LS. Phan Nhi – Ngọc Mai – Trung Tín (*)
Pháp luật về bảo vệ dữ liệu cá nhân đang đặt ra nhiều yêu cầu mới cho quá trình vận hành của các doanh nghiệp. Đối với công ty cổ phần, một vấn đề thực tiễn gây nhiều tranh luận là liệu doanh nghiệp có bắt buộc phải thu thập sự đồng ý của từng cổ đông khi xử lý dữ liệu cá nhân để lập sổ đăng ký cổ đông và tổ chức họp/lấy ý kiến đại hội đồng cổ đông (gọi tắt là họp đại hội đồng cổ đông) hay không? Bài viết dưới đây phân tích các quy định hiện hành nhằm đưa ra quan điểm cho nút thắt pháp lý này.
Nghĩa vụ quản trị của công ty cổ phần theo Luật Doanh nghiệp
Theo quy định của Luật Doanh nghiệp năm 2020 (được sửa đổi, bổ sung năm 2025) (Luật DN), công ty cổ phần (CTCP) có trách nhiệm:
Thứ nhất, CTCP phải lập, lưu giữ và cập nhật kịp thời sổ đăng ký cổ đông ngay từ thời điểm được cấp Giấy chứng nhận đăng ký doanh nghiệp theo điều 122 Luật DN.
Thứ hai, CTCP phải tổ chức họp đại hội đồng cổ đông thường niên hoặc bất thường hoặc lấy ý kiến cổ đông có quyền biểu quyết để thông qua các vấn đề trọng yếu của công ty như báo cáo tài chính, kế hoạch kinh doanh… theo điều 139 Luật DN.
Như vậy, các trách nhiệm trên đều là nghĩa vụ pháp lý bắt buộc, không mang tính tùy nghi phát sinh từ nhu cầu riêng của doanh nghiệp.
Trách nhiệm của công ty cổ phần theo pháp luật bảo vệ dữ liệu cá nhân
Để thực hiện các nghĩa vụ nêu trên, CTCP bắt buộc phải xử lý dữ liệu của cổ đông. Cụ thể, khi lập sổ đăng ký cổ đông, CTCP phải ghi nhận các thông tin chủ yếu như họ tên, địa chỉ liên lạc, quốc tịch, số giấy tờ pháp lý, số lượng cổ phần từng loại và ngày đăng ký cổ phần theo khoản 2 điều 122 Luật DN.
Ngoài ra, khi tổ chức họp đại hội đồng cổ đông, công ty phải lập danh sách cổ đông có quyền dự họp/lấy ý kiến, gửi thông báo đến địa chỉ của cổ đông hoặc thiết lập tài khoản dự họp cho từng cổ đông theo điều 141 Luật DN. Theo đó, ngoài việc ghi nhận dữ liệu cá nhân của cổ đông trong phạm vi sổ đăng ký, công ty có thể cần chia sẻ những dữ liệu này cho bên ngoài như đơn vị chuyển phát, đơn vị thiết lập phần mềm dự họp/lấy ý kiến mà ở thời điểm đầu tiên khi cổ đông đến với công ty, công ty không thể dự đoán hay xác định trước được mà thu thập sự đồng ý.
Dù không cần xin đồng ý, doanh nghiệp vẫn nên thông báo cho cổ đông về loại dữ liệu thu thập, mục đích sử dụng, thời gian lưu giữ và phạm vi tiếp cận, vừa đáp ứng nguyên tắc minh bạch, vừa giảm thiểu nguy cơ tranh chấp.
Đối chiếu với điều 3 Nghị định 356/2025/NĐ-CP, các thông tin nêu trên được phân loại là dữ liệu cá nhân cơ bản. Như vậy, toàn bộ hoạt động thu thập, lưu trữ và sử dụng các thông tin này để thực hiện nghĩa vụ quản trị của CTCP đều là hoạt động xử lý dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN). Trong luồng xử lý này, công ty đóng vai trò là bên kiểm soát hoặc bên kiểm soát và xử lý dữ liệu (gọi tắt là bên kiểm soát), từ đó có trách nhiệm đảm bảo dữ liệu cá nhân của cổ đông được xử lý là hợp pháp.
Luật BVDLCN 2025 đặt ra nguyên tắc nền tảng là các hoạt động xử lý dữ liệu phải có sự đồng ý của chủ thể dữ liệu. Nếu áp dụng nguyên tắc này một cách cứng nhắc vào quan hệ giữa CTCP và cổ đông, một tình huống tiến thoái lưỡng nan sẽ xuất hiện: nếu cổ đông không đồng ý hoặc yêu cầu xóa dữ liệu, công ty sẽ vi phạm pháp luật dù lựa chọn hướng giải quyết nào, cụ thể:
Một mặt, nếu xóa dữ liệu theo yêu cầu của cổ đông để tuân thủ Luật BVDLCN, công ty sẽ vi phạm nghĩa vụ lập sổ đăng ký cổ đông, dẫn đến vi phạm khoản 2 điều 122 Luật DN.
Mặt khác, nếu tiếp tục xử lý dữ liệu để duy trì tính hợp lệ của hoạt động quản trị, công ty có nguy cơ bị xử phạt hành chính do giải quyết yêu cầu thực hiện quyền của cổ đông.
Như vậy, tuân thủ luật này đồng nghĩa với vi phạm luật kia và đây là lý do khiến vấn đề này cần được làm rõ. Tức là ở đây, cần xem xét quy định về sự đồng ý và ngoại lệ không cần sự đồng ý. Theo đó, việc xử lý dữ liệu của cổ đông không xuất phát từ nhu cầu tùy nghi của doanh nghiệp, mà là điều kiện tất yếu để thực hiện các nghĩa vụ bắt buộc theo Luật DN.
Nói cách khác, đây là loại xử lý dữ liệu mà nếu buộc phải chờ sự đồng ý của từng cổ đông, doanh nghiệp sẽ không thể bảo đảm tuân thủ pháp luật chuyên ngành. Do đó, để giải quyết xung đột giữa hai hệ thống pháp luật, cần tiếp tục xem xét liệu hoạt động xử lý dữ liệu của CTCP trong trường hợp này có thể thuộc một trong các ngoại lệ không cần sự đồng ý của chủ thể dữ liệu theo Luật BVDLCN hay không.
Căn cứ pháp lý để xử lý dữ liệu không cần sự đồng ý
Mặc dù nguyên tắc chung của Luật BVDLCN là xử lý dữ liệu phải được sự đồng ý của chủ thể dữ liệu. Tuy nhiên, khoản 1 điều 19 Luật BVDLCN cũng ghi nhận một số trường hợp ngoại lệ.
Các ngoại lệ quy định từ điểm a đến điểm d, khoản 1 điều 19 Luật BVDLCN đều khó áp dụng cho trường hợp này. Điểm a chỉ dành cho các tình huống cấp bách nhằm bảo vệ tính mạng, sức khỏe hoặc lợi ích hợp pháp trước nguy cơ xâm phạm, nên không phù hợp với hoạt động quản trị nội bộ mang tính thường xuyên của công ty. Điểm b gắn với tình trạng khẩn cấp, an ninh quốc gia và phòng, chống tội phạm, rõ ràng không liên quan đến quan hệ giữa công ty và cổ đông. Điểm c chỉ có thể được viện dẫn trong phạm vi hẹp, chẳng hạn khi công ty cung cấp thông tin cho cơ quan nhà nước có thẩm quyền, chứ không đủ làm căn cứ cho toàn bộ quá trình lập sổ đăng ký cổ đông hay tổ chức họp đại hội đồng cổ đông. Điểm d, dù có thể được cân nhắc trên cơ sở quan hệ giữa cổ đông và công ty, vẫn chưa thật sự thuyết phục vì các hoạt động này trước hết phát sinh từ nghĩa vụ bắt buộc theo Luật DN, chứ không phải từ thỏa thuận.
Theo đó, điểm đ khoản 1 điều 19 Luật BVDLCN là căn cứ có khả năng áp dụng cao nhất cho trường hợp CTCP xử lý dữ liệu của cổ đông cho mục đích trên. Bởi vì hoạt động xử lý này không phát sinh từ nhu cầu của doanh nghiệp, mà từ một nghĩa vụ đã được Luật DN quy định bắt buộc. Nếu hiểu theo tinh thần của điều khoản này, thì chính nghĩa vụ pháp lý theo luật chuyên ngành có thể được xem là “trường hợp khác theo quy định của pháp luật”, qua đó cho phép doanh nghiệp xử lý dữ liệu mà không cần quay lại cơ chế xin sự đồng ý của từng cổ đông.
Tuy nhiên, vấn đề nằm ở chỗ điểm đ được xây dựng quá khái quát. Điều luật chỉ dừng ở công thức “trường hợp khác theo quy định của pháp luật” nhưng không xác định rõ đó là những trường hợp nào, điều kiện áp dụng ra sao và liệu một nghĩa vụ bắt buộc theo luật chuyên ngành có đương nhiên được xem là căn cứ hợp pháp để xử lý dữ liệu hay không. Sự thiếu rõ ràng này làm cho điểm đ khoản 1 điều 19 Luật BVDLCN tuy có vẻ là lối mở hợp lý nhất, nhưng đồng thời cũng là căn cứ tiềm ẩn nhiều rủi ro nhất trong thực tiễn áp dụng.
Rủi ro ở đây là rất cụ thể. Nếu doanh nghiệp chủ động viện dẫn điểm đ để xử lý dữ liệu mà không xin sự đồng ý của cổ đông, họ có thể đối mặt với cách giải thích hẹp hoặc rộng tùy từng thời điểm và tùy từng cơ quan quản lý. Theo đó, tại thời điểm cần siết chặt công tác quản lý, cơ quan quản lý hoàn toàn có thể cho rằng quy định của Luật DN chỉ đặt ra nghĩa vụ lập sổ hoặc tổ chức họp cho công ty, chứ chưa nói rõ CTCP được xử lý dữ liệu mà không cần sự đồng ý. Ngược lại, nếu doanh nghiệp không áp dụng điểm đ và lựa chọn xin ý kiến từng cổ đông, thì chính hoạt động quản trị bắt buộc của CTCP lại có nguy cơ bị đình trệ hoặc không thể thực hiện đầy đủ. Nói cách khác, điểm đ hiện là một căn cứ có thể sử dụng, nhưng do nội hàm chưa được làm rõ nên việc áp dụng trên thực tế vẫn đặt doanh nghiệp vào trạng thái thiếu chắc chắn về pháp lý.
(*) Công ty Luật TNHH Bách Luật – LexNovum Lawyers
https://thesaigontimes.vn/bao-ve-du-lieu-ca-nhan-phan-1-thu-thap-thong-tin-co-dong-the-nao/
