Mức phạt tiền tối đa 5% tổng doanh thu
Mức phạt trên áp dụng đối với trường hợp bên xử lí vi phạm dữ liệu cá nhân tại Việt Nam vi phạm nhiều lần (lần 2, lần 3).
Cụ thể, các hành vi vi phạm lần 2 đối với các trường hợp: Không áp dụng biện pháp kĩ thuật và xây dựng quy định về bảo vệ dữ liệu cá nhân; vi phạm quy định về đăng kí xử lí dữ liệu cá nhân nhạy cảm; vi phạm quy định về chuyển dữ liệu cá nhân qua biên giới…
Còn các hành vi vi phạm lần 3 được đề xuất xử phạt tiền tối đa 5% doanh thu đối với các trường hợp như: Vi phạm quy định về quyền của chủ thể dữ liệu liên quan đến xử lí dữ liệu cá nhân; vi phạm quy định về tiết lộ dữ liệu cá nhân; vi phạm quy định về sự đồng ý của chủ thể dữ liệu đối với dữ liệu cá nhân; vi phạm quy định về xử lí dữ liệu cá nhân trong trường hợp không có sự đồng ý của chủ thể dữ liệu; vi phạm quy định về xử lí dữ liệu cá nhân của trẻ em; vi phạm quy định về lưu trữ, xóa, hủy dữ liệu cá nhân…
Cùng với mức phạt tiền tối đa 5% doanh thu, dự thảo cũng qui định, trong một số trường hợp hành vi vi phạm xử lí dữ liệu cá nhân bị phạt tiền từ 50-80 triệu đồng và từ 80-100 triệu đồng, cùng với các hình thức xử phạt bổ sung như đình chỉ xử lí dữ liệu cá nhân và tước quyền sử dụng văn bản đồng ý xử lí dữ liệu cá nhân nhạy cảm và chuyển dữ liệu cá nhân ra khỏi biên giới lãnh thổ Việt Nam.
Bước tiến bảo vệ quyền riêng tư
Vậy trong trường hợp phạt tiền với tỉ lệ tối đa 5% tổng doanh thu được hiểu như thế nào và là cao hay thấp?
Một tham chiếu có thể giúp hiểu thêm về mức phạt tiền tính theo tỉ lệ là Bộ Luật Bảo vệ Dữ liệu Châu Âu (General Data Protection Regulation - GDPR) có hiệu lực từ ngày 5.5.2018. Theo đó, mức phạt tiền tối đa đối với các trường hợp vi phạm lớn về dữ liệu cá nhân tại Châu Âu là 4% doanh thu năm hoặc 20 triệu Euro.
Trước khi GDPR có hiệu lực, một số ý kiến cho rằng các qui định chế tài bị cứng hóa. Tuy nhiên cuối cùng, mức phạt tối đa này cũng được đa số thành viên của Hội đồng Châu Âu nhất trí thông qua. Và điều khoản này có đối tượng chế tài chủ yếu là các tổ chức, doanh nghiệp sử dụng dữ liệu cá nhân người dùng vào công việc kinh doanh. Điển hình là các “ông lớn” cung cấp dịch vụ trực tuyến như Google, Amazon, Facebook, Apple…
So với GDPR, quy định trong dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân không chốt cứng một số tiền phạt nhất định song song với tỉ lệ phạt 5% tổng doanh thu, và cũng chưa đề cập rõ tổng doanh thu đó là theo năm, quí hay tháng.
Tuy nhiên nhìn chung, để đi đến được bản dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân, đã cho thấy một sự văn minh trong quan điểm nhìn nhận cũng như một sự tiến bộ của luật pháp về bảo vệ quyền riêng tư cá nhân.
Cần biết rằng, GDPR cũng phải trải qua một quá trình gần 10 năm (2009-2018) đề xuất , nghiên cứu, soạn thảo, bàn thảo mới có thể thông qua và có hiệu lực áp dụng.
