ความยินยอมของพนักงาน? | ศุภวัชร์ มาลานนท์

ความยินยอมของพนักงาน? | ศุภวัชร์ มาลานนท์

หลักความชอบด้วยกฎหมาย ความเป็นธรรมและความโปร่งใสของการบริหารจัดการข้อมูล (Lawfulness, Fairness and Transparency) เป็นหนึ่งในหลักการพื้นฐานที่สำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล

หลักการดังกล่าวกำหนดให้องค์กร จะต้องมีฐานอันชอบด้วยกฎหมายฐานใดฐานหนึ่ง มีวัตถุประสงค์ที่จำกัด มีการแจ้งวัตถุประสงค์โดยชอบด้วยกฎหมาย แจ้งอย่างโปร่งใสและเป็นธรรม

ผ่านช่องทางของประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) อีกทั้งต้องบันทึกฐานทางกฎหมายดังกล่าวไว้เพื่อการตรวจสอบด้วย

ความยินยอม (Consent) เป็นฐานทางกฎหมายหนึ่งในหลาย ๆ ฐานที่มักถูกพูดถึงและเข้าใจผิดบ่อย ๆ ว่าหากได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้ว องค์กรจะสามารถดำเนินการต่าง ๆ กับข้อมูลส่วนบุคคลได้โดยปราศจากความรับผิด

หากพิจารณาจากบทบัญญัติในมาตรา 19 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะพบว่าในบรรดาเงื่อนไขต่าง ๆ ของการขอและการได้มาซึ่งความยินยอม มีอยู่ประการหนึ่งที่มีความเข้าใจคลาดเคลื่อนเสมอ ได้แก่

“หลักความเป็นอิสระ” ที่กำหนดให้ความยินยอมจะชอบด้วยกฎหมายก็ต่อเมื่อเจ้าของข้อมูลส่วนบุคคลให้ความยินยอมโดยสมัครใจและอิสระ (freely given)

โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม

จากเงื่อนไขของการได้มาซึ่งความยินยอมที่มีรายละเอียดและข้อจำกัดหลายประการ แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลฯ ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจึงได้ให้หลักการไว้ว่า

“การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อาจดำเนินการโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้ แต่ต้องเป็นไปตามข้อยกเว้นที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลบัญญัติให้กระทำได้ (“ฐานทางกฎหมาย หรือ Lawful Basis”)

... ความยินยอมจากเจ้าของข้อมูลส่วนบุคคลจึงเป็นฐานทางกฎหมายสุดท้ายที่ผู้ควบคุมข้อมูลส่วนบุคคลสามารถใช้เพื่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ หากไม่เป็นไปตามข้อยกเว้นอื่นตามมาตรา 24 หรือมาตรา 26 แล้วแต่กรณี”

ความยินยอมของพนักงาน? | ศุภวัชร์ มาลานนท์

มาตรา 19 และแนวทางในการขอความยินยอมฯ ดังกล่าวตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ สอดคล้องกับบทบัญญัติของ GDPR (EU General Data Protection Regulation) และ EDPB Guidelines 05/2020

โดยเฉพาะข้อจำกัดของการใช้ฐานความยินยอมสำหรับการดำเนินงานภาครัฐ ในส่วนที่เกี่ยวข้องกับการจัดทำบริการสาธารณะและความยินยอมในบริบทความสัมพันธ์ของนายจ้าง ลูกจ้าง

เนื่องจากการขาดองค์ประกอบของ “ความเป็นอิสระอย่างแท้จริง” ในการให้หรือไม่ให้ความยินยอมอันเนื่องมากจากความไม่เท่าเทียมกันของอำนาจในการต่อรอง (imbalance of power)

EDPB Guidelines 05/2020 ยังให้ข้อสังเกตว่าการประมวลข้อมูลส่วนบุคคลส่วนใหญ่ในบริบทของการจ้างงาน ฐานทางกฎหมายจึงไม่ควรใช้ “ความยินยอม”

ทั้งนี้ในทางปฏิบัติ นายจ้างสามารถกำกับตรวจสอบหรือใช้ข้อมูลต่าง ๆ ของลูกจ้างเพื่อให้บรรลุวัตถุประสงค์ตามสัญญาจ้างได้โดยอาศัยความผูกพันตามสัญญาจ้างแรงงาน

หรือหากมีความจำเป็นต้องติดตามพฤติกรรมการใช้งานระบบเทคโนโลยีสารสนเทศ เพื่อวัตถุประสงค์ด้านความปลอดภัยในระบบสารสนเทศขององค์กร ซึ่งเป็นประโยชน์โดยชอบด้วยกฎหมายขององค์กร เป็นต้น

นายจ้างก็มีฐานทางกฎหมายในการดำเนินการแล้วโดยที่ไม้ต้องบังคับขอความยินยอม

ความยินยอมของพนักงาน? | ศุภวัชร์ มาลานนท์

การขอความยินยอมโดย "ไม่" ชอบด้วยกฎหมายจากลูกจ้าง มีกรณีศึกษาของ HELLENIC DPA (คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศกรีซซึ่งบังคับใช้ GDPR)

ในคำวินิจฉัยที่ 26/2019 ได้วินิจฉัยข้อร้องเรียนซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นพนักงานที่ทำงานอยู่บริษัทที่ปรึกษาแห่งหนึ่ง ตามข้อร้องเรียนดังกล่าวมีประเด็นให้ต้องวินิจฉัยว่า

กรณีการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของพนักงานสามารถใช้ฐานความยินยอมได้หรือไม่ และหากใช้ฐานความยินยอมแล้ว พนักงานจำเป็นต้องให้ความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลหรือไม่อย่างไร

ในคดีนี้ HELLENIC DPA ได้พิจารณาและตัดสินว่า เพื่อให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) มาตรา 5 (1)

ผู้ควบคุมข้อมูลส่วนบุคคลต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างถูกต้องโดยจะต้องคำนึงถึงหลักความชอบด้วยกฎหมาย ความเป็นธรรมและความโปร่งใส

โดยในการระบุเลือกฐานทางกฎหมายที่เหมาะสมภายใต้มาตรา 6 (1) ของ GDPR ผู้ควบคุมข้อมูลส่วนบุคคลไม่เพียงแต่ต้องเลือกฐานทางกฎหมายที่เหมาะสม ก่อนที่จะเริ่มดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพียงเท่านั้น

แต่ยังคงมีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลด้วย ตามมาตรา 13 (1)(c) และ 14 (1)(c) ของ GDPR (Privacy Notice)

ซึ่งการเลือกใช้ฐานทางกฎหมายจะมีผลต่อการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลด้วย

เมื่อมีการกำหนดให้ใช้ฐานความยินยอมกับเจ้าของข้อมูลส่วนบุคคลใ นบริบทของความสัมพันธ์การจ้างงาน ความยินยอมดังกล่าวย่อมไม่ถือเป็นการให้ความยินยอมโดยอิสระ

เนื่องจากภายใต้อิทธิพลของฝ่ายนายจ้าง ลูกจ้างจึงจำต้องจำยอมการกระทำบางอย่างเพื่อให้หลุดพ้นจากภาวะของความเกรงกลัวหรือความไม่มั่นคงจากการทำงาน

เมื่อเลือกใช้ฐานความยินยอมในกรณีดังกล่าว จึงเป็นการเลือกใช้ฐานทางกฎหมายที่ไม่เหมาะสมตามวัตถุประสงค์เพื่อการปฏิบัติตามสัญญาจ้างและเป็นการจำเป็นในการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลส่วนบุคคล (พนักงานหรือลูกจ้าง) เป็นคู่สัญญา (สอดคล้องกับหลักการตามมาตรา 24 (3) พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ)

ในคำวินิจฉัยครั้งที่ 26/2019 ยังได้วินิจฉัยด้วยว่า ในกรณีนายจ้างมีการเปลี่ยนแปลงฐานทางกฎหมาย อาจทำให้พนักงานหรือลูกจ้างเข้าใจผิดว่านายจ้างกำลังเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้ความยินยอม

ในขณะที่ให้ความเป็นจริงนั้นกำลังเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้ฐานทางกฎหมายที่แตกต่างกัน ซึ่งในข้อเท็จจริงดังกล่าวพนักงานไม่เคยได้รับแจ้ง ดังนั้น การเปลี่ยนแปลงฐานทางกฎหมายจึงเป็นการละเมิดหลักการของความโปร่งใส

จากกรณีศึกษาข้างต้น นายจ้างจึงไม่ควรขอความยินยอมพร่ำเพรื่อเพราะจะทำให้ลูกจ้างเข้าใจผิดว่า สามารถถอนความยินยอมได้ทั้งที่ยังมีนิติสัมพันธ์ทางสัญญากันอยู่

และหากจะใช้ความยินยอม ความยินยอมนั้นก็ต้องสอดคล้องกับหลักเกณฑ์และเงื่อนไขทางกฎหมายทุกประการด้วย.

คอลัมน์ Tech, Law and Security

ศุภวัชร์ มาลานนท์

GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี

ภัทรวิรินทร์ หมวดมณี

บริษัท ดีพีโอเอเอเอส จำกัด