Dự thảo nghị định: Quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng

0:00 / 0:00
0:00
  • Nam miền Bắc
  • Nữ miền Bắc
  • Nữ miền Nam
  • Nam miền Nam
ANTD.VN -
Vi phạm quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo có thể bị phạt từ 60 - 80 triệu đồng

Vi phạm quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo có thể bị phạt từ 60 - 80 triệu đồng

(Tiếp theo An ninh Thủ đô Cuối tuần ra ngày 3-10-2021)

Điều 20. Vi phạm quy định về thông báo xử lý dữ liệu cá nhân

Phạt tiền từ 60.000.000 đồng đến 80.000.000 đồng đối với một trong các hành vi sau:

1. Không thông báo trước khi tiến hành chỉnh sửa, tiết lộ, xóa, hủy dữ liệu cá nhân;

2. Nội dung thông báo không đầy đủ theo quy định tại khoản 2 Điều 10 Nghị định bảo vệ dữ liệu cá nhân;

3. Việc thông báo của chủ thể dữ liệu không được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.

Điều 21. Vi phạm quy định về truy cập dữ liệu cá nhân

Phạt tiền từ 60.000.000 đồng đến 80.000.000 đồng đối với một trong các hành vi sau:

1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân ngăn chặn hoặc không thực hiện các biện pháp cho phép chủ thể dữ liệu được quyền truy cập vào dữ liệu cá nhân của mình;

2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân truy cập vào dữ liệu cá nhân của chủ thể dữ liệu khi chưa có được sự đồng ý của chủ thể dữ liệu;

3. Bên Xử lý dữ liệu cá nhân, Bên thứ ba truy cập vào dữ liệu cá nhân khi chưa được sự đồng ý của chủ thể dữ liệu và Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân.

Điều 22. Vi phạm quy định về cung cấp dữ liệu cá nhân

Phạt tiền từ 60.000.000 đồng đến 80.000.000 đồng đối với một trong các hành vi sau:

1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp dữ liệu cá nhân cho chủ thể dữ liệu, dữ liệu cá nhân thuộc sở hữu hoặc dưới sự kiểm soát của tổ chức khi chủ thể dữ liệu chưa đồng ý cho phép đại diện;

2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân cung cấp dữ liệu cá nhân cung cấp dữ liệu cá nhân cho chủ thể dữ liệu, tổ chức mà chủ thể dữ liệu đồng ý cho phép đại diện trong trường hợp không được phép theo quy định tại khoản 2 Điều 12 Nghị định bảo vệ dữ liệu cá nhân.

Điều 23. Vi phạm quy định về chỉnh sửa dữ liệu cá nhân

Phạt tiền từ 60.000.000 đồng đến 80.000.000 đồng đối với một trong các hành vi sau:

1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không ghi nhận quyền được yêu cầu chỉnh sửa lỗi sai, thiếu sót trong dữ liệu cá nhân của chủ thể dữ liệu sau khi đồng ý;

2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không thực hiện yêu cầu chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu ngay khi có thể, trừ trường hợp không thể thực hiện, thông báo tới chủ thể dữ liệu sau khi tiến hành xong việc chỉnh sửa;

3. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân chỉnh sửa dữ liệu cá nhân của chủ thể dữ liệu khi chưa được sự được đồng ý cho xử lý dữ liệu cá nhân.

Điều 24. Vi phạm quy định về lưu trữ, xóa, hủy dữ liệu cá nhân

Phạt tiền từ 60.000.000 đồng đến 80.000.000 đồng đối với một trong các hành vi sau:

1. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba lưu trữ dữ liệu cá nhân mà không có biện pháp bảo vệ dữ liệu cá nhân theo quy định tại Nghị định bảo vệ dữ liệu cá nhân.

2. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên thứ ba không ngừng lưu trữ, xóa không thể khôi phục dữ liệu cá nhân trong trường hợp được quy định tại khoản 2 Điều 14 Nghị định bảo vệ dữ liệu cá nhân.

Điều 25. Vi phạm quy định về đánh giá tác động xử lý dữ liệu cá nhân

1. Phạt tiền từ 60.000.000 đồng đến 80.000.000 đồng đối với một trong các hành vi sau:

a) Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không tiến hành và lưu giữ hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của mình;

b) Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân của Bên Kiểm soát, Bên Kiểm soát và xử lý dữ liệu cá nhân không đầy đủ các nội dung theo quy định tại khoản 1 Điều 15 Nghị định bảo vệ dữ liệu cá nhân;

c) Bên Xử lý dữ liệu cá nhân không lưu giữ hồ sơ đánh giá tác động tất cả các hoạt động xử lý dữ liệu cá nhân được thực hiện thay mặt cho Bên Kiểm soát dữ liệu cá nhân;

d) Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân quy định tại khoản 1 và 2 Điều 15 Nghị định bảo vệ dữ liệu cá nhân không được xác lập bằng văn bản có giá trị pháp lý của Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân hoặc Bên Xử lý dữ liệu cá nhân.

2. Phạt tiền từ 80.000.000 đồng đến 100.000.000 đồng đối với hành vi không bảo đảm sự có sẵn của Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân và không gửi Cơ quan bảo vệ dữ liệu cá nhân 01 bản chính sau khi tổ chức, doanh nghiệp đi vào hoạt động trong thời gian 60 ngày làm việc.

Điều 26. Vi phạm quy định về chuyển dữ liệu cá nhân qua biên giới

1. Phạt tiền từ 60.000.000 đồng đến 80.000.000 đồng đối với một trong các hành vi sau:

a) Dữ liệu cá nhân của công dân Việt Nam được chuyển qua biên giới lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam mà chưa đáp ứng đồng thời 03 điều kiện tại khoản 2 Điều 16 Nghị định bảo vệ dữ liệu cá nhân;

b) Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân qua biên giới không bảo đảm đầy đủ thông tin theo quy định tại khoản 3 Điều 16 Nghị định bảo vệ dữ liệu cá nhân;

c) Không có thỏa thuận có hiệu lực pháp lý ràng buộc các tổ chức, cá nhân liên quan tới chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam phù hợp với các quy định bảo vệ dữ liệu cá nhân tại khoản 4 Điều 16 Nghị định bảo vệ dữ liệu cá nhân.

2. Phạt tiền từ 80.000.000 đồng đến 100.000.000 đồng đối với các hành vi:

a) Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân qua biên giới, Thỏa thuận có hiệu lực pháp lý ràng buộc các tổ chức, cá nhân liên quan tới chuyển và nhận dữ liệu cá nhân của Công dân Việt Nam phải không có sẵn để phục vụ hoạt động kiểm tra, đánh giá của Cơ quan bảo vệ dữ liệu cá nhân và không gửi Cơ quan bảo vệ dữ liệu cá nhân 01 bản chính sau khi tổ chức, doanh nghiệp đi vào hoạt động trong thời gian 60 ngày làm việc;

b) Bên chuyển dữ liệu không thông báo cho Cơ quan bảo vệ dữ liệu cá nhân thông tin và chi tiết liên lạc phụ trách khi việc chuyển dữ liệu diễn ra thành công;

c) Để lộ, mất dữ liệu cá nhân sau khi đã chuyển qua biên giới gây hậu quả tới 10.000 chủ thể dữ liệu là công dân Việt Nam.

2. Phạt tiền gấp 02 lần quy định tại khoản 2 Điều này đối với hành vi để lộ, mất dữ liệu cá nhân sau khi đã chuyển qua biên giới gây hậu quả tới 100.000 chủ thể dữ liệu là công dân Việt Nam.

3. Phạt tiền gấp 03 lần quy định tại khoản 2 Điều này đối với hành vi để lộ, mất dữ liệu cá nhân sau khi đã chuyển qua biên giới gây hậu quả tới 1.000.000 chủ thể dữ liệu là công dân Việt Nam.

4. Phạt tiền bằng 5% tổng doanh thu tại Việt Nam đối với hành vi để lộ, mất dữ liệu cá nhân sau khi đã chuyển qua biên giới gây hậu quả trên 1.000.000 chủ thể dữ liệu là công dân Việt Nam.

5. Biện pháp bổ sung:

a) Ngừng cung cấp dịch vụ;

b) Buộc thực hiện các biện pháp khắc phục hậu quả về an ninh mạng;

c) Tước quyền sử dụng các giấy phép liên quan tới xử lý dữ liệu cá nhân;

d) Ngừng hoạt động xử lý dữ liệu cá nhân;

đ) Áp dụng các biện pháp ngặn để không thực hiện được hoạt động xử lý dữ liệu cá nhân.

6. Biện pháp khắc phục hậu quả:

a) Công khai xin lỗi trên các phương tiện thông tin đại chúng;

b) Bồi thường hậu quả, thiệt hại đối với tổ chức, cá nhân (nếu có).

Điều 27. Vi phạm quy định về bảo vệ dữ liệu cá nhân trong kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo

1. Phạt tiền từ 60.000.000 đồng đến 80.000.000 đồng đối với một trong các hành vi sau:

a) Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo sử dụng dữ liệu cá nhân của khách hàng không được thu thập qua hoạt động kinh doanh của mình để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo;

b) Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo không bảo đảm quyền của chủ thể dữ liệu quy định tại Điều 5 Nghị định bảo vệ dữ liệu cá nhân;

c) Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo không được sự đồng ý của khách hàng, khách hàng không biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm;

d) Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo không chứng minh được việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định tại khoản 1 và 2 Điều 18 Nghị định bảo vệ dữ liệu cá nhân.

2. Phạt tiền từ 80.000.000 đồng đến 100.000.000 đồng đối với hành vi vi phạm lần 2 các quy định tại khoản 1 Điều này.

3. Phạt tiền tới 5% tổng doanh thu tại Việt Nam đối với hành vi vi phạm từ lần 3 trở lên đối với các quy định tại khoản 1 Điều này.

4. Biện pháp bổ sung:

a) Ngừng cung cấp dịch vụ;

b) Buộc thực hiện các biện pháp khắc phục hậu quả về an ninh mạng;

c) Tước quyền sử dụng các giấy phép liên quan tới xử lý dữ liệu cá nhân;

d) Ngừng hoạt động xử lý dữ liệu cá nhân;

đ) Áp dụng các biện pháp ngặn để không thực hiện được hoạt động xử lý dữ liệu cá nhân.

5. Biện pháp khắc phục hậu quả:

a) Công khai xin lỗi trên các phương tiện thông tin đại chúng;

b) Bồi thường hậu quả, thiệt hại đối với tổ chức, cá nhân (nếu có).

Điều 28. Vi phạm quy định về phòng, chống mua, bán dữ liệu cá nhân

1. Phạt tiền từ 60.000.000 đồng đến 80.000.000 đồng đối với một trong các hành vi sau:

a) Mua bán dữ liệu cá nhân dưới 10.000 chủ thể dữ liệu;

b) Chuyển giao dữ liệu cá nhân cho Bên thứ ba không có liên quan tới mục đích xử lý dữ liệu cá nhân đã được chủ thể dữ liệu đồng ý;

c) Tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân không áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng nhân viên thu thập dữ liệu cá nhân trái phép, phòng chống hoạt động xâm nhập chiếm đoạt dữ liệu cá nhân từ hệ thống của mình;

d) Không thiết lập các hệ thống phần mềm, biện pháp kỹ thuật để thu thập dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật.

2. Phạt tiền từ 80.000.000 đồng đến 100.000.000 đồng đối với một trong các hành vi sau:

a) Mua bán dữ liệu cá nhân trên 10.000 chủ thể dữ liệu;

b) Tái phạm lần 2 các quy định tại khoản 1 Điều này.

3. Phạt tiền tới 5% tổng doanh thu tại Việt Nam đối với hành vi vi phạm từ lần 3 trở lên đối với các quy định tại khoản 1 Điều này.

4. Biện pháp bổ sung:

a) Ngừng cung cấp dịch vụ;

b) Buộc thực hiện các biện pháp khắc phục hậu quả về an ninh mạng;

c) Tước quyền sử dụng các giấy phép liên quan tới xử lý dữ liệu cá nhân;

d) Ngừng hoạt động xử lý dữ liệu cá nhân;

đ) Áp dụng các biện pháp ngặn để không thực hiện được hoạt động xử lý dữ liệu cá nhân.

5. Biện pháp khắc phục hậu quả:

a) Công khai xin lỗi trên các phương tiện thông tin đại chúng;

b) Bồi thường hậu quả, thiệt hại đối với tổ chức, cá nhân (nếu có).

(Theo dõi tiếp trên An ninh Thủ đô Cuối tuần ra ngày 17-10-2021)