หลักความชอบด้วยกฎหมาย ความเป็นธรรมและความโปร่งใสของการบริหารจัดการข้อมูล (Lawfulness, Fairness and Transparency) เป็นหนึ่งในหลักการพื้นฐานที่สำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล หลักการดังกล่าวกำหนดให้องค์กรจะต้องมีฐานอันชอบด้วยกฎหมายฐานใดฐานหนึ่ง มีวัตถุประสงค์ที่จำกัด มีการแจ้งวัตถุประสงค์โดยชอบด้วยกฎหมาย และแจ้งอย่างโปร่งใสและเป็นธรรมผ่านช่องทางของประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) อีกทั้งต้องบันทึกฐานทางกฎหมายดังกล่าวไว้เพื่อการตรวจสอบด้วย
ความยินยอม (Consent) เป็นฐานทางกฎหมายหนึ่งในหลาย ๆ ฐานที่มักถูกพูดถึงและเข้าใจผิด
บ่อย ๆ ว่าหากได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้ว องค์กรจะสามารถดำเนินการต่าง ๆ
กับข้อมูลส่วนบุคคลได้โดยปราศจากความรับผิด ซึ่งหากพิจารณาจากบทบัญญัติในมาตรา 19
ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะพบว่าในบรรดาเงื่อนไขต่าง ๆ ของการขอและการได้มา
ซึ่งความยินยอม มีอยู่ประการหนึ่งที่มีความเข้าใจคลาดเคลื่อนเสมอ ได้แก่ หลักความเป็นอิสระ
ที่กำหนดให้ความยินยอมจะชอบด้วยกฎหมายก็ต่อเมื่อเจ้าของข้อมูลส่วนบุคคลให้ความยินยอมโดยสมัครใจและอิสระ (freely given) โดยผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
จากเงื่อนไขของการได้มาซึ่งความยินยอมที่มีรายละเอียดและข้อจำกัดหลายประการ แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลฯ ของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจึงได้ให้หลักการไว้ว่า
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อาจดำเนินการโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้ แต่ต้องเป็นไปตามข้อยกเว้นที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลบัญญัติให้กระทำได้ (ฐานทางกฎหมาย หรือ Lawful Basis) ... ความยินยอมจากเจ้าของข้อมูลส่วนบุคคลจึงเป็นฐานทางกฎหมายสุดท้ายที่ผู้ควบคุมข้อมูลส่วนบุคคลสามารถใช้เพื่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ หากไม่เป็นไปตามข้อยกเว้นอื่นตามมาตรา 24 หรือมาตรา 26 แล้วแต่กรณี
มาตรา 19 และแนวทางในการขอความยินยอมฯ ดังกล่าวตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ สอดคล้องกับบทบัญญัติของ GDPR (EU General Data Protection Regulation) และ EDPB Guidelines 05/2020 โดยเฉพาะข้อจำกัดของการใช้ฐานความยินยอมสำหรับการดำเนินงานภาครัฐในส่วนที่เกี่ยวข้องกับการจัดทำบริการสาธารณะและความยินยอมในบริบทความสัมพันธ์ของนายจ้าง ลูกจ้าง เนื่องจากการขาดองค์ประกอบของ ความเป็นอิสระอย่างแท้จริง ในการให้หรือไม่ให้ความยินยอมอันเนื่องมากจากความไม่เท่าเทียมกันของอำนาจในการต่อรอง (imbalance of power) EDPB Guidelines 05/2020 ยังให้ข้อสังเกตว่าการประมวลข้อมูลส่วนบุคคลส่วนใหญ่ในบริบทของการจ้างงาน ฐานทางกฎหมายจึงไม่ควรใช้ ความยินยอม
ทั้งนี้ในทางปฏิบัติ นายจ้างสามารถกำกับตรวจสอบหรือใช้ข้อมูลต่าง ๆ ของลูกจ้างเพื่อให้บรรลุวัตถุประสงค์ตามสัญญาจ้างได้โดยอาศัยความผูกพันตามสัญญาจ้างแรงงาน หรือหากมีความจำเป็นต้องติดตามพฤติกรรมการใช้งานระบบเทคโนโลยีสารสนเทศเพื่อวัตถุประสงค์ด้านความปลอดภัยในระบบสารสนเทศขององค์กรซึ่งเป็นประโยชน์โดยชอบด้วยกฎหมายขององค์กร เป็นต้น นายจ้างก็มีฐานทางกฎหมายในการดำเนินการแล้วโดยที่ไม้ต้องบังคับขอความยินยอม
การขอความยินยอมโดยไม่ชอบด้วยกฎหมายจากลูกจ้างมีกรณีศึกษาของ HELLENIC DPA (คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของประเทศกรีซซึ่งบังคับใช้ GDPR) ในคำวินิจฉัยที่ 26/2019 ได้วินิจฉัยข้อร้องเรียนซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นพนักงานที่ทำงานอยู่บริษัทที่ปรึกษาแห่งหนึ่ง ตามข้อร้องเรียนดังกล่าวมีประเด็นให้ต้องวินิจฉัยว่า กรณีการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของพนักงานสามารถใช้ฐานความยินยอมได้หรือไม่ และหากใช้ฐานความยินยอมแล้วพนักงานจำเป็นต้องให้ความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลหรือไม่อย่างไร
ในคดีนี้ HELLENIC DPA ได้พิจารณาและตัดสินว่า เพื่อให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR) มาตรา 5 (1) ผู้ควบคุมข้อมูลส่วนบุคคลต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างถูกต้องโดยจะต้องคำนึงถึงหลักความชอบด้วยกฎหมาย ความเป็นธรรมและความโปร่งใส โดยในการระบุเลือกฐานทางกฎหมายที่เหมาะสมภายใต้
มาตรา 6 (1) ของ GDPR ผู้ควบคุมข้อมูลส่วนบุคคลไม่เพียงแต่ต้องเลือกฐานทางกฎหมายที่เหมาะสมก่อนที่จะเริ่มดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพียงเท่านั้น แต่ยังคงมีหน้าที่ต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลด้วย ตามมาตรา 13 (1)(c) และ 14 (1)(c) ของ GDPR (Privacy Notice) ซึ่งการเลือกใช้ฐานทางกฎหมายจะมีผลต่อการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลด้วย
เมื่อมีการกำหนดให้ใช้ฐานความยินยอมกับเจ้าของข้อมูลส่วนบุคคลในบริบทของความสัมพันธ์การจ้างงาน ความยินยอมดังกล่าวย่อมไม่ถือเป็นการให้ความยินยอมโดยอิสระ เนื่องจากภายใต้อิทธิพลของฝ่ายนายจ้าง ลูกจ้างจึงจำต้องจำยอมการกระทำบางอย่างเพื่อให้หลุดพ้นจากภาวะของความเกรงกลัวหรือความไม่มั่นคงจากการทำงาน เมื่อเลือกใช้ฐานความยินยอมในกรณีดังกล่าวจึงเป็นการเลือกใช้ฐานทางกฎหมายที่ไม่เหมาะสมตามวัตถุประสงค์เพื่อการปฏิบัติตามสัญญาจ้างและเป็นการจำเป็นในการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคล (พนักงานหรือลูกจ้าง) เป็นคู่สัญญา (สอดคล้องกับหลักการตามมาตรา 24 (3) พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ)
ในคำวินิจฉัยครั้งที่ 26/2019 ยังได้วินิจฉัยด้วยว่า ในกรณีนายจ้างมีการเปลี่ยนแปลงฐานทางกฎหมาย
อาจทำให้พนักงานหรือลูกจ้างเข้าใจผิดว่านายจ้างกำลังเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้ความยินยอม ในขณะที่ให้ความเป็นจริงนั้นกำลังเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้ฐานทางกฎหมายที่แตกต่างกัน ซึ่งในข้อเท็จจริงดังกล่าวพนักงานไม่เคยได้รับแจ้ง ดังนั้น การเปลี่ยนแปลงฐานทางกฎหมายจึงเป็นการละเมิดหลักการของความโปร่งใส
จากกรณีศึกษาข้างต้น นายจ้างจึงไม่ควรขอความยินยอมพร่ำเพรื่อเพราะจะทำให้ลูกจ้างเข้าใจผิดว่าสามารถถอนความยินยอมได้ทั้งที่ยังมีนิติสัมพันธ์ทางสัญญากันอยู่ และหากจะใช้ความยินยอม ความยินยอมนั้นก็ต้องสอดคล้องกับหลักเกณฑ์และเงื่อนไขทางกฎหมายทุกประการด้วย.
อ้างอิง
(1) SUMMARY OF HELLENIC DPAS DECISION NO 26/2019, available at https://www.dpa.gr/sites/default/files/2020-12/SUMMARY%20OF%20DECISION%2026_2019%20%28EN%29.PDF
(2) EDPB Guidelines 05/2020 on consent under Regulation 2016/679
(3) แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
โดย
ศุภวัชร์ มาลานนท์
GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ภัทรวิรินทร์ หมวดมณี
บริษัท ดีพีโอเอเอเอส จำกัด