Xử phạt hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân

Với sự ra đời của các quy định pháp luật mới về dữ liệu cá nhân, việc tuân thủ các quy tắc bảo vệ dữ liệu cá nhân đã trở thành nghĩa vụ pháp lý bắt buộc. Bất kỳ sai sót hoặc cố ý vi phạm nào trong quá trình thu thập, lưu trữ, xử lý và chuyển giao dữ liệu cá nhân đều có thể dẫn đến xử phạt hành chính nặng nề.

Bài viết này Luật Kỳ Vọng Việt sẽ tổng hợp phân tích chi tiết các quy định về xử phạt hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân.

I. Quy định chung

Căn cứ pháp lý:

Điều 21, 28 Luật Xử lý vi phạm hành chính 2012
Điều 3 Nghị định 15/2020/NĐ-CP

1. Các biện pháp xử phạt chính

Cảnh cáo
Phạt tiền
Tước quyền sử dụng giấy phép, chứng chỉ hành nghề hoặc đình chỉ hoạt động có thời hạn từ 01 tháng đến 24 tháng đối với giấy phép, chứng chỉ trong lĩnh vực bảo vệ dữ liệu cá nhân, an toàn thông tin mạng, cung cấp dịch vụ số
Trục xuất
Tịch thu tang vật, phương tiện vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân và an toàn thông tin mạng;
Đình chỉ hoạt động xử lý dữ liệu cá nhân có thời hạn từ 01 tháng đến 24 tháng;

2. Các biện pháp xử phạt bổ sung

Tước quyền sử dụng giấy phép, chứng chỉ hành nghề hoặc đình chỉ hoạt động có thời hạn từ 01 tháng đến 24 tháng đối với giấy phép, chứng chỉ trong lĩnh vực bảo vệ dữ liệu cá nhân, an toàn thông tin mạng, cung cấp dịch vụ số
Đình chỉ hoạt động xử lý dữ liệu cá nhân có thời hạn từ 01 tháng đến 24 tháng;
Tịch thu tang vật, phương tiện vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân và an toàn thông tin mạng;
Trục xuất

Đối với các hình thức xử phạt bổ sung, có thể được áp dụng như là một hình thức xử phạt bổ sung hoặc hình thức xử phạt chính

3. Các biện pháp khắc phục

Buộc khôi phục lại tình trạng ban đầu;
Buộc tháo dỡ công trình, phần công trình xây dựng không có giấy phép hoặc xây dựng không đúng với giấy phép;
Buộc thực hiện biện pháp khắc phục tình trạng ô nhiễm môi trường, lây lan dịch bệnh;
Buộc đưa ra khỏi lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam hoặc tái xuất hàng hoá, vật phẩm, phương tiện;
Buộc tiêu hủy hàng hóa, vật phẩm gây hại cho sức khỏe con người, vật nuôi, cây trồng và môi trường, văn hóa phẩm có nội dung độc hại;
Buộc cải chính thông tin sai sự thật hoặc gây nhầm lẫn;
Buộc loại bỏ yếu tố vi phạm trên hàng hoá, bao bì hàng hóa, phương tiện kinh doanh, vật phẩm;
Buộc thu hồi sản phẩm, hàng hóa không bảo đảm chất lượng;
Buộc nộp lại số lợi bất hợp pháp có được do thực hiện vi phạm hành chính hoặc buộc nộp lại số tiền bằng trị giá tang vật, phương tiện vi phạm hành chính đã bị tiêu thụ, tẩu tán, tiêu hủy trái quy định của pháp luật;
Các biện pháp khắc phục hậu quả khác do Chính phủ quy định.

II. Các mức phạt đối với một số hành vi vi phạm về lĩnh vực bảo vệ dữ liệu cá nhân

Căn cứ pháp lý:

Điều 81, 84, 85, 86 Nghị định 15/2020/NĐ-CP
Điều 8 Luật Bảo vệ dữ liệu cá nhân 2025
Điều 46 Nghị định 24/2025/NĐ-CP

1. Thu thập, sử dụng thông tin cá nhân trái pháp luật

Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi:

Thu thập thông tin cá nhân khi chưa có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó
Cung cấp thông tin cá nhân cho bên thứ ba khi chủ thể thông tin cá nhân đã yêu cầu ngừng cung cấp

Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi:

Sử dụng không đúng mục đích thông tin cá nhan đã thỏa thuân khi thu thập hoặc khi chưa có sự dồng ý của chủ thể thông tin cá nhân

2. Tiết lộ, chia sẻ thông tin cá nhân trái phép

Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi:

Cung cấp hoặc chia sẻ hoặc phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ 3 khi chưa có sự đồng ý của chủ thông tin cá nhân
Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác

3. Không thực hiện biện pháp bảo vệ, bảo mật thông tin, dữ liệu cá nhân

Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với hành vi tuân thủ không đầy đủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn thông tin mạng
Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với hành vi không tuân thủ các tiêu chuẩn, quy chuẩn kĩ thuật về bảo đảm an toàn thông tin mạng
Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi không áp dụng ngay biện pháp khắc phục, ngăn chặn khi có nguy cơ xảy ra sự cố an toàn thông tin mạng
Phạt tiền từ 50.000.000 đồng đến 70.000.000 đồng đối với hành vi không áp dụng ngay biện pháp khắc phục, ngăn chặn trong khi xảy ra sự cố an toàn thông tin mạng

4. Không bảo đảm quyền của chủ thể dữ liệu

Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với hành vi không thông báo cho chủ thể thông tin cá nhân đã lưu trữ hoặc chưa thực hiện được biện pháp phù hợp để bảo vệ thông tin cá nhân do yếu tố kĩ thuật

Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với một trong các hành vi sau:

Không cập nhật, sửa đổi, hủy bỏ thông tin cá nhân đã lưu trữ theo yêu cầu của chủ thể thông tin cá nhân hoặc không cung cấp cho chủ thể thông tin cá nhân quyền tiếp cận để tự cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của họ
Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi không áp dụng biện pháp quản lý hoặc biện pháp kỹ thuật theo quy định để bảo vệ thông tin cá nhân
Không hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ

5. Mức phạt đối với những vi phạm về bảo vệ dữ liệu cá nhân

Đối với hành vi mua, bán dữ liệu cá nhân: 10 lần khoản thu có được từ hành vi vi phạm, trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn mức phạt tiền tối đa quy định thì áp dụng theo mức phạt tiền tối đa đó
Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới: 5% doanh thu của năm trước liền kề của tổ chức thực hiện hành vi vi phạm, trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn mức phạt tiền tối đa theo quy định thì áp dụng mức phạt tiền theo quy định
Mức phạt tiền tối đa trong xử phạt vi phạm hành chính đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân là 03 tỷ đồng.
Mức phạt tiền tối đa này được áp dụng đối với tổ chức, cá nhân thực hiện cùng hành vi vi phạm thì mức phạt tiền tối đa bằng một phần hai đối với tổ chức

6. Các hành vi khác vi phạm về quy định bảo vệ dữ liệu cá nhân

6.1. Phạt 20.000.000 đến 30.000.000 đối với một trong số các hành vi:

Không lập văn bản để thực hiện ủy quyền hoặc thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng theo quy định.
Lập văn bản ủy quyền hoặc thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng nhưng nội dung văn bản không quy định phạm vi, trách nhiệm của mỗi bên trong việc bảo vệ thông tin của người tiêu dùng.
Ủy quyền hoặc thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dùng nhưng chưa được sự đồng ý của người tiêu dùng.
Không xây dựng hoặc xây dựng quy tắc bảo vệ thông tin áp dụng chung cho người tiêu dùng không đầy đủ nội dung theo quy định.
Không công khai hoặc công khai quy tắc bảo vệ thông tin áp dụng chung cho người tiêu dùng không đúng hình thức.
Không cho người tiêu dùng tiếp cận quy tắc bảo vệ thông tin áp dụng chung cho người tiêu dùng trước hoặc tại thời điểm thu thập thông tin.

Ngoài ra còn có các hành vi khác như:

Không thông báo hoặc thông báo với người tiêu dùng về mục đích, phạm vi thu thập, sử dụng thông tin, thời hạn lưu trữ thông tin trước khi thực hiện thu thập, sử dụng thông tin.
Thực hiện thu thập, sử dụng thông tin của người tiêu dùng khi chưa được người tiêu dùng đồng ý.
Không thiết lập phương thức để người tiêu dùng lựa chọn phạm vi thông tin đồng ý cung cấp và bày tỏ sự đồng ý hoặc không đồng ý.
Không thông báo lại cho người tiêu dùng trước khi thay đổi mục đích, phạm vi sử dụng thông tin đã thông báo hoặc thay đổi khi chưa được người tiêu dùng đồng ý.
Sử dụng thông tin của người tiêu dùng không chính xác, không phù hợp với mục đích, phạm vi đã thông báo.
Không cho người tiêu dùng lựa chọn việc cho phép hoặc không cho phép thực hiện các hành vi theo quy định.
Không thực hiện yêu cầu của người tiêu dùng về việc kiểm tra, chỉnh sửa, cập nhật, hủy bỏ, chuyển giao hoặc ngừng chuyển giao thông tin của người tiêu dùng hoặc không cung cấp công cụ, thông tin để người tiêu dùng tự thực hiện.
Không hủy bỏ thông tin của người tiêu dùng khi hết thời hạn lưu trữ.

6.2. Phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với một trong các hành vi:

Không tiếp nhận hoặc không giải quyết phản ánh, yêu cầu, khiếu nại của người tiêu dùng liên quan đến việc thông tin bị thu thập trái phép, sử dụng sai mục đích, phạm vi đã thông báo.
Không thông báo cho cơ quan quản lý nhà nước có thẩm quyền trong 24 giờ kể từ thời điểm phát hiện hệ thống thông tin bị tấn công làm phát sinh nguy cơ mất an toàn, an ninh thông tin của người tiêu dùng.
Không có biện pháp bảo đảm an toàn, an ninh thông tin của người tiêu dùng khi thu thập, lưu trữ, sử dụng hoặc không có biện pháp ngăn ngừa các hành vi vi phạm an toàn, an ninh thông tin.
Chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi chưa có sự đồng ý của người tiêu dùng.
Phạt tiền gấp hai lần đối với các hành vi trên nếu thông tin liên quan là dữ liệu cá nhân nhạy cảm của người tiêu dùng
Phạt tiền gấp bốn lần đối với các hành vi trên nếu do tổ chức thiết lập, vận hành nền tảng số lớn thực hiện.

KẾT LUẬN

Xử phạt hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân không chỉ là cảnh báo mà còn là thực tế pháp lý mà mọi tổ chức, cá nhân phải đối mặt nếu không tuân thủ. Việc tuân thủ, đào tạo nhân sự, và lập các hồ sơ pháp lý bắt buộc là cách tốt nhất để giảm thiểu rủi ro bị xử phạt và bảo vệ uy tín doanh nghiệp, tổ chức và cá nhân.

Trên đây là Xử phạt hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân. Nếu bạn còn thắc mắc liên quan đến vấn đề này. Hãy liên hệ với Luật Kỳ Vọng Việt để được tư vấn, hỗ trợ một cách chính xác nhất.

Trân trọng cảm ơn!

Zalo: 090.225.5492