สิ่งที่นายจ้างต้องทำเมื่อกฎหมาย PDPA บังคับใช้

   

กฎหมาย PDPA กำหนดให้นายจ้างสามารถประมวลผลข้อมูลส่วนบุคคลของลูกจ้างภายใต้เงื่อนไขบางประการได้ ซึ่งการประมวลผลข้อมูลส่วนบุคคลควรมีความยุติธรรมและโปร่งใส และใช้ข้อมูลตามวัตถุประสงค์ที่ได้แจ้งไว้ให้ชัดเจนและตามความจำเป็นเท่านั้น ข้อปฏิบัติที่นายจ้างต้องทำตามกฎหมาย PDPA ที่ควรทำมีดังนี้

นายจ้างรายใดที่อยู่ภายใต้กฎหมาย PDPA ?

องค์กรที่มีที่ตั้งอยู่ในประเทศไทย จะต้องปฏิบัติตามกฎหมาย PDPA (Personal Data Protection Act) หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สำหรับการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างในองค์กร กฎหมาย PDPA ไม่ได้กล่าวถึงการตรวจสอบข้อมูลหรือภูมิหลังจากบุคคลที่สามก่อนการจ้างงาน เนื่องจากอาจก่อให้เกิดความเสี่ยงหรือผลกระทบกับองค์กร รวมถึงการล่วงล้ำความเป็นส่วนตัวของผู้สมัครงานได้ แต่ PDPA ครอบคลุมถึงการตรวจสอบข้อมูลเอกสารก่อนการจ้างงาน การติดตามกิจกรรมและการปฏิบัติงานของลูกจ้างในแต่ละวันตามปกติ ส่วนใหญ่นายจ้างจะดำเนินการในส่วนที่เกี่ยวกับลูกจ้างของตนเพื่อดำเนินการทางวินัย หรือการปฏิบัติงานอื่นๆ ที่เกี่ยวข้องกับการจ้างงาน

การที่นายจ้างและลูกจ้างใช้เทคโนโลยีเป็นส่วนหนึ่งในการทำงาน ทำให้ขอบเขตการทำงานขยายออกไปมากกว่าการทำงาน ณ ที่ตั้งขององค์กรในประเทศไทย แม้ว่าที่ตั้งของสำนักงานจะไม่ได้ตั้งอยู่ในประเทศไทย แต่องค์กรจะต้องปฏิบัติตามกฎหมาย PDPA ในส่วนที่เกี่ยวข้องกับลูกจ้าง

นายจ้างต้องทำอะไรบ้าง ?

PDPA กำหนดให้นายจ้างมีหน้าที่ทั้งก่อนและขณะประมวลผลข้อมูลส่วนบุคคลของลูกจ้าง ดังนี้

• รวบรวมข้อมูลส่วนบุคคลของลูกจ้างตามวัตถุประสงค์ที่แจ้งไว้อย่างชัดเจน เท่าที่จำเป็นและถูกต้องตามกฎหมาย
• แจ้งรายละเอียดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลแก่ลูกจ้างให้ชัดเจน และแจ้งว่าจะมีการเก็บรวบรวมข้อมูลในรูปแบบใด ระยะเวลาเท่าใด
• อนุญาตให้ลูกจ้างใช้สิทธิบางประการกับข้อมูลส่วนบุคคลของตน เช่น สิทธิในการขอสำเนาข้อมูล สิทธิในการเข้าถึงข้อมูล สิทธิในการแก้ไขเปลี่ยนแปลงข้อมูล สิทธิในการเพิกถอนความยินยอม และสิทธิในการมีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของตน
• ต้องมีฐานกฎหมายรองรับการประมวลผลข้อมูลส่วนบุคคลของลูกจ้าง
• มีมาตรการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลอย่างเพียงพอ เมื่อมีการส่งหรือโอนข้อมูลส่วนบุคคลของลูกจ้างไปยังต่างประเทศหรือองค์การระหว่างประเทศ
• แจ้งเตือนลูกจ้างหากการละเมิดข้อมูลส่วนบุคคลมีความเสี่ยงสูงต่อการละเมิดสิทธิและเสรีภาพของเจ้าของข้อมูล
• แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลที่มีความรู้ความเข้าใจกฎหมาย PDPA และมาตรการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลขององค์กร
• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากเกิดการละเมิดข้อมูลส่วนบุคคลโดยเร็วที่สุด และให้ผู้มีหน้าที่รับผิดชอบระงับเหตุโดยใช้มาตรการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคลที่เหมาะสมทันที
• ลบหรือทำลายข้อมูลส่วนบุคคลของลูกจ้างที่ไม่ได้เป็นลูกจ้างขององค์กรแล้ว อาจมีการเก็บรักษาข้อมูลที่จำเป็นไว้บางส่วนตามระยะเวลาอายุความตามกฎหมาย เพื่อเป็นประโยชน์หากเกิดกรณีฟ้องร้อง

นายจ้างใช้ฐานความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของลูกจ้างได้หรือไม่ ?

ก่อนที่กฎหมาย PDPA จะมีผลบังคับใช้ องค์กรจำนวนมากต้องอาศัยความยินยอมของลูกจ้างในการประมวลผลข้อมูลส่วนบุคคล และความยินยอมนี้มักเป็นส่วนหนึ่งในสัญญาจ้างงาน อย่างไรก็ตาม PDPA ระบุให้นายจ้างต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลให้ชัดเจนและเท่าที่จำเป็น การให้ความยินยอมจะต้องให้โดยอิสระ ไม่มีข้อผูกมัดหรือเงื่อนไข และมีสิทธิเพิกถอนความยินยอมได้ อย่างไรก็ตาม สภาพของไม่เท่าเทียมกันระหว่างนายจ้างกับลูกจ้าง อาจทำให้ลูกจ้างไม่กล้าปฏิเสธที่จะให้ความยินยอมเพราะเกรงว่าจะมีผลร้ายกับตนเนื่องจากการปฏิเสธที่จะให้ความยินยอมแก่นายจ้าง ทำให้ลูกจ้างขาดความเป็นอิสระในการให้ความยินยอม ดังนั้น ในทางปฏิบัติ จึงเป็นเรื่องยากที่นายจ้างจะใช้ฐานความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของลูกจ้าง

นายจ้างควรทำอย่างไรหากไม่มีความยินยอมของลูกจ้าง ?

ความยินยอม (Consent) เป็นเพียงการประมวลผลข้อมูลของลูกจ้างตามฐานกฎหมายหนึ่งเท่านั้น ซึ่งนายจ้างสามารถอ้างอิงฐานการประมวลผลข้อมูลตามกฎหมายได้ดังนี้

1. ฐานการปฏิบัติตามสัญญา (Contract)

การจ้างงานในทางปฏิบัติ มักอาศัยฐานการปฏิบัติตามสัญญาเป็นฐานกฎหมายหลัก กล่าวคือ ใช้การประมวลผลข้อมูลส่วนบุคคลของลูกจ้างตามสัญญาจ้างงานซึ่งครอบคลุมทั้ง ข้อมูลที่อยู่ เบอร์โทรศัพท์ ข้อมูลบัญชีธนาคารของลูกจ้างซึ่งนายจ้างกำหนดให้จ่ายเงินให้กับลูกจ้างตามที่กฎหมายกำหนด

2. ฐานประโยชน์อันชอบด้วยกฎหมาย (Legitimate interest)

เป็นการใช้ฐานประมวลผลข้อมูลส่วนบุคคลที่ไม่เกินความคาดหมายของเจ้าของข้อมูลหรือลูกจ้าง และไม่ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของลูกจ้าง เช่น การประเมินผลและการขึ้นเงินเดือนของลูกจ้าง การรวบรวมสถิติอุบัติเหตุที่เกิดขึ้นขณะปฏิบัติงานประจำปีโดยไม่ใช้ข้อมูลที่บ่งชี้ตัวตนของเจ้าของข้อมูล การทำสถิติเพื่อพัฒนาคุณภาพบริการ เป็นต้น

3. ฐานหน้าที่ตามกฎหมาย (Legal obligation)

เป็นการประมวลผลข้อมูลที่มีกฎหมายรองรับไว้เป็นการเฉพาะ ตัวอย่างฐานการประมวลผลข้อมูลนี้ เช่น การขอข้อมูลสุขภาพเพื่อให้สิทธิลาป่วย ให้ลูกจ้างได้รับค่าจ้างขณะลาป่วย และให้สิทธิเบิกค่ารักษาพยาบาล แม้ว่าข้อมูลสุขภาพเป็นข้อมูลส่วนบุคคลที่อ่อนไหวก็ตาม แต่นายจ้างก็มีสิทธิขอข้อมูลนี้ได้ เนื่องจากนายจ้างปฏิบัติหน้าที่ตามกฎหมายแรงงาน และกฎหมายประกันสังคม

4. ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest)

แม้ว่าข้อมูลสุขภาพถือเป็นข้อมูลส่วนบุคคลที่อ่อนไหวก็ตาม แต่ก็เป็นข้อยกเว้นให้นายจ้างใช้ฐานการประมวลผลนี้ได้ เช่น ลูกจ้างหมดสติหรือเกิดอุบัติเหตุร้ายแรงทำให้ลูกจ้างไม่มีสภาวะที่จะให้ความยินยอมการให้ข้อมูลสุขภาพได้ นายจ้างก็สามารถใช้ฐานการประมวลผลนี้ให้ข้อมูลสุขภาพที่จำเป็นต่อแพทย์เพื่อใช้เป็นประโยชน์กับการรักษาได้อย่างทันท่วงที

5. ฐานภารกิจของรัฐ (Public task) ฐานการประมวลผลนี้มี 2 ลักษณะ กล่าวคือ นายจ้างมีความจำเป็นเพื่อดำเนินการเพื่อประโยชน์สาธารณะ เช่น การแจ้งข้อมูลหรือประวัติการเดินทางของลูกจ้างเพื่อป้องกันหรือยับยั้งโรคระบาดร้ายแรงที่ส่งผลกระทบต่อระบบสาธารณสุข หรืออีกกรณีคือ ทั้งนายจ้างและลูกจ้างได้รับอำนาจจากรัฐให้ปฏิบัติหน้าที่เฉพาะเจาะจง เช่น หน่วยงานเป็นโรงเรียนสอนขับรถเอกชน โดยกรมขนส่งทางบกได้ให้อำนาจให้สามารถจัดสอบและอบรมผู้สมัครสอบใบอนุญาตขับขี่รถยนต์ได้

ดังนั้น หากไม่มีฐานกฎหมายใดรองรับการประมวลผลข้อมูลส่วนบุคคลแล้ว นายจ้างจึงจำเป็นต้องขอความยินยอม (consent) กับลูกจ้าง

นายจ้างควรปฏิบัติตามขั้นตอนใดบ้างเพื่อให้สอดคล้องกับ PDPA ? องค์กรควรทบทวนเอกสารของลูกจ้างใหม่และลูกจ้างปัจจุบัน เช่น สัญญาจ้างงาน และความยินยอมในการประมวลผลข้อมูลของลูกจ้างที่ให้ไว้โดยอิสระ องค์กรควรเปลี่ยนถ้อยคำจากการขอความยินยอมในสัญญา เป็นการใช้ฐานการประมวลผลข้อมูลส่วนบุคคลตามฐานต่างๆ เช่น ฐานการปฏิบัติตามสัญญาจ้างงาน หรือฐานหน้าที่ตามกฎหมายแรงงาน หรือกฎหมายประกันสังคม สำหรับลูกจ้างปัจจุบัน องค์กรควรแจ้งต่อลูกจ้างว่าจะมีการเปลี่ยนการประมวลผลข้อมูลจากฐานความยินยอมเป็นฐานทางกฎหมายอื่นๆ

ถ้าไม่ปฏิบัติตาม PDPA จะได้รับโทษอะไรบ้าง ? การไม่ปฏิบัติตาม PDPA มีโทษทางแพ่ง ทางอาญาและทางปกครอง โดยความรับผิดทางแพ่ง องค์กรจะต้องชดใช้ค่าสินไหมทดแทนให้กับเจ้าของข้อมูลส่วนบุคคลหรือลูกจ้าง แม้ว่าการฝ่าฝืนกฎหมายนั้นจะจงใจหรือประมาทเลินเล่อก็ตาม สำหรับความรับผิดทางอาญา มีโทษสูงถึงจำคุกไม่เกิน 1 ปี หรือปรับไม่เกิน 1,000,000 บาท หรือทั้งจำทั้งปรับ ส่วนความรับผิดทางปกครอง อาจมีโทษปรับสูงถึง 5,000,000 บาท

เพียงคลิก PDPA Pro เพื่อสร้างนโยบายรักษาข้อมูลส่วนบุคคล (Privacy policy) สำหรับการจัดเก็บและการประมวลผลข้อมูลส่วนบุคคลของลูกจ้าง หมดกังวลกับ PDPA เพราะเรามีผู้เชี่ยวชาญด้านกฎหมายคอยแนะนำทุกข้อสงสัยของคุณ

เว็บไซต์อ้างอิง: https://www.cooleygo.com/gdpr-a-guide-for-employers/ https://www.lexology.com/library/detail.aspx?g=f19963f0-3be2-485c-88d5-dceaece4b446