ข้อมูลส่วนบุคคลของพนักงาน : แค่ ‘ยินยอม’ อาจจะไม่เพียงพอ

ข้อมูลลักษณะของบุคคลล้วนอยู่ภายใต้ความหมายของการประมวลผลข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

Cap & Corp Forum

ผู้ประกอบการ นายจ้าง หรือฝ่ายทรัพยากรบุคคลถือเป็นอีกกลุ่มหนึ่งที่จำต้องมีการเตรียมตัวศึกษาและทำความเข้าใจต่อการเก็บรวมรวม ใช้ และเปิดเผยข้อมูลที่เป็นข้อมูลส่วนบุคคลในบริบทต่าง ๆ ที่เกี่ยวข้องกับการจ้างงาน ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การประมวลผลข้อมูลส่วนบุคคลนั้นกฎหมายให้กระทำได้เท่าที่จำเป็นเท่านั้น ในขณะที่ปัจจุบันเทคโนโลยีต่าง ๆ เอื้อต่อผู้ประกอบการในการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างได้ในหลายมิติ ไม่ว่าจะเป็นข้อมูลเอกสาร ข้อมูลการสื่อสารในรูปแบบอิเล็กทรอนิกส์ กล้องวงจรปิด ข้อมูลลักษณะของบุคคลล้วนอยู่ภายใต้ความหมายของการประมวลผลข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ดังนั้นจึงมีคำถามที่ตามมาว่าแล้วขอบเขตการเก็บรวมรวบ ใช้ และเปิดเผย (รวมเรียกว่า “การประมวลผล”) ข้อมูลส่วนบุคคลของลูกจ้างนั้น นายจ้างสามารถทำได้แค่ไหนและอยู่บนฐานความชอบด้วยกฎหมายใด

เนื่องจากบทบัญญัติมาตรา 19 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ​ได้กำหนดไว้อย่างชัดเจนว่า “ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงถึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม” (freely given consent) จากบทบัญญัติข้างต้นจึงมีประเด็นที่น่าสนใจว่าการขอความยินยอม (consent) เพื่อการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างโดยนายจ้างนั้นจะสามารถทำบนฐานความยินยอม (consent ground) ได้หรือไม่ เนื่องจากนายจ้างและลูกจ้างนั้นมีอำนาจการต่อรองที่ต่างกัน (different position of power) ดังนั้นการให้ความยินยอมของลูกจ้างหรือผู้สมัครงานต่อนายจ้างโดยธรรมชาติมักเป็นการให้ความยินยอมโดยปราศจากความเป็นอิสระของเจ้าของข้อมูล เนื่องจากความกังวลต่อผลเสียที่อาจจะตามมา เช่น ผลต่อการรับเข้าทำงาน ขึ้นเงินเดือนหรือตำแหน่ง เป็นต้น

ด้วยเหตุผลความต่างในอำนาจต่อรองนี้เอง (imbalance of power between data subject & data controller) ในทางปฏิบัติผู้ประกอบการหรือนายจ้างจึงควรจะหลีกเลี่ยงการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างโดยอาศัยฐานความยินยอมเท่านั้นเนื่องจากอาจทำให้ให้การประมวลผลข้อมูลส่วนบุคคลเป็นการขอความยินยอมที่ไม่เป็นไปตามเงื่อนไขในมาตรา 19  วรรค 1 และอาจมีผลให้การขอความยินยอมดังกล่าวของนายจ้างไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล (ลูกจ้าง) และทำให้ผู้ควบคุมข้อมูลส่วนบุคคล (นายจ้าง) ไม่สามารถทำการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างได้โดยชอบด้วยกฎหมาย

เมื่อพิจารณาตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ฐานความชอบด้วยกฎหมาย (lawful basis for processing of personal data) สำหรับกรณีของนายจ้างอาจจะมีได้อย่างน้อย 4 กรณี กล่าวคือ

  1. ฐานสัญญา (contract) ตามมาตรา 24(3)
  2. ฐานความยินยอม (consent) ตามมาตรา 19
  3. ฐานเพื่อประโยชน์โดยชอบด้วยกฎหมายของนายจ้าง (legitimate interest) ตามมาตรา 24(5)
  4. ฐานหน้าที่ตามกฎหมายอื่น ๆ (other legal obligations) ตามมาตรา 24(4) และ 24(6)

เพื่อเป็นการหลีกเลี่ยงความเสี่ยงทางกฎหมายอันเนื่องมาจากความไม่แน่นอนของการประมวลผล ข้อมูลส่วนบุคคลโดยอาศัยฐานความยินยอมเท่านั้น ผู้ประกอบการหรือนายจ้างในฐานะผู้ควบคุมข้อมูลส่วนบุคคลควรเลือกประมวลผลข้อมูลส่วนบุคคลบนฐานความชอบด้วยกฎหมายในฐานอื่นข้างต้นประกอบด้วย แต่หลักการสำคัญที่ผู้ประกอบการ/นายจ้างพึงต้องตระหนักเสมอ คือ แม้ในกรณีที่กฎหมายอนุญาตให้ผู้ควบคุมข้อมูลประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลก็ตาม (มาตรา 24(5)) กรณีดังกล่าวต้องเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้นและเว้นแต่ประโยชน์ดังกล่าว “มีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล”

การประมวลผลข้อมูลส่วนบุคคลโดยอ้างฐานความชอบด้วยกฎหมายนายจ้างจึงต้องคำนึงถึงหลักความได้สัดส่วน (proportionate principle) ระหว่างประโยชน์โดยชอบด้วยกฎหมายของตนและสิทธิขั้นพื้นฐานของลูกจ้างซึ่งสิทธิในที่นี้น่าจะหมายถึงสิทธิขั้นพื้นฐานและความเป็นอิสระของบุคคลเป็นสำคัญ ​และในทางปฏิบัติ การกล่าวอ้างเพียงเพื่อประโยชน์ในการแข่งขันหรือประโยชน์ทางธุรกิจของนายจ้างเท่านั้นอาจจะไม่เพียงพอต่อการอ้างเพื่อการประมวลผลข้อมูลตามมาตรา 24(5)

ดังนั้นการประมวลผลข้อมูลต่าง ๆ ที่กระทำโดยนายจ้างจึงต้องกระทำบนฐานความชอบด้วยกฎหมาย (lawfulness) โดยเป็นธรรม (fairness) และโปร่งใส (transparency) ในการใช้เทคโนโลยีในการประมวลผลข้อมูลและการวางมาตรการเกี่ยวกับการกำกับดูแลลูกจ้างหรือกิจการใด ๆ ที่มีการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างต้องทำโดยมีวัตถุประสงค์ที่เหมาะสม ชัดเจนและได้สัดส่วนต่อความเสี่ยงหรือความต้องการของกิจการนั้น ๆ ทั้งนี้การใช้ประมวลผลข้อมูลโดยอาศัยฐานเพื่อประโยชน์โดยชอบด้วยกฎหมายนี้เจ้าของข้อมูลฯ (ลูกจ้าง) มีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยหรือขอให้ผู้ควบคุมข้อมูล​ส่วนบุคคล (นายจ้าง) ทำการลบข้อมูลฯ ของตนได้ (มาตรา 32 และ 33)

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ในบริบทของการจ้างงานนั้นถือเป็นประเด็นที่ละเอียดอ่อนและมีความซับซ้อนอย่างมาก โดย European Data Protection Board (EDPB) ซึ่งทำหน้าที่เป็นคณะกรรมการที่ปรึกษาของหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปและประเทศสมาชิกได้แบ่งประเด็นและขั้นตอนต่าง ๆ ในการประมวลผลข้อมูลส่วนบุคคลที่กระทำโดยนายจ้างไว้ถึง 9 กรณีดังต่อไปนี้

  1. การประมวลผลข้อมูลระหว่างการสรรหาพนักงาน
  2. การประมวลผลข้อมูลบนโซเชียลมีเดียของผู้สมัครงาน
  3. การประมวลผลข้อมูลการใช้งานในระบบเทคโนโลยีสารสนเทศของพนักงานในที่ทำงาน
  4. การประมวลผลข้อมูลการใช้งานบนระบบเทคโนโลยีสารสนเทศของพนักงานนอกสถานที่ทำงาน
  5. การประมวลผลข้อมูลเกี่ยวกับระยะเวลาและการเข้างาน
  6. การประมวลผลภาพจากกล้องวงจรปิด
  7. การประมวลผลข้อมูลเกี่ยวกับการใช้ยานพาหนะของพนักงาน
  8. การเปิดเผยข้อมูลของพนักงานต่อบุคคลที่สาม
  9. การส่งหรือโอนข้อมูลฯ ของพนักงานไปยังต่างประเทศ

จากความละเอียดและซับซ้อนในการประมวลผลข้อมูลส่วนบุคคลในบริบทของการจ้างงานข้างต้น บทความนี้จึงเป็นเพียงหลักการเบื้องต้นที่ผู้ประกอบการในฐานะนายจ้างและผู้ประมวลผลข้อมูลส่วนบุคคลควรมีความเข้าใจในเบื้องต้นว่าเพียงการดำเนินการเก็บความยินยอมของลูกจ้างเพื่อประมวลผลข้อมูลส่วนบุคคลของลูกจ้างอันเกี่ยวเนื่องกับการจ้างงานนั้นอาจไม่เพียงพอและคุ้มครองความรับผิดต่าง ๆ ที่อาจจะเกิดขึ้นกับนายจ้างอันเนื่องมากจากการประมวลผลข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายได้

ประการสำคัญคือผู้ควบคุมข้อมูลส่วนบุคคลต้องเข้าใจ “หลักความได้สัดส่วน” ในบริบทของการประมวลผลข้อมูลส่วนบุคคล และสามารถ (1) การชั่งน้ำหนักระหว่างประโยชน์สาธารณะอื่น ๆ (ถ้ามี) (2) ประโยชน์โดยชอบด้วยกฎหมายของนายจ้าง และ (3) การคุ้มครองสิทธิขั้นพื้นฐานของลูกจ้างที่มีความหมายกว้างกว่าการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคลเท่านั้น

ดังนั้น ผู้ประกอบการจึงมีความจำเป็นอย่างยิ่งที่จะต้องประเมินลักษณะการประมวลผลข้อมูลในกรณีต่าง ๆ อย่างละเอียดและเลือกใช้เทคโนโลยีในการประมวลผลข้อมูลส่วนบุคคลอย่างเหมาะสมและได้สัดส่วนและมีการจัดทำ Data Protection Impact Assessment เพื่อประเมินและบริหารจัดการความเสี่ยงด้านการประมวลผลข้อมูลส่วนบุคลด้วย

ในตอนต่อ ๆ ไปผู้เขียนจะมาเล่าถึงหลักการประเมินความได้สัดส่วนและแนวทางในการปฏิบัติใน 9 ประเด็นข้างต้น

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck Institute Luxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)