• https://dewanarsitek.id/var/index/
  • https://ept.metropolitanland.com/
  • https://data.pramukajabar.or.id/
  • http://103.206.170.246:8080/visi/
  • https://mpp.jambikota.go.id/
  • https://lms.rentas.co.id/
  • https://utbis.ollinsoft.com/
  • https://bppsdmsempaja.kaltimprov.go.id/
  • https://fmipa.unand.ac.id/
  • https://sptjm.lldikti4.id/banner/
  • mbokslot
  • https://e-journal.faperta.universitasmuarabungo.ac.id/
  • https://link.space/@splus777
  • https://sptjm.lldikti4.id/storage/
  • https://apps.ban-pdm.id/simulasi/hoaks/
  • https://editoriales.facultades.unc.edu.ar/cache/assets/
  • https://dewanarsitek.id/dewan/
  • https://dms.smhg.co.id/assets/js/hitam-link/
  • https://smartgov.bulelengkab.go.id/image/
  • https://app.mywork.com.au/
  • slotplus777
  • https://heylink.me/slotplussweet777/
  • https://pastiwin777.uk/
  • Mbokslot
  • http://103.81.246.107:35200/templates/itax/-/mbok/
  • https://rsjdahm.id/vendor/
  • https://pastiwin777.cfd/
  • https://rsjdahm.id/Vault/
  • https://heylink.me/Mbokslot.com/
  • https://www.intersmartsolution.com
  • https://sikapro-fhisip.ut.ac.id/

    • ข้อมูลส่วนบุคคลของพนักงาน : แค่ ‘ยินยอม’ อาจจะไม่เพียงพอ

    ข้อมูลลักษณะของบุคคลล้วนอยู่ภายใต้ความหมายของการประมวลผลข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

    19 ก.ย. 2563

    Cap & Corp Forum

    ผู้ประกอบการ นายจ้าง หรือฝ่ายทรัพยากรบุคคลถือเป็นอีกกลุ่มหนึ่งที่จำต้องมีการเตรียมตัวศึกษาและทำความเข้าใจต่อการเก็บรวมรวม ใช้ และเปิดเผยข้อมูลที่เป็นข้อมูลส่วนบุคคลในบริบทต่าง ๆ ที่เกี่ยวข้องกับการจ้างงาน ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การประมวลผลข้อมูลส่วนบุคคลนั้นกฎหมายให้กระทำได้เท่าที่จำเป็นเท่านั้น ในขณะที่ปัจจุบันเทคโนโลยีต่าง ๆ เอื้อต่อผู้ประกอบการในการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างได้ในหลายมิติ ไม่ว่าจะเป็นข้อมูลเอกสาร ข้อมูลการสื่อสารในรูปแบบอิเล็กทรอนิกส์ กล้องวงจรปิด ข้อมูลลักษณะของบุคคลล้วนอยู่ภายใต้ความหมายของการประมวลผลข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ดังนั้นจึงมีคำถามที่ตามมาว่าแล้วขอบเขตการเก็บรวมรวบ ใช้ และเปิดเผย (รวมเรียกว่า “การประมวลผล”) ข้อมูลส่วนบุคคลของลูกจ้างนั้น นายจ้างสามารถทำได้แค่ไหนและอยู่บนฐานความชอบด้วยกฎหมายใด

    เนื่องจากบทบัญญัติมาตรา 19 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ​ได้กำหนดไว้อย่างชัดเจนว่า “ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงถึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม” (freely given consent) จากบทบัญญัติข้างต้นจึงมีประเด็นที่น่าสนใจว่าการขอความยินยอม (consent) เพื่อการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างโดยนายจ้างนั้นจะสามารถทำบนฐานความยินยอม (consent ground) ได้หรือไม่ เนื่องจากนายจ้างและลูกจ้างนั้นมีอำนาจการต่อรองที่ต่างกัน (different position of power) ดังนั้นการให้ความยินยอมของลูกจ้างหรือผู้สมัครงานต่อนายจ้างโดยธรรมชาติมักเป็นการให้ความยินยอมโดยปราศจากความเป็นอิสระของเจ้าของข้อมูล เนื่องจากความกังวลต่อผลเสียที่อาจจะตามมา เช่น ผลต่อการรับเข้าทำงาน ขึ้นเงินเดือนหรือตำแหน่ง เป็นต้น

    ด้วยเหตุผลความต่างในอำนาจต่อรองนี้เอง (imbalance of power between data subject & data controller) ในทางปฏิบัติผู้ประกอบการหรือนายจ้างจึงควรจะหลีกเลี่ยงการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างโดยอาศัยฐานความยินยอมเท่านั้นเนื่องจากอาจทำให้ให้การประมวลผลข้อมูลส่วนบุคคลเป็นการขอความยินยอมที่ไม่เป็นไปตามเงื่อนไขในมาตรา 19  วรรค 1 และอาจมีผลให้การขอความยินยอมดังกล่าวของนายจ้างไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล (ลูกจ้าง) และทำให้ผู้ควบคุมข้อมูลส่วนบุคคล (นายจ้าง) ไม่สามารถทำการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างได้โดยชอบด้วยกฎหมาย

    เมื่อพิจารณาตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ฐานความชอบด้วยกฎหมาย (lawful basis for processing of personal data) สำหรับกรณีของนายจ้างอาจจะมีได้อย่างน้อย 4 กรณี กล่าวคือ

    1. ฐานสัญญา (contract) ตามมาตรา 24(3)
    2. ฐานความยินยอม (consent) ตามมาตรา 19
    3. ฐานเพื่อประโยชน์โดยชอบด้วยกฎหมายของนายจ้าง (legitimate interest) ตามมาตรา 24(5)
    4. ฐานหน้าที่ตามกฎหมายอื่น ๆ (other legal obligations) ตามมาตรา 24(4) และ 24(6)

    เพื่อเป็นการหลีกเลี่ยงความเสี่ยงทางกฎหมายอันเนื่องมาจากความไม่แน่นอนของการประมวลผล ข้อมูลส่วนบุคคลโดยอาศัยฐานความยินยอมเท่านั้น ผู้ประกอบการหรือนายจ้างในฐานะผู้ควบคุมข้อมูลส่วนบุคคลควรเลือกประมวลผลข้อมูลส่วนบุคคลบนฐานความชอบด้วยกฎหมายในฐานอื่นข้างต้นประกอบด้วย แต่หลักการสำคัญที่ผู้ประกอบการ/นายจ้างพึงต้องตระหนักเสมอ คือ แม้ในกรณีที่กฎหมายอนุญาตให้ผู้ควบคุมข้อมูลประมวลผลข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลก็ตาม (มาตรา 24(5)) กรณีดังกล่าวต้องเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้นและเว้นแต่ประโยชน์ดังกล่าว “มีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล”

    การประมวลผลข้อมูลส่วนบุคคลโดยอ้างฐานความชอบด้วยกฎหมายนายจ้างจึงต้องคำนึงถึงหลักความได้สัดส่วน (proportionate principle) ระหว่างประโยชน์โดยชอบด้วยกฎหมายของตนและสิทธิขั้นพื้นฐานของลูกจ้างซึ่งสิทธิในที่นี้น่าจะหมายถึงสิทธิขั้นพื้นฐานและความเป็นอิสระของบุคคลเป็นสำคัญ ​และในทางปฏิบัติ การกล่าวอ้างเพียงเพื่อประโยชน์ในการแข่งขันหรือประโยชน์ทางธุรกิจของนายจ้างเท่านั้นอาจจะไม่เพียงพอต่อการอ้างเพื่อการประมวลผลข้อมูลตามมาตรา 24(5)

    ดังนั้นการประมวลผลข้อมูลต่าง ๆ ที่กระทำโดยนายจ้างจึงต้องกระทำบนฐานความชอบด้วยกฎหมาย (lawfulness) โดยเป็นธรรม (fairness) และโปร่งใส (transparency) ในการใช้เทคโนโลยีในการประมวลผลข้อมูลและการวางมาตรการเกี่ยวกับการกำกับดูแลลูกจ้างหรือกิจการใด ๆ ที่มีการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างต้องทำโดยมีวัตถุประสงค์ที่เหมาะสม ชัดเจนและได้สัดส่วนต่อความเสี่ยงหรือความต้องการของกิจการนั้น ๆ ทั้งนี้การใช้ประมวลผลข้อมูลโดยอาศัยฐานเพื่อประโยชน์โดยชอบด้วยกฎหมายนี้เจ้าของข้อมูลฯ (ลูกจ้าง) มีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยหรือขอให้ผู้ควบคุมข้อมูล​ส่วนบุคคล (นายจ้าง) ทำการลบข้อมูลฯ ของตนได้ (มาตรา 32 และ 33)

    พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ในบริบทของการจ้างงานนั้นถือเป็นประเด็นที่ละเอียดอ่อนและมีความซับซ้อนอย่างมาก โดย European Data Protection Board (EDPB) ซึ่งทำหน้าที่เป็นคณะกรรมการที่ปรึกษาของหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปและประเทศสมาชิกได้แบ่งประเด็นและขั้นตอนต่าง ๆ ในการประมวลผลข้อมูลส่วนบุคคลที่กระทำโดยนายจ้างไว้ถึง 9 กรณีดังต่อไปนี้

    1. การประมวลผลข้อมูลระหว่างการสรรหาพนักงาน
    2. การประมวลผลข้อมูลบนโซเชียลมีเดียของผู้สมัครงาน
    3. การประมวลผลข้อมูลการใช้งานในระบบเทคโนโลยีสารสนเทศของพนักงานในที่ทำงาน
    4. การประมวลผลข้อมูลการใช้งานบนระบบเทคโนโลยีสารสนเทศของพนักงานนอกสถานที่ทำงาน
    5. การประมวลผลข้อมูลเกี่ยวกับระยะเวลาและการเข้างาน
    6. การประมวลผลภาพจากกล้องวงจรปิด
    7. การประมวลผลข้อมูลเกี่ยวกับการใช้ยานพาหนะของพนักงาน
    8. การเปิดเผยข้อมูลของพนักงานต่อบุคคลที่สาม
    9. การส่งหรือโอนข้อมูลฯ ของพนักงานไปยังต่างประเทศ

    จากความละเอียดและซับซ้อนในการประมวลผลข้อมูลส่วนบุคคลในบริบทของการจ้างงานข้างต้น บทความนี้จึงเป็นเพียงหลักการเบื้องต้นที่ผู้ประกอบการในฐานะนายจ้างและผู้ประมวลผลข้อมูลส่วนบุคคลควรมีความเข้าใจในเบื้องต้นว่าเพียงการดำเนินการเก็บความยินยอมของลูกจ้างเพื่อประมวลผลข้อมูลส่วนบุคคลของลูกจ้างอันเกี่ยวเนื่องกับการจ้างงานนั้นอาจไม่เพียงพอและคุ้มครองความรับผิดต่าง ๆ ที่อาจจะเกิดขึ้นกับนายจ้างอันเนื่องมากจากการประมวลผลข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมายได้

    ประการสำคัญคือผู้ควบคุมข้อมูลส่วนบุคคลต้องเข้าใจ “หลักความได้สัดส่วน” ในบริบทของการประมวลผลข้อมูลส่วนบุคคล และสามารถ (1) การชั่งน้ำหนักระหว่างประโยชน์สาธารณะอื่น ๆ (ถ้ามี) (2) ประโยชน์โดยชอบด้วยกฎหมายของนายจ้าง และ (3) การคุ้มครองสิทธิขั้นพื้นฐานของลูกจ้างที่มีความหมายกว้างกว่าการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคลเท่านั้น

    ดังนั้น ผู้ประกอบการจึงมีความจำเป็นอย่างยิ่งที่จะต้องประเมินลักษณะการประมวลผลข้อมูลในกรณีต่าง ๆ อย่างละเอียดและเลือกใช้เทคโนโลยีในการประมวลผลข้อมูลส่วนบุคคลอย่างเหมาะสมและได้สัดส่วนและมีการจัดทำ Data Protection Impact Assessment เพื่อประเมินและบริหารจัดการความเสี่ยงด้านการประมวลผลข้อมูลส่วนบุคลด้วย

    ในตอนต่อ ๆ ไปผู้เขียนจะมาเล่าถึงหลักการประเมินความได้สัดส่วนและแนวทางในการปฏิบัติใน 9 ประเด็นข้างต้น

    ศุภวัชร์ มาลานนท์

    คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

    Max Planck Institute Luxembourg

    ชิโนภาส อุดมผล

    Optimum Solution Defined (OSDCo., Ltd.)

    Tags
    19 ก.ย. 2563
    Back to top button
    MENU