Dự Thảo Xử Phạt Vi phạm Về Dữ Liệu Cá Nhân Đã Quy Định Các Hành Vi Và Mức Phạt Như Thế Nào? (Phần 1)

Ngay sau khi Luật Bảo vệ dữ liệu cá nhân và Nghị định 356/2025/NĐ-CP có hiệu lực thi hành, thì gần đây nhất, dự thảo xử phạt các hành vi vi phạm trong lĩnh vực dữ liệu cá nhân tiếp tục được lấy ý kiến theo trình tự cho mục đích thông qua trong thời gian tới. Điều này tạo ra tình thế mới đối với các doanh nghiệp, theo đó các doanh nghiệp đang chuyển dần từ trạng thái xem xét sẽ áp dụng các quy định bắt buộc trong việc tiếp nhận xử lý dữ liệu cá nhân sang trạng thái phải thực hiện gấp rút, trước khi chính doanh nghiệp sẽ bị các quan quản lý thổi còi về vi phạm. Vậy đâu là những hành vi bị xem là vi phạm trong lĩnh vực dữ liệu cá nhân và hình phạt kèm theo là gì? Bài viết dưới đây sẽ tổng hợp đến bạn.

1. Các hành vi vi phạm về nguyên tắc bảo vệ dữ liệu cá nhân

Việc bảo vệ dữ liệu cá nhân được pháp luật quy định dựa trên 6 nguyên tắc cốt lõi sau đây:

• Tuân thủ pháp luật: Phải tuân thủ quy định của Hiến pháp, quy định của Luật Bảo vệ dữ liệu cá nhân và các quy định khác của pháp luật có liên quan.
• Đúng phạm vi và mục đích: Việc thu thập, xử lý dữ liệu cá nhân chỉ được thực hiện đúng phạm vi, mục đích cụ thể, rõ ràng, và phải bảo đảm tuân thủ quy định của pháp luật.
• Bảo đảm tính chính xác và giới hạn thời gian lưu trữ: Dữ liệu cá nhân phải bảo đảm tính chính xác và được chỉnh sửa, cập nhật, bổ sung khi cần thiết. Đồng thời, dữ liệu chỉ được lưu trữ trong khoảng thời gian phù hợp với mục đích xử lý, trừ trường hợp pháp luật có quy định khác.
• Triển khai đồng bộ các biện pháp bảo vệ: Cần thực hiện đồng bộ và có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật và con người phù hợp để bảo vệ an toàn cho dữ liệu cá nhân.
• Chủ động phòng ngừa và xử lý vi phạm: Phải chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, cũng như xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật liên quan đến bảo vệ dữ liệu cá nhân.
• Bảo đảm hài hòa các lợi ích: Việc bảo vệ dữ liệu cá nhân phải gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế – xã hội, bảo đảm quốc phòng, an ninh và đối ngoại. Ngoài ra, cần bảo đảm hài hòa giữa việc bảo vệ dữ liệu cá nhân với việc bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức và cá nhân.

Tương ứng như vậy, khi doanh nghiệp vi phạm bất kỳ nội dung nào của các nguyên tắc trên thì mức phạt vi phạm sẽ được áp dụng theo quy định tại Dự thảo Nghị định xử phạt như sau:

Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với các hành vi: Dữ liệu cá nhân được xử lý trái quy định của pháp luật;

• Thu thập, xử lý dữ liệu cá nhân không đúng phạm vi, mục đích cụ thể, rõ ràng;
• Dữ liệu cá nhân không đảm bảo độ chính xác và không được chỉnh sửa, cập nhật, bổ sung khi cần thiết;
• Dữ liệu cá nhân được lưu trữ quá khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân;
• Không thực hiện có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.
• Không chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
• Bảo vệ dữ liệu cá nhân không gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế – xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với các hành vi:

• Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân;
• Cản trở hoạt động bảo vệ dữ liệu cá nhân;
• Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật;
• Xử lý dữ liệu cá nhân trái quy định của pháp luật;
• Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật;
• Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác;
• Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Hình thức xử phạt bổ sung: Tịch thu tang vật, phương tiện vi phạm hành chính đối với các hành vi vi phạm;  đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng đối với một số trường hợp cụ thể.

Trước khung chế tài nghiêm khắc của Dự thảo Nghị định, việc bảo vệ dữ liệu cá nhân không còn là một lựa chọn vận hành mà đã trở thành yếu tố bắt buộc ưu tiên thực hiện, cho mục đích loại trừ doanh nghiệp khỏi các rủi ro về xử phạt, đặc biệt là khi xảy ra bất kỳ sự cố rò rỉ dữ liệu hoặc cơ quan quản lý tiếp nhận các khiếu nại từ chính chủ thể dữ liệu cá nhân.

2. Vi phạm quy định về quyền của chủ thể dữ liệu

Trong mối quan hệ xử lý dữ liệu dữ liệu cá nhân, quyền của chủ thể dữ liệu là trung tâm của mọi hoạt động tuân thủ, doanh nghiệp sẽ dựa vào loại dữ liệu cá nhân tiếp nhận, vòng đời của dữ liệu cá nhân, nơi mà dữ liệu sẽ tồn tại, quy định của các văn bản pháp luật có liên quan để từ đó xác định được đầy đủ quyền và mức độ sử dụng quyền của chủ thể dữ liệu cá nhân. Bên cạnh đó việc không đảm bảo các điều kiện để chủ thể thực hiện quyền hoặc chậm trễ trong việc phản hồi yêu cầu của họ sẽ dẫn đến các rủi ro cho doanh nghiệp như:

Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với các hành vi:

• Bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không xây dựng quy trình, thủ tục, biểu mẫu rõ ràng để thực hiện các quyền của chủ thể dữ liệu cá nhân phù hợp với hoạt động xử lý dữ liệu cá nhân và trách nhiệm các bộ phận có liên quan; đảm bảo chủ thể dữ liệu cá nhân được biết về thủ tục thực hiện các quyền quy định tại Luật Bảo vệ dữ liệu cá nhân;
• Khi nhận được yêu cầu rút lại sự đồng ý cho phép xử lý dữ liệu cá nhân, hạn chế xử lý dữ liệu cá nhân, phản đối xử lý dữ liệu cá nhân theo đúng thủ tục của chủ thể dữ liệu cá nhân, trong thời hạn 02 ngày làm việc, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không phản hồi, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục ngừng xử lý dữ liệu cá nhân và thực hiện trong thời hạn 15 ngày, trừ trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý của chủ thể dữ liệu cá nhân.
• Khi nhận được yêu cầu xem, chỉnh sửa hoặc yêu cầu chỉnh sửa dữ liệu cá nhân, cung cấp dữ liệu cá nhân theo đúng thủ tục của chủ thể dữ liệu cá nhân, trong thời hạn 02 ngày làm việc, bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân không phản hồi cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong thời hạn 10 ngày.
• Khi nhận được yêu cầu xóa dữ liệu cá nhân theo đúng thủ tục của chủ thể dữ liệu cá nhân, bên kiểm soát dữ liệu cá nhân, trong thời hạn 02 ngày làm việc, bên kiểm soát và xử lý dữ liệu cá nhân không phản hồi, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong thời hạn 20 ngày.
• Khi nhận được yêu cầu thực hiện các biện pháp, giải pháp bảo vệ dữ liệu cá nhân của mình theo đúng thủ tục của chủ thể dữ liệu cá nhân, trong thời hạn 02 ngày làm việc, cơ quan có thẩm quyền hoặc cơ quan, tổ chức, cá nhân liên quan đến xử lý dữ liệu cá nhân không phản hồi, cung cấp đầy đủ thông tin cho chủ thể dữ liệu cá nhân về thủ tục và thực hiện trong thời hạn 15 ngày.

Trên thực tế, quy định về thời hạn nêu trên sẽ tạo ra không ít khó khăn cho doanh nghiệp khi mà hiện tại khối lượng dữ liệu cá nhân mà doanh nghiệp xử lý không hề ít, mà bên cạnh đó còn rất phức tạp bởi doanh nghiệp còn xử lý các dữ liệu cá nhân đến từ nhiều nguồn khác nhau. Mức độ ứng phó sẽ phụ thuộc nhiều vào sự chuẩn bị của doanh nghiệp bao gồm chuẩn bị về quy trình, biểu mẫu, chuẩn bị cả sự sẵn sàng của bộ phận, nhân sự phụ trách về dữ liệu cá nhân trong doanh nghiệp …

3. Vi phạm quy định về sự đồng ý của chủ thể dữ liệu

Trong kỷ nguyên số, “Sự đồng ý” được xem là bắt buộc trong quan hệ giữa chủ thể dữ liệu cá nhân và tổ chức xử lý. Mọi hành vi xâm phạm đến quyền tự quyết này hoặc thiếu minh chứng về sự đồng ý đều phải đối mặt với các chế tài rất nặng tại Điều 59 của Dự thảo Nghị định:

Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với các hành vi:

• Việc xử lý dữ liệu cá nhân không được sự đồng ý của chủ thể dữ liệu, trừ trường hợp pháp luật có quy định khác;
• Chủ thể dữ liệu bị bắt buộc phải đồng ý cho xử lý dữ liệu cá nhân với các mục đích khác với nội dung thỏa thuận;
• Sự đồng ý của chủ thể dữ liệu cá nhân không được thể hiện bằng phương thức rõ ràng, cụ thể, có thể in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

Phạt tiền từ 70.000.000 đồng đến 100.000.000 đồng đối với các hành vi:

• Tiếp tục thực hiện xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu có quyết định khác hoặc khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản;
• Xử lý dữ liệu cá nhân khi chủ thể dữ liệu im lặng hoặc không phản hồi trước yêu cầu đồng ý;
• Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không chứng minh hoặc không nhận chứng minh rằng chủ thể dữ liệu đã đồng ý cho xử lý dữ liệu cá nhân.

Với việc cụ thể hóa các quyền của chủ thể dữ liệu cá nhân từ Luật bảo vệ dữ liệu cá nhân đến Nghị định 356/2025/NĐ- CP, thì tại dự thảo xử phạt, các vi phạm của doanh nghiệp liên quan đến xử lý dữ liệu mà chưa nhận được sự đồng ý hoặc không lưu giữ các chứng cứ chứng minh về việc chủ thể dữ liệu cá nhân đã đồng hiện áp dụng các mức phạt khá cao. Vì vậy về phía doanh nghiệp cần dựa trên cơ chế quản lý hiện tại, cấu trúc ngành nghề hoạt động, các nền tảng thương mại điện tử sử dụng để từ đó thiết kế các hình thức lưu trữ sự đồng ý của chủ thể dữ liệu cá nhân. Lưu ý rằng việc sử dụng các ô tích chọn mặc định (pre-ticked boxes) hoặc coi sự “im lặng” là đồng ý không được xem là đúng quy định. Sự đồng ý phải là một hành động khẳng định rõ ràng từ phía chủ thể dữ liệu.

4. Vi phạm quy định về rút lại sự đồng ý

Quyền rút lại sự đồng ý là quyền đối trọng bắt buộc nhằm đảm bảo chủ thể dữ liệu luôn giữ quyền kiểm soát đối với thông tin cá nhân của mình. Mọi hành vi tạo rào cản kỹ thuật hoặc lờ đi yêu cầu này của chủ thể đều bị chế tài nghiêm khắc theo quy định tại Điều 60 của Dự thảo nghị định xử phạt, cụ thể:

Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với các hành vi:

• Ngăn chặn hoặc cố tình gây khó khăn cho sự rút lại sự đồng ý xử lý dữ liệu cá nhân của chủ thể dữ liệu;
• Không thông báo cho chủ thể dữ liệu về hậu quả, thiệt hại có thể xảy ra khi rút lại sự đồng ý.

Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với các hành vi:

• Không ngừng xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu đã rút lại sự đồng ý;
• Không yêu cầu các tổ chức, cá nhân có liên quan ngừng xử lý dữ liệu của chủ thể dữ liệu đã rút lại sự đồng ý.

Với quy định về xử phạt trên có thể thấy, cơ chế rút lại sự đồng ý phải dễ dàng tương đương với khi cho phép đồng ý. Doanh nghiệp cần tránh các lỗi như: ẩn nút “hủy đăng ký”, yêu cầu quy trình giấy tờ phức tạp khi chủ thể muốn dừng chia sẻ dữ liệu trên nền tảng số. Doanh nghiệp có quyền thông báo cho khách hàng rằng việc rút đồng ý có thể làm gián đoạn dịch vụ (ví dụ: không thể nhận thông báo ưu đãi), nhưng thông báo này phải khách quan. Bên cạnh đó đối với các bên có liên quan, khi một khách hàng rút đồng ý, doanh nghiệp có nghĩa vụ phải thông báo và yêu cầu các bên đối tác, bên xử lý dữ liệu thuê ngoài cũng phải dừng lại. Điều này đòi hỏi doanh nghiệp phải có các điều khoản bảo vệ dữ liệu (DPA) chặt chẽ trong hợp đồng với bên thứ ba.

Việc thiết lập một quy trình rút lại sự đồng ý minh bạch không chỉ giúp doanh nghiệp tuân thủ đúng Dự thảo Nghị định mà còn là cách để duy trì mối quan hệ dựa trên sự tin tưởng với khách hàng.

5. Vi phạm quy định về chỉnh sửa dữ liệu cá nhân

Quyền chỉnh sửa đảm bảo dữ liệu cá nhân luôn phản ánh đúng thực tế của chủ thể, đồng thời giảm thiểu rủi ro từ việc sử dụng thông tin sai lệch. Mọi hành vi cản trở hoặc xử lý không đúng quy trình đối với yêu cầu chỉnh sửa đều bị chế tài theo quy định tại Điều 61 của dự thảo xử phạt, cụ thể:

Phạt tiền từ 25.000.000 đồng đến 50.000.000 đồng đối với các hành vi:

• Không cho phép chủ thể dữ liệu được truy cập để xem, chỉnh sửa dữ liệu cá nhân của mình sau khi đã được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân thu thập theo sự đồng ý, trừ trường hợp luật có quy định khác;
• Không chấp thuận yêu cầu đề nghị chỉnh sửa dữ liệu cá nhân trong trường hợp không thể chỉnh sửa trực tiếp vì lý do kỹ thuật hoặc vì lý do khác;
• Cố tình trì hoãn hoặc không chỉnh sửa dữ liệu cá nhân sau khi đã đồng ý với đề nghị của chủ thể dữ liệu;
• Không thông báo tới chủ thể dữ liệu về trường hợp không thể chỉnh sửa dữ liệu cá nhân 02 ngày làm việc kể từ khi nhận được yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu;
• Bên Xử lý dữ liệu cá nhân, Bên thứ ba được chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu khi chưa được Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân đồng ý bằng văn bản và biết rõ rằng đã có sự đồng ý của chủ thể dữ liệu.

Việc chỉnh sửa dữ liệu cá nhân của chủ thể để đúng với thực tế là bắt buộc, trường hợp không thể chỉnh sửa được ngay do yếu tố kỹ thuật, doanh nghiệp phải có quy trình thông báo tự động hoặc phản hồi chính thức cho chủ thể dữ liệu trong vòng 02 ngày làm việc để tránh vi phạm điểm. Đối với các trường hợp dữ liệu phức tạp không thể sửa trực tiếp, doanh nghiệp cần có quy trình tiếp nhận yêu cầu và thực hiện chỉnh sửa thay thế, tuyệt đối không được từ chối vì lý do khó khăn kỹ thuật nếu không có cơ sở pháp lý vững chắc. Bên cạnh đó doanh nghiệp (với vai trò Bên kiểm soát) cần quy định rõ trong hợp đồng rằng mọi hoạt động chỉnh sửa dữ liệu của các đối tác này phải được sự đồng ý bằng văn bản từ doanh nghiệp, nhằm tránh tình trạng dữ liệu bị thay đổi trái phép hoặc mất kiểm soát.

Dự thảo nghị định xử phạt đã bao quát toàn bộ các yêu cầu mà pháp luật đặt ra cho doanh nghiệp trong vấn đề xử lý dữ liệu cá nhân, từ  việc vi phạm khi không sắp xếp nhân sự phụ trách dữ liệu cá nhân, không lập hồ sơ đánh giá tác động, hồ sơ chuyển dữ liệu cá nhân xuyên biên giới… Bên cạnh đó ngoài mức phạt tiền thì còn phạt dựa trên doanh thu, cụ thể bạn tham khảo chi tiết tại Phần 2 liên quan đến các mức phạt vi phạm dữ liệu cá nhân mà dự thảo đang ghi nhận.

Thời gian viết bài: 28/4/2026

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Bạn có thể tham thảo thêm:

• Hướng Dẫn Xây Dựng Chính Sách Bảo Vệ Dữ Liệu Cá Nhân Theo Luật Mới (Phần 1)
• Rút Đơn Khởi Kiện Để Thương Lượng Ngoài Tố Tụng: Góc Nhìn Chiến Lược Trong Giải Quyết Tranh Chấp
• Giao dịch với người có liên quan và những điều kiện để giao dịch có hiệu lực
• Tác Động Pháp Lý Từ Việc Thu Hẹp Phạm Vi Dự Án Phải Chấp Thuận Chủ Trương Đầu Tư Theo Luật Đầu Tư 2025
• Bức Tranh Mới Về Ngành, Nghề Đầu Tư Kinh Doanh Có Điều Kiện Từ Năm 2026: Cắt Giảm Và Chuyển Đổi