การเก็บข้อมูลเกี่ยวกับโควิด 19 ของพนักงานทำได้หรือไม่ | ศุภวัชร์ มาลานนท์
มาตรการบังคับให้บุคคลต้องแสดงข้อมูลการฉีดวัคซีนโควิด 19 หรือแสดงผลตรวจเชื้อโควิด 19 ก่อนเข้ามาในสถานที่ เป็นประเด็นถกเถียงในสังคมไทย รวมถึงในประเทศอื่นๆ มีการกล่าวอ้างถึงสิทธิส่วนบุคคล และกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ในสถานการณ์ที่การแพร่ระบาดของโควิด 19 มีแนวโน้มที่จะไม่หยุดยิ่งและมีการเกิดขึ้นของสายพันธุ์ใหม่ ๆ ตลอดเวลา มาตรการที่หลาย ๆ องค์กรนำมาใช้เพื่อป้องกันการแพร่ระกระจายและการระบาดของโควิด 19 คือการให้พนักงานขององค์กรหรือบุคคลที่ต้องเข้ามายังสถานที่แสดงผลการฉีดวัคซีนหรือแสดงผลตรวจเชื้อโควิด 19 ก่อนเข้ามาในสถานที่
การดำเนินการดังกล่าวของเจ้าของอาคารสถานที่หรือนายจ้างก่อให้เกิดประเด็นเกี่ยวกับเรื่องการประมวลผลข้อมูลเกี่ยวกับสุขภาพของบุคคล ซึ่งถือว่าเป็นข้อมูลอ่อนไหว ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลของหลาย ๆ ประเทศมุ่งให้การคุ้มครองเป็นพิเศษ
วันนี้ผู้เขียนจึงอยากนำกรณีศึกษาเกี่ยวกับมาตรการบังคับให้บุคคลต้องแสดงข้อมูลการฉีดวัคซีนโควิด 19 ข้อแนะนำของ Information Commissioner Office (“ICO”) ซึ่งเป็นหน่วยงานบังคับใช้ UK GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอังกฤษมาให้ท่านผู้อ่านพิจารณาในประเด็นดังนี้
1. UK GDPR ใช้บังคับกับการเก็บรวบรวมข้อมูลของบุคคลที่เกี่ยวกับโควิด 19 หรือไม่
ICO ให้ความเห็นว่า หากเป็นเพียงการตรวจผลด้วยการดูหรืออ่านเอกสาร โดยที่ไม่มีการเก็บสำเนาผลตรวจกรณีดังกล่าวไม่ถือว่าเป็น “การประมวลผล” ตาม UK GDPR
แต่หากมีการเก็บรวบรวมผลการตรวจโควิด 19 ไว้ไม่ว่าจะโดยการใช้เครื่องสแกน หรือการเก็บภาพถ่ายดิจิทัล หรือสำเนาผลตรวจ กรณีนี้จะถือว่าเป็นการประมวลผลข้อมูลส่วนบุคคล องค์กรที่เก็บรวบรวมข้อมูลสุขภาพดังกล่าวจึงมีหน้าที่ต้องปฏิบัติตามเงื่อนไขต่าง ๆ อันเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตาม UK GDPR
2. ฐานทางกฎหมายในการประมวลผลข้อมูลสุขภาพเกี่ยวกับโควิด 19
ในกรณีที่เป็นหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมาย (public task) การเก็บรวบรวมข้อมูลดังกล่าวย่อมสามารถกระทำได้หากเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้องค์กร หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่องค์กร
แต่หากไม่ใช่องค์กรที่เป็น “ผู้ถือกฎหมาย” และมีอำนาจโดยตรง ไม่ว่าจะเป็นองค์กรของรัฐหรือเอกชนก็ตาม ICO เห็นว่าฐานในการประมวลผลข้อมูลข้อมูลสุขภาพเกี่ยวกับโควิด 19 ฐาน “เพื่อประโยชน์โดยชอบด้วยกฎหมาย” (legitimate interests) น่าจะเป็นฐานเบื้องต้นในการประมวลผลข้อมูลส่วนบุคคลที่เหมาะสมที่สุด
แต่องค์กรที่ใช้ฐานดังกล่าวในการเก็บข้อมูลสุขภาพที่เกี่ยวกับโควิด 19 ย่อมมีหน้าที่ในการจัดทำ Legitimate Interest Assessment เพื่อใช้เป็นหลักฐานแสดงให้เห็นถึงเหตุผลและความจำเป็นในการเก็บข้อมูลสุขภาพด้วย
หรือหากมีกฎหมายกำหนดให้เก็บข้อมูลสุขภาพดังกล่าว องค์กรก็อาจใช้ฐานการปฏิบัติตามกฎหมายเพื่อเก็บรวบรวมข้อมูลได้ (legal obligation)
อย่างไรก็ตาม เนื่องจากข้อมูลสุขภาพเกี่ยวกับโควิด 19 ถือว่าเป็น “special category data” ที่ UK GDPR ยังกำหนดเงื่อนไขการประมวลผลข้อมูลไว้เพิ่มเติมด้วย ซึ่งองค์กรอาจใช้ฐานทางกฎหมายเพิ่มเติมได้ 2 กรณี กล่าวคือ หากเป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ
(1) การประเมินความสามารถในการทำงานของลูกจ้าง (employment condition) หรือ
(2) ประโยชน์สาธารณะด้านการสาธารณสุข (public health condition)
แม้ว่าการเก็บรวบรวมข้อมูลสุขภาพจะเข้าเงื่อนไขข้อใดข้อหนึ่งข้างต้นแล้วก็ตาม องค์กรที่ประมวลผลข้อมูลสุขภาพยังต้องสามารถแสดงหรือพิสูจน์ได้ด้วยว่า การเก็บรวบรวมข้อมูลสุขภาพนั้น “มีความจำเป็น” ซึ่งก็ไม่ได้จำเป็นต้องพิสูจน์ถึงกับว่าเป็นจำเป็นอย่างยิ่งยวด แต่ก็ต้องพิสูจน์ได้ว่าไม่สามารถบรรลุวัตถุประสงค์นั้นได้ด้วยวิธีการที่ก้าวล่วงความเป็นส่วนตัวของบุคคลได้น้อยกว่านี้
ICO ยังให้คำแนะนำอีกว่า ในกรณีที่องค์กรใช้ฐาน “ประโยชน์สาธารณะด้านการสาธารณสุข” การเก็บรวบรวมนั้นต้องกระทำโดยผู้ประกอบวิชาชีพด้านการสาธารณสุขเท่านั้น หรือต้องมีหลักประกันเกี่ยวกับการรักษาความลับของข้อมูลสุขภาพว่าจะถูกเปิดเผยไปยังบุคคลอื่นภายใต้เงื่อนไขที่จำกัดเท่านั้น
ส่วน “ความยินยอม” (consent) เป็นฐานการประมวลผลที่ไม่สอดคล้องกับบริบทของ “นายจ้าง” กับ “ลูกจ้าง” เนื่องจากสถานะความไม่เท่าเทียมกันในการต่อรอง เช่นเดียวกับการที่องค์กรใดมีหน้าที่ตามกฎหมายในการตรวจผลสุขภาพ หรือการแสดงผลตรวจเป็นเงื่อนไขในการเข้าไปยังอาคารสถานที่ “ความยินยอม” ก็ไม่สามารถใช้อ้างเป็นฐานในการประมวลผลข้อมูลสุขภาพเช่นเดียวกัน เนื่องจากเจ้าของข้อมูลส่วนบุคคลไม่อยู่ในสถานะที่อาจให้ความยินยอมโดยอิสระ (freely given)
3. หน้าที่อื่น ๆ ต่อการประมวลผลข้อมูลส่วนบุคคล
นอกจากองค์กรต้องมีฐานทางกฎหมายในการประมวลผลข้อมูลสุขภาพแล้ว องค์กรยังมีหน้าที่อื่น ๆ ตาม UK GDPR ที่ต้องปฏิบัติอีกด้วย อาทิ
(1) ต้องมีความโปร่งใสในการดำเนินการ ดังนั้นจึงต้องการแจ้งเงื่อนไขและเหตุผลของการเก็บรวบรวมข้อมูลเกี่ยวกับสุขภาพด้วย (transparency, privacy notice)
(2) ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ (data security)
(3) ข้อมูลนั้นต้องถูกจัดเก็บไว้ภายใต้ระยะเวลาที่จำกัดตามวัตถุประสงค์และความจำเป็น (storage limitation) และไม่ถูกใช้โดยไม่เป็นไปตามความคาดหวังโดยสุจริตของเจ้าของข้อมูลส่วนบุคคล
(4) ข้อมูลส่วนบุคคลที่เรียกเก็บ ตรวจสอบ หรือประมวลผลนั้น ต้องใช้ให้น้อยที่สุดและเพียงเท่าที่จำเป็น (data minimisation)
(5) ต้องตรวจสอบและทบทวนอยู่เสมอว่ามีความจำเป็นต้องเก็บรวบรวมข้อมูลสุขภาพเกี่ยวกับโควิด 19 หรือไม่
กรณีข้างต้นเป็นข้อแนะนำของ ICO ตาม UK GDPR ซึ่งมีหลักการและบทบัญญัติทำนองเดียวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ตราขึ้นมาเพื่อคุ้มครองสิทธิในความเป็นส่วนตัวของบุคคล โดยเฉพาะการคุ้มครองบุคคลจากการถูกเลือกปฏิบัติอย่างไม่เป็นธรรมจากการใช้ข้อมูลอ่อนไหว อาทิ ข้อมูลเกี่ยวกับสุขภาพของบุคคล เป็นต้น
นอกจากนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยังเป็นกฎหมายที่บอกทุกคนว่า “ข้อมูลส่วนบุคคล” โอนได้ เปิดเผยได้ และเอาไปใช้ให้เกิดประโยชน์ได้ แม้ว่าจะเป็นข้อมูลส่วนบุคคลอ่อนไหวก็ตาม แต่องค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคลอ่อนไหวมีหน้าที่ต่อการประมวลผลตามที่กฎหมายกำหนดอย่างเคร่งครัด
กล่าวง่าย ๆ คือต้องมี Controls/Safeguards เพื่อคุ้มครองสิทธิในความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลด้วย.
อ้างอิง UK ICO, Data protection and coronavirus information hub, available at https://ico.org.uk/global/data-protection-and-coronavirus-information-hub/
คอลัมน์ : Tech, Law and Security
ศุภวัชร์ มาลานนท์
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ระวีวรรณ ขันติวิริยะพานิช
DPOaaS LTD