หน้าหลัก

ข้อหารือที่ 14/2567 — การทางพิเศษแห่งประเทศไทย (ข้อมูลชีวภาพเพื่อบันทึกเวลาทำงาน)

10 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 มาตรา 19 มาตรา 20 มาตรา 22 มาตรา 23 มาตรา 26 วรรคหนึ่ง (5) (ค) และ (จ) และ วรรคสอง มาตรา 37 (1) มาตรา 39 มาตรา 73 และ มาตรา 95
  2. พระราชบัญญัติการทางพิเศษแห่งประเทศไทย พ.ศ. 2550 มาตรา 8
  3. พระราชบัญญัติคุ้มครองแรงงาน พ.ศ. 2541
  4. พระราชบัญญัติแรงงานรัฐวิสาหกิจสัมพันธ์ พ.ศ. 2543
  5. ประกาศคณะกรรมการแรงงานรัฐวิสาหกิจสัมพันธ์ เรื่อง มาตรฐานขั้นต่ำของสภาพการจ้างใน รัฐวิสาหกิจ ลงวันที่ 31 พฤษภาคม พ.ศ. 2549 และที่แก้ไขเพิ่มเติม
  6. ระเบียบวิธีปฏิบัติงานของ กทพ. ว่าด้วย การบันทึกเวลาทำงานด้วยระบบอิเล็กทรอนิกส์ พ.ศ. 2564 ข้อ 4 และข้อ 12
  7. ระเบียบคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การ พิจารณา และระยะเวลาในการพิจารณาคำร้องเรียน พ.ศ. 2565
  8. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของ ผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

ข้อหารือ

การทางพิเศษแห่งประเทศไทย (กทพ.) ขอหารือกรณีการจัดเก็บข้อมูลส่วนบุคคลเพื่อเป็นข้อมูล พื้นฐานสำหรับการบันทึกเวลาทำงานด้วยระบบอิเล็กทรอนิกส์ที่นำมาใช้แทนการลงเวลาในบัญชีลงเวลา โดยมีวัตถุประสงค์เพื่อให้การบริหารบุคคลเป็นไปด้วยความเรียบร้อย มีข้อมูลที่ถูกต้อง ครบถ้วน ตรวจสอบได้ และน่าเชื่อถือ ซึ่งได้เริ่มดำเนินการจัดเก็บข้อมูลลายนิ้วมือพนักงานและลูกจ้างทุกตำแหน่งที่เป็นผู้ปฏิบัติงาน ของ กทพ. (ยกเว้นพนักงานตำแหน่งหัวหน้าพนักงานเก็บค่าผ่านทางพิเศษ พนักงานควบคุมเก็บค่าผ่านทางพิเศษ และพนักงานเก็บค่าผ่านทางพิเศษ ซึ่งเป็นตำแหน่งที่ปฏิบัติงานเป็นกะ) ตั้งแต่ปี พ.ศ. 2560 เป็นต้นมา ตามบันทึกข้อความ กทพ. ที่ ฝบท/ว 2448 ลงวันที่ 21 พฤศจิกายน 2560 เรื่อง การจัดเก็บข้อมูลลายนิ้วมือ พนักงานและลูกจ้างที่ปฏิบัติงานอาคารสำนักงานและศูนย์ควบคุมทางพิเศษ และได้มีการจัดเก็บข้อมูลใบหน้า และลายนิ้วมือของพนักงานและลูกจ้างแทนข้อมูลลายนิ้วมือที่เคยจัดเก็บไปแล้วซึ่งไม่สามารถใช้งานกับ เครื่องบันทึกเวลาทำงานระบบใหม่ได้ ตามบันทึกข้อความ กทพ. ด่วนที่สุด ที่ ฝบท/ว 2824 ลงวันที่ 27 ตุลาคม 2563 เรื่อง การจัดเก็บข้อมูลใบหน้าและลายนิ้วมือของพนักงานและลูกจ้างเพื่อใช้สำหรับลงเวลาปฏิบัติงานด้วย เครื่องบันทึกเวลา โดย กทพ. ได้แจ้งให้พนักงานและลูกจ้างที่ยังไม่เข้ารับการจัดเก็บข้อมูลมาจัดเก็บข้อมูลเป็นระยะ ๆ ต่อมา กทพ. ได้ออกระเบียบวิธีปฏิบัติงานของ กทพ. ว่าด้วย การบันทึกเวลาทำงานด้วยระบบ อิเล็กทรอนิกส์ พ.ศ. 2564 ประกาศใช้ตั้งแต่วันที่ 9 มิถุนายน พ.ศ. 2564 เป็นต้นไป ซึ่งข้อ 4 ของระเบียบฯ ได้ กำหนดให้ผู้ปฏิบัติงานของ กทพ. แจ้งข้อมูลพื้นฐานสำหรับการบันทึกเวลาทำงานด้วยระบบอิเล็กทรอนิกส์ เช่น ลายพิมพ์นิ้วมือ ข้อมูลใบหน้า เป็นต้น เพื่อให้ฝ่ายบริหารทั่วไปจัดเก็บเป็นฐานข้อมูลของบุคคล โดยมีวัตถุประสงค์เพื่อใช้เป็นข้อมูลในการตรวจสอบเวลาเข้าออกงาน การลา การขาดงาน หรือการละทิ้งหน้าที่ สำหรับดำเนินการจ่ายเงินเดือนหรือค่าตอบแทนอื่น รวมทั้งการประเมินการเลื่อนขั้นเงินเดือนประจำปี และได้ออก ประกาศ กทพ. เรื่อง การใช้ระบบบันทึกเวลาทำงานแทนการใช้บัญชีลงเวลาทำงาน ลงวันที่ 25 พฤศจิกายน พ.ศ. 2565 กำหนดให้พนักงานระดับ 1 - 6 หัวหน้าแผนก พนักงานระดับ 7 - 8 ที่ประจำกองขึ้นไปและลูกจ้าง ที่ทำงานในสำนักงาน (Back Office) เริ่มบันทึกเวลาทำงานในระบบบันทึกเวลาทำงานแทนการบันทึกเวลาทำงาน ในบัญชีลงเวลาทำงานตั้งแต่วันที่ 1 กุมภาพันธ์ 2566 เป็นต้นไป รวมทั้งได้มีบันทึกแจ้งให้ผู้ที่ยังไม่ได้เข้ารับ การจัดเก็บข้อมูลใบหน้าและลายนิ้วมือเข้ารับการจัดเก็บข้อมูลให้ครบถ้วน เพื่อให้สามารถบันทึกเวลาทำงานด้วย ระบบอิเล็กทรอนิกส์ได้ตามระเบียบฯ ซึ่งตั้งแต่ปี พ.ศ. 2560 ถึงปัจจุบัน ปรากฏว่ามีผู้ปฏิบัติงานของ กทพ. ที่เข้ารับการจัดเก็บข้อมูลใบหน้าและลายพิมพ์นิ้วมือแล้ว จำนวน 3,314 คน แต่ยังมีพนักงานจำนวน 1 คน ที่ไม่ยินยอมให้จัดเก็บข้อมูลดังกล่าว เนื่องจากมีความกังวลว่าข้อมูลที่ถูกจัดเก็บอาจรั่วไหลและทำให้เกิด ความเสียหายแก่พนักงานรายนั้น รวมทั้งได้อ้างถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 ซึ่งห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลในส่วนที่เป็นข้อมูลชีวภาพ เช่น ข้อมูลภาพใบหน้า และข้อมูลลายพิมพ์นิ้วมือ โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ซึ่งตามข้อบังคับ กทพ. ว่าด้วย พนักงาน พ.ศ. 2560 และที่แก้ไขเพิ่มเติม ข้อ 69 กำหนดให้พนักงานต้องรักษาวินัยตามที่บัญญัติ ไว้โดยเคร่งครัด ผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามถือว่าผู้นั้นกระทำผิดวินัย จะต้องได้รับโทษตามที่กำหนดไว้ ในข้อบังคับนี้ และข้อ 71 (2) และ (4) กำหนดวินัยของพนักงานไว้ว่า ต้องไม่ขัดขืนหรือหลีกเลี่ยงและปฏิบัติ ตามคำสั่งของผู้บังคับบัญชา ซึ่งสั่งในหน้าที่โดยชอบด้วยระเบียบและข้อบังคับของ กทพ. และต้องสนับสนุน นโยบายของรัฐบาล ปฏิบัติตามนโยบาย ระเบียบและข้อบังคับของ กทพ. ไว้ด้วย โดยปัจจุบัน กทพ. ได้จัดซื้อ และติดตั้งเครื่องบันทึกเวลาทำงานซึ่งใช้ข้อมูลชีวภาพ (ข้อมูลใบหน้าและลายพิมพ์นิ้วมือ) เพื่อบันทึกเวลาทำงาน ประจำอาคารต่าง ๆ จำนวน 84 เครื่อง รวมเป็นจำนวนเงินทั้งสิ้น 3,149,010 บาท โดยจัดให้มีมาตรการ คุ้มครองข้อมูลส่วนบุคคล ด้วยการกำหนดสิทธิผู้เข้าถึงข้อมูลชีวภาพดังกล่าวเฉพาะพนักงานแผนกข้อมูลระบบ งานบุคคล กองบริหารทรัพยากรบุคคล ฝ่ายบริหารทั่วไป และมีการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ ที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013 แล้ว รวมทั้งได้จัดทำประกาศ กทพ. เรื่อง นโยบายคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2564 เมื่อ กทพ. ได้พิจารณาอำนาจหน้าที่ของผู้ว่าการตามมาตรา 26 (2) แห่งพระราชบัญญัติ การทางพิเศษแห่งประเทศไทย พ.ศ. 2550 รวมถึงข้อ 4 ของระเบียบวิธีปฏิบัติงานของ กทพ. ว่าด้วย การบันทึก เวลาทำงานด้วยระบบอิเล็กทรอนิกส์ พ.ศ. 2564 และข้อ 69 ข้อ 71 (2) (4) ของข้อบังคับ กทพ. ว่าด้วย พนักงาน พ.ศ. 2560 และที่แก้ไขเพิ่มเติม ประกอบกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 จึงขอหารือเกี่ยวกับการจัดเก็บข้อมูลส่วนบุคคล (ข้อมูลชีวภาพ) เพื่อเป็นข้อมูลพื้นฐานสำหรับ การบันทึกเวลาทำงานด้วยระบบอิเล็กทรอนิกส์ดังกล่าวข้างต้นดังต่อไปนี้

  1. กทพ. สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลชีวภาพดังกล่าวโดยอาศัยข้อยกเว้น ตามที่กฎหมายอื่นบัญญัติให้กระทำได้ตามความใน มาตรา 19 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 โดยไม่จำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้หรือไม่
  2. กรณีที่ต้องขอความยินยอม หากเจ้าของข้อมูลส่วนบุคคลไม่ให้ความยินยอม กทพ. สามารถ ดำเนินการอย่างไรเพื่อให้พนักงานและลูกจ้างบันทึกเวลาทำงานด้วยระบบอิเล็กทรอนิกส์เป็นมาตรฐานเดียวกันทั้งองค์กร

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พิจารณาแล้วมีความเห็น ดังนี้ ประเด็นตามที่หารือข้อ 1 เห็นว่า กทพ. เป็นหน่วยงานที่จัดตั้งขึ้นตามพระราชบัญญัติการทาง พิเศษแห่งประเทศไทย พ.ศ. 2550 และมีฐานะเป็นนิติบุคคลตามมาตรา 8 แห่งพระราชบัญญัติดังกล่าว จึงเป็นผู้ควบคุมข้อมูลส่วนบุคคลตาม มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดย กทพ. ได้กำหนดให้มี การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลภาพจำลองใบหน้า และข้อมูลจำลองลายนิ้วมือ ของผู้ปฏิบัติงานของ กทพ. ด้วยระบบอิเล็กทรอนิกส์ ในการบันทึกเวลาทำงานตามที่กล่าวข้างต้น รวมทั้ง การบริหารจัดการภายในองค์กรที่เกี่ยวข้อง โดยมีการใช้เทคนิคหรือเทคโนโลยีที่เกี่ยวข้องกับการนำลักษณะเด่น ทางกายภาพหรือทางพฤติกรรมของผู้ปฏิบัติงานของ กทพ. มาใช้ทำให้สามารถยืนยันตัวตนของบุคคลนั้น ที่ไม่เหมือนกับบุคคลอื่นได้ สำหรับการบันทึกเวลาทำงาน โดยกำหนดให้ผู้ปฏิบัติงานของ กทพ. แจ้งข้อมูลพื้นฐาน ซึ่งรวมถึงข้อมูลภาพจำลองใบหน้า และข้อมูลจำลองลายนิ้วมือของตนให้ฝ่ายบริหารทั่วไปของ กทพ. จัดเก็บ เป็นฐานข้อมูลของบุคคล และนำมาใช้เพื่อให้สามารถยืนยันตัวตนของบุคคล ตามนัยข้อ 4 ของระเบียบ วิธีปฏิบัติงานของ กทพ. ว่าด้วย การบันทึกเวลาทำงานด้วยระบบอิเล็กทรอนิกส์ พ.ศ. 2564 การเก็บรวบรวม ข้อมูลส่วนบุคคลดังกล่าวจึงเป็นการเก็บรวบรวมข้อมูลชีวภาพ (biometric data) ตามนัย มาตรา 26 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (หรือที่สำนักงานราชบัณฑิตยสภาบัญญัติว่า "ข้อมูลชีวมาตร" หรือ "ข้อมูลชีวมิติ") ดังนั้น การเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลชีวภาพ ดังกล่าวต้องเป็นไปตาม มาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งหาก ไม่เข้าข้อยกเว้นตาม มาตรา 26 (1) ถึง (5) จะต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เมื่อพิจารณาวัตถุประสงค์ในการเก็บรวบรวมข้อมูลชีวภาพของ กทพ. ตามระเบียบวิธีปฏิบัติงาน ของ กทพ. ว่าด้วย การบันทึกเวลาทำงานด้วยระบบอิเล็กทรอนิกส์ พ.ศ. 2564 ซึ่งเป็นไปเพื่อวัตถุประสงค์ ในการบันทึกเวลาทำงาน และใช้เป็นข้อมูลในการตรวจสอบเวลาเข้าออกงาน การลา การขาดงาน หรือการละทิ้ง หน้าที่ สำหรับดำเนินการจ่ายเงินเดือนหรือค่าตอบแทนอื่น รวมทั้งการประเมินการเลื่อนขั้นเงินเดือนประจำปี และการบริหารจัดการภายในองค์กรที่เกี่ยวข้อง คณะอนุกรรมการตอบข้อหารือฯ เห็นว่า การพิจารณาว่า การเก็บรวบรวมข้อมูลชีวภาพดังกล่าว เป็นกรณีที่เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้ บรรลุวัตถุประสงค์เกี่ยวกับการคุ้มครองแรงงาน ฯลฯ ซึ่งได้รับยกเว้นไม่ต้องขอความยินยอมโดยชัดแจ้ง จากเจ้าของข้อมูลส่วนบุคคล ตาม มาตรา 26 (5) (ค) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือไม่ จะต้องพิจารณาจากองค์ประกอบดังนี้ (1) ผู้ควบคุมข้อมูลส่วนบุคคลมีความจำเป็นต้องเก็บรวบรวมข้อมูล ส่วนบุคคลดังกล่าวเพื่อการปฏิบัติตามกฎหมายฉบับใดฉบับหนึ่งหรือหลายฉบับ (2) การเก็บรวบรวมข้อมูล ส่วนบุคคลจะต้องเป็นไปเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการคุ้มครองแรงงาน (3) การเก็บรวบรวมข้อมูล ส่วนบุคคลนั้นเป็นสิ่งจำเป็นในการปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของ ข้อมูลส่วนบุคคล และ (4) เมื่อพิจารณาแล้วว่าเข้าองค์ประกอบข้างต้น ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลดังกล่าว ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐาน และประโยชน์ของเจ้าของข้อมูลส่วนบุคคลด้วย ในการดำเนินงานของนายจ้าง นายจ้างย่อมมีหน้าที่ต้องปฏิบัติตามกฎหมายแรงงานที่เกี่ยวข้อง เช่น กฎหมายว่าด้วยการคุ้มครองแรงงานและกฎหมายว่าด้วยแรงงานสัมพันธ์ หรือกฎหมายว่าด้วยแรงงาน รัฐวิสาหกิจสัมพันธ์ในกรณีของรัฐวิสาหกิจ โดยพระราชบัญญัติแรงงานรัฐวิสาหกิจสัมพันธ์ พ.ศ. 2543 และประกาศคณะกรรมการแรงงานรัฐวิสาหกิจสัมพันธ์ เรื่อง มาตรฐานขั้นต่ำของสภาพการจ้างในรัฐวิสาหกิจ ลงวันที่ 31 พฤษภาคม พ.ศ. 2549 และที่แก้ไขเพิ่มเติม ได้กำหนดมาตรการทางกฎหมายในการคุ้มครองสิทธิ และประโยชน์ต่าง ๆ ของลูกจ้างหรือพนักงานรัฐวิสาหกิจไว้ในทำนองเดียวกับพระราชบัญญัติคุ้มครองแรงงาน พ.ศ. 2541 และที่แก้ไขเพิ่มเติม ดังนั้น นายจ้างที่เป็นเอกชนหรือรัฐวิสาหกิจจึงมีหน้าที่ในการดูแล และคุ้มครองสิทธิของลูกจ้างในการได้รับเงินเดือน ค่าจ้าง และเงินผลประโยชน์อื่นเนื่องในการจ้าง ที่ลูกจ้างพึง ได้รับตามกฎหมาย รวมทั้งกำกับดูแลเวลาทำงานและชั่วโมงทำงานให้เป็นไปตามกฎหมายที่เกี่ยวข้อง การเก็บรวบรวม ข้อมูลส่วนบุคคลของ กทพ. ในฐานะนายจ้าง ตามวัตถุประสงค์ที่กล่าวมาข้างต้น จึงถือเป็นการเก็บรวบรวมข้อมูล ส่วนบุคคลที่เป็นไปเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการคุ้มครองแรงงาน ซึ่ง กทพ. จะต้องปฏิบัติให้เป็นไปตาม กฎหมายว่าด้วยการคุ้มครองแรงงาน กฎหมายว่าด้วยแรงงานรัฐวิสาหกิจสัมพันธ์ และ/หรือกฎหมายอื่นที่เกี่ยวข้อง แต่มีประเด็นที่ กทพ. จะต้องพิจารณาด้วยว่า การเก็บรวบรวมข้อมูลชีวภาพดังกล่าวเป็นสิ่งจำเป็นในการปฏิบัติ ตามสิทธิหรือหน้าที่ของ กทพ. หรือเจ้าของข้อมูลส่วนบุคคลหรือไม่ เพียงใด ในกรณีที่ กทพ. เห็นว่า การเก็บรวบรวม ข้อมูลชีวภาพสำหรับการบันทึกเวลาทำงานเป็นสิ่งจำเป็นในการปฏิบัติตามสิทธิหรือหน้าที่ของ กทพ. หรือผู้ปฏิบัติงานของ กทพ. เกี่ยวกับการคุ้มครองแรงงานตามกฎหมาย เช่น เพื่อป้องกันปัญหาการทุจริตในการ บันทึกเวลาทำงานแทนกัน โดยได้พิจารณาจากข้อเท็จจริงแล้วว่า หากไม่ดำเนินการเช่นนั้น กทพ. จะไม่สามารถ ปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการคุ้มครองแรงงานได้ กทพ. ก็อาจยกกรณีดังกล่าว เป็นข้อยกเว้นการได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ตาม มาตรา 26 (5) (ค) ได้ แต่ กทพ. จะต้องจัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลด้วย ในกรณีที่ กทพ. เห็นว่า การเก็บรวบรวมข้อมูลชีวภาพสำหรับการบันทึกเวลาทำงาน ไม่ใช่สิ่งจำเป็นในการปฏิบัติตามสิทธิหรือหน้าที่ของ กทพ. หรือเจ้าของข้อมูลส่วนบุคคล ตาม มาตรา 26 (5) (ค) เช่น ข้อเท็จจริงยังไม่ชัดเจนว่ามีปัญหาการทุจริตในการบันทึกเวลาทำงานของผู้ปฏิบัติงานของ กทพ. หรือยังไม่แน่ชัดว่าการเก็บรวบรวมข้อมูลชีวภาพจะช่วยแก้ไขปัญหาดังกล่าว หรือยังมีมาตรการอื่นที่ไม่ต้องใช้ ข้อมูลชีวภาพที่อาจแก้ปัญหาได้ผล ซึ่ง กทพ. ยังไม่ได้พิจารณาดำเนินการ ทำให้การเก็บรวบรวมข้อมูลชีวภาพ ของผู้ปฏิบัติงานของ กทพ. ดังกล่าว ไม่ได้รับยกเว้นการขอความยินยอมโดยชัดแจ้ง กทพ. ก็อาจพิจารณา ขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลตามนัย มาตรา 19 ประกอบ มาตรา 26 วรรคหนึ่ง โดยการขอความยินยอมจะต้องเป็นไปตาม มาตรา 19 และ มาตรา 20 แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย สำหรับประเด็นตามข้อหารือที่ 2 เห็นว่า ในกรณีที่ กทพ. พิจารณาแล้ว เห็นว่า การเก็บรวบรวม ข้อมูลชีวภาพเพื่อวัตถุประสงค์ในการบันทึกเวลาทำงาน ไม่ได้รับยกเว้นการขอความยินยอมโดยชัดแจ้ง จากผู้ปฏิบัติงานของ กทพ. ตาม มาตรา 26 วรรคหนึ่ง แต่ผู้ปฏิบัติงานของ กทพ. ไม่ให้ความยินยอมในการเก็บ รวบรวมข้อมูลชีวภาพดังกล่าว กทพ. อาจต้องพิจารณาต่อไปว่า การเก็บรวบรวมข้อมูลชีวภาพ เป็นกรณีที่มี ความจำเป็นหรือเกี่ยวข้องสำหรับการบันทึกเวลาทำงานและการดำเนินการที่เกี่ยวข้องหรือไม่ เพียงใด โดย มาตรา 19 วรรคสี่ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บัญญัติว่า "ในการขอความ ยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระ ของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็น หรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ" ซึ่งเป็นการกำหนดหลักความเป็นอิสระ ในการให้ความยินยอม โดยกำหนดว่า ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ทั้งนี้ เพื่อป้องกันกรณีการบังคับให้เจ้าของข้อมูลส่วนบุคคลต้องให้ความยินยอมเป็นเงื่อนไขในการเข้าทำสัญญา หรือการให้บริการใด ๆ ที่ไม่มีความจำเป็นต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือไม่มี ความเกี่ยวข้องกัน อย่างไรก็ตาม ในกรณีที่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นกรณีที่ต้อง ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล และมีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญา ซึ่งรวมถึงการให้บริการใด ผู้ควบคุมข้อมูลส่วนบุคคลก็ย่อมสามารถกำหนดเงื่อนไขในการให้ความยินยอม เพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว ในการเข้าทำสัญญาหรือการให้บริการนั้นได้ ซึ่งเป็นไปตาม มาตรา 19 วรรคสี่ แต่จะต้องเก็บรวบรวมเท่าที่จำเป็นตามนัย มาตรา 22 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนั้น ในการบันทึกเวลาทำงานของพนักงานและลูกจ้างและการดำเนินการที่เกี่ยวข้อง ซึ่งเป็นการดำเนินการที่เกี่ยวกับสัญญาจ้างพนักงานและลูกจ้าง หาก กทพ. พิจารณาแล้วเห็นว่าการเก็บรวบรวม ข้อมูลชีวภาพมีความจำเป็นหรือเกี่ยวข้องต่อการดำเนินการตามวัตถุประสงค์ดังกล่าวตามสัญญาจ้าง และ กทพ. จะไม่สามารถบรรลุวัตถุประสงค์ดังกล่าวได้หากไม่ทำการเก็บรวบรวมข้อมูลชีวภาพ กทพ. ก็อาจ พิจารณากำหนดเงื่อนไขในการปฏิบัติงานและการดำเนินการด้านการบริหารงานบุคคลของพนักงานและลูกจ้าง ตามสัญญาจ้างว่า จะต้องให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลชีวภาพดังกล่าว โดยแจ้งความจำเป็น ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว เพื่อวัตถุประสงค์ในการบันทึกเวลาทำงาน การตรวจสอบเวลาเข้าออกงาน การลา การขาดงาน หรือการละทิ้งหน้าที่ รวมทั้งเพื่อการดำเนินการจ่ายเงินเดือน หรือค่าตอบแทนอื่น และการประเมินการเลื่อนขั้นเงินเดือนประจำปีของพนักงานและลูกจ้าง ซึ่งเป็นไป ตาม มาตรา 19 วรรคสี่ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ ทั้งนี้ กทพ. จะต้องแจ้ง ผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล หรือการถอนความยินยอม ให้เจ้าของข้อมูลส่วนบุคคลทราบ ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลด้วย ตามนัย มาตรา 23 (2) และ มาตรา 19 วรรคหก แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่หาก กทพ. พิจารณาแล้วเห็นว่า การเก็บรวบรวมข้อมูลชีวภาพนั้นไม่มีความจำเป็น หรือเกี่ยวข้องต่อการดำเนินการตามวัตถุประสงค์ดังกล่าวตามสัญญาจ้างตาม มาตรา 19 วรรคสี่ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กทพ. จะต้องจัดให้มีวิธีการอื่นในการบันทึกเวลา ทำงานและการดำเนินการที่เกี่ยวข้อง สำหรับพนักงานหรือลูกจ้างที่ไม่ให้ความยินยอมหรือถอนความยินยอม ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลชีวภาพดังกล่าวด้วย โดยอาจกำหนดในลักษณะเดียวกับที่กำหนดไว้ ในข้อ 12 ของระเบียบวิธีปฏิบัติงานของ กทพ. ว่าด้วย การบันทึกเวลาทำงานด้วยระบบอิเล็กทรอนิกส์ พ.ศ. 2564 ที่กำหนดให้ผู้ปฏิบัติงานลงลายมือชื่อมาทำงานและลงลายมือชื่อออกจากการทำงานในบัญชีลงเวลาทำงาน ในกรณีที่ผู้ปฏิบัติงานมีความผิดปกติทางร่างกายหรือระบบบันทึกเวลาทำงานขัดข้องจนไม่สามารถบันทึกเวลาได้ ทั้งนี้ ในการขอความยินยอมจากพนักงานและลูกจ้าง กทพ. ในฐานะนายจ้าง ควรใช้ความระมัดระวังเพื่อไม่ให้ขัด กับหลักความเป็นอิสระในการให้ความยินยอมของพนักงานและลูกจ้างตาม มาตรา 19 วรรคสี่ด้วย อย่างไรก็ตาม คณะอนุกรรมการตอบข้อหารือฯ เห็นว่า ในกรณีที่ผู้ปฏิบัติงานของ กทพ. ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลไม่เห็นด้วยกับการดำเนินการของ กทพ. ในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลชีวภาพตามวัตถุประสงค์ดังกล่าว หรือเกิดกรณีโต้แย้งที่เกี่ยวกับการปฏิบัติตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล ผู้นั้นย่อมมีสิทธิร้องเรียนต่อคณะกรรมการผู้เชี่ยวชาญตาม มาตรา 73 โดยยื่นคำร้องเรียนมายังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตามระเบียบคณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคล ว่าด้วยการยื่น การไม่รับเรื่อง การยุติเรื่อง การพิจารณา และระยะเวลาในการพิจารณา คำร้องเรียน พ.ศ. 2565 เพื่อให้คณะกรรมการผู้เชี่ยวชาญพิจารณาเรื่องร้องเรียนและมีคำสั่งตามหน้าที่ และอำนาจต่อไป เพื่อให้เป็นไปตามกฎหมายดังกล่าว ดังนั้น กทพ. จึงควรแจ้งให้ผู้ปฏิบัติงานผู้นั้นทราบ และพิจารณาใช้สิทธิร้องเรียนต่อไปตามความเหมาะสม อนึ่ง เนื่องจากการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลชีวภาพ โดยธรรมชาติอาจมีความเสี่ยง ที่จะกระทบต่อสิทธิและเสรีภาพของบุคคลได้ค่อนข้างสูง กทพ. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มี มาตรการรักษาความมั่นคงปลอดภัยอย่างเหมาะสมตามระดับความเสี่ยง โดยคำนึงถึงปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับสำหรับหน่วยงานหรือกิจการในประเภทหรือลักษณะเดียวกัน หรือใกล้เคียงกัน ลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ทรัพยากร ที่ต้องใช้ และความเป็นไปได้ในการดำเนินการประกอบกัน เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ทั้งนี้ เพื่อคุ้มครองสิทธิขั้นพื้นฐาน และประโยชน์ของพนักงานและลูกจ้างในฐานะเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสมและได้สัดส่วน โดยมาตรการดังกล่าวจะต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศ กำหนดตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัย ของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 ซึ่งออกตามความใน มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย นอกจากนี้ คณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตเพิ่มเติมเกี่ยวกับข้อมูลส่วนบุคคล ที่ กทพ. ได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ โดยบทเฉพาะกาลตาม มาตรา 95 แห่งพระราชบัญญัตินี้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถ เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม และสำหรับข้อมูลส่วนบุคคลที่มาตรา 24 หรือ มาตรา 26 กำหนดให้ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ซึ่งได้เก็บรวบรวมไว้ก่อนวันที่ พระราชบัญญัตินี้ใช้บังคับ ผู้ควบคุมข้อมูลส่วนบุคคลต้องกำหนดวิธีการยกเลิกความยินยอมและเผยแพร่ ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้ผู้ควบคุมข้อมูลส่วนบุคคลเก็บรวบรวมและใช้ ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่ายด้วย ดังนั้น การเก็บรวบรวมและใช้ข้อมูล ส่วนบุคคลของ กทพ. ที่ได้เก็บรวบรวมไว้ก่อนวันที่พระราชบัญญัตินี้ใช้บังคับ เพื่อวัตถุประสงค์ในการบันทึกเวลา ทำงานของผู้ปฏิบัติงานของ กทพ. และการดำเนินการที่เกี่ยวข้อง ซึ่งเป็นวัตถุประสงค์เดิมก็สามารถเก็บรวบรวม และใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ และในกรณีที่ กทพ. ได้ใช้ฐานทางกฎหมายอื่นไปแล้ว เช่น ได้รับความยินยอม โดยชัดแจ้ง หรือเป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะ ที่สำคัญตาม มาตรา 26 (5) (จ) แล้วแต่กรณี โดยได้แจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของ ข้อมูลส่วนบุคคลทราบตาม มาตรา 23 (privacy notice) และมีการบันทึกรายการตาม มาตรา 39 ในกรณีที่ กทพ. เห็นควรเปลี่ยนแปลงฐานทางกฎหมายให้สอดคล้องกับแนวทางการตอบข้อหารือนี้ กทพ. ควรพิจารณา แจ้งรายละเอียดที่มีการเปลี่ยนแปลงดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบอีกครั้ง (re-notice) รวมทั้ง แก้ไขหรือปรับปรุงการบันทึกรายการให้สอดคล้องกับข้อเท็จจริงด้วย เพื่อความเป็นธรรมและโปร่งใสต่อ เจ้าของข้อมูลส่วนบุคคล อนึ่ง การให้คำแนะนำและคำปรึกษาในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นี้ เป็นการให้ความเห็นเกี่ยวกับข้อกฎหมายตามพระราชบัญญัติดังกล่าวโดยทั่วไป แต่ในกรณีที่มี เรื่องร้องเรียนหรือมีการตรวจสอบการกระทำใด ๆ ที่อยู่ในหน้าที่และอำนาจของคณะกรรมการผู้เชี่ยวชาญ หรือหน่วยงานอื่น ผลการพิจารณาจะเป็นอย่างไรย่อมเป็นไปตามข้อกฎหมายและกระบวนการที่เกี่ยวข้อง

เอกสารต้นฉบับ