สหภาพแรงงาน องค์กรของลูกจ้างที่จัดตั้งขึ้นตามกฎหมายแรงงานสัมพันธ์โดยมีวัตถุประสงค์เพื่อการแสวงหาความคุ้มครองผลประโยชน์ของลูกจ้าง มุ่งเน้นกิจกรรมด้านแรงงานสัมพันธ์ หรือการสร้างความสัมพันธ์ที่ดี และเป็นธรรมระหว่างนายจ้างกับลูกจ้าง มีสถานะเป็น ‘นิติบุคคล’ โดยการก่อตั้งสหภาพแรงงานวิสาหกิจต่างๆ จะต้องประกอบด้วยสมาชิกไม่น้อยกว่าร้อยละ 25 ของลูกจ้างประจำทั้งหมด
ดังนั้นสามารถกล่าวได้ว่า ภายในสหภาพแรงงานงานอาจมีสมาชิกตั้งแต่หลักร้อย ไปจนถึงหลักหลายหมื่นคน และย่อมต้องมี ‘ข้อมูลส่วนบุคคล’ เป็นจำนวนมากถูกเก็บ รวบรวม ใช้ และเปิดเผย
ด้วยเหตุนี้ สหภาพแรงงาน จึงมีอีกสถานะหนึ่ง นั่นคือ ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) ซึ่งจะต้องมีการบันทึกรายการข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้
บันทึกรายการข้อมูลส่วนบุคคลที่สหภาพแรงงานต้องทำ
โดยการจัดทำบันทึกรายการข้อมูลส่วนบุคคล มิใช่เพียงแต่เป็นประโยชน์สำหรับแนวทางปฏิบัติสำหรับสหภาพแรงงานให้สอดคล้องตามกฎหมาย แต่ยังมองถึงประโยชน์ที่ผู้ควบคุมของมูลสามารถจะเข้าใจในเบื้องต้น แยกแยะ รวมถึงสามารถวิเคราะห์ได้ว่า สถานะของสหภาพในปัจจุบันมีการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลใดบ้าง ด้วยเหตุนี้จึงนำไปสู่การจัดทำ นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) หรือคำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) และเอกสารแสดงความยินยอม (Consent) ซึ่งเป็นการเตรียมพร้อมเบื้องต้นที่สหภาพแรงงาน ‘ต้องทำ’ ก่อนการบังคับใช้กฎหมาย PDPA ในวันที่ 1 มิถุนายน นี้
PDPA การยกเว้นโดยไม่ต้องขอความยินยอมในบางกรณี
ในแง่มุมของ สหภาพแรงงาน ซึ่งเป็นนิติบุคคลที่มีกฎหมายกำกับดูแลเฉพาะ ขณะเดียวกันก็มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลด้วย ดังนั้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล อาจจะได้รับการยกเว้นโดยไม่ต้องขอความยินยอมในบางกรณี โดยกฎหมายระบุว่า
ห้ามไม่ให้เก็บข้อมูลอ่อนไหว เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ ฯลฯ โดยไม่ได้รับการยินยอม เว้นแต่
1.เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
2.เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม
3.เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
4.เพื่อการใช้สิทธิเรียกร้องตามกฎหมาย
5.การปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์บางอย่าง เช่น การรักษาทางการแพทย์ การประเมินขีดความสามารถในการทำงาน ด้านสาธารณะสุข การคุ้มครองแรงงาน การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ
หน้าที่สหภาพแรงงานในฐานะ ‘ผู้ควบคุมข้อมูล’
สถานะของสหภาพแรงงาน ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล แม้จะเป็นการดำเนินการโดยชอบด้วยกฎหมาย แต่ก็มีหน้าที่ซึ่งบทบัญญัติไว้ในกฎหมาย PDPA เพื่อให้การดำเนินการมีขอบเขตที่ชัดเจน โปรงใส ปลอดภัย และตรวจสอบได้ อันประกอบด้วย
- ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการละเมิด และต้องทบทวน มาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลง
- กรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการเพื่อป้องกันมิให้นำไปใช้หรือเปิดเผยโดยมิชอบ
- จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด ระยะเวลาการเก็บรักษา หรือที่เกินความจำ
- แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อ สิทธิและเสรีภาพของบุคคล
- หากเป็นผู้ควบคุมข้อมูลที่อยู่ ‘นอกราชอาณาจักร’ ต้องมีการแต่งตั้งตัวแทนในราชอาณาจักร
ทั้งนี้ จากข้อสังเกต สหภาพแรงงานหลายๆ แห่งมีการเก็บ รวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลของสมาชิกจำนวนมาก ทั้งสมาชิกปัจจุบัน และสมาชิกที่พ้นสภาพไปแล้ว ประกอบกับมีการจัดเก็บข้อมูลอ่อนไหว (Sensitive Data) ในหลายๆ กรณี อาทิ ข้อมูลสุขภาพ ข้อมูลเชื้อชาติ ศาสนา ความพิการ หรือแม้แต่ข้อมูลอาชญากรรม ซึ่งข้อมูลเหล่านี้หากเกิดการนำไปใช้ผิดจากวัตถุประสงค์หลักของสหภาพแรงงาน หรือมีการส่งต่อข้อมูลส่วนบุคคลให้กับบุคคลที่สามโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ก็เข้าข่ายกระทำผิดกฎหมาย PDPA ในทันที
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) คือ ผู้ที่มีหน้าที่สำคัญในการจัดการและตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เพื่อช่วยให้องค์กรนั้นสามารถดำเนินงานได้อย่างถูกต้องและตรงตามหลักกฎหมาย PDPA และจากคำถามที่ว่า สหภาพแรงงาน ต้องแต่งตั้ง ‘DPO’ หรือไม่? คำตอบ คือ สมควรแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO ถ้าหากองค์กรตรงตามหลักเกณฑ์กฎหมาย ซึ่งมีระบุคุณสมบัติไว้ดังนี้
– หน่วยงานรัฐ ส่วนราชการ รัฐวิสาหกิจและองค์การบริหารส่วนท้องถิ่น
– องค์กรที่ประกอบธุรกิจหลักเกี่ยวข้องกับการประมวลผลข้อมูลอ่อนไหว อาทิ โรงพญาบาล ประกัน ธุรกิจด้านการสื่อสาร หรือให้บริการประชาชน
– องค์กรที่มีการจัดเก็บข้อมูลต่อปีเป็นจำนวนมาก คือมีการประมวลผลข้อมูลส่วนบุคคลทั่วไป 5,0000 ราย หรือข้อมูลประเภทอ่อนไหว 5,000 ราย/ปี
อย่างไรก็ตามแม้กฎหมายไม่ได้บังคับอย่างเจาะจง แต่ด้วยโครงสร้างขององค์กรจำเป็นที่จะต้องสั่งสมข้อมูลอย่างต่อเนื่อง นี่จึงเป็นเหตุผลให้สหภาพแรงงาน ที่มีคุณสมบัติตรงตามกฎหมายจำเป็นต้องแต่งตั้ง DPO แต่หากสหภาพแรงงานไม่เข้าเกณฑ์ตามข้างต้น อาจพิจารณาแต่งตั้ง ‘เจ้าหน้าที่ประสานงานด้านข้อมูลส่วนบุคคล’ ที่อาจจะไม่ต้องมีคุณสมบัติเทียบเท่า DPO แต่ก็มีความรู้ ความเข้าใจ ตลอดจนการให้คำแนะนำ และวางแนวทางการจัดการข้อมูลให้สอดคล้องตามกฎหมาย PDPA ได้อย่างเหมาะสม
