ความยินยอมของพนักงาน? | ศุภวัชร์ มาลานนท์
หลักความชอบด้วยกฎหมาย ความเป็นธรรมและความโปร่งใสของการบริหารจัดการข้อมูล (Lawfulness, Fairness and Transparency) เป็นหนึ่งในหลักการพื้นฐานที่สำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
หลักการดังกล่าวกำหนดให้องค์กร จะต้องมีฐานอันชอบด้วยกฎหมายฐานใดฐานหนึ่ง มีวัตถุประสงค์ที่จำกัด มีการแจ้งวัตถุประสงค์โดยชอบด้วยกฎหมาย แจ้งอย่างโปร่งใสและเป็นธรรม
ผ่านช่องทางของประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) อีกทั้งต้องบันทึกฐานทางกฎหมายดังกล่าวไว้เพื่อการตรวจสอบด้วย
ความยินยอม (Consent) เป็นฐานทางกฎหมายหนึ่งในหลาย ๆ ฐานที่มักถูกพูดถึงและเข้าใจผิดบ่อย ๆ ว่าหากได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้ว องค์กรจะสามารถดำเนินการต่าง ๆ กับข้อมูลส่วนบุคคลได้โดยปราศจากความรับผิด
หากพิจารณาจากบทบัญญัติในมาตรา 19 ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะพบว่าในบรรดาเงื่อนไขต่าง ๆ ของการขอและการได้มาซึ่งความยินยอม มีอยู่ประการหนึ่งที่มีความเข้าใจคลาดเคลื่อนเสมอ ได้แก่
“หลักความเป็นอิสระ” ที่กำหนดให้ความยินยอมจะชอบด้วยกฎหมายก็ต่อเมื่อเจ้าของข้อมูลส่วนบุคคลให้ความยินยอมโดยสมัครใจและอิสระ (freely given)
โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
จากเงื่อนไขของการได้มาซึ่งความยินยอมที่มีรายละเอียดและข้อจำกัดหลายประการ แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลฯ ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจึงได้ให้หลักการไว้ว่า
“การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อาจดำเนินการโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้ แต่ต้องเป็นไปตามข้อยกเว้นที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลบัญญัติให้กระทำได้ (“ฐานทางกฎหมาย หรือ Lawful Basis”)
... ความยินยอมจากเจ้าของข้อมูลส่วนบุคคลจึงเป็นฐานทางกฎหมายสุดท้ายที่ผู้ควบคุมข้อมูลส่วนบุคคลสามารถใช้เพื่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ หากไม่เป็นไปตามข้อยกเว้นอื่นตามมาตรา 24 หรือมาตรา 26 แล้วแต่กรณี”
มาตรา 19 และแนวทางในการขอความยินยอมฯ ดังกล่าวตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ สอดคล้องกับบทบัญญัติของ GDPR (EU General Data Protection Regulation) และ EDPB Guidelines 05/2020
โดยเฉพาะข้อจำกัดของการใช้ฐานความยินยอมสำหรับการดำเนินงานภาครัฐ ในส่วนที่เกี่ยวข้องกับการจัดทำบริการสาธารณะและความยินยอมในบริบทความสัมพันธ์ของนายจ้าง ลูกจ้าง
เนื่องจากการขาดองค์ประกอบของ “ความเป็นอิสระอย่างแท้จริง” ในการให้หรือไม่ให้ความยินยอมอันเนื่องมากจากความไม่เท่าเทียมกันของอำนาจในการต่อรอง (imbalance of power)
EDPB Guidelines 05/2020 ยังให้ข้อสังเกตว่าการประมวลข้อมูลส่วนบุคคลส่วนใหญ่ในบริบทของการจ้างงาน ฐานทางกฎหมายจึงไม่ควรใช้ “ความยินยอม”
ทั้งนี้ในทางปฏิบัติ นายจ้างสามารถกำกับตรวจสอบหรือใช้ข้อมูลต่าง ๆ ของลูกจ้างเพื่อให้บรรลุวัตถุประสงค์ตามสัญญาจ้างได้โดยอาศัยความผูกพันตามสัญญาจ้างแรงงาน
หรือหากมีความจำเป็นต้องติดตามพฤติกรรมการใช้งานระบบเทคโนโลยีสารสนเทศ เพื่อวัตถุประสงค์ด้านความปลอดภัยในระบบสารสนเทศขององค์กร ซึ่งเป็นประโยชน์โดยชอบด้วยกฎหมายขององค์กร เป็นต้น
นายจ้างก็มีฐานทางกฎหมายในการดำเนินการแล้วโดยที่ไม้ต้องบังคับขอความยินยอม
การขอความยินยอมโดย "ไม่" ชอบด้วยกฎหมายจากลูกจ้าง มีกรณีศึกษาของ HELLENIC DPA (คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศกรีซซึ่งบังคับใช้ GDPR)
ในคำวินิจฉัยที่ 26/2019 ได้วินิจฉัยข้อร้องเรียนซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นพนักงานที่ทำงานอยู่บริษัทที่ปรึกษาแห่งหนึ่ง ตามข้อร้องเรียนดังกล่าวมีประเด็นให้ต้องวินิจฉัยว่า
กรณีการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของพนักงานสามารถใช้ฐานความยินยอมได้หรือไม่ และหากใช้ฐานความยินยอมแล้ว พนักงานจำเป็นต้องให้ความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลหรือไม่อย่างไร
ในคดีนี้ HELLENIC DPA ได้พิจารณาและตัดสินว่า เพื่อให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) มาตรา 5 (1)
ผู้ควบคุมข้อมูลส่วนบุคคลต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างถูกต้องโดยจะต้องคำนึงถึงหลักความชอบด้วยกฎหมาย ความเป็นธรรมและความโปร่งใส
โดยในการระบุเลือกฐานทางกฎหมายที่เหมาะสมภายใต้มาตรา 6 (1) ของ GDPR ผู้ควบคุมข้อมูลส่วนบุคคลไม่เพียงแต่ต้องเลือกฐานทางกฎหมายที่เหมาะสม ก่อนที่จะเริ่มดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพียงเท่านั้น
แต่ยังคงมีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลด้วย ตามมาตรา 13 (1)(c) และ 14 (1)(c) ของ GDPR (Privacy Notice)
ซึ่งการเลือกใช้ฐานทางกฎหมายจะมีผลต่อการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลด้วย
เมื่อมีการกำหนดให้ใช้ฐานความยินยอมกับเจ้าของข้อมูลส่วนบุคคลใ นบริบทของความสัมพันธ์การจ้างงาน ความยินยอมดังกล่าวย่อมไม่ถือเป็นการให้ความยินยอมโดยอิสระ
เนื่องจากภายใต้อิทธิพลของฝ่ายนายจ้าง ลูกจ้างจึงจำต้องจำยอมการกระทำบางอย่างเพื่อให้หลุดพ้นจากภาวะของความเกรงกลัวหรือความไม่มั่นคงจากการทำงาน
เมื่อเลือกใช้ฐานความยินยอมในกรณีดังกล่าว จึงเป็นการเลือกใช้ฐานทางกฎหมายที่ไม่เหมาะสมตามวัตถุประสงค์เพื่อการปฏิบัติตามสัญญาจ้างและเป็นการจำเป็นในการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลส่วนบุคคล (พนักงานหรือลูกจ้าง) เป็นคู่สัญญา (สอดคล้องกับหลักการตามมาตรา 24 (3) พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ)
ในคำวินิจฉัยครั้งที่ 26/2019 ยังได้วินิจฉัยด้วยว่า ในกรณีนายจ้างมีการเปลี่ยนแปลงฐานทางกฎหมาย อาจทำให้พนักงานหรือลูกจ้างเข้าใจผิดว่านายจ้างกำลังเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้ความยินยอม
ในขณะที่ให้ความเป็นจริงนั้นกำลังเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้ฐานทางกฎหมายที่แตกต่างกัน ซึ่งในข้อเท็จจริงดังกล่าวพนักงานไม่เคยได้รับแจ้ง ดังนั้น การเปลี่ยนแปลงฐานทางกฎหมายจึงเป็นการละเมิดหลักการของความโปร่งใส
จากกรณีศึกษาข้างต้น นายจ้างจึงไม่ควรขอความยินยอมพร่ำเพรื่อเพราะจะทำให้ลูกจ้างเข้าใจผิดว่า สามารถถอนความยินยอมได้ทั้งที่ยังมีนิติสัมพันธ์ทางสัญญากันอยู่
และหากจะใช้ความยินยอม ความยินยอมนั้นก็ต้องสอดคล้องกับหลักเกณฑ์และเงื่อนไขทางกฎหมายทุกประการด้วย.
คอลัมน์ Tech, Law and Security
ศุภวัชร์ มาลานนท์
GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ภัทรวิรินทร์ หมวดมณี
บริษัท ดีพีโอเอเอเอส จำกัด