การประมวลผลข้อมูลส่วนบุคคลของลูกจ้างในสถานประกอบการ

Cap & Corp Forum

เมื่อกล่าวถึงพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในบริบทของการจ้างแรงงานหลายคนมักจะคำนึงถึงเฉพาะในขั้นตอนของการประมวลผลข้อมูลส่วนบุคคล (data processing) ของลูกจ้างหรือผู้สมัครเข้าทำงานในขั้นตอนของการคัดสรรหรือการเข้าทำสัญญาเท่านั้น แต่ในความเป็นจริง ในการบริหารองค์กรและบริหารงานบุคคลต้องมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (“การประมวลผล”) ของลูกจ้างในหลายกระบวนการ และมีความต่อเนื่องตลอดระยะเวลาของการจ้างงาน

เช่น การประมวลผลข้อมูลเพื่อประเมินความสามารถของพนักงาน เพื่อความปลอดภัยในสถานที่ทำงาน และเพื่อปกป้องทรัพย์สินในสถานที่ทำงาน เป็นต้น โดยผู้เขียนขอเรียกการประมวลผลดังกล่าวว่า “การประมวลผลข้อมูลส่วนบุคคลของลูกจ้างในสถานประกอบการ

ด้วยความก้าวหน้าของเทคโนโลยีในปัจจุบัน ผู้ประกอบการหรือนายจ้างสามารถนำเทคโนโลยีหลาย ๆ อย่างมาใช้ในสถานประกอบการหรือแม้กระทั่งใช้ติดตามดูพฤติกรรมของลูกจ้างได้ตลอดเวลา (monitoring & tracing) ทั้งในและนอกสถานประกอบการ และในหรือนอกเวลาทำงาน อาทิ ระบบกล้องวงจรปิด ระบบตรวจสอบอัตลักษณ์ของบุคคล ระบบ GPS สมาร์ตโฟน และระบบคอมพิวเตอร์ ฯลฯ ซึ่งกิจกรรมเหล่านี้ล้วนเป็นการประมวลผลข้อมูลส่วนบุคคลตามความหมายของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

โดยการดำเนินกิจกรรมลักษณะนี้หลายคนอาจมีความเข้าใจผิดว่าในฐานะของนายจ้างย่อมสามารถประมวลผลข้อมูลส่วนบุคคลของลูกจ้างของตนได้บนฐานการให้ความยินยอม (consentground) โดยการเก็บความยินยอมของลูกจ้างของตน แต่หากตีความตามความหมายของบทบัญญัติมาตรา 19 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ที่บัญญัติไว้ว่า การขอความยินยอมนั้นผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงถึงอย่างที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม (freely given consent) ความยินยอมที่บุคคลที่มีความไม่เท่าเทียมกันในทางเศรษฐกิจหรืออำนาจต่อรองได้ให้ไว้หรือจำต้องให้ในสถานะดังกล่าว (ลูกจ้าง) จึงอาจมีคำถามตามมาได้ว่า กรณีนี้จะถือเป็นความยินยอมที่ชอบด้วยกฎหมายหรือไม่

เมื่อพิจารณาจากบริบทข้างต้นจะเห็นได้ว่าการขอความยินยอมเพื่อการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างโดยนายจ้างนั้นอาจไม่สามารถทำบนฐานความยินยอมเท่านั้น (consent ground) เนื่องจากนายจ้างและลูกจ้างมีอำนาจการต่อรองที่ต่างกัน (different position of power) ดังนั้นการให้ความยินยอมของลูกจ้างหรือผู้สมัครงานต่อนายจ้างโดยธรรมชาติมักเป็นการให้ความยินยอมโดยปราศจากความเป็นอิสระของเจ้าของข้อมูล เนื่องจากความกังวลต่อผลเสียที่อาจจะตามมา เช่น ผลต่อการรับเข้าทำงาน ขึ้นเงินเดือนหรือตำแหน่ง เป็นต้น

ดังนั้นการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างในการบริหารงานบุคคลจึงเป็นการดำเนินการบนฐานเพื่อประโยชน์โดยชอบด้วยกฎหมายของนายจ้าง (legitimate interest) ตามนัยของมาตรา 24(5) พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ประกอบด้วย โดยต้องเป็นการประมวลผลที่มีขอบเขตอย่างชัดเจนและโปร่งใส (limiting to the process & transparency) มิฉะนั้นการประมวลผลเพื่อประโยชน์ในการบริหารของนายจ้างก็อาจเป็นการละเมิดสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของลูกจ้างได้

การกำหนดมาตรการต่าง ๆ เพื่อประโยชน์ทางการบริหารของนายจ้างจำเป็นอย่างยิ่งที่จะต้องพิจารณาถึง  4 ประเด็นหลักดังนี้

  1. การประมวลผลด้วยความจำเป็น (processing activity is necessary)
  2. วัตถุประสงค์ของการประมวลผลมีความเป็นธรรมต่อลูกจ้าง (fair to employees)
  3. เป็นการประมวลผลที่ได้สัดส่วนกับความเสี่ยงที่อาจจะเกิดขึ้นกับกิจการ (proportionate to the concerns raised)
  4. ประมวลผลด้วยความโปร่งใส (transparent)

โดยคณะกรรมการที่ปรึกษาของหน่วยงานด้านการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปและประเทศสมาชิก (European Data Protection Board, EDPB) ได้แนะนำแนวทางในการจัดทำมาตรการทางการบริหารภายในองค์กรเพื่อให้เป็นไปตามบริบทของกฎหมายคุ้มครองข้อมูลส่วนบุคคลไว้ดังนี้

กรณีการประมวลผลข้อมูลส่วนบุคคลของผู้สมัครเข้าทำงานในขั้นตอนของการสมัครงาน เนื่องจากในปัจจุบันมีการใช้โซเชียลมีเดียกันอย่างแพร่หลาย นายจ้างบางรายอาจทำการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้สมัครผ่านช่องทางโซเชียลมีเดียที่ผู้สมัครใช้ ดังนั้นเพื่อเป็นการหลีกเลี่ยงการละเมิดข้อมูลส่วนบุคคลของผู้สมัครก่อนที่นายจ้างจะเก็บรวบรวมข้อมูลผู้สมัครผ่านช่องทางดังกล่าว

นายจ้างควรตรวจสอบและพิจารณาก่อนว่าการโพสต์ข้อมูลลงบนโซเซียลมีเดียของผู้สมัครนั้นเป็นไปเพื่อวัตถุประสงค์ส่วนตัวหรือเพื่อวัตถุประสงค์ทางธุรกิจ (private or business purpose) และหากผู้สมัครไม่ได้รับการคัดเลือกเข้าเป็นพนักงาน ผู้ประกอบการควรดำเนินการลบ (delete) ข้อมูลของผู้สมัครทันที เพื่อให้เป็นไปตามหลักความจำเป็นของการเก็บรวบรวมข้อมูลส่วนบุคคล (data minimization)

กรณีการประมวลผลข้อมูลการใช้งานโดยระบบเทคโนโลยีสารสนเทศของพนักงาน (monitoring ICT usage) เพื่อวัตถุประสงค์ด้านความมั่นคงปลอดภัยของข้อมูลสารสนเทศผู้ประกอบการบางรายใช้เทคโนโลยี เช่น Firewall หรือ TLS interception เพื่อตรวจสอบ (monitor) การใช้งานบนอินเทอร์เน็ตของพนักงานในองค์กร โดยมีผลพลอยได้นอกจากวัตถุประสงค์ด้านความมั่นคงปลอดภัยแล้ว ยังอาจใช้ในการประเมินผลการทำงานของพนักงานด้วย กรณีเช่นนี้ถือเป็นความเสี่ยงต่อการละเมิดสิทธิขั้นพื้นฐานและความเป็นส่วนตัวของลูกจ้าง

ดังนั้นผู้ประกอบจึงควรติดตั้ง (configure) เทคโนโลยีไปในทางจำกัดสิทธิการเข้าถึงเว็บไซต์หรือข้อมูลที่มีความเสี่ยงตั้งแต่ต้น อาทิ การบล็อกเส้นทาง (traffic) เข้า-ออกเครือข่ายที่มีความเสี่ยงต่อความมั่นคงปลอดภัย (blocking suspicious incoming & outcoming traffic) แทนที่การติดตามตรวจดูการใช้งานเครือข่ายของลูกจ้างเป็นต้น แต่หากมีความจำเป็นในบางกรณีการตรวจดูหน้าจอหรือการใช้งานเครือข่ายของพนักงานก็อาจสามารถกระทำได้ แต่ควรเป็นกรณียกเว้นมิใช่หลักปฏิบัติทั่วไป โดยการดำเนินการดังกล่าวควรมีการชี้แจงขั้นตอนต่าง ๆ ให้แก่พนักงานอย่างชัดเจนและตรงไปตรงมา (transparency)

กรณีการส่งหรือโอนข้อมูลส่วนบุคคลของพนักงานไปยังต่างประเทศ​ เป็นอีกประเด็นหนึ่งที่ผู้ประกอบการควรให้ความสนใจ เนื่องจากในปัจจุบันการจัดเก็บข้อมูลหรือการประมวลผลข้อมูลโดยผู้ให้บริการทางซอฟแวร์ มักกระทำโดยอาศัยเทคโนโลยีคลาวด์ ซึ่งผู้ให้บริการอาจไม่มีเซิฟเวอร์ตั้งอยู่ในประเทศ จึงต้องมีการส่งหรือโอนข้อมูลไปยังต่างประเทศ ดังนั้นผู้ประกอบการในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (data controller) จึงมีหน้าที่ต้องจัดให้การส่งหรือโอนข้อมูลดังกล่าวมีมาตรการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอและเป็นไปตามหลักเกณฑ์ของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

จากตัวอย่างข้างต้น ท่านผู้อ่านจะพบว่าบริบทต่าง ๆ ในการประมวลผลข้อมูลส่วนบุคคลของพนักงานในสถานประกอบการมีความหลากหลายและขึ้นอยู่กับประเภทของกิจการ และคงเป็นการยากที่จะยกกรณีศึกษาของทุกบริบทได้

ดังนั้น เพื่อให้การประมวลผลข้อมูลส่วนบุคคลในสถานประกอบการไม่เป็นการละเมิดพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ​ ผู้ประกอบการจึงควรต้องพิจารณาถึงประเด็นสำคัญ​ 4 ประการดังนี้ 1)สิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล (fundamental rights) 2)ฐานความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย (legitimate interest ground) 3)ความโปร่งใสของการประมวลผลข้อมูลส่วนบุคคล (transparency) และ 4)หลักความจำเป็นและความได้สัดส่วน (data minimization & proportionality)

ศุภวัชร์ มาลานนท์

คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์

Max Planck InstituteLuxembourg

ชิโนภาส อุดมผล

Optimum Solution Defined (OSDCo., Ltd.)