Thu thập dữ liệu cá nhân khi chưa có sự đồng ý của chủ thể dữ liệu tiềm ẩn nhiều rủi ro pháp lý và rủi ro hoạt động đối với tổ chức, doanh nghiệp. Theo các quy định về bảo vệ dữ liệu cá nhân tại Việt Nam như Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và các quy định mới như Nghị định 356/2025/NĐ-CP, sự đồng ý của chủ thể dữ liệu là một trong những căn cứ pháp lý quan trọng để xử lý dữ liệu cá nhân. Nếu không tuân thủ, doanh nghiệp có thể đối mặt với các rủi ro sau:
1. Trách nhiệm hành chính
Theo Điều 84 của Nghị định 15/2020/NĐ-CP (được sửa đổi, bổ sung bởi Nghị định 14/2022/NĐ-CP ngày 27 tháng 01 năm 2022), hành vi thu thập thông tin cá nhân khi chưa có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó bị phạt tiền từ 10-20 triệu đồng.
Ngoài ra, Điều 102 của Nghị định 15/2020/NĐ-CP quy định phạt tiền từ 10-20 triệu đồng đối với hành vi thu thập, xử lý và sử dụng thông tin của tổ chức, cá nhân khác mà không được sự đồng ý hoặc sai mục đích theo quy định của pháp luật.
Ngoài việc bị xử phạt bằng tiền, cá nhân hoặc tổ chức vi phạm còn có thể bị áp dụng biện pháp khắc phục hậu quả, trong đó phổ biến nhất là buộc phải hủy bỏ toàn bộ dữ liệu cá nhân đã thu thập trái phép. Quy định này nhằm bảo đảm quyền riêng tư của cá nhân và hạn chế việc tiếp tục sử dụng thông tin đã được thu thập không đúng quy định.
2. Trách nhiệm dân sự
Theo Điều 38 của Bộ luật dân sự, việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý, trừ trường hợp luật có quy định khác.
Trong trường hợp việc thu thập hoặc sử dụng dữ liệu cá nhân trái phép gây ra thiệt hại về vật chất hoặc tinh thần cho chủ thể dữ liệu, người vi phạm có thể phải bồi thường thiệt hại theo quy định của pháp luật dân sự. Mức bồi thường sẽ được xác định căn cứ vào mức độ thiệt hại thực tế và các yếu tố liên quan theo quy định của pháp luật.
3. Trách nhiệm hình sự
Điều 159 của Bộ luật hình sự quy định tội “Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác” với các mức phạt:
- Khung 1: Phạt cảnh cáo, phạt tiền từ 20-50 triệu đồng hoặc cải tạo không giam giữ đến 3 năm
- Khung 2: Phạt tù từ 1-3 năm trong các trường hợp có tổ chức, lợi dụng chức vụ quyền hạn, phạm tội 2 lần trở lên, tiết lộ thông tin làm ảnh hưởng đến danh dự của người khác
4. Quy định mới từ Luật Bảo vệ dữ liệu cá nhân 2025
Hệ thống pháp luật về bảo vệ dữ liệu cá nhân tại Việt Nam đang ngày càng được hoàn thiện. Từ ngày 1/1/2026, Luật Bảo vệ dữ liệu cá nhân 2025 đã có hiệu lực, thay thế các quy định trước đó. Theo Điều 11 của Luật này, dữ liệu cá nhân được thu thập phải được sự đồng ý của chủ thể dữ liệu cá nhân trước khi thu thập, trừ trường hợp pháp luật có quy định khác.
Điều 9 của Luật này quy định chi tiết về sự đồng ý, bao gồm:
- Phải dựa trên sự tự nguyện và biết rõ thông tin
- Thể hiện bằng phương thức rõ ràng, cụ thể
- Đối với từng mục đích cụ thể
- Không được kèm theo điều kiện bắt buộc
5. Các trường hợp ngoại lệ
Mặc dù nguyên tắc chung là phải có sự đồng ý của chủ thể dữ liệu trước khi thu thập thông tin cá nhân, pháp luật vẫn cho phép một số trường hợp xử lý dữ liệu mà không cần sự đồng ý. Điều 19 của Luật Bảo vệ dữ liệu cá nhân 2025 quy định các trường hợp xử lý dữ liệu cá nhân không cần sự đồng ý, bao gồm:
- Bảo vệ tính mạng, sức khỏe trong trường hợp cấp bách
- Giải quyết tình trạng khẩn cấp, phòng chống tội phạm
- Phục vụ hoạt động của cơ quan nhà nước
- Thực hiện thỏa thuận của chủ thể dữ liệu
Từ thực tiễn áp dụng pháp luật cho thấy, việc thu thập dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu có thể dẫn đến nhiều rủi ro pháp lý và ảnh hưởng trực tiếp đến uy tín của tổ chức, doanh nghiệp. Vì vậy, các đơn vị cần xây dựng cơ chế xin ý kiến đồng ý của người dùng một cách minh bạch, rõ ràng trước khi thu thập dữ liệu cá nhân. Đồng thời, doanh nghiệp nên thiết lập quy trình quản lý và lưu trữ dữ liệu phù hợp với quy định pháp luật, cũng như nâng cao nhận thức của nhân viên về bảo vệ dữ liệu cá nhân thông qua hoạt động đào tạo nội bộ.
Việc chủ động tuân thủ các quy định về bảo vệ dữ liệu cá nhân không chỉ giúp hạn chế rủi ro pháp lý mà còn góp phần xây dựng niềm tin của khách hàng và đối tác trong quá trình hoạt động kinh doanh.
Liên hệ Luật sư tư vấn: Luật TLA là một trong những đơn vị luật sư hàng đầu, với đội ngũ luật sư, cán bộ nhiều kinh nghiệm trong các lĩnh vực hình sự, dân sự, doanh nghiệp, hôn nhân và gia đình,… Chúng tôi sẵn sàng hỗ trợ, giải đáp mọi thắc mắc về pháp lý của bạn. Nếu bạn còn thắc mắc về nội dung này, hãy liên hệ ngay với chúng tôi để được giải đáp thắc mắc.
1. Luật sư Vũ Thị Phương Thanh, Chủ tịch HĐTV Công ty Luật TNHH TLA, Đoàn Luật sư Hà Nội,
email: vtpthanh@tlalaw.vn;
2. Luật sư Trần Mỹ Lê, Giám đốc Công ty Luật TNHH TLA, Đoàn Luật sư Hà Nội;
email: tmle@tlalaw.vn
Địa chỉ: Tầng 7, số 06 Dương Đình Nghệ, Yên Hòa, Hà Nội
Website: https://tlalaw.vn/
Hotline: 0906246464
Nguyễn Thùy Dương