Bảo vệ dữ liệu cá nhân - Phần 1: Thu thập thông tin cổ đông thế nào?
Pháp luật về bảo vệ dữ liệu cá nhân đang đặt ra nhiều yêu cầu mới cho quá trình vận hành của các doanh nghiệp. Đối với công ty cổ phần, một vấn đề thực tiễn gây nhiều tranh luận là liệu doanh nghiệp có bắt buộc phải thu thập sự đồng ý của từng cổ đông khi xử lý dữ liệu cá nhân để lập sổ đăng ký cổ đông và tổ chức họp/lấy ý kiến đại hội đồng cổ đông (gọi tắt là họp đại hội đồng cổ đông) hay không? Bài viết dưới đây phân tích các quy định hiện hành nhằm đưa ra quan điểm cho nút thắt pháp lý này.
Nghĩa vụ quản trị của công ty cổ phần theo Luật Doanh nghiệp
Theo quy định của Luật Doanh nghiệp năm 2020 (được sửa đổi, bổ sung năm 2025) (Luật DN), công ty cổ phần (CTCP) có trách nhiệm:
Thứ nhất, CTCP phải lập, lưu giữ và cập nhật kịp thời sổ đăng ký cổ đông ngay từ thời điểm được cấp Giấy chứng nhận đăng ký doanh nghiệp theo điều 122 Luật DN.
Thứ hai, CTCP phải tổ chức họp đại hội đồng cổ đông thường niên hoặc bất thường hoặc lấy ý kiến cổ đông có quyền biểu quyết để thông qua các vấn đề trọng yếu của công ty như báo cáo tài chính, kế hoạch kinh doanh... theo điều 139 Luật DN.
Như vậy, các trách nhiệm trên đều là nghĩa vụ pháp lý bắt buộc, không mang tính tùy nghi phát sinh từ nhu cầu riêng của doanh nghiệp.
Trách nhiệm của công ty cổ phần theo pháp luật bảo vệ dữ liệu cá nhân
Để thực hiện các nghĩa vụ nêu trên, CTCP bắt buộc phải xử lý dữ liệu của cổ đông. Cụ thể, khi lập sổ đăng ký cổ đông, CTCP phải ghi nhận các thông tin chủ yếu như họ tên, địa chỉ liên lạc, quốc tịch, số giấy tờ pháp lý, số lượng cổ phần từng loại và ngày đăng ký cổ phần theo khoản 2 điều 122 Luật DN.
Ngoài ra, khi tổ chức họp đại hội đồng cổ đông, công ty phải lập danh sách cổ đông có quyền dự họp/lấy ý kiến, gửi thông báo đến địa chỉ của cổ đông hoặc thiết lập tài khoản dự họp cho từng cổ đông theo điều 141 Luật DN. Theo đó, ngoài việc ghi nhận dữ liệu cá nhân của cổ đông trong phạm vi sổ đăng ký, công ty có thể cần chia sẻ những dữ liệu này cho bên ngoài như đơn vị chuyển phát, đơn vị thiết lập phần mềm dự họp/lấy ý kiến mà ở thời điểm đầu tiên khi cổ đông đến với công ty, công ty không thể dự đoán hay xác định trước được mà thu thập sự đồng ý.
Dù không cần xin đồng ý, doanh nghiệp vẫn nên thông báo cho cổ đông về loại dữ liệu thu thập, mục đích sử dụng, thời gian lưu giữ và phạm vi tiếp cận, vừa đáp ứng nguyên tắc minh bạch, vừa giảm thiểu nguy cơ tranh chấp.
Đối chiếu với điều 3 Nghị định 356/2025/NĐ-CP, các thông tin nêu trên được phân loại là dữ liệu cá nhân cơ bản. Như vậy, toàn bộ hoạt động thu thập, lưu trữ và sử dụng các thông tin này để thực hiện nghĩa vụ quản trị của CTCP đều là hoạt động xử lý dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 2025 (Luật BVDLCN). Trong luồng xử lý này, công ty đóng vai trò là bên kiểm soát hoặc bên kiểm soát và xử lý dữ liệu (gọi tắt là bên kiểm soát), từ đó có trách nhiệm đảm bảo dữ liệu cá nhân của cổ đông được xử lý là hợp pháp.
Luật BVDLCN 2025 đặt ra nguyên tắc nền tảng là các hoạt động xử lý dữ liệu phải có sự đồng ý của chủ thể dữ liệu. Nếu áp dụng nguyên tắc này một cách cứng nhắc vào quan hệ giữa CTCP và cổ đông, một tình huống tiến thoái lưỡng nan sẽ xuất hiện: nếu cổ đông không đồng ý hoặc yêu cầu xóa dữ liệu, công ty sẽ vi phạm pháp luật dù lựa chọn hướng giải quyết nào, cụ thể:
Một mặt, nếu xóa dữ liệu theo yêu cầu của cổ đông để tuân thủ Luật BVDLCN, công ty sẽ vi phạm nghĩa vụ lập sổ đăng ký cổ đông, dẫn đến vi phạm khoản 2 điều 122 Luật DN.
Mặt khác, nếu tiếp tục xử lý dữ liệu để duy trì tính hợp lệ của hoạt động quản trị, công ty có nguy cơ bị xử phạt hành chính do giải quyết yêu cầu thực hiện quyền của cổ đông.
Như vậy, tuân thủ luật này đồng nghĩa với vi phạm luật kia và đây là lý do khiến vấn đề này cần được làm rõ. Tức là ở đây, cần xem xét quy định về sự đồng ý và ngoại lệ không cần sự đồng ý. Theo đó, việc xử lý dữ liệu của cổ đông không xuất phát từ nhu cầu tùy nghi của doanh nghiệp, mà là điều kiện tất yếu để thực hiện các nghĩa vụ bắt buộc theo Luật DN.
Nói cách khác, đây là loại xử lý dữ liệu mà nếu buộc phải chờ sự đồng ý của từng cổ đông, doanh nghiệp sẽ không thể bảo đảm tuân thủ pháp luật chuyên ngành. Do đó, để giải quyết xung đột giữa hai hệ thống pháp luật, cần tiếp tục xem xét liệu hoạt động xử lý dữ liệu của CTCP trong trường hợp này có thể thuộc một trong các ngoại lệ không cần sự đồng ý của chủ thể dữ liệu theo Luật BVDLCN hay không.
Căn cứ pháp lý để xử lý dữ liệu không cần sự đồng ý
Mặc dù nguyên tắc chung của Luật BVDLCN là xử lý dữ liệu phải được sự đồng ý của chủ thể dữ liệu. Tuy nhiên, khoản 1 điều 19 Luật BVDLCN cũng ghi nhận một số trường hợp ngoại lệ.
Các ngoại lệ quy định từ điểm a đến điểm d, khoản 1 điều 19 Luật BVDLCN đều khó áp dụng cho trường hợp này. Điểm a chỉ dành cho các tình huống cấp bách nhằm bảo vệ tính mạng, sức khỏe hoặc lợi ích hợp pháp trước nguy cơ xâm phạm, nên không phù hợp với hoạt động quản trị nội bộ mang tính thường xuyên của công ty. Điểm b gắn với tình trạng khẩn cấp, an ninh quốc gia và phòng, chống tội phạm, rõ ràng không liên quan đến quan hệ giữa công ty và cổ đông. Điểm c chỉ có thể được viện dẫn trong phạm vi hẹp, chẳng hạn khi công ty cung cấp thông tin cho cơ quan nhà nước có thẩm quyền, chứ không đủ làm căn cứ cho toàn bộ quá trình lập sổ đăng ký cổ đông hay tổ chức họp đại hội đồng cổ đông. Điểm d, dù có thể được cân nhắc trên cơ sở quan hệ giữa cổ đông và công ty, vẫn chưa thật sự thuyết phục vì các hoạt động này trước hết phát sinh từ nghĩa vụ bắt buộc theo Luật DN, chứ không phải từ thỏa thuận.
Theo đó, điểm đ khoản 1 điều 19 Luật BVDLCN là căn cứ có khả năng áp dụng cao nhất cho trường hợp CTCP xử lý dữ liệu của cổ đông cho mục đích trên. Bởi vì hoạt động xử lý này không phát sinh từ nhu cầu của doanh nghiệp, mà từ một nghĩa vụ đã được Luật DN quy định bắt buộc. Nếu hiểu theo tinh thần của điều khoản này, thì chính nghĩa vụ pháp lý theo luật chuyên ngành có thể được xem là “trường hợp khác theo quy định của pháp luật”, qua đó cho phép doanh nghiệp xử lý dữ liệu mà không cần quay lại cơ chế xin sự đồng ý của từng cổ đông.
Tuy nhiên, vấn đề nằm ở chỗ điểm đ được xây dựng quá khái quát. Điều luật chỉ dừng ở công thức “trường hợp khác theo quy định của pháp luật” nhưng không xác định rõ đó là những trường hợp nào, điều kiện áp dụng ra sao và liệu một nghĩa vụ bắt buộc theo luật chuyên ngành có đương nhiên được xem là căn cứ hợp pháp để xử lý dữ liệu hay không. Sự thiếu rõ ràng này làm cho điểm đ khoản 1 điều 19 Luật BVDLCN tuy có vẻ là lối mở hợp lý nhất, nhưng đồng thời cũng là căn cứ tiềm ẩn nhiều rủi ro nhất trong thực tiễn áp dụng.
Rủi ro ở đây là rất cụ thể. Nếu doanh nghiệp chủ động viện dẫn điểm đ để xử lý dữ liệu mà không xin sự đồng ý của cổ đông, họ có thể đối mặt với cách giải thích hẹp hoặc rộng tùy từng thời điểm và tùy từng cơ quan quản lý. Theo đó, tại thời điểm cần siết chặt công tác quản lý, cơ quan quản lý hoàn toàn có thể cho rằng quy định của Luật DN chỉ đặt ra nghĩa vụ lập sổ hoặc tổ chức họp cho công ty, chứ chưa nói rõ CTCP được xử lý dữ liệu mà không cần sự đồng ý. Ngược lại, nếu doanh nghiệp không áp dụng điểm đ và lựa chọn xin ý kiến từng cổ đông, thì chính hoạt động quản trị bắt buộc của CTCP lại có nguy cơ bị đình trệ hoặc không thể thực hiện đầy đủ. Nói cách khác, điểm đ hiện là một căn cứ có thể sử dụng, nhưng do nội hàm chưa được làm rõ nên việc áp dụng trên thực tế vẫn đặt doanh nghiệp vào trạng thái thiếu chắc chắn về pháp lý.
(*) Công ty Luật TNHH Bách Luật - LexNovum Lawyers
Tin nóng
Romeo Beckham bị tòa án Anh tuyên phạt vì vi phạm giao thông do sử dụng điện thoại khi lái xe. Vụ việc được xử lý theo thủ tục vắng mặt, với mức phạt tiền cùng điểm trừ bằng lái.
Ngày 17-6, Phòng Cảnh sát hình sự (CSHS)- Công an TP Đà Nẵng cho biết, đã khởi tố bị can và bắt tạm giam đối tượng Phạm Thị Hương (1977, trú xã Hải Châu, tỉnh Nghệ An) để điều tra về hành vi: 'Lừa đảo chiếm đoạt tài sản'. Đây là kết quả từ quá trình mở rộng điều tra vụ án lừa đảo mà Cơ quan CSĐT Công an TP Đà Nẵng đã khởi tố trước đó theo đơn tố giác của công dân.
Các nạn nhân vụ lừa đảo 'sở hữu kỳ nghỉ' cần sớm tham gia tố tụng, cung cấp chứng cứ để được xem xét hoàn trả tiền.
Mâu thuẫn về khoản nợ 19 triệu đồng, nhóm 4 người chặn đường, dùng dao uy hiếp người phụ nữ rồi cướp xe máy tẩu thoát.
Trong lúc nóng giận, T. đã dùng tay đấm vào mặt bà G. Chồng bà G. là ông P.T. thấy vợ bị đánh bèn lao vào định can thiệp nhưng đã được các nhân viên cửa hàng kịp thời ngăn chặn.
Mùa World Cup là thời điểm các hoạt động tụ tập xem bóng đá, sử dụng rượu, bia tăng cao, tiềm ẩn nguy cơ vi phạm nồng độ cồn.
Tin mới
Nghề DJ (chỉnh nhạc) được xem là một công việc thời thượng, nhưng cũng đối mặt với không ít áp lực lẫn cám dỗ của giới trẻ chuyên 'sống về đêm'. Với Nguyễn Chí Tâm, nghề DJ từng là cả niềm đam mê lớn giúp Tâm có được thu nhập ổn định. Thế nhưng, trong những đêm dài chơi nhạc, Tâm đã sa chân vào vũng bùn ma túy và kéo luôn đồng nghiệp vào con đường lao lý.
Xin mẹ đi làm thêm tại quán cà phê để trải nghiệm kỳ nghỉ hè, nhưng nam sinh ấy lại xuất hiện trong danh sách 39 đối tượng bị Công an tỉnh Gia Lai triệu tập vì hành vi gây rối trật tự công cộng.
Công an phường Tây Nha Trang xác định N.T.T. (SN 2008) là người đấm phụ nữ sau sự cố làm bé gái ngã tại cửa hàng điện thoại; hai bên đã hòa giải.
Trong quá trình thực hiện nhiệm vụ tìm kiếm, quy tập hài cốt liệt sĩ tại mặt trận Vị Xuyên, cán bộ, chiến sĩ Đội Tìm kiếm, quy tập hài cốt liệt sĩ Tuyên Quang luôn đối mặt với việc nhiều vị trí nghi có hài cốt liệt sĩ nằm ở những khu vực hiểm trở, ngoài khu vực đã được rà phá bom mìn, tiềm ẩn nhiều nguy cơ mất an toàn trong quá trình tiếp cận và khảo sát thực địa.
Du lịch trải nghiệm hiện là một trong những xu thế ngày càng được yêu thích, đặc biệt là giới trẻ. Song, sự bùng nổ một cách tự phát của xu hướng du lịch 'người người rủ nhau hiking, trekking, nhà nhà hẹn nhau camping' lại đang kéo theo nguy cơ mất an toàn.
Cơ quan chức năng kêu gọi đối tượng truy nã Nguyễn Đông Trang (sinh năm 1993, trú tại thôn Nhạn Pháp, xã Mễ Sở, tỉnh Hưng Yên) sớm ra đầu thú để được hưởng chính sách khoan hồng của pháp luật.
Trong vụ án lừa đảo liên quan mô hình 'sở hữu kỳ nghỉ' vừa bị Công an TP Hà Nội khởi tố, nhiều đối tượng giữ vai trò giám đốc, lãnh đạo doanh nghiệp còn rất trẻ đã bị xác định tham gia điều hành, trực tiếp tư vấn và ký kết hợp đồng với khách hàng.
Hoàng Liên Sơn cùng đồng bọn bị khởi tố vì sản xuất, bán hơn 600 thiết bị can thiệp hệ thống cảm biến hồng ngoại của taxi điện nhằm trục lợi bất chính.