Theo đó, tổ chức, cá nhân có hành vi vi phạm quy định của Luật Bảo vệ dữ liệu cá nhân và quy định khác của pháp luật có liên quan đến bảo vệ dữ liệu cá nhân thì tùy theo tính chất, mức độ, hậu quả của hành vi vi phạm có thể bị xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

Đối với hình thức xử phạt vi phạm hành chính trong lĩnh vực bảo vệ dữ liệu cá nhân, luật quy định như sau:

Đối với hành vi mua, bán dữ liệu cá nhân, mức phạt tiền tối đa là 10 lần khoản thu có được từ hành vi vi phạm; trường hợp không có khoản thu từ hành vi vi phạm hoặc mức phạt tính theo khoản thu có được từ hành vi vi phạm thấp hơn 3 tỷ đồng thì áp dụng mức phạt tiền tối đa là 3 tỷ đồng. Chính phủ sẽ quy định phương pháp tính khoản thu có được từ việc thực hiện hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân.

Đối với hành vi vi phạm quy định chuyển dữ liệu cá nhân xuyên biên giới, mức phạt tiền tối đa là 5% doanh thu của năm trước liền kề của tổ chức đó. Trường hợp không có doanh thu của năm trước liền kề hoặc mức phạt tính theo doanh thu thấp hơn 3 tỷ đồng thì áp dụng mức phạt tiền tối đa là 3 tỷ đồng.

Đối với các hành vi vi phạm khác, mức phạt tiền tối đa là 3 tỷ đồng với tổ chức; mức phạt áp dụng với cá nhân bằng một phần hai mức phạt đối với tổ chức theo từng hành vi.