แชร์

การเก็บข้อมูลเกี่ยวกับโควิด 19 ของพนักงานทำได้หรือไม่

อัพเดทล่าสุด: 24 ต.ค. 2024
30 ผู้เข้าชม

มาตรการบังคับให้บุคคลต้องแสดงข้อมูลการฉีดวัคซีนโควิด 19 หรือแสดงผลตรวจเชื้อโควิด 19 ก่อนเข้ามาในสถานที่ เป็นประเด็นถกเถียงในสังคมไทย รวมถึงในประเทศอื่นๆ มีการกล่าวอ้างถึงสิทธิส่วนบุคคล และกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ในสถานการณ์ที่การแพร่ระบาดของโควิด 19 มีแนวโน้มที่จะไม่หยุดยิ่งและมีการเกิดขึ้นของสายพันธุ์ใหม่ ๆ ตลอดเวลา มาตรการที่หลาย ๆ องค์กรนำมาใช้เพื่อป้องกันการแพร่ระกระจายและการระบาดของโควิด 19 คือการให้พนักงานขององค์กรหรือบุคคลที่ต้องเข้ามายังสถานที่แสดงผลการฉีดวัคซีนหรือแสดงผลตรวจเชื้อโควิด 19 ก่อนเข้ามาในสถานที่ 

การดำเนินการดังกล่าวของเจ้าของอาคารสถานที่หรือนายจ้างก่อให้เกิดประเด็นเกี่ยวกับเรื่องการประมวลผลข้อมูลเกี่ยวกับสุขภาพของบุคคล ซึ่งถือว่าเป็นข้อมูลอ่อนไหว ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลของหลาย ๆ ประเทศมุ่งให้การคุ้มครองเป็นพิเศษ
วันนี้ผู้เขียนจึงอยากนำกรณีศึกษาเกี่ยวกับมาตรการบังคับให้บุคคลต้องแสดงข้อมูลการฉีดวัคซีนโควิด 19 ข้อแนะนำของ Information Commissioner Office (ICO) ซึ่งเป็นหน่วยงานบังคับใช้ UK GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอังกฤษมาให้ท่านผู้อ่านพิจารณาในประเด็นดังนี้

1.UK GDPR ใช้บังคับกับการเก็บรวบรวมข้อมูลของบุคคลที่เกี่ยวกับโควิด 19 หรือไม่
ICO ให้ความเห็นว่า หากเป็นเพียงการตรวจผลด้วยการดูหรืออ่านเอกสาร โดยที่ไม่มีการเก็บสำเนาผลตรวจกรณีดังกล่าวไม่ถือว่าเป็น การประมวลผล ตาม UK GDPR

แต่หากมีการเก็บรวบรวมผลการตรวจโควิด 19 ไว้ไม่ว่าจะโดยการใช้เครื่องสแกน หรือการเก็บภาพถ่ายดิจิทัล หรือสำเนาผลตรวจ กรณีนี้จะถือว่าเป็นการประมวลผลข้อมูลส่วนบุคคล องค์กรที่เก็บรวบรวมข้อมูลสุขภาพดังกล่าวจึงมีหน้าที่ต้องปฏิบัติตามเงื่อนไขต่าง ๆ อันเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตาม UK GDPR

2.ฐานทางกฎหมายในการประมวลผลข้อมูลสุขภาพเกี่ยวกับโควิด 19
ในกรณีที่เป็นหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมาย (public task) การเก็บรวบรวมข้อมูลดังกล่าวย่อมสามารถกระทำได้หากเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้องค์กร หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่องค์กร
แต่หากไม่ใช่องค์กรที่เป็น ผู้ถือกฎหมาย และมีอำนาจโดยตรง ไม่ว่าจะเป็นองค์กรของรัฐหรือเอกชนก็ตาม ICO เห็นว่าฐานในการประมวลผลข้อมูลข้อมูลสุขภาพเกี่ยวกับโควิด 19 ฐาน เพื่อประโยชน์โดยชอบด้วยกฎหมาย (legitimate interests) น่าจะเป็นฐานเบื้องต้นในการประมวลผลข้อมูลส่วนบุคคลที่เหมาะสมที่สุด

แต่องค์กรที่ใช้ฐานดังกล่าวในการเก็บข้อมูลสุขภาพที่เกี่ยวกับโควิด 19 ย่อมมีหน้าที่ในการจัดทำ Legitimate Interest Assessment เพื่อใช้เป็นหลักฐานแสดงให้เห็นถึงเหตุผลและความจำเป็นในการเก็บข้อมูลสุขภาพด้วย

หรือหากมีกฎหมายกำหนดให้เก็บข้อมูลสุขภาพดังกล่าว องค์กรก็อาจใช้ฐานการปฏิบัติตามกฎหมายเพื่อเก็บรวบรวมข้อมูลได้ (legal obligation)

อย่างไรก็ตาม เนื่องจากข้อมูลสุขภาพเกี่ยวกับโควิด 19 ถือว่าเป็น special category data ที่ UK GDPR ยังกำหนดเงื่อนไขการประมวลผลข้อมูลไว้เพิ่มเติมด้วย ซึ่งองค์กรอาจใช้ฐานทางกฎหมายเพิ่มเติมได้ 2 กรณี กล่าวคือ หากเป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ
(1)การประเมินความสามารถในการทำงานของลูกจ้าง (employment condition) หรือ
(2)ประโยชน์สาธารณะด้านการสาธารณสุข (public health condition)

แม้ว่าการเก็บรวบรวมข้อมูลสุขภาพจะเข้าเงื่อนไขข้อใดข้อหนึ่งข้างต้นแล้วก็ตาม องค์กรที่ประมวลผลข้อมูลสุขภาพยังต้องสามารถแสดงหรือพิสูจน์ได้ด้วยว่า การเก็บรวบรวมข้อมูลสุขภาพนั้น มีความจำเป็น ซึ่งก็ไม่ได้จำเป็นต้องพิสูจน์ถึงกับว่าเป็นจำเป็นอย่างยิ่งยวด แต่ก็ต้องพิสูจน์ได้ว่าไม่สามารถบรรลุวัตถุประสงค์นั้นได้ด้วยวิธีการที่ก้าวล่วงความเป็นส่วนตัวของบุคคลได้น้อยกว่านี้

ICO ยังให้คำแนะนำอีกว่า ในกรณีที่องค์กรใช้ฐาน ประโยชน์สาธารณะด้านการสาธารณสุข การเก็บรวบรวมนั้นต้องกระทำโดยผู้ประกอบวิชาชีพด้านการสาธารณสุขเท่านั้น หรือต้องมีหลักประกันเกี่ยวกับการรักษาความลับของข้อมูลสุขภาพว่าจะถูกเปิดเผยไปยังบุคคลอื่นภายใต้เงื่อนไขที่จำกัดเท่านั้น

ส่วน ความยินยอม (consent) เป็นฐานการประมวลผลที่ไม่สอดคล้องกับบริบทของ นายจ้าง กับ ลูกจ้าง เนื่องจากสถานะความไม่เท่าเทียมกันในการต่อรอง เช่นเดียวกับการที่องค์กรใดมีหน้าที่ตามกฎหมายในการตรวจผลสุขภาพ หรือการแสดงผลตรวจเป็นเงื่อนไขในการเข้าไปยังอาคารสถานที่ ความยินยอม ก็ไม่สามารถใช้อ้างเป็นฐานในการประมวลผลข้อมูลสุขภาพเช่นเดียวกัน เนื่องจากเจ้าของข้อมูลส่วนบุคคลไม่อยู่ในสถานะที่อาจให้ความยินยอมโดยอิสระ (freely given)

3.หน้าที่อื่น ๆ ต่อการประมวลผลข้อมูลส่วนบุคคล
นอกจากองค์กรต้องมีฐานทางกฎหมายในการประมวลผลข้อมูลสุขภาพแล้ว องค์กรยังมีหน้าที่อื่น ๆ ตาม UK GDPR ที่ต้องปฏิบัติอีกด้วย อาทิ 
(1) ต้องมีความโปร่งใสในการดำเนินการ ดังนั้นจึงต้องการแจ้งเงื่อนไขและเหตุผลของการเก็บรวบรวมข้อมูลเกี่ยวกับสุขภาพด้วย (transparency, privacy notice)
(2) ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ (data security)
(3) ข้อมูลนั้นต้องถูกจัดเก็บไว้ภายใต้ระยะเวลาที่จำกัดตามวัตถุประสงค์และความจำเป็น (storage limitation) และไม่ถูกใช้โดยไม่เป็นไปตามความคาดหวังโดยสุจริตของเจ้าของข้อมูลส่วนบุคคล
(4) ข้อมูลส่วนบุคคลที่เรียกเก็บ ตรวจสอบ หรือประมวลผลนั้น ต้องใช้ให้น้อยที่สุดและเพียงเท่าที่จำเป็น (data minimisation)
(5) ต้องตรวจสอบและทบทวนอยู่เสมอว่ามีความจำเป็นต้องเก็บรวบรวมข้อมูลสุขภาพเกี่ยวกับโควิด 19 หรือไม่

กรณีข้างต้นเป็นข้อแนะนำของ ICO ตาม UK GDPR ซึ่งมีหลักการและบทบัญญัติทำนองเดียวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ตราขึ้นมาเพื่อคุ้มครองสิทธิในความเป็นส่วนตัวของบุคคล โดยเฉพาะการคุ้มครองบุคคลจากการถูกเลือกปฏิบัติอย่างไม่เป็นธรรมจากการใช้ข้อมูลอ่อนไหว อาทิ ข้อมูลเกี่ยวกับสุขภาพของบุคคล เป็นต้น

นอกจากนี้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ยังเป็นกฎหมายที่บอกทุกคนว่า ข้อมูลส่วนบุคคล โอนได้ เปิดเผยได้ และเอาไปใช้ให้เกิดประโยชน์ได้ แม้ว่าจะเป็นข้อมูลส่วนบุคคลอ่อนไหวก็ตาม แต่องค์กรต่าง ๆ ที่ประมวลผลข้อมูลส่วนบุคคลอ่อนไหวมีหน้าที่ต่อการประมวลผลตามที่กฎหมายกำหนดอย่างเคร่งครัด

กล่าวง่าย ๆ คือต้องมี Controls/Safeguards เพื่อคุ้มครองสิทธิในความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคลด้วย.

credit: https://www.bangkokbiznews.com/columnist/982468

อ้างอิง UK ICO, Data protection and coronavirus information hub, available at https://ico.org.uk/global/data-protection-and-coronavirus-information-hub/


คอลัมน์ : Tech, Law and Security


ศุภวัชร์ มาลานนท์
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี


ระวีวรรณ ขันติวิริยะพานิช
DPOaaS LTD  


บทความที่เกี่ยวข้อง
PDPA สื่อมวลชนและการขอใช้สิทธิลบเนื้อหาข่าว
สคส. เผยแพร่ความเห็นของคณะอนุกรรมการเฉพาะกิจ ตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
24 ต.ค. 2024
การโพสต์หรือแชร์รูปภาพ ไม่มีความรับผิดทางอาญาตาม PDPA
การโพสต์ข้อมูลส่วนบุคคล อย่างภาพใบหย่า ข้อมูลประวัติอาชญากรรม ภาพถ่ายใบหน้าลูกหนี้ แม้จะเข้าข่ายข้อยกเว้นการใช้บังคับกฎหมาย PDPA
24 ต.ค. 2024
กรรมการบริษัท ก็ต้องรู้จักปัญญาประดิษฐ์ AI
สถาบันกรรมการบริษัทแห่งออสเตรเลีย (Australian Institute of Company Directors -AICD) ได้ร่วมมือกับสถาบัน Human Technology Institute (HTI)
24 ต.ค. 2024
เว็บไซต์นี้มีการใช้งานคุกกี้ เพื่อเพิ่มประสิทธิภาพและประสบการณ์ที่ดีในการใช้งานเว็บไซต์ของท่าน ท่านสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ ประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) และ นโยบายคุกกี้
เปรียบเทียบสินค้า
0/4
ลบทั้งหมด
เปรียบเทียบ
Powered By MakeWebEasy Logo MakeWebEasy