การเข้าถึงจดหมายอิเล็กทรอนิกส์ของพนักงาน
การประมวลผลข้อมูลส่วนบุคคลนั้นมีกระบวนการ ขั้นตอน และหน้าที่ต่าง ๆ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เข้ามาเกี่ยวข้องตั้งแต่ก่อนหรือขณะการเก็บรวบรวมข้อมูลส่วนบุคคล
Cap & Corp Forum
เมื่อวันที่ 1 กรกฎาคม 2564 นายจ้างรายหนึ่งในประเทศนอร์เวย์ ถูกสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศนอร์เวย์ หรือ Norwegian Data Protection Authority (“Norwegian DPA”) ลงโทษเป็นเงินราว 15,000 ยูโร โดยความผิดของนายจ้างรายนี้เกิดขึ้นจากการเข้าถึง (access) อีเมลของอดีตพนักงานของบริษัทโดยมิชอบ ไม่มีการกำหนดกระบวนการทำงานในการเข้าถึงอีเมลต่าง ๆ ในสถานที่ทำงาน และไม่มีการสร้างความตระหนักรู้ในเรื่องของการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลภายในองค์กร
คดีนี้เกิดขึ้นจากการที่บริษัทแห่งหนึ่งดำเนินการเปลี่ยนรหัสอีเมลของลูกจ้างที่พ้นสภาพการเป็นพนักงานไปแล้ว และมีการเข้าใช้งานอีเมลดังกล่าวทุกวันต่อเนื่องกันเป็นเวลาอย่างน้อยหกสัปดาห์หลังจากการเลิกจ้าง ยิ่งไปกว่านั้นอีเมลของอดีตลูกจ้างรายดังกล่าวยังถูกเข้าใช้งานโดยผู้จัดการบริษัทและใช้ในการติดต่อกับบริษัทคู่ค้าเป็นเวลาต่อเนื่องกันถึง 5 เดือน
ภายหลังจากการสอบสวน Norwegian DPA ระบุว่า การเข้าถึงอีเมลของอดีตพนักงานดังกล่าว เป็นการประมวลผลข้อมูลส่วนบุคคลของอดีตลูกจ้างรายดังกล่าวโดยปราศจากฐานความชอบด้วยกฎหมาย (legal basis) การกระทำดังกล่าวถือเป็นการประมวลผลข้อมูลส่วนบุคคลด้วยละเมิดต่อข้อกำหนดของ General Data Protection Regulation (GDPR) นอกจากนี้ พฤติกรรมการเข้าใช้งานอีเมลของอดีตพนักงานรายดังกล่าวอย่างต่อเนื่องหลังจากการเลิกจ้าง ยังแสดงให้เห็นถึงการละเลยต่อการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ GDPR ในประเด็นที่บริษัทละเลยต่อหน้าที่ในการลบหรือทำลายข้อมูลส่วนบุคคลของลูกจ้างรายดังกล่าว (GDPR article 17) อีกด้วย
จากพฤติกรรมดังกล่าว Norwegian DPA ยังระบุอีกว่า บริษัทไม่มีการจัดให้มีระบบและมาตรการภายในในการควบคุมการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล จึงได้มีคำสั่งให้บริษัทดำเนินการจัดทำมาตรการดังกล่าวเพื่อกำหนดขั้นตอนและวิธีการ ตลอดจนการลบหรือทำลายอีเมลของทั้งพนักงานปัจจุบันและอดีตพนักงานของบริษัท
หากกรณีนี้เกิดขึ้นในประเทศไทยหลังจากที่พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มีผลบังคับใช้!
ฐานความชอบด้วยกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
ผู้ประกอบการควรคำนึงถึงว่าอีเมลและเนื้อหาหรือข้อความต่าง ๆ ที่อยู่ภายในอีเมลของพนักงาน อาจทำให้สามารถระบุถึงตัวพนักงานรายนั้น ๆ ได้ อีเมลซึ่งแม้ว่าจะเป็นอีเมลที่ใช้โดเมนของบริษัท จึงอาจเป็นข้อมูลส่วนบุคคลตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ดังนั้นการที่บริษัทหรือนายจ้างจะเข้าถึงอีเมลของพนักงาน สิ่งแรกที่บริษัทหรือนายจ้างควรคำนึงถึงคือ การเข้าถึงข้อมูลดังกล่าวมีฐานความชอบด้วยกฎหมายตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 24 รองรับหรือไม่
การจัดให้มีมาตรการควบคุมการประมวลผลข้อมูลส่วนบุคคลภายในองค์กร
การประมวลผลข้อมูลส่วนบุคคลนั้นมีกระบวนการ ขั้นตอน และหน้าที่ต่าง ๆ ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เข้ามาเกี่ยวข้องตั้งแต่ก่อนหรือขณะการเก็บรวบรวมข้อมูลส่วนบุคคล และเมื่อเก็บรวบรวมข้อมูลส่วนบุคคลเข้ามาแล้วผู้ประกอบการในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (data controller) ก็ยังมีหน้าที่ในการดูแลปกป้องข้อมูลส่วนบุคคล หรือจัดให้มีมาตรการทางด้านความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม (appropriate security measure) จัดให้มีช่องทางและกระบวนการในการรับคำร้องและตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล และเมื่อความจำเป็นโดยชอบด้วยกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ๆ หมดไป ผู้ประกอบการก็มีหน้าที่ในการดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลนั้น ๆ อีกด้วย
จะเห็นได้ว่าในแต่ละขั้นตอนหรือทุกระยะของการประมวลผลข้อมูลส่วนบุคคล ผู้ประกอบการมีหน้าที่ตามกฎหมายที่ต้องดำเนินการ เช่นก่อนหรือในขณะดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ประกอบการมีหน้าที่แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดในการประมวลผลข้อมูลส่วนบุคคล (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 23) และมีหน้าที่ในการจัดทำหนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคล หรือ privacy notice ให้มีรายละเอียดตามที่กฎหมายกำหนด เป็นต้น
เมื่อเห็นว่าขั้นตอนและหน้าที่ต่าง ๆ ในการประมวลผลข้อมูลส่วนบุคคลมีอยู่มาก และมีรายละเอียดในการใช้งานจริง หรือ implement ที่ค่อนข้างซับซ้อน การจัดทำหรือเขียนกระบวนการและขั้นตอนในการประมวลผลข้อมูลส่วนบุคคลจึงเป็นเครื่องมือที่สำคัญอย่างหนึ่งที่จะสามารถช่วยลดความเสี่ยงในการประมวลผลข้อมูลส่วนบุคคลให้แก่องค์กรของท่าน ยิ่งไปกว่านั้นการจัดให้มีกระบวนการทำงานภายในองค์กรดังกล่าว ยังเป็นมาตรการทางด้านองค์กรในเรื่องของความมั่นคงปลอดภัยในการประมวลผลข้อมูลส่วนบุคคลอย่างหนึ่ง (organizational measure) และการจัดทำกระบวนการปฏิบัติภายในองค์กรจึงเป็นสิ่งหนึ่งที่สามารถช่วยแสดงออกถึงการตั้งใจปฏิบัติหน้าที่ตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้อีกด้วย (demonstrate of compliance)
จากกรณีศึกษาข้างต้น ไม่ได้หมายความว่าองค์กรจะไม่สามารถตรวจสอบติดตามการใช้งานอีเมลขององค์กร (corporate e-mail) เพียงแต่กฎหมายคุ้มครองข้อมูลส่วนบุคคลได้กำหนดหลักการ ขั้นตอน และวิธีการที่นายจ้างจะใช้อำนาจสอดส่องกำกับการทำงานของพนักงาน (workplace monitoring) เพื่อให้คำนึงถึงสิทธิในความเป็นส่วนตัวขอลูกจ้างมากขึ้นเท่านั้น
…
ศุภวัชร์ มาลานนท์, CIPP/E
Certified DPO, LexTech Consultant/GMI KMUTT
ชิโนภาส อุดมผล
Certified DPO, Optimum Solution Defined (OSD)