คณะกรรมการลูกจ้างเป็น DPO ได้หรือไม่
เมื่อวันที่ 9 กุมภาพันธ์ 2566 ที่ผ่านมา ศาลยุติธรรมแห่งสหภาพยุโรป (Court of Justice of the European Union) ได้เผยแพร่คำวินิจฉัยคดีที่ C-453/21 เกี่ยวกับการปลดคณะกรรมการลูกจ้าง หรือ Works Council
ที่ทำหน้าที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ขององค์กรว่าสามารถทำได้หรือไม่เนื่องจากตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (EU General Data Protection Regulation: GDPR)
กำหนดห้ามมิให้องค์กรปลดหรือให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามกฎหมายไม่ได้
คดีดังกล่าวเกิดขึ้นในประเทศเยอรมนีที่มีกฎหมายกำหนดให้องค์กรอาจจะต้องมีการเลือกตั้งคณะกรรมการลูกจ้างเพื่อทำหน้าที่ในการรักษาผลประโยชน์ของลูกจ้างในองค์กรและกำหนดให้คณะกรรมการลูกจ้างเข้าไปมีส่วนร่วมในการแสดงความเห็นและการดำเนินการต่าง ๆ ที่เกี่ยวกับลูกจ้างโดยตรง
โดยเมื่อ DPO ของบริษัทคนดังกล่าวได้รับตำแหน่งในคณะกรรมการลูกจ้างอีกตำแหน่งหนึ่ง บริษัทก็ได้ปลดเขาออกจากตำแหน่ง DPO ทันทีเนื่องจากเห็นว่าตำแหน่งในคณะกรรมการลูกจ้าง (หมวกใบที่ 2 ที่ได้มาในภายหลัง) เป็นหน้าที่ที่ขัดหรือแย้ง (conflict of interests) ต่อการปฏิบัติหน้าที่ DPO ตาม GDPR
เนื่องจากต้องตีความว่า “ผลประโยชน์ทับซ้อนหรือผลประโยชน์ขัดกัน” ตามที่ระบุไว้ในกฎหมายนั้นคือกรณีที่ DPO ได้รับความไว้วางใจให้ทำงานหรือหน้าที่อื่นใด ซึ่งจะส่งผลให้สามารถกำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลได้ กรณีที่ DPO เข้าไปกำหนดวิธีการ
วัตถุประสงค์ภายในองค์กรย่อมทำให้ DPO ไม่สามารถตรวจสอบและกำกับการตัดสินใจที่ตนเองมีส่วนร่วมได้โดยปราศจากอคติ ดังนั้น เมื่อการทำหน้าที่คณะกรรมการลูกจ้างของ DPO มีความเสี่ยงที่ DPO ต้องเข้าไปมีส่วนร่วมตัดสินใจ
และให้ความเห็นที่มีผลผูกพันตามกฎหมายเกี่ยวกับการคุ้มครองแรงงานของประเทศเยอรมนีเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกจ้าง อาทิ สวัสดิการต่าง ๆ DPO ย่อมขาดคุณสมบัติของการปฏิบัติหน้าที่ DPO ตาม GDPR
การถูกปลดออกจากตำแหน่ง DPO ดังกล่าวมีข้อสังเกตว่าสามารถกระทำได้หรือไม่ เนื่องจาก GDPR กำหนดว่า DPO ไม่สามารถถูกปลดออกหรือถูกลงโทษสำหรับการปฏิบัติงานได้ แต่ศาลได้วินิจฉัยในกรณีดังกล่าวว่า ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจปลดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลออกจากตำแหน่งได้
ในกรณีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไม่สามารถปฏิบัติหน้าที่หรือภารกิจของตนได้อย่างอิสระเนื่องจากมีการขัดกันแห่งผลประโยชน์ ซึ่งคำวินิจฉันดังกล่าวสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 42 วรรค 3
ที่กำหนดว่า “ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจะให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลออกจากงานหรือเลิกจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ไม่ได้”
แต่ในทางกลับกันหากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไม่อาจปฏิบัติหน้าที่ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้ เพราะเหตุใดเหตุหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจปลดเจ้าที่คุ้มครองข้อมูลส่วนบุคคลได้เช่นเดียวกัน
ทั้งนี้ ศาลยุติธรรมแห่งสหภาพยุโรปยังให้ข้อพิจารณาเพิ่มเติมด้วยว่ากรณีใดเป็นกรณีที่ก่อหรือจะก่อให้เกิดการขัดกันแห่งผลประโยชน์จำเป็นต้องพิจารณาบริบทในแง่ของกฎที่เกี่ยวข้องทั้งหมด รวมถึงนโยบายใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องเป็นรายกรณีไป
เปรียบเทียบกับข้อกำหนดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
ในการแต่งตั้ง DPO ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ แม้ว่าขณะนี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะยังไม่มีการกำหนดคุณสมบัติสำหรับการทำหน้าที่ DPO แต่องค์กรควรตรวจสอบให้แน่ใจว่าผู้ที่ได้รับการแต่งตั้งนั้น จะต้องไม่มีผลประโยชน์ขัดกันกับภารกิจอื่น ๆ ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งกฎหมายกำหนดไว้ ดังนี้
- ให้คำแนะนำแก่องค์กรรวมทั้งลูกจ้างหรือผู้รับจ้างขององค์กรเกี่ยวกับการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
- ตรวจสอบการดำเนินงานขององค์กรรวมทั้งลูกจ้างหรือผู้รับจ้างขององค์กรเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
- ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขององค์กร
- รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่
โดยเป็นหน้าที่และความรับผิดขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลแล้วแต่กรณีที่ต้องตรวจสอบให้แน่ใจว่าการปฏิบัติหน้าที่หรือภารกิจของผู้ได้รับการแต่งตั้งเป็น DPO ไม่มีผลประโยชน์ทับซ้อนกับภารกิจอื่น ๆ ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย
นอกจากนี้ ยังมีข้อพิจารณาอื่น ๆ เกี่ยวกับการแต่งตั้ง DPO ให้สอดคล้องกับกฎหมายและแนวปฏิบัติที่ดี (CNIL, WP29) ดังนี้ DPO อาจปฏิบัติหน้าที่อื่นใด ภายในองค์กรได้ แต่ในบริบทของหน้าที่อื่น ๆ DPO ต้องไม่มีอำนาจในการตัดสินใจเกี่ยวกับการกำหนดวัตถุประสงค์หรือวิธีการประมวลผล
การมีอยู่ของผลประโยชน์ทับซ้อนจะพิจารณาเป็นกรณีไป องค์กรจึงควรจัดทำเอกสารการพิจารณาที่นำไปสู่การแสดงให้เห็นถึงการคัดเลือกอย่างเหมาะสมว่าการแต่งตั้งไม่มีผลประโยชน์ทับซ้อนสำหรับ DPO หรือหากมีการขัดกันแห่งผลประโยชน์กรณีดังกล่าวต้องได้มีการจัดการอย่างเหมาะสมแล้ว
ตัวอย่างของหน้าที่ที่อาจก่อให้เกิดการขัดกันแห่งผลประโยชน์ ได้แก่ กรรมการผู้จัดการ, ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ, ผู้จัดการฝ่ายการตลาด, ผู้จัดการฝ่ายทรัพยากรบุคคล, ผู้จัดการฝ่ายไอที เป็นต้น
ตำแหน่งที่ลำดับชั้นอื่น ๆ ภายในโครงสร้างองค์กรก็อาจมีแนวโน้มที่จะก่อให้เกิดการขัดกันแห่งผลประโยชน์ได้เช่นกัน หากในทางปฏิบัติ บุคคลนั้นมีส่วนร่วมในการกำหนดวัตถุประสงค์และวิธีการของการประมวลผลข้อมูลส่วนบุคคล
ดังนั้น การแต่งตั้งพนักงานภายในองค์กรเป็น DPO ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องตรวจสอบให้แน่ใจว่า การปฏิบัติหน้าที่หรือภารกิจอื่นของผู้ที่จะได้รับการแต่งตั้ง
ต้องไม่มีความเสี่ยงที่จะนำไปสู่การขัดกันแห่งผลประโยชน์กับการปฏิบัติหน้าที่หรือภารกิจของ DPO ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ และการแต่งตั้งผู้ที่ไม่เหมาะสม “เป็นความรับผิดขององค์กร” ไม่ใช่ของ DPO ที่ได้รับการแต่งตั้ง
ที่มา: Court of Justice of the European Union. Judgment of the Court in Case C-453/21.
9 February 2023. Available at curia.europa.eu/juris/document/document