สหภาพแรงงาน องค์กรของลูกจ้างที่จัดตั้งขึ้นตามกฎหมายแรงงานสัมพันธ์โดยมีวัตถุประสงค์เพื่อการแสวงหาความคุ้มครองผลประโยชน์ของลูกจ้าง มุ่งเน้นกิจกรรมด้านแรงงานสัมพันธ์ หรือการสร้างความสัมพันธ์ที่ดี และเป็นธรรมระหว่างนายจ้างกับลูกจ้าง มีสถานะเป็น ‘นิติบุคคล’ โดยการก่อตั้งสหภาพแรงงานวิสาหกิจต่าง ๆ จะต้องประกอบด้วยสมาชิกไม่น้อยกว่าร้อยละ 25 ของลูกจ้างประจำทั้งหมด
ดังนั้นสามารถกล่าวได้ว่า ภายในสหภาพแรงงานงานอาจมีสมาชิกตั้งแต่หลักร้อย ไปจนถึงหลักหลายหมื่นคน และย่อมต้องมี ‘ข้อมูลส่วนบุคคล’ เป็นจำนวนมากถูกเก็บ รวบรวม ใช้ และเปิดเผย
ด้วยเหตุนี้ สหภาพแรงงาน จึงมีอีกสถานะหนึ่ง นั่นคือ ‘ผู้ควบคุมข้อมูลส่วนบุคคล’ มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA (Personal Data Protection Act) ซึ่งจะต้องมีการบันทึกรายการข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย เพื่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานสามารถตรวจสอบได้
บันทึกรายการข้อมูลส่วนบุคคลที่สหภาพแรงงานต้องทำ
1.ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม
2.วัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลแต่ละประเภท
3.ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล
4.ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
5.สิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคล รวมทั้งเงื่อนไขเกี่ยวกับบุคคลที่มีสิทธิเข้าถึงข้อมูล ส่วนบุคคลและเงื่อนไขในการเข้าถึงข้อมูลส่วนบุคคลนั้น
6.การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับการยกเว้นโดยไม่ต้องขอความยินยอม
7.การปฏิเสธคำขอหรือการคัดค้านในการเข้าถึงข้อมูลส่วนบุคคล
8.การรักษาความปลอดภัยข้อมูลส่วนบุคคล
โดยการจัดทำบันทึกรายการข้อมูลส่วนบุคคล มีประโยชน์ไม่เพียงเป็นแนวทางปฏิบัติสำหรับสหภาพแรงงานให้สอดคล้องตามกฎหมาย แต่ยังมองถึงประโยชน์ที่ผู้ควบคุมของมูลสามารถจะเข้าใจในเบื้องต้น แยกแยะ รวมถึงสามารถวิเคราะห์ได้ว่า สถานะของสหภาพในปัจจุบันมีการเก็บ รวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลใดบ้าง นำไปสู่การจัดทำ นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) หรือคำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) และเอกสารแสดงความยินยอม (Consent) ซึ่งเป็นการเตรียมพร้อมเบื้องต้นที่สหภาพแรงงาน ‘ต้องทำ’ ก่อนการบังคับใช้กฎหมาย PDPA ในวันที่ 1 มิถุนายน นี้
PDPA การยกเว้นโดยไม่ต้องขอความยินยอมในบางกรณี
ในแง่มุมของ สหภาพแรงงาน ซึ่งเป็นนิติบุคคลที่มีกฎหมายกำกับดูแลเฉพาะ ขณะเดียวกันก็มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลด้วย ดังนั้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล อาจจะได้รับการยกเว้นโดยไม่ต้องขอความยินยอมในบางกรณี โดยกฎหมายระบุว่า
ห้ามไม่ให้เก็บข้อมูลส่วนบุคคล ที่เกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลใดๆ ที่กระทบต่อเจ้าของข้อมูลส่วนบุคคล โดยไม่ได้รับการยินยอม เว้นแต่
1.เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
2.เป็นการดำเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม
3.เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
4.เพื่อการใช้สิทธิเรียกร้องตามกฎหมาย
5.การปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์บางอย่าง เช่น การรักษาทางการแพทย์ การประเมินขีดความสามารถในการทำงาน ด้านสาธารณะสุข การคุ้มครองแรงงาน การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ
หน้าที่สหภาพแรงงานในฐานะ ‘ผู้ควบคุมข้อมูล’
ด้วยสถานะของสหภาพแรงงาน ที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล แม้จะเป็นการดำเนินการโดยชอบด้วยกฎหมาย แต่ก็มีหน้าที่ซึ่งบทบัญญัติไว้ในกฎหมาย PDPA เพื่อให้การดำเนินการมีขอบเขตที่ชัดเจน โปรงใส ปลอดภัย และตรวจสอบได้ อันประกอบด้วย
1. ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการละเมิด และต้องทบทวน มาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลง
2. กรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการเพื่อป้องกันมิให้นำไปใช้หรือเปิดเผยโดยมิชอบ
3. จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบ หรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด ระยะเวลาการเก็บรักษา หรือที่เกินความจำ
4. แจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สำนักงานโดยไม่ชักช้าภายใน 72ชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อ สิทธิและเสรีภาพของบุคคล
5. หากเป็นผู้ควบคุมข้อมูลที่อยู่ ‘นอกราชอาณาจักร’ ต้องมีการแต่งตั้งตัวแทนในราชอาณาจักร
ทั้งนี้ จากข้อสังเกต สหภาพแรงงานหลายๆ แห่งมีการเก็บ รวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลของสมาชิกจำนวนมาก ทั้งสมาชิกปัจจุบัน และสมาชิกที่พ้นสภาพไปแล้ว ประกอบกับมีการจัดเก็บข้อมูลอ่อนไหว (Sensitive Data) ในหลายๆ กรณี อาทิ ข้อมูลสุขภาพ ข้อมูลเชื้อชาติ ศาสนา ความพิการ หรือแม้แต่ข้อมูลอาชญากรรม ซึ่งข้อมูลเหล่านี้หากเกิดการนำไปใช้ผิดจากวัตถุประสงค์หลักของสหภาพแรงงาน หรือมีการส่งต่อข้อมูลส่วนบุคคลให้กับบุคคลที่สามโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ก็เข้าข่ายกระทำผิดกฎหมาย PDPA ในทันที
สหภาพแรงงาน ต้องแต่งตั้ง ‘DPO’ หรือไม่ ?
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) มีบทบาทสำคัญ คือ 1.การให้คำแนะนำ 2.ตรวจสอบการดำเนินงานเกี่ยวกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล 3.ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ 4.รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามกฎหมาย
ทั้งนี้จากคำถามในข้างต้น คือ สหภาพแรงงานวิสาหกิจ จะต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO หรือไม่ ซึ่งตามกฎหมายระบุคุณสมบัติไว้ดังนี้
– หน่วยงานรัฐ ส่วนราชการ รัฐวิสาหกิจและองค์การบริหารส่วนท้องถิ่น
– องค์กรที่ประกอบธุรกิจหลักเกี่ยวข้องกับการประมวลผลข้อมูลอ่อนไหว อาทิ โรงพญาบาล ประกัน ธุรกิจด้านการสื่อสาร หรือให้บริการประชาชน
– องค์กรที่มีการจัดเก็บข้อมูลต่อปีเป็นจำนวนมาก คือมีการประมวลผลข้อมูลส่วนบุคคลทั่วไป 5,0000 ราย หรือข้อมูลประเภทอ่อนไหว 5,000 ราย/ปี
ตลอดจนถึงมีการจัดเก็บ รวบรวม ใช้เปิดเผยหรือส่งต่อข้อมูลส่วนบุคคลอย่างต่อเนื่อง ก็อยู่ในข่ายนี้ ซึ่งกรณีของสหภาพแรงงานก็จัดอยู่ในกลุ่มนี้ด้วยเช่นกัน ดังนั้น อาจจะต้องพิจารณาแต่งตั้ง DPO เพื่อให้เป็นแนวปฏิบัติที่สอดคล้องตามกฎหมาย PDPA
แต่ถึงแม้ว่ากฎหมายไม่ได้บังคับว่าสหภาพจะต้องมีการแต่งตั้ง DPO แต่ด้วยโครงสร้างขององค์กรที่สั่งสมข้อมูลอย่างต่อเนื่อง ขณะเดียวกันก็ล้วนเป็นข้อมูลอ่อนไหวเยอะมากที่อาจนำไปสู่การฟ้องรองดำเนินคดีหากมีการเปิดเผย หรือละเมิดข้อมูลส่วนบุคคล
เรื่องนี้ สหภาพแรงงาน อาจจะพิจารณาแต่งตั้ง ‘เจ้าหน้าที่ประสานงานด้านข้อมูลส่วนบุคคล’ ที่อาจจะไม่ต้องมีคุณสมบัติเทียบเท่า DPO แต่ก็มีความรู้ ความเข้าใจ ตลอดจนการให้คำแนะนำและวางแนวทางการจัดการข้อมูลอย่างเหมาะสมและสอดคล้องกับกฎหมาย PDPA ซึ่งจะเป็นแนวทางรับมือกฎหมายใหม่นี้อย่างรอบคอบ
