EY đề cập đến tổ chức toàn cầu và có thể đề cập đến một hoặc nhiều công ty thành viên của Ernst & Young Global Limited, mỗi công ty là một pháp nhân riêng biệt. Ernst & Young Global Limited, một công ty trách nhiệm hữu hạn của Anh, không cung cấp dịch vụ cho khách hàng.
Các tìm kiếm gần đây
Trending
Bản tin Pháp lý | Tháng 3 năm 2025
Bản tin này cập nhật những quy định mới nhất liên quan đến chế tài xử phạt hành chính đối với các vi phạm quy định về bảo vệ dữ liệu.
Nội dung chính
Bản tin này cập nhật những quy định mới nhất liên quan đến chế tài xử phạt hành chính đối với các vi phạm quy định về bảo vệ dữ liệu.
Một số các điểm chính được đề cập như sau:
- Tăng mức phạt tiền và mở rộng các loại hành vi vi phạm liên quan đến thông tin của người tiêu dùng:
- Vi phạm liên quan đến việc thông báo thu thập và sử dụng thông tin của người tiêu dùng
- Vi phạm liên quan đến xử lý thông tin của người tiêu dùng
- Quy định về vi phạm liên quan đến việc ủy quyền hoặc thuê bên thứ ba xử lý thông tin của người tiêu dùng
- Quy định về vi phạm liên quan đến việc xây dựng và công khai quy tắc bảo vệ thông tin của người tiêu dùng
- Quy định về vi phạm liên quan đến xâm phạm hệ thống thông tin
- Trường hợp đặc biệt
- Khía cạnh nghiêm ngặt hơn và khắt khe hơn Nghị định 13/2023/NĐ-CP ngày 17 tháng 4 năm 2024 của Chính phủ về bảo vệ dữ liệu cá nhân (Nghị định 13)
- Khuyến nghị
Chi tiết
Nghị định số 24/2025/NĐ-CP sửa đổi và bổ sung Nghị định số 98/2020/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực bảo vệ quyền lợi người tiêu dùng
Vào ngày 21 tháng 2 năm 2025, Chính phủ đã ban hành Nghị định số 24/2025/NĐ-CP (Nghị định 24) sửa đổi và bổ sung Nghị định số 98/2020/NĐ-CP (Nghị định 98) về xử phạt vi phạm hành chính trong lĩnh vực bảo vệ quyền lợi người tiêu dùng. Nghị định 24 có hiệu lực từ ngày 21 tháng 2 năm 2025 và đánh dấu một bước phát triển quan trọng của pháp luật bảo vệ dữ liệu cá nhân của Việt Nam bằng việc (i) tăng mức phạt tiền cũng như (ii) mở rộng các loại hành vi vi phạm liên quan đến thông tin của người tiêu dùng do các doanh nghiệp thực hiện, như được nêu dưới đây.
So sánh giữa Nghị định 24 và Nghị định 98 đối với vi phạm về bảo vệ dữ liệu
1. Vi phạm liên quan đến việc thông báo thu thập và sử dụng thông tin của người tiêu dùng
Tiêu chí Nghị định 98 Nghị định 24
|
Hành vi vi phạm |
Không thông báo rõ ràng, công khai với người tiêu dùng về mục đích trước khi thực hiện hoạt động thu thập, sử dụng thông tin của người tiêu dùng. |
Không thông báo hoặc thông báo với người tiêu dùng về mục đích, phạm vi thu thập, sử dụng thông tin, thời hạn lưu trữ thông tin của người tiêu dùng trước khi thực hiện thu thập, sử dụng thông tin của người tiêu dùng không đúng quy định. |
|---|---|---|
|
Phạt tiền |
Từ 20 triệu đồng đến 40 triệu đồng |
Từ 40 triệu đồng đến 60 triệu đồng |
2. Vi phạm liên quan đến đến xử lý thông tin của người tiêu dùng
|
Hành vi vi phạm |
|
|
|---|---|---|
|
Phạt tiền |
Từ 20 triệu đồng đến 40 triệu đồng |
Từ 40 triệu đồng đến 60 triệu đồng cho 04 hành vi vi phạm đầu, hoặc từ 60 triệu đến 80 triệu đồng cho 03 hành vi vi phạm sau |
3. Quy định về vi phạm liên quan đến việc ủy quyền hoặc thuê bên thứ ba xử lý thông tin của người tiêu dùng
|
Hành vi vi phạm |
Không quy định. |
|
|---|---|---|
|
Phạt tiền |
Không quy định. |
|
4. Quy định về vi phạm liên quan đến việc xây dựng và công khai quy tắc bảo vệ thông tin của người tiêu dùng
|
Hành vi vi phạm |
Không quy định. |
|
|---|---|---|
|
Phạt tiền |
Không quy định. |
Từ 40 triệu đồng đến 60 triệu đồng |
5. Quy định về vi phạm liên quan đến xâm phạm hệ thống thông tin
|
Hành vi vi phạm |
Không quy định. |
Không thông báo cho cơ quan quản lý nhà nước có thẩm quyền trong thời hạn 24 giờ kể từ thời điểm phát hiện hệ thống thông tin bị tấn công làm phát sinh nguy cơ mất an toàn, an ninh thông tin của người tiêu dùng. |
|---|---|---|
|
Phạt tiền |
Không quy định. |
Từ 60 triệu đồng đến 80 triệu đồng |
6. Trường hợp đặc biệt
|
Hành vi vi phạm & Phạt tiền |
Phạt tiền gấp hai lần đối với trường hợp thông tin có liên quan là thông tin thuộc về bí mật cá nhân của người tiêu dùng. |
Phạt tiền gấp hai lần trong trường hợp thông tin có liên quan là dữ liệu cá nhân nhạy cảm của người tiêu dùng hoặc phạt tiền gấp bốn lần trong trường hợp hành vi vi phạm do tổ chức thiết lập, vận hành nền tảng số lớn thực hiện. |
|---|
So sánh các yêu cầu tuân thủ giữa Nghị định 24 và Nghị định 13 về bảo vệ dữ liệu cá nhân
Đáng chú ý, Luật Bảo vệ quyền lợi người tiêu dùng 2023 và Nghị định 24 có một số khía cạnh nghiêm ngặt hơn và khắt khe hơn Nghị định số 13 về bảo vệ dữ liệu cá nhân. Các doanh nghiệp B2C và các nền tảng số cần lưu ý các yêu cầu này, bao gồm:
- Sự đồng ý của chủ thể dữ liệu/người tiêu dùng: Ngoài các mục đích xử lý dữ liệu được quy định trong Nghị định 13, người tiêu dùng theo Nghị định 24 có quyền lựa chọn phạm vi thông tin mà họ đồng ý cung cấp. Người tiêu dùng cũng có thể cho phép hoặc không cho phép việc chia sẻ, tiết lộ hoặc chuyển giao thông tin cho bên thứ ba; hoặc việc sử dụng thông tin của họ để quảng cáo và giới thiệu sản phẩm, hàng hóa, dịch vụ và các hoạt động thương mại khác.
- Thay đổi mục đích xử lý dữ liệu/thông tin của người tiêu dùng: Khi có sự thay đổi về mục đích xử lý dữ liệu, Nghị định 13 không đưa hướng dẫn rõ ràng về các bước mà bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân cần thực hiện. Trong khi đó, theo Nghị định 24, tổ chức thu thập và sử dụng thông tin người tiêu dùng có nghĩa vụ minh thị là thông báo và nhận được sự đồng ý của người tiêu dùng trước khi thay đổi mục đích và phạm vi sử dụng thông tin đã thông báo cho người tiêu dùng.
- Xử lý vi phạm đối với dữ liệu/thông tin của người tiêu dùng: Theo Nghị định 13, bên kiểm soát dữ liệu cá nhân phải thông báo cho A05 trong vòng 72 giờ sau khi xảy ra hành vi vi phạm. Trong khi đó, theo Nghị định 24, các tổ chức phải thông báo cho cơ quan quản lý nhà nước có thẩm quyền trong vòng 24 giờ kể từ thời điểm phát hiện hệ thống thông tin bị tấn công làm phát sinh nguy cơ mất an toàn, an ninh thông tin của người tiêu dùng.
- Quyền của chủ thể dữ liệu: Nghị định 24 cũng quy định quyền của người tiêu dùng được yêu cầu kiểm tra, hủy bỏ, chuyển giao hoặc ngừng chuyển giao thông tin của người tiêu dùng. Các tổ chức thu thập và sử dụng thông tin người tiêu dùng có nghĩa vụ tuân thủ các yêu cầu này hoặc cung cấp cho người tiêu dùng các công cụ và thông tin để tự thực hiện.
Như vậy, các biện pháp xử phạt quy định tại Nghị định 24 không chỉ đặt ra yêu cầu về sự tuân thủ Nghị định 13 mà còn phải đáp ứng các tiêu chuẩn nghiêm ngặt theo Luật Bảo vệ Quyền lợi Người tiêu dùng 2023. Cần lưu ý rằng mặc dù Nghị định 24 chỉ quy định hình thức phạt tiền đối với hành vi vi phạm quyền riêng tư dữ liệu của người tiêu dùng, tuy nhiên, một khi Dự thảo Luật Bảo vệ dữ liệu cá nhân và Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng có hiệu lực thi hành, các hình phạt bổ sung và biện pháp khắc phục có thể được áp dụng, bao gồm việc tạm đình chỉ xử lý dữ liệu cá nhân hoặc tước quyền sử dụng giấy phép kinh doanh, giấy phép hành nghề có thời hạn.
Khuyến nghị
Để tránh rủi ro bị xử phạt về mặt tài chính, bị áp dụng các hình phạt bổ sung và các biện pháp khắc phục, bị buộc ngừng hoạt động, thiệt hại về danh tiếng cũng như mất lòng tin của khách hàng, các doanh nghiệp được khuyến nghị phát triển hoặc xem xét các khung bảo vệ dữ liệu, chính sách, biểu mẫu thu thập sự đồng ý, thông báo xử lý dữ liệu, hợp đồng và quy trình liên quan, quản lý nội bộ, quản lý rủi ro bên thứ ba cũng như chính sách ứng phó vi phạm, đảm bảo tuân thủ cả Nghị định 13 và Luật Bảo vệ quyền lợi người tiêu dùng 2023. Điều này đặc biệt quan trọng đối với các doanh nghiệp thiết lập và vận hành các nền tảng số — là các chủ thể có thể phải đối mặt với mức phạt nặng nếu không tuân thủ.