Cảnh báo rủi ro: Doanh nghiệp cần làm gì để tuân thủ quy định bảo vệ dữ liệu cá nhân

Bảo vệ dữ liệu cá nhân là yêu cầu bắt buộc đối với doanh nghiệp trong thời đại số hóa. Các quy định pháp luật ngày càng nghiêm ngặt đòi hỏi doanh nghiệp phải hành động kịp thời để tránh rủi ro pháp lý và củng cố uy tín.

Trong phạm vi bài viết này, Luật Kỳ Vọng Việt sẽ làm rõ Cảnh báo rủi ro: Doanh nghiệp cần làm gì để tuân thủ quy định bảo vệ dữ liệu cá nhân, dựa trên các quy định của pháp luật.

I. Trách nhiệm pháp lý của doanh nghiệp để tuân thủ quy định

– Xây dựng chính sách nội bộ

Thiết lập quy trình, hướng dẫn bảo vệ dữ liệu cá nhân (chính sách privacy). Đào tạo nhân viên về an toàn thông tin và quyền riêng tư.

– Xin đồng ý rõ ràng

Trước khi thu thập dữ liệu cá nhân, doanh nghiệp phải yêu cầu chủ thể cung cấp sự đồng ý tự nguyện, cụ thể, rõ ràng về mục đích sử dụng dữ liệu. Theo Nghị định 13/2023/NĐ-CP, “sự đồng ý của chủ thể dữ liệu là việc thể hiện rõ ràng, tự nguyện, khẳng định cho phép xử lý dữ liệu cá nhân”. Quy trình thu thập phải ghi nhận thời điểm, nội dung đồng ý, đảm bảo người dùng có thể rút lại.

– Giới hạn mục đích và dữ liệu

Chỉ thu thập, lưu giữ dữ liệu cần thiết cho mục đích đã khai báo. Không thu thập quá mức. Nghị định 13/2023/NĐ-CP quy định dữ liệu cá nhân phải thu thập phù hợp, giới hạn trong phạm vi và mục đích đã đăng ký, và nghiêm cấm mua/bán dữ liệu cá nhân dưới mọi hình thức.

– Bảo mật dữ liệu

+ Áp dụng biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ DLCN trong quá trình xử lý.

+ Yêu cầu bảo vệ, bảo mật DLCN để ngăn chặn mất mát, thay đổi, hủy hoại, truy cập trái phép.

+ Đồng thời cần quy định phân quyền, theo dõi nhật ký truy cập để phát hiện hành vi bất thường.

– Chỉ định người phụ trách

+ Doanh nghiệp nên bổ nhiệm một cán bộ hoặc bộ phận chịu trách nhiệm quản lý dữ liệu cá nhân.

+ Người này giám sát việc thực thi chính sách, xử lý yêu cầu và phối hợp báo cáo sự cố.

– Quy trình phản hồi và thông báo

+ Thiết lập kênh cho chủ thể dữ liệu yêu cầu truy cập, cập nhật hoặc xóa dữ liệu.

+ Quy định thời hạn phản hồi tối đa 72 giờ (theo Nghị định 13/2023/NĐ-CP).

+ Nếu xảy ra rò rỉ, mất mát dữ liệu, doanh nghiệp phải:

• Thông báo cho Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao.
• Thông báo cho người bị ảnh hưởng theo quy định.

– Đánh giá tác động

Đối với những hoạt động xử lý có rủi ro cao (thường là dữ liệu nhạy cảm hay chuyển dữ liệu ra nước ngoài), doanh nghiệp nên thực hiện đánh giá tác động về quyền riêng tư theo hướng dẫn của Bộ Công an (dự kiến bắt buộc trong dự thảo Luật bảo vệ dữ liệu cá ).

– Tuân thủ chính sách và luật chuyên ngành

Ngoài Nghị định 13/2023/NĐ-CP, tùy ngành nghề doanh nghiệp còn phải tuân Luật An toàn thông tin mạng (2015), Luật An ninh mạng (2018) và các quy định chuyên ngành (y tế, tín dụng, viễn thông, …) liên quan đến bảo mật thông tin và dữ liệu cá nhân. Ví dụ, Luật An ninh mạng yêu cầu các mạng xã hội, nền tảng trực tuyến thu thập thông tin cá nhân của người VN phải lưu trữ và sao lưu dữ liệu tại Việt Nam, sẵn sàng cung cấp khi cơ quan chức năng yêu cầu.

II. Hệ quả pháp lý khi doanh nghiệp vi phạm

– Nghị định 15/2020/NĐ-CP ngày 03 tháng 02 năm 2020 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện quy định:

+ Phạt 10-50 triệu đồng: Vi phạm quy định thu thập, sử dụng thông tin cá nhân (Điều 84).

+ Phạt 10-50 triệu đồng: Vi phạm quy định cập nhật, sửa đổi, hủy bỏ thông tin cá nhân (Điều 85).

+ Phạt 10-70 triệu đồng: Vi phạm quy định bảo đảm an toàn thông tin cá nhân trên mạng (Điều 86).

– Nghị định 117/2020/NĐ-CP quy định mức phạt tiết lộ hồ sơ bệnh án mà bệnh nhân không đồng ý như sau: hành vi tự ý tiết lộ hồ sơ bệnh án không chính đáng khi chưa nhận được sự đồng ý từ bệnh nhân có thể bị áp dụng mức phạt tiền từ 1-3 triệu đồng (điểm c khoản 3 Điều 38).

– Nghị định 130/2021/NÐ-CP quy định mức phạt đối với hành vi vi phạm quy định về cấm công bố, tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của trẻ em là từ 20-30 triệu đồng (Điều 31).

– Nghị định 24/2025/NĐ-CP, mức phạt đối với hành vi phạm về DLCN có thể bị phạt từ 20-160 triệu đồng.

– Điều 4 Nghị định 13/2023/NĐ-CP, cơ quan, tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân “tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt hành chính, xử lý hình sự theo quy định”. Cụ thể:

a. Xử phạt hành chính

Nghị định 13/2023/NĐ-CP chưa nêu chi tiết mức phạt, nhưng hiện có kế hoạch ban hành nghị định chuyên đề để quy định phạt hành chính trong lĩnh vực này. Theo Dự thảo Nghị định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng, các hình phạt có thể rất nghiêm (phạt tiền nặng) đối với hành vi như thu thập dữ liệu không có đồng ý, vi phạm mục đích xử lý, tiết lộ dữ liệu, không báo cáo sự cố… Nếu vi phạm quy định an toàn thông tin (Luật ATTTM 2015), cơ quan chức năng cũng có thể xử phạt theo Luật An toàn thông tin mạng. Ví dụ, Luật An toàn thông tin mạng nghiêm cấm “thu thập, sử dụng, phát tán, kinh doanh trái phép thông tin cá nhân của người khác; lợi dụng sơ hở của hệ thống để khai thác thông tin cá nhân” – vi phạm là hành vi bị xử phạt hoặc truy cứu trách nhiệm.

b. Trách nhiệm hình sự

Hiện Việt Nam chưa có quy định tội danh riêng cho “xâm phạm dữ liệu cá nhân” trong Bộ luật Hình sự. Tuy nhiên, nếu mức độ hành vi nghiêm trọng, có thể bị truy cứu các tội khác tùy tính chất: ví dụ “Tội xâm phạm bí mật tư” (thu thập chi tiết trái phép thông tin cá nhân dưới hình thức ghi âm, lén nghe, trộm cắp thông tin) theo Điều 159 Bộ luật Hình sự; tội “Lợi dụng tín nhiệm chiếm đoạt tài sản” nếu dùng dữ liệu để lừa đảo; hoặc tội “Sản xuất, buôn bán, phát tán phần mềm, công cụ trái phép” gây rủi ro an ninh mạng. Trường hợp bị mất dữ liệu do sơ suất, doanh nghiệp cũng có thể chịu trách nhiệm bồi thường thiệt hại dân sự cho người bị ảnh hưởng theo Điều 608 Bộ luật Dân sự 2015 (bồi thường tổn thất về nhân phẩm, uy tín). Ngoài ra cá nhân vi phạm trong tổ chức có thể bị xử lý kỷ luật nội bộ (chấm dứt hợp tác, hợp đồng).

c. Các hậu quả khác

– Uy tín và niềm tin của khách hàng, đối tác có thể suy giảm nghiêm trọng.

– Có thể bị khách hàng tố cáo hoặc khởi kiện ra tòa yêu cầu bồi thường.

– Điều 25, Dự thảo Nghị định về Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng có quy định:

+ Phạt 70-100 triệu đồng nếu không lập/gửi hồ sơ, không thông báo, không chấp hành yêu cầu.

+ Phạt tăng gấp 2-5 lần hoặc từ 3-5% doanh thu tùy số lượng dữ liệu bị lộ/chuyển ra nước ngoài.

+ Phạt bổ sung: Tước giấy phép, thu phương tiện, trục xuất người nước ngoài, đình chỉ từ 1-3 tháng.

– Vi phạm Luật An ninh mạng có thể bị rút giấy phép hoạt động, chấm dứt cung cấp dịch vụ.

III. Các quy định sắp ban hành, dự thảo cần theo dõi

1. Dự thảo Luật Bảo vệ Dữ liệu Cá nhân (Bộ Công an soạn thảo, xin ý kiến 09/2024).

2. Luật Dữ liệu (Quốc hội thông qua tháng 11/2024, hiệu lực 01/7/2025).

3. Đề án và chuẩn quốc gia.

IV. Kết luận

Việc tuân thủ các quy định bảo vệ dữ liệu cá nhân không chỉ giúp doanh nghiệp tránh được các rủi ro pháp lý mà còn xây dựng niềm tin với khách hàng và đối tác.

Trên đây là nội dung tư vấn về Cảnh báo rủi ro: Doanh nghiệp cần làm gì để tuân thủ quy định bảo vệ dữ liệu cá nhân. Nếu bạn còn thắc mắc liên quan đến vấn đề này, hãy liên hệ với Luật Kỳ Vọng Việt để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492

Xem thêm:

• Các trường hợp không được bồi thường khi Nhà nước thu hồi đất
• Quy định của pháp luật về tuyên bố mất tích, tuyên bố chết đối với một người
• Giá trị của “Mẫu sổ đỏ cũ” và việc chuyển đổi sang mẫu “Sổ đỏ mới”
• Án lệ 03/2016/AL: Quyết định giám đốc thẩm vụ ly hôn tại Hà Nội
• Án lệ 04/2016: Tranh chấp hợp đồng chuyển nhượng quyền sử dụng đất