Bộ Công an đã xây dựng dự thảo Nghị định về bảo vệ dữ liệu cá nhân. Trong đó có đề xuất phạt đến 80 triệu đồng hành vi tiết lộ dữ liệu cá nhân trái phép.
Cụ thể, tại Điều 22 của Dự thảo Nghị định quy định chi tiết về xử lý vi phạm hành chính đối với những hành vi vi phạm quy định về xử lý dữ liệu cá nhân. Cụ thể như sau:
1. Phạt tiền từ 50 - 80 triệu đồng đối với một trong các hành vi:
a) Vi phạm quy định về quyền của chủ thể dữ liệu liên quan đến xử lý dữ liệu cá nhân.
b) Vi phạm quy định về tiết lộ dữ liệu cá nhân.
c) Vi phạm quy định về hạn chế quyền tiếp cận dữ liệu cá nhân.
d) Vi phạm quy định về sự đồng ý của chủ thể dữ liệu đối với dữ liệu cá nhân.
đ) Vi phạm quy định về xử lý dữ liệu cá nhân sau khi chủ thể dữ liệu chết.
e) Vi phạm quy định về xử lý dữ liệu cá nhân trong trường hợp không có sự đồng ý của chủ thể dữ liệu.
g) Vi phạm quy định về thông báo cho chủ thể dữ liệu về việc xử lý dữ liệu cá nhân.
h) Vi phạm quy định về xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê.
i) Vi phạm quy định về xử lý dữ liệu cá nhân tự động.
k) Vi phạm quy định về xử lý dữ liệu cá nhân của trẻ em.
l) Vi phạm quy định về độ chính xác của dữ liệu cá nhân.
m) Vi phạm quy định về lưu trữ, xóa, hủy dữ liệu cá nhân.
2. Phạt tiền từ 80.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi:
a) Không áp dụng biện pháp kỹ thuật và xây dựng quy định về bảo vệ dữ liệu cá nhân.
b) Vi phạm quy định về đăng ký xử lý dữ liệu cá nhân nhạy cảm.
c) Vi phạm quy định về chuyển dữ liệu cá nhân qua biên giới.
d) Vi phạm lần 2 đối với những hành vi được quy định tại khoản 1 Điều này.
3. Phạt tiền tối đa 5% tổng doanh thu của Bên xử lý vi phạm dữ liệu cá nhân tại Việt Nam đối với các hành vi:
a) Vi phạm lần 3 đối với những hành vi được quy định tại khoản 1 Điều này.
b) Vi phạm lần 2 đối với những hành vi được quy định tại điểm a, b, c khoản 2 Điều này.
4. Hình thức xử phạt bổ sung:
a) Đình chỉ xử lý dữ liệu cá nhân từ 01 - 03 tháng đối với hành vi vi phạm tại khoản 2 Điều này.
b) Tước quyền sử dụng văn bản đồng ý xử lý dữ liệu cá nhân nhạy cảm và chuyển dữ liệu cá nhân ra khỏi biên giới lãnh thổ Việt Nam.
5. Biện pháp khắc phục hậu quả: Buộc nộp lại số tiền có được do thực hiện hành vi vi phạm quy định tại khoản 1, 2 Điều này.
6. Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an có thẩm quyền xử phạt vi phạm hành chính theo quy định tại khoản 1, 2, 3, 4, 5 Điều này.
Tuy nhiên, tại Điều 6 của Dự thảo, Bộ Công an cũng đề xuất các trường hợp bên xử lý dữ liệu cá nhân, bên thứ ba được tiết lộ dữ liệu cá nhân mà không cần sự đồng ý gồm:
- Theo quy định của pháp luật.
- Công bố thông tin là cần thiết vì lợi ích, an ninh quốc gia, trật tự an toàn xã hội.
- Trên phương tiện truyền thông vì mục đích quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội, đạo đức xã hội, sức khỏe của cộng đồng.
- Trên phương tiện truyền thông theo quy định của Luật Báo chí, không gây thiệt hại về kinh tế, danh dự, tinh thần, vật chất cho chủ thể dữ liệu.
- Trong trường hợp được pháp luật quy định là khẩn cấp, nguy cơ đe dọa tới tính mạng hoặc ảnh hưởng nghiêm trọng tới sức khỏe cho chủ thể dữ liệu hoặc sức khỏe cộng đồng.
Dự kiến Dự thảo nghị định này sẽ có hiệu lực từ ngày 01.12.2021.
Điều 2 Dự thảo Nghị định nêu rõ dữ liệu cá nhân gồm thông tin dữ liệu cơ bản và nhạy cảm.
- Dữ liệu cá nhân cơ bản: Họ, chữ đệm và tên khai sinh, bí danh (nếu có); ngày, tháng, năm sinh; nhóm máu, giới tính; số điện thoại; số Chứng minh nhân dân (CMND), số hộ chiếu, số Căn cước công dân, số giấy phép lái xe, số mã số thuế cá nhân, số bảo hiểm xã hội; tình trạng hôn nhân…
- Dữ liệu cá nhân nhạy cảm: Tình trạng giới tính; đời sống, xu hướng tình dục; tình trạng sức khỏe; quan điểm chính trị, tôn giáo; các mối quan hệ xã hội; tài chính để xác định tài khoản, thẻ, công cụ thanh toán, tình trạng tài chính, lịch sử tín dụng, mức thu nhập…
