Vi phạm quy định về bảo vệ dữ liệu cá nhân có thể khiến doanh nghiệp phải đối mặt với mức xử phạt nghiêm khắc, lên tới 03 tỷ đồng hoặc 5% tổng doanh thu.

Vi phạm dữ liệu cá nhân: Trường hợp nào bị phạt tới 3 tỷ hoặc 5% doanh thu?

Theo quy định tại Điều 8 Luật Bảo vệ dữ liệu cá nhân, tổ chức, cá nhân có hành vi vi phạm quy định của Luật này và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với hành vi mua, bán dữ liệu cá nhân là 10 lần khoản thu có được từ hành vi vi phạm. Trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền tối đa là 03 tỷ đồng.

Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới là 5% doanh thu của năm trước liền kề của tổ chức đó. Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn 03 tỷ đồng thì áp dụng mức phạt tiền tối đa là 03 tỷ đồng.

Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.

Các mức phạt tiền tối đa nêu trên được áp dụng đối với tổ chức; cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng 1/2 mức phạt tiền đối với tổ chức.

Chính phủ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

Như vậy:

Hành vi mua, bán dữ liệu cá nhân áp dụng mức phạt là 10 lần khoản thu có được từ hành vi vi phạm.

Mức phạt hành chính lên tới 03 tỷ được áp dụng cho tổ chức thuộc một trong các trường hợp:

– Mua, bán dữ liệu cá nhân không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 03 tỷ đồng.

– Tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn 03 tỷ đồng.

– Vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân.

Mức phạt 5% doanh thu của năm liền kề trước được áp dụng đối với tổ chức có hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới có doanh thu trong năm trước liền kề.

Mức phạt đối với các hành vi vi phạm nguyên tắc bảo vệ dữ liệu cá nhân (đề xuất)

Theo Điều 57 dự thảo Nghị định quy định xử phạt vi phạm hành chính trong an ninh mạng và bảo vệ dữ liệu cá nhân của Bộ Thông tin và Truyền thông, hành vi vi phạm nguyên tắc bảo vệ dữ liệu cá nhân bị xử phạt như sau:

Phạt tiền từ 50 – 70 triệu đồng đối với một trong các hành vi sau:

  • Dữ liệu cá nhân được xử lý trái quy định của pháp luật.
  • Thu thập, xử lý dữ liệu cá nhân không đúng phạm vi, mục đích cụ thể, rõ ràng.
  • Dữ liệu cá nhân không đảm bảo độ chính xác và không được chỉnh sửa, cập nhật, bổ sung khi cần thiết.
  • Dữ liệu cá nhân được lưu trữ quá khoảng thời gian phù hợp với mục đích xử lý dữ liệu cá nhân.
  • Không thực hiện có hiệu quả các biện pháp, giải pháp về thể chế, kỹ thuật, con người phù hợp để bảo vệ dữ liệu cá nhân.
  • Không chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, xử lý kịp thời, nghiêm minh mọi hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.
  • Bảo vệ dữ liệu cá nhân không gắn với bảo vệ lợi ích quốc gia, dân tộc, phục vụ phát triển kinh tế – xã hội, bảo đảm quốc phòng, an ninh và đối ngoại; bảo đảm hài hòa giữa bảo vệ dữ liệu cá nhân với bảo vệ quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

Phạt tiền từ 70 – 100 triệu đồng đối với một trong các hành vi sau:

  • Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, gây ảnh hưởng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
  • Cản trở hoạt động bảo vệ dữ liệu cá nhân.
  • Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật.
  • Xử lý dữ liệu cá nhân trái quy định của pháp luật.
  • Sử dụng dữ liệu cá nhân của người khác, cho người khác sử dụng dữ liệu cá nhân của mình để thực hiện hành vi trái quy định của pháp luật.
  • Mua, bán dữ liệu cá nhân, trừ trường hợp luật có quy định khác.
  • Chiếm đoạt, cố ý làm lộ, làm mất dữ liệu cá nhân.

Hình thức xử phạt bổ sung, tùy từng hành vi:

  • Tịch thu tang vật, phương tiện vi phạm hành chính.
  • Đình chỉ có thời hạn xử lý dữ liệu cá nhân từ 01 tháng đến 03 tháng.

Biện pháp khắc phục hậu quả, tùy từng hành vi:

  • Buộc hủy, xóa tới mức không thể khôi phục dữ liệu cá nhân.
  • Buộc hoàn trả hoặc buộc nộp lại số lợi bất hợp pháp có được do thực hiện hành vi vi phạm.
  • Công khai xin lỗi chủ thể dữ liệu cá nhân đối với các hành vi vi phạm.

Trên đây là thông tin mà Mys Law cung cấp. Mọi thắc mắc liên quan đến nội dung bài viết xin vui lòng liên hệ 0969.361.319 hoặc email: [email protected] để được giải đáp.