Xử phạt vi phạm dữ liệu cá nhân 2026: Doanh nghiệp cần lưu ý gì?

Dưới đây là các loại dữ liệu cá nhân cơ bản phổ biến nhất:

• Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có).
• Ngày, tháng, năm sinh hoặc ngày, tháng, năm chết/mất tích.
• Giới tính và nơi sinh, nơi đăng ký khai sinh.
• Quê quán, địa chỉ thường trú, nơi ở hiện tại.
• Số điện thoại, địa chỉ email cá nhân.
• Số chứng minh nhân dân, căn cước công dân hoặc mã số định danh.

Bên cạnh đó, thông tin về tình trạng hôn nhân cũng thuộc nhóm này. Thực tế, nhiều doanh nghiệp thu thập những thông tin này qua các form đăng ký. Tuy nhiên, từ năm 2026, bạn không thể tự ý lưu trữ chúng mãi mãi. Doanh nghiệp phải nêu rõ mục đích sử dụng ngay từ ban đầu. Nếu sử dụng sai mục đích, bạn sẽ bị phạt hành chính ngay lập tức.

Dữ liệu cá nhân nhạy cảm

Dữ liệu cá nhân nhạy cảm là dữ liệu gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm có thể ảnh hưởng trực tiếp đến quyền và lợi ích hợp pháp của người đó.

Nhóm dữ liệu này có thể bao gồm:

• Quan điểm chính trị;
• Quan điểm tôn giáo;
• Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án;
• Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
• Đặc điểm di truyền;
• Dữ liệu sinh trắc học;
• Thông tin về đời sống tình dục, xu hướng tính dục;
• Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
• Thông tin tài chính, lịch sử tín dụng hoặc dữ liệu khác liên quan đến tài chính cá nhân;
• Dữ liệu cá nhân khác được pháp luật xác định là nhạy cảm.

Các doanh nghiệp trong lĩnh vực y tế, tài chính, ngân hàng, bảo hiểm, giáo dục, công nghệ định danh, nền tảng số và các đơn vị sử dụng dữ liệu vị trí cần đặc biệt thận trọng khi xử lý nhóm dữ liệu này.

Đối với dữ liệu cá nhân nhạy cảm, doanh nghiệp nên áp dụng cơ chế kiểm soát chặt chẽ hơn, bao gồm phân quyền truy cập, lưu vết xử lý, mã hóa hoặc biện pháp bảo mật phù hợp, đào tạo nhân sự và quy trình phản ứng sự cố.

Chi tiết quy định xử phạt vi phạm dữ liệu cá nhân 2026

Các hành vi vi phạm dữ liệu cá nhân thường gặp

Vi phạm dữ liệu cá nhân có thể xảy ra dưới nhiều hình thức khác nhau. Một số hành vi rủi ro thường gặp bao gồm:

• Thu thập dữ liệu cá nhân khi chưa có thông báo phù hợp cho chủ thể dữ liệu;
• Thu thập dữ liệu vượt quá phạm vi cần thiết;
• Sử dụng dữ liệu cá nhân sai mục đích đã thông báo;
• Không có cơ chế ghi nhận, quản lý hoặc rút lại sự đồng ý;
• Chia sẻ dữ liệu cá nhân cho bên thứ ba khi chưa có cơ sở hợp lệ;
• Mua, bán dữ liệu cá nhân trái quy định pháp luật;
• Làm lộ, làm mất hoặc để người không có thẩm quyền truy cập dữ liệu cá nhân;
• Không bảo đảm quyền của chủ thể dữ liệu như quyền được biết, quyền rút lại sự đồng ý, quyền yêu cầu chỉnh sửa, cung cấp, xóa hoặc hạn chế xử lý dữ liệu;
• Không lập, lưu trữ hoặc cập nhật hồ sơ đánh giá tác động xử lý dữ liệu cá nhân khi thuộc diện phải thực hiện;
• Chuyển dữ liệu cá nhân ra nước ngoài khi chưa đáp ứng điều kiện pháp luật;
• Không thông báo hoặc xử lý sự cố dữ liệu cá nhân theo quy định;
• Không kiểm soát nhà cung cấp, bên xử lý dữ liệu hoặc đối tác được giao quyền xử lý dữ liệu.

Những hành vi này có thể phát sinh trong hoạt động thường ngày của doanh nghiệp, đặc biệt khi dữ liệu được chia sẻ giữa nhiều phòng ban hoặc nhiều hệ thống khác nhau.

Mức xử phạt vi phạm dữ liệu cá nhân năm 2026

Theo Luật Bảo vệ dữ liệu cá nhân, tổ chức, cá nhân vi phạm quy định về bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ và hậu quả của hành vi vi phạm có thể bị xử lý theo các hình thức khác nhau.

Về xử phạt hành chính, doanh nghiệp cần lưu ý hai ngưỡng quan trọng:

• Đối với tổ chức vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa có thể lên đến 5% doanh thu của năm trước liền kề của tổ chức đó;
• Đối với các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân, mức phạt tiền tối đa là 03 tỷ đồng.

Đối với cá nhân thực hiện cùng hành vi vi phạm, mức phạt tiền tối đa được áp dụng bằng một phần hai mức phạt tiền đối với tổ chức, trừ trường hợp pháp luật có quy định khác.

Doanh nghiệp cần lưu ý rằng mức phạt cụ thể cho từng hành vi sẽ phụ thuộc vào quy định chi tiết, tính chất vi phạm, mức độ ảnh hưởng, hậu quả thực tế, yếu tố lỗi, tình tiết tăng nặng, tình tiết giảm nhẹ và kết quả xử lý của cơ quan có thẩm quyền.

Vì vậy, doanh nghiệp không nên chỉ quan tâm đến mức phạt tối đa, mà cần chủ động xây dựng hệ thống tuân thủ để giảm thiểu rủi ro ngay từ đầu.

Vi phạm chuyển dữ liệu cá nhân xuyên biên giới

Chuyển dữ liệu cá nhân xuyên biên giới là một trong những nhóm hành vi cần được doanh nghiệp đặc biệt lưu ý. Trong thực tế, nhiều hoạt động tưởng như thông thường có thể làm phát sinh yếu tố chuyển dữ liệu ra nước ngoài, chẳng hạn như:

• Sử dụng phần mềm quản lý khách hàng có máy chủ đặt tại nước ngoài;
• Sử dụng nền tảng lưu trữ đám mây quốc tế;
• Chia sẻ dữ liệu khách hàng cho công ty mẹ, công ty con hoặc đối tác ở nước ngoài;
• Thuê nhà cung cấp nước ngoài xử lý dữ liệu;
• Dùng công cụ marketing, phân tích hành vi người dùng hoặc chăm sóc khách hàng có yếu tố nước ngoài;
• Lưu trữ dữ liệu nhân sự trên hệ thống toàn cầu của tập đoàn.

Doanh nghiệp có hoạt động chuyển dữ liệu cá nhân xuyên biên giới cần rà soát cơ sở pháp lý, mục đích chuyển dữ liệu, bên nhận dữ liệu, loại dữ liệu được chuyển, biện pháp bảo vệ và hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới nếu thuộc diện phải thực hiện.

Đây là nhóm rủi ro đáng chú ý vì mức phạt tiền tối đa đối với tổ chức vi phạm quy định về chuyển dữ liệu cá nhân xuyên biên giới có thể lên đến 5% doanh thu của năm trước liền kề.

Hành vi mua, bán dữ liệu cá nhân

Mua, bán dữ liệu cá nhân trái quy định pháp luật là hành vi bị nghiêm cấm. Trong thực tế, hành vi này có thể xuất hiện dưới nhiều hình thức như mua danh sách số điện thoại khách hàng, bán dữ liệu người dùng, trao đổi tệp khách hàng giữa các đơn vị, cung cấp dữ liệu nhân sự cho bên thứ ba hoặc sử dụng dữ liệu thu thập trái phép cho hoạt động telesales, quảng cáo, lừa đảo hoặc mạo danh.

Đối với doanh nghiệp, rủi ro không chỉ nằm ở việc trực tiếp bán dữ liệu. Doanh nghiệp cũng có thể gặp rủi ro nếu mua hoặc sử dụng nguồn dữ liệu không rõ nguồn gốc, thuê đối tác marketing dùng data trái phép hoặc để nhân sự nội bộ trích xuất dữ liệu khách hàng trái quy định.

Để hạn chế rủi ro, doanh nghiệp nên:

• Không mua danh sách khách hàng không rõ nguồn gốc;
• Kiểm tra cơ sở pháp lý của dữ liệu trước khi sử dụng cho marketing;
• Rà soát hợp đồng với đại lý, nhà cung cấp dịch vụ và đơn vị telesales;
• Cấm nhân viên tự ý sao chép, tải xuống hoặc chia sẻ dữ liệu khách hàng;
• Thiết lập log truy cập và kiểm soát quyền xuất dữ liệu;
• Có quy trình xử lý khi phát hiện dữ liệu bị rò rỉ hoặc sử dụng sai mục đích.

Trách nhiệm hình sự trong một số trường hợp nghiêm trọng

Không phải mọi vi phạm dữ liệu cá nhân đều dẫn đến trách nhiệm hình sự. Tuy nhiên, trong một số trường hợp nghiêm trọng, hành vi xâm phạm dữ liệu cá nhân có thể bị xem xét dưới góc độ hình sự nếu có dấu hiệu cấu thành tội phạm theo Bộ luật Hình sự.

Ví dụ, hành vi chiếm đoạt dữ liệu, mua bán trái phép thông tin, xâm phạm bí mật đời tư, sử dụng dữ liệu cá nhân để lừa đảo, tống tiền, mạo danh, chiếm đoạt tài sản hoặc phát tán thông tin nhằm xúc phạm danh dự, nhân phẩm của người khác có thể bị xem xét trách nhiệm hình sự tùy theo hành vi cụ thể, hậu quả và chứng cứ liên quan.

Việc xác định tội danh và khung hình phạt phải căn cứ vào Bộ luật Hình sự và kết quả điều tra, truy tố, xét xử của cơ quan có thẩm quyền. Do đó, doanh nghiệp không nên diễn giải trách nhiệm hình sự một cách chung chung hoặc áp dụng máy móc cho mọi sự cố dữ liệu.

Về quản trị nội bộ, doanh nghiệp nên có quy chế bảo mật dữ liệu, phân quyền truy cập, quy định xử lý kỷ luật, cam kết bảo mật với nhân viên và cơ chế kiểm tra dấu hiệu trích xuất hoặc sử dụng dữ liệu bất thường.

Trách nhiệm dân sự và bồi thường thiệt hại

Ngoài xử phạt hành chính hoặc trách nhiệm hình sự trong trường hợp nghiêm trọng, doanh nghiệp còn có thể đối mặt với yêu cầu bồi thường thiệt hại từ chủ thể dữ liệu nếu hành vi vi phạm gây thiệt hại thực tế.

Thiệt hại có thể bao gồm thiệt hại vật chất, chi phí khắc phục, tổn thất do bị mạo danh, mất tiền, bị lừa đảo, ảnh hưởng đến công việc, danh dự, nhân phẩm hoặc các quyền và lợi ích hợp pháp khác.

Khi yêu cầu bồi thường, cá nhân cần chứng minh hành vi vi phạm, thiệt hại và mối quan hệ nhân quả theo quy định pháp luật dân sự, trừ trường hợp pháp luật có quy định khác. Ở chiều ngược lại, doanh nghiệp cần có bằng chứng cho thấy mình đã áp dụng các biện pháp bảo vệ phù hợp, xử lý sự cố kịp thời và tuân thủ nghĩa vụ pháp lý liên quan.

Vì vậy, việc lưu trữ hồ sơ tuân thủ, log xử lý dữ liệu, biên bản đào tạo, chính sách bảo mật, hợp đồng với bên xử lý dữ liệu và hồ sơ đánh giá tác động là rất quan trọng.

Quy định liên quan đến thông tin sai sự thật trên mạng xã hội

Ngoài khung pháp lý chuyên ngành về bảo vệ dữ liệu cá nhân, cá nhân và doanh nghiệp cũng cần lưu ý các quy định xử phạt vi phạm hành chính trong lĩnh vực thông tin điện tử, mạng xã hội, giao dịch điện tử và công nghệ thông tin.

Theo Nghị định 174/2026/NĐ-CP, có hiệu lực từ ngày 01/7/2026, hành vi cung cấp, chia sẻ thông tin giả mạo, sai sự thật, xuyên tạc, vu khống hoặc xúc phạm uy tín của cơ quan, tổ chức, danh dự, nhân phẩm của cá nhân trên mạng xã hội có thể bị xử phạt theo quy định.

Nội dung này có liên quan đến dữ liệu cá nhân trong trường hợp người vi phạm sử dụng hình ảnh, thông tin định danh, thông tin riêng tư hoặc dữ liệu cá nhân của người khác để đăng tải, bôi nhọ, mạo danh, lừa đảo hoặc phát tán thông tin sai sự thật.

Tuy nhiên, doanh nghiệp cần phân biệt rõ:

• Vi phạm pháp luật về bảo vệ dữ liệu cá nhân;
• Vi phạm quy định về thông tin trên mạng xã hội;
• Vi phạm quyền riêng tư, danh dự, nhân phẩm;
• Hành vi có dấu hiệu tội phạm hình sự.

Mỗi nhóm hành vi có căn cứ pháp lý, thẩm quyền xử lý và chế tài khác nhau. Vì vậy, khi xây dựng bài truyền thông hoặc tư vấn cho khách hàng, cần tránh gộp chung mọi hành vi thành “vi phạm dữ liệu cá nhân”.

Dấu hiệu cho thấy dữ liệu cá nhân có thể đã bị xâm phạm

Cá nhân có thể nghi ngờ dữ liệu của mình bị xâm phạm khi xuất hiện các dấu hiệu bất thường như:

• Liên tục nhận cuộc gọi, tin nhắn hoặc email quảng cáo từ đơn vị không từng cung cấp thông tin;
• Nhận được tin nhắn lừa đảo có chứa đúng họ tên, địa chỉ, số điện thoại hoặc thông tin đơn hàng;
• Phát hiện tài khoản mạng xã hội giả mạo sử dụng hình ảnh cá nhân;
• Có giao dịch tài chính bất thường;
• Bị người lạ liên hệ bằng thông tin cá nhân mà mình không công khai;
• Nhận thông báo đăng nhập lạ vào tài khoản email, mạng xã hội, ngân hàng hoặc ứng dụng;
• Dữ liệu cá nhân xuất hiện trên các hội nhóm, website hoặc nền tảng không được phép.

Khi gặp các dấu hiệu này, cá nhân nên bình tĩnh thu thập bằng chứng, hạn chế tiếp tục cung cấp thông tin, thay đổi mật khẩu các tài khoản quan trọng và liên hệ tổ chức đang xử lý dữ liệu để yêu cầu giải trình hoặc hỗ trợ.

Hướng dẫn tố cáo và xử lý vi phạm dữ liệu cá nhân cho người dân

Cá nhân nên làm gì khi dữ liệu bị xâm phạm?

Khi phát hiện dấu hiệu dữ liệu cá nhân bị xâm phạm, cá nhân có thể thực hiện các bước sau:

1. Lưu giữ bằng chứng

Cá nhân nên chụp ảnh màn hình, lưu email, tin nhắn, lịch sử cuộc gọi, đường link, thông tin tài khoản, chứng từ giao dịch hoặc các dấu hiệu cho thấy dữ liệu bị sử dụng trái phép.

Trong một số trường hợp nghiêm trọng, cá nhân có thể cân nhắc lập vi bằng hoặc sử dụng phương thức chứng cứ phù hợp để bảo đảm giá trị chứng minh.

2. Liên hệ tổ chức đang xử lý dữ liệu

Nếu nghi ngờ dữ liệu bị lộ từ một doanh nghiệp, nền tảng hoặc dịch vụ cụ thể, cá nhân có thể liên hệ tổ chức đó để yêu cầu giải thích, xác minh nguồn dữ liệu, yêu cầu xóa, hạn chế xử lý, chỉnh sửa hoặc thực hiện các quyền khác của chủ thể dữ liệu theo quy định pháp luật.

3. Thực hiện biện pháp tự bảo vệ

Cá nhân nên đổi mật khẩu, bật xác thực hai yếu tố, khóa hoặc kiểm tra tài khoản ngân hàng nếu có rủi ro tài chính, cảnh báo người thân nếu có dấu hiệu mạo danh và tránh nhấp vào đường link lạ.

4. Gửi phản ánh hoặc yêu cầu hỗ trợ đến cơ quan có thẩm quyền

Tùy tính chất vụ việc, cá nhân có thể gửi phản ánh, khiếu nại, tố giác hoặc yêu cầu hỗ trợ đến cơ quan chuyên trách bảo vệ dữ liệu cá nhân, cơ quan công an hoặc cơ quan có thẩm quyền liên quan theo quy định pháp luật.

Nếu vụ việc có dấu hiệu lừa đảo, chiếm đoạt tài sản, tống tiền, mạo danh hoặc phát tán thông tin riêng tư gây thiệt hại nghiêm trọng, cá nhân nên liên hệ cơ quan công an để được hướng dẫn xử lý.

Checklist tuân thủ cho doanh nghiệp năm 2026

Để hạn chế rủi ro bị xử phạt vi phạm dữ liệu cá nhân, doanh nghiệp nên chủ động xây dựng chương trình tuân thủ theo các nhóm công việc sau:

1. Rà soát dữ liệu đang xử lý

Doanh nghiệp cần xác định đang thu thập loại dữ liệu nào, từ ai, cho mục đích gì, lưu trữ ở đâu, ai có quyền truy cập và có chia sẻ cho bên thứ ba hay không.

2. Xác định vai trò pháp lý

Doanh nghiệp cần xác định mình là bên kiểm soát dữ liệu cá nhân, bên xử lý dữ liệu cá nhân hay bên kiểm soát và xử lý dữ liệu cá nhân trong từng luồng dữ liệu cụ thể.

3. Cập nhật chính sách quyền riêng tư

Chính sách quyền riêng tư, thông báo xử lý dữ liệu và điều khoản sử dụng cần được rà soát để bảo đảm minh bạch, dễ hiểu và phù hợp với thực tế xử lý dữ liệu.

4. Kiểm soát sự đồng ý của chủ thể dữ liệu

Doanh nghiệp cần có cơ chế ghi nhận, quản lý và xử lý việc đồng ý hoặc rút lại sự đồng ý của chủ thể dữ liệu, đặc biệt đối với các hoạt động marketing, chia sẻ dữ liệu cho bên thứ ba hoặc xử lý dữ liệu cá nhân nhạy cảm.

5. Thiết lập quy trình xử lý yêu cầu của chủ thể dữ liệu

Doanh nghiệp cần có đầu mối tiếp nhận, thời hạn xử lý nội bộ, biểu mẫu phản hồi và cơ chế lưu vết đối với yêu cầu xem, chỉnh sửa, cung cấp, xóa, hạn chế hoặc phản đối xử lý dữ liệu.

6. Lập hồ sơ đánh giá tác động xử lý dữ liệu cá nhân

Nếu thuộc diện phải thực hiện, doanh nghiệp cần lập, lưu trữ, cập nhật và gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân theo quy định pháp luật.

7. Rà soát chuyển dữ liệu cá nhân xuyên biên giới

Doanh nghiệp cần kiểm tra việc sử dụng hệ thống lưu trữ, phần mềm, nhà cung cấp hoặc công ty liên kết ở nước ngoài để xác định có phát sinh hoạt động chuyển dữ liệu cá nhân xuyên biên giới hay không.

8. Rà soát hợp đồng với bên thứ ba

Hợp đồng với nhà cung cấp, đối tác, đơn vị marketing, đơn vị lưu trữ dữ liệu, đơn vị công nghệ hoặc bên xử lý dữ liệu cần có điều khoản rõ ràng về mục đích xử lý, phạm vi xử lý, bảo mật, thông báo sự cố, hỗ trợ chủ thể dữ liệu và trách nhiệm khi có vi phạm.

9. Phân quyền và bảo mật kỹ thuật

Doanh nghiệp cần kiểm soát quyền truy cập, áp dụng xác thực phù hợp, lưu vết truy cập, giới hạn tải xuống dữ liệu, kiểm soát sao chép dữ liệu và áp dụng biện pháp bảo mật phù hợp với tính chất dữ liệu.

10. Đào tạo nhân sự

Nhân viên ở các bộ phận nhân sự, marketing, bán hàng, chăm sóc khách hàng, công nghệ thông tin, pháp chế và quản lý cần được đào tạo về quy định bảo vệ dữ liệu cá nhân và quy trình nội bộ của doanh nghiệp.

11. Chuẩn bị quy trình xử lý sự cố

Doanh nghiệp cần có quy trình phản ứng khi xảy ra rò rỉ, mất mát, truy cập trái phép hoặc sử dụng sai dữ liệu cá nhân. Quy trình này nên xác định rõ đầu mối phụ trách, cách đánh giá mức độ sự cố, nghĩa vụ thông báo và biện pháp khắc phục.

Từ năm 2026, quy định về bảo vệ dữ liệu cá nhân tại Việt Nam đặt ra yêu cầu tuân thủ rõ ràng hơn đối với doanh nghiệp. Việc vi phạm có thể dẫn đến rủi ro xử phạt hành chính, yêu cầu bồi thường, ảnh hưởng uy tín và trong một số trường hợp nghiêm trọng có thể bị xem xét trách nhiệm hình sự.

Để giảm thiểu rủi ro, doanh nghiệp nên chủ động rà soát hoạt động xử lý dữ liệu cá nhân, cập nhật chính sách nội bộ, kiểm soát bên thứ ba, lập hồ sơ đánh giá tác động khi cần thiết và đào tạo nhân sự liên quan.

Global Vietnam Lawyers sẵn sàng đồng hành cùng doanh nghiệp trong quá trình rà soát, xây dựng hồ sơ và thiết lập chương trình tuân thủ pháp luật về bảo vệ dữ liệu cá nhân.