หน้าที่ของนายจ้างตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.62 ที่จะมีผลใช้บังคับในวันที่ 28 พ.ค.63 มีบทบัญญัติจำนวนมากที่อาจส่งผลกระทบต่อรูปแบบการดำเนินธุรกิจของผู้ประกอบการ
Cap & Corp Forum
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่จะมีผลใช้บังคับในวันที่ 28 พฤษภาคม 2563 มีบทบัญญัติจำนวนมากที่อาจส่งผลกระทบต่อรูปแบบการดำเนินธุรกิจของผู้ประกอบการ ส่วนหนึ่งซึ่งอาจจะยังไม่มีการกล่าวถึงเลยคือข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของนายจ้างหรือบทบาทของนายจ้างในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล ดังนี้
1) นายจ้างอยู่ภายใต้บังคับของกฎหมายหรือไม่
ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 6 “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
จากบทบัญญัติดังกล่าว นายจ้างไม่ว่าจะเป็นบุคคลธรรมดาหรือนิติบุคคล เป็นส่วนราชการหรือรัฐวิสาหกิจ ก็สามารถมีสถานะเป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” หากไม่ต้องด้วยข้อยกเว้นตามกฎหมายในมาตรา 4 ที่มิให้นำพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไปใช้บังคับหรือกรณีอื่น ๆ ตามที่กฎหมายกำหนด ดังนั้น โดยหลักการ ความสัมพันธ์ของนายจ้างและลูกจ้างที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกจ้างจึงอาจอยู่ภายใต้บังคับของกฎหมายฉบับนี้
2) ข้อมูลส่วนบุคคลของลูกจ้างอยู่ภายใต้บังคับของกฎหมายหรือไม่
มาตรา 6 กำหนดว่า “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ และ “บุคคล” หมายความว่า บุคคลธรรมดา
จากบทบัญญัติดังกล่าวข้อมูลต่าง ๆ ของลูกจ้างจึงอาจมีสภาพเป็น “ข้อมูลส่วนบุคคล” ตามกฎหมายได้ ซึ่งหมายความว่าการที่นายจ้างจะกระทำการใด ๆ ต่อข้อมูลส่วนบุคคลของลูกจ้างแม้ว่าจะเป็นกรณีเกี่ยวกับการจ้าง นายจ้างก็ต้องปฏิบัติตามเงื่อนไขที่กฎหมายกำหนดด้วย
3) อะไรบ้างเป็นข้อมูลส่วนบุคคลของลูกจ้าง
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มิได้ยกตัวอย่างเพื่อให้ทราบว่ากรณีใดบ้างที่อาจถือได้ว่าเป็นข้อมูลส่วนบุคคล เพียงแต่กำหนดว่าเป็น “ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม” ซึ่งหากพิจารณาจากกรณีศึกษาในต่างประเทศ “ข้อมูลส่วนบุคคล” อาจหมายความรวมถึงข้อมูลดังต่อไปนี้ ชื่อ-สกุล หมายเลขโทรศัพท์ ที่อยู่ e-mail social media account หมายเลขบัตรประจำตัวประชาชน หมายเลขหนังสือเดินทาง ข้อมูลเกี่ยวกับการประกันสังคม ข้อมูลเกี่ยวกับสุขภาพ ข้อมูลด้านการเงิน ข้อมูลเงินเดือนและค่าตอบแทนต่าง ๆ ฯลฯ เป็นต้น หรือแม้แต่การที่บริษัทให้อุปกรณ์สื่อสารแบบพกพาซึ่งสามารถระบุพิกัดหรือตำแหน่งที่อยู่ของลูกจ้างได้ (geolocation) อาทิ smartphone เพื่อการติดต่อสื่อสารในหน้าที่การงาน หรือ smartwatch เพื่อประโยชน์ในการส่งเสริมนโยบายสุขภาพของบริษัท กรณีลักษณะนี้ก็อาจถือได้ว่าเป็นการกระทำต่อข้อมูลส่วนบุคคลแล้ว
4) นายจ้างต้องดำเนินการอย่างไรในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
หลักการสำคัญที่สุดประการหนึ่งของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ คือ “ความยินยอม” โดยมาตรา 19 กำหนดว่า ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องดำเนินการดังนี้
(1) ต้องขอความยินยอมไว้ก่อนหรือในขณะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(2) ต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์
(3) ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผย และต้องไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว
(4) การขอความยินยอมต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย
จากบทบัญญัติข้างต้น แม้ว่าในธุรกิจที่ไม่มีการทำสัญญาจ้างแรงงานหรือข้อตกลงการจ้างงาน แต่ในส่วนของการขอความยินยอมเกี่ยวกับข้อมูลส่วนบุคคลของลูกจ้างก็ต้องทำเป็นหนังสือ และดำเนินการตามหลักเกณฑ์ที่กฎหมายกำหนดข้างต้นทุกประการด้วย ซึ่งการฝ่าฝืนย่อมทำให้นายจ้างอาจมีความรับผิดต่าง ๆ ตามที่กฎหมายกำหนด
5) หน้าที่ของนายจ้างต่อข้อมูลส่วนบุคคลของลูกจ้าง
กฎหมายกำหนดหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลไว้หลายกรณี แต่หน้าที่ประการหนึ่งที่เป็นต้นทุนสำคัญในการประกอบธุรกิจ คือ หน้าที่ตามมาตรา 37(1) ที่กำหนดให้นายจ้างต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด
กฎหมายของต่างประเทศมีการกำหนดบทบัญญัติเฉพาะในส่วนที่เกี่ยวกับการเก็บรวบรวมข้อมูลส่วนบุคคลของลูกจ้าง อาทิ
(1) GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป มาตรา 88 กำหนดให้รัฐสมาชิกสามารถตรากฎหมายภายในเป็นการเฉพาะเพื่อคุ้มครองข้อมูลส่วนบุคคลในความสัมพันธ์ระหว่างนายจ้างและลูกจ้างได้เพื่อยกเว้นการใช้บังคับของ GDPR ซึ่งหากรัฐสมาชิกมิได้ตรากฎหมายไว้เป็นอย่างอื่น GDPR ย่อมใช้กับการเก็บรวบรวมข้อมูลส่วนบุคคลของลูกจ้างด้วย
(2) California Consumer Privacy Act of 2018 (“CCPA”) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของรัฐแคลิฟอร์เนียและมีนัยสำคัญที่สุดต่อการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศสหรัฐอเมริกาและจะมีผลใช้บังคับในวันที่ 1 มกราคม 2563 นี้ ในส่วนข้อมูลส่วนบุคคลของลูกจ้าง CCPA กำหนดให้ข้อมูลส่วนบุคคลของลูกจ้างที่เกี่ยวเนื่องกับการทำงานและการจ้างถือว่าเป็นข้อมูลส่วนบุคคลตามกฎหมายด้วย [Cal. Civ. Code § 1798.140(o) (1)(I)]
ในโอกาสนี้ ผู้เขียนจึงขอฝากไปยังหน่วยงานของรัฐที่รับผิดชอบให้ช่วยพิจารณาความจำเป็นของการบังคับใช้กฎหมายว่าอาจมีความจำเป็นต้องกำหนดข้อยกเว้นหรือเงื่อนไขบางประการสำหรับกรณีนี้หรือไม่ โดยเฉพาะกับผู้ประกอบการขนาดเล็กเพื่อมิให้กฎหมายเพิ่มต้นทุนทางธุรกิจเกินสมควร
…
ศุภวัชร์ มาลานนท์
คณะนิติศาสตร์ มหาวิทยาลัยสงขลานครินทร์
Fulbright Hubert H. Humphrey Fellowship
American University Washington College of Law