Bảo vệ dữ liệu cá nhân - Phần 2: Việt Nam nên tham khảo mô hình nào?

Cổ đông làm thủ tục đăng ký tham dự một cuộc họp ĐHĐCĐ thường niên diễn ra tại Hà Nội. Ảnh minh họa: Thắng Hoàng.

Kinh nghiệm quốc tế: sự đồng ý không phải là tất cả

Tại Liên minh châu Âu, điểm c khoản 1 điều 6 của Quy định chung về bảo vệ dữ liệu (GDPR) ghi nhận rõ ràng rằng việc xử lý dữ liệu là hợp pháp nếu “cần thiết để tuân thủ nghĩa vụ pháp lý mà bên kiểm soát dữ liệu phải chịu trách nhiệm”. Theo tinh thần đó, khi pháp luật quốc gia bắt buộc công ty phải lập sổ đăng ký cổ đông, tổ chức họp đại hội đồng cổ đông, việc xử lý dữ liệu phục vụ các nghĩa vụ này đương nhiên là hợp pháp mà không cần sự đồng ý của cổ đông.

Tại Singapore, Đạo luật Bảo vệ dữ liệu cá nhân (PDPA) cho phép tổ chức xử lý dữ liệu cá nhân mà không cần sự đồng ý nếu việc xử lý đó phục vụ lợi ích hợp pháp của tổ chức và lợi ích này lớn hơn tác động bất lợi có thể gây ra cho chủ thể dữ liệu. Điều kiện đi kèm là tổ chức phải đánh giá trước về tác động, áp dụng biện pháp giảm thiểu rủi ro và bảo đảm tính minh bạch đối với chủ thể dữ liệu.

Cả hai mô hình đều cho thấy một điểm chung: sự đồng ý không phải là căn cứ duy nhất để xử lý dữ liệu hợp pháp và các nghĩa vụ pháp lý bắt buộc của doanh nghiệp là căn cứ độc lập đủ để thực hiện xử lý dữ liệu mà không cần sự đồng ý của chủ thể.

Quan điểm và gợi mở cho Việt Nam

Đối với câu hỏi đặt ra ở đầu bài viết, chúng tôi cho rằng CTCP không cần thu thập sự đồng ý của cổ đông khi xử lý dữ liệu cá nhân để lập sổ đăng ký cổ đông và tổ chức họp đại hội đồng cổ đông. Bởi vì bản chất của các hoạt động này: chúng không phát sinh từ nhu cầu riêng của doanh nghiệp mà là nghĩa vụ quản trị bắt buộc theo Luật DN. Tuy nhiên, khó khăn hiện nay là căn cứ pháp lý gần nhất để biện minh cho cách hiểu này, vấn đề là nếu áp dụng điểm đ khoản 1 điều 19 Luật BVDLCN thì việc áp dụng trên thực tế vẫn còn thiếu chắc chắn và tiềm ẩn rủi ro cho doanh nghiệp.

Từ thực tiễn trên, để bảo đảm tính minh bạch, thống nhất và khả thi trong thực tiễn áp dụng, cơ quan nhà nước cần sớm ban hành văn bản dưới luật hướng dẫn, mô tả về các trường hợp ngoại lệ quy định tại khoản 1 điều 19 Luật BVDLCN; đặc biệt, đối với điểm đ khoản 1 điều 19 Luật BVDLCN, nếu việc xử lý dữ liệu là điều kiện tiên quyết để ban kiểm sát thực hiện nghĩa vụ bắt buộc theo luật chuyên ngành khác thì nên được xem là có căn cứ pháp lý độc lập để ban kiểm sát xử lý dữ liệu cá nhân mà không cần thu thập sự đồng ý của chủ thể dữ liệu. Cách tiếp cận này vừa phù hợp với thực tiễn lập pháp, vừa tránh đặt doanh nghiệp vào tình trạng không thể đồng thời tuân thủ cả Luật DN và Luật BVDLCN.

Đối với doanh nghiệp, trong khi chờ hướng dẫn chính thức, CTCP nên chủ động thực hiện một số biện pháp phòng ngừa rủi ro. Trước hết, chỉ xử lý những dữ liệu thực sự cần thiết, tránh thu thập vượt quá phạm vi nghĩa vụ theo Luật DN. Tiếp đó, xây dựng và lưu giữ hồ sơ nội bộ giải trình rõ căn cứ xử lý dữ liệu, nêu rõ đây là hoạt động tuân thủ nghĩa vụ pháp lý, không phải dựa trên sự đồng ý. Dù không cần xin đồng ý, doanh nghiệp vẫn nên thông báo cho cổ đông về loại dữ liệu thu thập, mục đích sử dụng, thời gian lưu giữ và phạm vi tiếp cận, vừa đáp ứng nguyên tắc minh bạch, vừa giảm thiểu nguy cơ tranh chấp. Cuối cùng, áp dụng các biện pháp bảo mật phù hợp để bảo đảm dữ liệu cổ đông chỉ được sử dụng trong phạm vi quản trị công ty và không bị lạm dụng cho các mục đích khác.

(*) Công ty Luật TNHH Bách Luật - LexNovum Lawyers

LS. Phan Nhi - Ngọc Mai - Trung Tín (*)