Các bước yêu cầu bồi thường thiệt hại khi dữ liệu cá nhân bị xâm phạm

Yêu cầu bồi thường thiệt hại khi dữ liệu cá nhân bị xâm phạm là quyền hợp pháp của chủ thể dữ liệu nhằm bảo vệ lợi ích của mình trước các hành vi xử lý dữ liệu trái pháp luật. Để quy trình đòi bồi thường diễn ra thuận lợi, việc nắm vững căn cứ pháp lý và các bước thủ tục là điều kiện tiên quyết, và DPO.VN mang đến giải pháp toàn diện giúp bạn thực thi quyền lợi này. Hành lang pháp lý, quy trình khởi kiện, chứng minh tổn thất.

Điều kiện và căn cứ pháp lý để yêu cầu bồi thường thiệt hại là gì?

Để yêu cầu bồi thường, chủ thể dữ liệu cần chứng minh được ba yếu tố cốt lõi: (1) có hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, (2) có thiệt hại thực tế xảy ra (vật chất hoặc tinh thần), và (3) có mối quan hệ nhân quả trực tiếp giữa hành vi vi phạm và thiệt hại đó.

Quyền yêu cầu bồi thường thiệt hại của chủ thể dữ liệu được pháp luật Việt Nam bảo vệ một cách rõ ràng. Căn cứ pháp lý chính cho quyền này được quy định tại Khoản 10, Điều 9 Nghị định 13/2023/NĐ-CP và sẽ được củng cố hơn nữa tại Khoản 1, Điều 4 và Khoản 1, Điều 8 của Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15. Để một yêu cầu bồi thường được xem là hợp lệ, cần hội tụ đủ các điều kiện sau:

• Có hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân: Đây là yếu tố đầu tiên và quan trọng nhất. Hành vi vi phạm có thể là việc xử lý dữ liệu không có sự đồng ý, xử lý sai mục đích, không áp dụng các biện pháp bảo mật cần thiết dẫn đến lộ, lọt dữ liệu, hoặc các hành vi bị nghiêm cấm khi xử lý dữ liệu cá nhân khác được quy định tại Điều 8 Nghị định 13/2023/NĐ-CP và Điều 7 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15.
• Có thiệt hại thực tế xảy ra: Thiệt hại phải là có thật và có thể xác định được. Thiệt hại này bao gồm hai loại chính: thiệt hại về vật chất (tổn thất về tài sản, chi phí hợp lý để ngăn chặn, khắc phục thiệt hại) và thiệt hại về tinh thần (tổn thất về danh dự, nhân phẩm, uy tín bị xâm phạm).
• Có mối quan hệ nhân quả: Phải chứng minh được rằng thiệt hại xảy ra là kết quả trực tiếp của hành vi vi phạm quy định bảo vệ dữ liệu cá nhân, chứ không phải do một nguyên nhân nào khác.

💡 Luật sư Nguyễn Tiến Hảo chia sẻ: Việc thu thập bằng chứng ngay từ khi phát hiện sự cố là yếu tố quyết định thành công của một vụ kiện đòi bồi thường. Chủ thể dữ liệu nên lưu lại mọi thông báo từ bên vi phạm, các giao dịch tài chính bất thường, tin nhắn lừa đảo, hoặc bất kỳ dấu hiệu nào cho thấy dữ liệu của mình đã bị lạm dụng.

Quy trình 5 bước yêu cầu bồi thường thiệt hại được thực hiện như thế nào?

Quy trình yêu cầu bồi thường thường bao gồm 5 bước: (1) Thu thập bằng chứng, (2) Gửi yêu cầu trực tiếp đến bên vi phạm, (3) Khiếu nại, tố cáo đến cơ quan chức năng, (4) Khởi kiện ra Tòa án, và (5) Tham gia thi hành án.

Để thực hiện quyền của mình một cách hiệu quả, chủ thể dữ liệu có thể thực hiện theo một quy trình bài bản. Việc tuân thủ đúng trình tự không chỉ giúp yêu cầu của bạn có trọng lượng hơn mà còn tiết kiệm thời gian và công sức.

Bước 1: Thu thập và củng cố bằng chứng vi phạm như thế nào?

Hãy lập tức lưu lại tất cả các bằng chứng liên quan như email, tin nhắn thông báo lộ dữ liệu, ảnh chụp màn hình, sao kê ngân hàng về các giao dịch đáng ngờ, và các tài liệu chứng minh thiệt hại khác.

Đây là bước nền tảng. Bằng chứng càng vững chắc, khả năng đòi bồi thường thành công càng cao. Các loại bằng chứng cần thu thập bao gồm:

• Bằng chứng về hành vi vi phạm: Thông báo về vi phạm dữ liệu từ chính công ty, các bài báo, thông tin công khai về vụ việc, kết luận của cơ quan chức năng (nếu có).
• Bằng chứng về việc bạn là khách hàng/người dùng: Hợp đồng, hóa đơn, email xác nhận đăng ký tài khoản, ảnh chụp màn hình thông tin tài khoản của bạn trên hệ thống của bên vi phạm.
• Bằng chứng về thiệt hại: Các sao kê ngân hàng thể hiện giao dịch gian lận, hóa đơn chi phí khắc phục (thay khóa, làm lại giấy tờ, chi phí tư vấn pháp lý), các bằng chứng về tổn thất tinh thần (tin nhắn đe dọa, bình luận xúc phạm trên mạng xã hội, hồ sơ bệnh án nếu phải điều trị tâm lý).

Bước 2: Gửi yêu cầu trực tiếp đến bên vi phạm ra sao?

Soạn thảo một văn bản chính thức (thư hoặc email) gửi đến Bên Kiểm soát hoặc Bên Xử lý dữ liệu, nêu rõ vụ việc, thiệt hại và yêu cầu bồi thường cụ thể, kèm theo các bằng chứng đã thu thập.

Đây là bước thương lượng ngoài tòa án và thường được khuyến khích thực hiện trước. Một yêu cầu chuyên nghiệp sẽ thể hiện thiện chí giải quyết và tạo cơ sở pháp lý cho các bước tiếp theo. Nội dung yêu cầu cần có:

• Thông tin của bạn (chủ thể dữ liệu).
• Nêu rõ hành vi vi phạm của doanh nghiệp.
• Mô tả chi tiết các thiệt hại đã xảy ra.
• Đưa ra mức yêu cầu bồi thường cụ thể và cơ sở tính toán.
• Ấn định thời hạn hợp lý để doanh nghiệp phản hồi (thường là 15-30 ngày).

Nên gửi thư bảo đảm có hồi báo hoặc email có xác nhận để lưu lại bằng chứng đã gửi yêu cầu.

Bước 3: Khiếu nại, tố cáo lên cơ quan nhà nước có thẩm quyền ở đâu?

Nếu thương lượng không thành công, bạn có quyền gửi đơn khiếu nại, tố cáo đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an, cơ quan chuyên trách về bảo vệ dữ liệu cá nhân.

Theo Điều 9 Nghị định 13/2023/NĐ-CP và Điều 4 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, chủ thể dữ liệu có quyền khiếu nại, tố cáo. Việc này không chỉ nhằm mục đích đòi bồi thường mà còn giúp cơ quan chức năng vào cuộc điều tra, xử lý vi phạm của doanh nghiệp, tạo ra bằng chứng pháp lý vững chắc hơn cho vụ kiện của bạn sau này. Hồ sơ gửi đến Cục A05 nên bao gồm đơn tố cáo và toàn bộ bằng chứng bạn đã thu thập, bao gồm cả bằng chứng về việc đã cố gắng thương lượng nhưng không thành.

Bước 4: Khởi kiện ra Tòa án như thế nào?

Đây là biện pháp pháp lý cuối cùng. Bạn cần chuẩn bị hồ sơ khởi kiện theo quy định của Bộ luật Tố tụng Dân sự và nộp tại Tòa án nhân dân có thẩm quyền (cấp quận/huyện nơi bị đơn đặt trụ sở hoặc cư trú).

Khi các biện pháp khác không hiệu quả, khởi kiện là con đường để bảo vệ quyền lợi một cách triệt để. Hồ sơ khởi kiện cần có:

• Đơn khởi kiện.
• Các tài liệu, chứng cứ chứng minh cho yêu cầu khởi kiện là có căn cứ và hợp pháp.
• Bản sao Căn cước công dân hoặc Hộ chiếu của người khởi kiện.

💡 DPO.VN khuyến nghị: Giai đoạn này có tính chất pháp lý phức tạp, việc tìm đến sự hỗ trợ của luật sư hoặc các chuyên gia pháp lý là rất cần thiết để đảm bảo hồ sơ hợp lệ và tối ưu hóa khả năng thắng kiện.

Bước 5: Tham gia vào quá trình thi hành án để làm gì?

Sau khi có bản án hoặc quyết định có hiệu lực của Tòa án, bạn cần chủ động yêu cầu cơ quan thi hành án dân sự tổ chức thi hành để đảm bảo nhận được khoản bồi thường từ bên vi phạm.

Thắng kiện chỉ là một nửa chặng đường. Để thực sự nhận được khoản bồi thường, bạn cần nộp đơn yêu cầu thi hành án tại cơ quan thi hành án dân sự có thẩm quyền. Cơ quan này sẽ áp dụng các biện pháp cần thiết theo luật định để buộc bên phải thi hành án thực hiện nghĩa vụ của mình.

Làm thế nào để xác định và chứng minh thiệt hại thực tế khi dữ liệu cá nhân bị xâm phạm?

Thiệt hại được xác định dựa trên tổn thất vật chất (tiền bạc, chi phí khắc phục) và tổn thất tinh thần (uy tín, danh dự, tâm lý). Việc chứng minh đòi hỏi phải có hóa đơn, chứng từ, sao kê, và các tài liệu liên quan khác.

Đây thường là khâu thách thức nhất trong quá trình yêu cầu bồi thường. Việc lượng hóa thiệt hại, đặc biệt là thiệt hại tinh thần, cần sự chuẩn bị kỹ lưỡng.

Ai là người chịu trách nhiệm bồi thường thiệt hại theo quy định pháp luật?

Bên Kiểm soát dữ liệu cá nhân và Bên Kiểm soát và xử lý dữ liệu cá nhân là những bên chịu trách nhiệm chính trước chủ thể dữ liệu về các thiệt hại do quá trình xử lý dữ liệu gây ra.

Việc xác định đúng đối tượng chịu trách nhiệm là yếu tố then chốt. Pháp luật về bảo vệ dữ liệu cá nhân đã phân biệt bên kiểm soát và bên xử lý dữ liệu cá nhân với các vai trò và nghĩa vụ khác nhau:

• Bên Kiểm soát dữ liệu cá nhân: Là tổ chức, cá nhân quyết định mục đích và phương tiện xử lý dữ liệu. Theo Khoản 6, Điều 38 Nghị định 13/2023/NĐ-CP và Khoản 1g, Điều 37 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, bên này chịu trách nhiệm chính trước chủ thể dữ liệu.
• Bên Xử lý dữ liệu cá nhân: Là tổ chức, cá nhân xử lý dữ liệu thay mặt cho Bên Kiểm soát. Theo Khoản 4, Điều 39 Nghị định 13/2023/NĐ-CP và Khoản 2d, Điều 37 Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15, bên này chịu trách nhiệm trước chủ thể dữ liệu về phần thiệt hại do mình gây ra trong quá trình xử lý. Họ cũng chịu trách nhiệm liên đới với Bên Kiểm soát.
• Bên thứ ba: Là các bên khác được phép xử lý dữ liệu. Trách nhiệm của họ cũng được xác định dựa trên mức độ tham gia và hành vi vi phạm cụ thể.

Do đó, chủ thể dữ liệu có quyền yêu cầu cả Bên Kiểm soát và Bên Xử lý dữ liệu liên đới chịu trách nhiệm bồi thường cho thiệt hại của mình.

Các Câu Hỏi Thường Gặp Về Yêu Cầu Bồi Thường Thiệt Hại

Tài liệu tham khảo

• Bộ luật Tố tụng dân sự 2015.
• Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân.
• Cổng Thông tin điện tử Bộ Công an.
• Cổng Thông tin điện tử Chính phủ.