồ sơ từ Bộ Công an là nghĩa vụ bắt buộc để đảm bảo tính hợp pháp cho luồng dữ liệu được phép chuyển ra nước ngoài.

8. Vi phạm quy định về biện pháp bảo vệ dữ liệu cá nhân

Biện pháp bảo vệ không chỉ là rào cản kỹ thuật mà còn là cam kết của doanh nghiệp về tính chuyên nghiệp và trách nhiệm đối với khách hàng. Điều 69 của Dự thảo Nghị định siết chặt nghĩa vụ xây dựng nền tảng bảo mật, từ quy chế nội bộ đến nhân sự chuyên trách, nhằm đảm bảo dữ liệu không bị xâm phạm ngay từ bên trong:

Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với các hành vi:

• Không áp dụng các biện pháp bảo vệ dữ liệu cá nhân theo quy định;
• Không xây dựng, ban hành các quy định về bảo vệ dữ liệu cá nhân cơ bản, không nêu rõ những việc cần thực hiện theo quy định của Nghị định số 356/2025/NĐ-CP và không kiểm tra an ninh mạng đối với hệ thống và phương tiện, thiết bị phục vụ xử lý dữ liệu cá nhân trước khi xử lý, xoá không thể khôi phục được hoặc huỷ các thiết bị chứa dữ liệu cá nhân cơ bản.

Phạt tiền từ 70.000.000 đồng đến 90.000.000 đồng đối với hành vi: Không chỉ định bộ phận có chức năng bảo vệ dữ liệu cá nhân nhạy cảm, không chỉ định nhân sự phụ trách bảo vệ dữ liệu cá nhân nhạy cảm và trao đổi thông tin về bộ phận và cá nhân phụ trách bảo vệ dữ liệu cá nhân nhạy cảm với Cơ quan chuyên trách bảo vệ dữ liệu cá nhân.

Hình thức xử phạt bổ sung: Tước quyền sử dụng giấy phép kinh doanh ngành nghề có vi phạm xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng; Tịch thu tang vật, phương tiện xử lý dữ liệu cá nhân đối với các hành vi vi phạm.

Như vậy, nhìn chung dự thảo đã bao quát toàn bộ các quy định mà pháp luật dữ liệu cá nhân buộc doanh nghiệp phải tuân thủ, từ đó đặt ra các chế tài xử phạt vi phạm khi doanh nghiệp không thực hiện hoặc thực hiện mang tính hình thức. Mặc dù tại thời điểm hiện tại những quy định trên chỉ ở mức độ dự thảo, tuy nhiên thông thường thì văn bản chính thức có hiệu lực nhìn chung sẽ không có nhiều khác biệt. Chính vì vậy về phía doanh nghiệp, dù muốn hay không và dù việc tuân thủ cũng tăng thêm gánh nặng về chi phí cho doanh nghiệp, thì việc bắt buộc phải thực hiện là điều mà doanh nghiệp cần lên kế hoạch thực hiện ngay lúc này.

Thời gian viết bài: 28/4/2026

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Bạn có thể tham thảo thêm:

• Dự Thảo Xử Phạt Vi phạm Về Dữ Liệu Cá Nhân Đã Quy Định Các Hành Vi Và Mức Phạt Như Thế Nào? (Phần 1)
• Hướng Dẫn Xây Dựng Chính Sách Bảo Vệ Dữ Liệu Cá Nhân Theo Luật Mới (Phần 1)
• Rút Đơn Khởi Kiện Để Thương Lượng Ngoài Tố Tụng: Góc Nhìn Chiến Lược Trong Giải Quyết Tranh Chấp
• Giao dịch với người có liên quan và những điều kiện để giao dịch có hiệu lực
• Tác Động Pháp Lý Từ Việc Thu Hẹp Phạm Vi Dự Án Phải Chấp Thuận Chủ Trương Đầu Tư Theo Luật Đầu Tư 2025
• Bức Tranh Mới Về Ngành, Nghề Đầu Tư Kinh Doanh Có Điều Kiện Từ Năm 2026: Cắt Giảm Và Chuyển Đổi