แชร์

คณะกรรมการลูกจ้างเป็น DPO ได้หรือไม่ ?

อัพเดทล่าสุด: 24 ต.ค. 2024
54 ผู้เข้าชม
คณะกรรมการลูกจ้างเป็น DPO ได้หรือไม่ ?

คณะกรรมการลูกจ้างเป็น DPO ได้หรือไม่
เมื่อวันที่ 9 กุมภาพันธ์ 2566 ที่ผ่านมา ศาลยุติธรรมแห่งสหภาพยุโรป (Court of Justice of the European Union) ได้เผยแพร่คำวินิจฉัยคดีที่ C-453/21 เกี่ยวกับการปลดคณะกรรมการลูกจ้าง หรือ Works Council

ที่ทำหน้าที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ขององค์กรว่าสามารถทำได้หรือไม่เนื่องจากตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (EU General Data Protection Regulation: GDPR)

กำหนดห้ามมิให้องค์กรปลดหรือให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลออกจากงานหรือเลิกสัญญาการจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามกฎหมายไม่ได้

คดีดังกล่าวเกิดขึ้นในประเทศเยอรมนีที่มีกฎหมายกำหนดให้องค์กรอาจจะต้องมีการเลือกตั้งคณะกรรมการลูกจ้างเพื่อทำหน้าที่ในการรักษาผลประโยชน์ของลูกจ้างในองค์กรและกำหนดให้คณะกรรมการลูกจ้างเข้าไปมีส่วนร่วมในการแสดงความเห็นและการดำเนินการต่าง ๆ ที่เกี่ยวกับลูกจ้างโดยตรง 

โดยเมื่อ DPO ของบริษัทคนดังกล่าวได้รับตำแหน่งในคณะกรรมการลูกจ้างอีกตำแหน่งหนึ่ง บริษัทก็ได้ปลดเขาออกจากตำแหน่ง DPO ทันทีเนื่องจากเห็นว่าตำแหน่งในคณะกรรมการลูกจ้าง (หมวกใบที่ 2 ที่ได้มาในภายหลัง) เป็นหน้าที่ที่ขัดหรือแย้ง (​conflict of interests) ต่อการปฏิบัติหน้าที่ DPO ตาม GDPR 

เนื่องจากต้องตีความว่า ผลประโยชน์ทับซ้อนหรือผลประโยชน์ขัดกัน ตามที่ระบุไว้ในกฎหมายนั้นคือกรณีที่ DPO ได้รับความไว้วางใจให้ทำงานหรือหน้าที่อื่นใด ซึ่งจะส่งผลให้สามารถกำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลได้ กรณีที่ DPO เข้าไปกำหนดวิธีการ 

วัตถุประสงค์ภายในองค์กรย่อมทำให้ DPO ไม่สามารถตรวจสอบและกำกับการตัดสินใจที่ตนเองมีส่วนร่วมได้โดยปราศจากอคติ ดังนั้น เมื่อการทำหน้าที่คณะกรรมการลูกจ้างของ DPO มีความเสี่ยงที่ DPO ต้องเข้าไปมีส่วนร่วมตัดสินใจ

และให้ความเห็นที่มีผลผูกพันตามกฎหมายเกี่ยวกับการคุ้มครองแรงงานของประเทศเยอรมนีเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกจ้าง อาทิ สวัสดิการต่าง ๆ  DPO ย่อมขาดคุณสมบัติของการปฏิบัติหน้าที่ DPO ตาม GDPR

การถูกปลดออกจากตำแหน่ง DPO ดังกล่าวมีข้อสังเกตว่าสามารถกระทำได้หรือไม่ เนื่องจาก GDPR  กำหนดว่า DPO ไม่สามารถถูกปลดออกหรือถูกลงโทษสำหรับการปฏิบัติงานได้ แต่ศาลได้วินิจฉัยในกรณีดังกล่าวว่า ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจปลดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลออกจากตำแหน่งได้ 

ในกรณีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไม่สามารถปฏิบัติหน้าที่หรือภารกิจของตนได้อย่างอิสระเนื่องจากมีการขัดกันแห่งผลประโยชน์ ซึ่งคำวินิจฉันดังกล่าวสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 42 วรรค 3

ที่กำหนดว่า ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลจะให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลออกจากงานหรือเลิกจ้างด้วยเหตุที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ตามพระราชบัญญัตินี้ไม่ได้ 

แต่ในทางกลับกันหากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไม่อาจปฏิบัติหน้าที่ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ได้ เพราะเหตุใดเหตุหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอาจปลดเจ้าที่คุ้มครองข้อมูลส่วนบุคคลได้เช่นเดียวกัน

ทั้งนี้ ศาลยุติธรรมแห่งสหภาพยุโรปยังให้ข้อพิจารณาเพิ่มเติมด้วยว่ากรณีใดเป็นกรณีที่ก่อหรือจะก่อให้เกิดการขัดกันแห่งผลประโยชน์จำเป็นต้องพิจารณาบริบทในแง่ของกฎที่เกี่ยวข้องทั้งหมด รวมถึงนโยบายใด ๆ ของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องเป็นรายกรณีไป

เปรียบเทียบกับข้อกำหนดตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ

ในการแต่งตั้ง DPO ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ แม้ว่าขณะนี้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะยังไม่มีการกำหนดคุณสมบัติสำหรับการทำหน้าที่ DPO แต่องค์กรควรตรวจสอบให้แน่ใจว่าผู้ที่ได้รับการแต่งตั้งนั้น จะต้องไม่มีผลประโยชน์ขัดกันกับภารกิจอื่น ๆ ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ซึ่งกฎหมายกำหนดไว้ ดังนี้

- ให้คำแนะนำแก่องค์กรรวมทั้งลูกจ้างหรือผู้รับจ้างขององค์กรเกี่ยวกับการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
- ตรวจสอบการดำเนินงานขององค์กรรวมทั้งลูกจ้างหรือผู้รับจ้างขององค์กรเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
- ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลขององค์กร
- รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ 


โดยเป็นหน้าที่และความรับผิดขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลแล้วแต่กรณีที่ต้องตรวจสอบให้แน่ใจว่าการปฏิบัติหน้าที่หรือภารกิจของผู้ได้รับการแต่งตั้งเป็น DPO ไม่มีผลประโยชน์ทับซ้อนกับภารกิจอื่น ๆ ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย

นอกจากนี้ ยังมีข้อพิจารณาอื่น ๆ เกี่ยวกับการแต่งตั้ง DPO ให้สอดคล้องกับกฎหมายและแนวปฏิบัติที่ดี (CNIL, WP29) ดังนี้ DPO อาจปฏิบัติหน้าที่อื่นใด ภายในองค์กรได้ แต่ในบริบทของหน้าที่อื่น ๆ DPO ต้องไม่มีอำนาจในการตัดสินใจเกี่ยวกับการกำหนดวัตถุประสงค์หรือวิธีการประมวลผล 

การมีอยู่ของผลประโยชน์ทับซ้อนจะพิจารณาเป็นกรณีไป องค์กรจึงควรจัดทำเอกสารการพิจารณาที่นำไปสู่การแสดงให้เห็นถึงการคัดเลือกอย่างเหมาะสมว่าการแต่งตั้งไม่มีผลประโยชน์ทับซ้อนสำหรับ DPO หรือหากมีการขัดกันแห่งผลประโยชน์กรณีดังกล่าวต้องได้มีการจัดการอย่างเหมาะสมแล้ว

ตัวอย่างของหน้าที่ที่อาจก่อให้เกิดการขัดกันแห่งผลประโยชน์ ได้แก่ กรรมการผู้จัดการ, ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ, ผู้จัดการฝ่ายการตลาด, ผู้จัดการฝ่ายทรัพยากรบุคคล, ผู้จัดการฝ่ายไอที เป็นต้น

ตำแหน่งที่ลำดับชั้นอื่น ๆ ภายในโครงสร้างองค์กรก็อาจมีแนวโน้มที่จะก่อให้เกิดการขัดกันแห่งผลประโยชน์ได้เช่นกัน หากในทางปฏิบัติ บุคคลนั้นมีส่วนร่วมในการกำหนดวัตถุประสงค์และวิธีการของการประมวลผลข้อมูลส่วนบุคคล 

ดังนั้น การแต่งตั้งพนักงานภายในองค์กรเป็น DPO ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้องตรวจสอบให้แน่ใจว่า การปฏิบัติหน้าที่หรือภารกิจอื่นของผู้ที่จะได้รับการแต่งตั้ง

ต้องไม่มีความเสี่ยงที่จะนำไปสู่การขัดกันแห่งผลประโยชน์กับการปฏิบัติหน้าที่หรือภารกิจของ DPO ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ และการแต่งตั้งผู้ที่ไม่เหมาะสม เป็นความรับผิดขององค์กร ไม่ใช่ของ DPO ที่ได้รับการแต่งตั้ง

ที่มา: Court of Justice of the European Union. Judgment of the Court in Case C-453/21. 
9 February 2023. Available at curia.europa.eu/juris/document/document

โดย

ศุภวัชร์ มาลานนท์ 
GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี 
ภัทรวิรินทร์ หมวดมณี 
บริษัท ดีพีโอเอเอเอส จำกัด 

Cr: https://www.bangkokbiznews.com/blogs/health/labour/1053965

บทความที่เกี่ยวข้อง
PDPA สื่อมวลชนและการขอใช้สิทธิลบเนื้อหาข่าว
สคส. เผยแพร่ความเห็นของคณะอนุกรรมการเฉพาะกิจ ตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
24 ต.ค. 2024
การโพสต์หรือแชร์รูปภาพ ไม่มีความรับผิดทางอาญาตาม PDPA
การโพสต์ข้อมูลส่วนบุคคล อย่างภาพใบหย่า ข้อมูลประวัติอาชญากรรม ภาพถ่ายใบหน้าลูกหนี้ แม้จะเข้าข่ายข้อยกเว้นการใช้บังคับกฎหมาย PDPA
24 ต.ค. 2024
กรรมการบริษัท ก็ต้องรู้จักปัญญาประดิษฐ์ AI
สถาบันกรรมการบริษัทแห่งออสเตรเลีย (Australian Institute of Company Directors -AICD) ได้ร่วมมือกับสถาบัน Human Technology Institute (HTI)
24 ต.ค. 2024
เว็บไซต์นี้มีการใช้งานคุกกี้ เพื่อเพิ่มประสิทธิภาพและประสบการณ์ที่ดีในการใช้งานเว็บไซต์ของท่าน ท่านสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ ประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) และ นโยบายคุกกี้
เปรียบเทียบสินค้า
0/4
ลบทั้งหมด
เปรียบเทียบ
Powered By MakeWebEasy Logo MakeWebEasy