เมื่อสถานที่ทำงานในปัจจุบันได้พัฒนาไปพร้อมกับความก้าวหน้าทางเทคโนโลยี ทำให้มีการนำระบบต่าง ๆ มาใช้เพื่อเพิ่มประสิทธิภาพการทำงาน ไม่ว่าจะเป็นระบบจัดการการสื่อสารภายใน ระบบบริหารการใช้งานอินเทอร์เน็ต กล้องวงจรปิดเพื่อความปลอดภัย รวมถึงระบบบันทึกการเข้าออกอาคาร เทคโนโลยีเหล่านี้นำมาซึ่งความสะดวกและประสิทธิภาพ แต่ในขณะเดียวกันก็มีประเด็นทางกฎหมายที่องค์กรควรคำนึงถึงโดยเฉพาะภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ (PDPA) ในการสร้างสมดุลระหว่างประโยชน์ทางธุรกิจและการเคารพสิทธิความเป็นส่วนตัวของพนักงานที่จะต้องถูกติดตาม จึงเป็นโจทย์สำคัญที่องค์กรควรพิจารณาอย่างรอบคอบ
กรณีศึกษาจากคดีตัวอย่าง: เมื่อการจดจำใบหน้าและลายนิ้วมือถูกสั่งระงับโดยหน่วยงานกำกับดูแล
กรณีศึกษาจาก Information Commissioner's Office (ICO) ของสหราชอาณาจักร เป็นบทเรียนสำคัญสำหรับองค์กรไทย เมื่อมีคำสั่งให้บริษัทหนึ่ง หยุดใช้ระบบจดจำใบหน้าในการตรวจสอบการเข้างานของพนักงานในศูนย์ออกกำลังกาย โดยมีเหตุผลสำคัญในการสั่งห้ามใช้ระบบจดจำใบหน้า เนื่องจากการใช้เทคโนโลยีนี้ไม่สามารถแสดงให้เห็นถึง "ความจำเป็น" และ "ความได้สัดส่วน" เพราะยังมีวิธีอื่นที่กระทบสิทธิความเป็นส่วนตัวน้อยกว่า เช่น การใช้บัตรพนักงานหรืออุปกรณ์แตะเข้าออก ตลอดจนพนักงานไม่ได้รับทางเลือกอื่นที่ชัดเจน นอกจากต้องยินยอมให้สแกนใบหน้าหรือลายนิ้วมือเพื่อรับเงินเดือน ซึ่งอำนาจต่อรองที่ไม่เท่าเทียมกัน พนักงานจึงไม่สามารถปฏิเสธได้อย่างแท้จริง
จากรณีศึกษาข้างต้นได้สะท้อนให้เห็นว่า แม้ว่าบริษัทจะมีความจำเป็นที่จะต้องใช้ระบบติดตามกับพนักงานของตน แต่เหตุเพราะความจำเป็นเพียงอย่างเดียวอาจไม่เพียงพอ บริษัทจำเป็นต้องพิจารณาถึงหลักการพื้นฐานอื่น ๆ ในส่วนถึงทางเลือกอื่น ๆ ในการติดตามพนักงานแต่ได้ผลลัพธ์ในทางเดียวกันด้วย เพื่อให้พนักงานได้รับความเป็นส่วนตัวในที่ทำงานได้อย่างเหมาะสม
หลักการพื้นฐานที่องค์กรต้องพิจารณาเมื่อมีความจำเป็นที่จะใช้ Biometric Technology ติดตามพนักงาน
- เหตุผลและความจำเป็น (Necessity): องค์กรควรมีเหตุผลที่ชัดเจนในการใช้เทคโนโลยีเพื่อการติดตาม เช่น เพื่อความปลอดภัย เพื่อป้องกันการโจรกรรม หรือเพื่อการบริหารงานบุคคลที่มีประสิทธิภาพมากยิ่งขึ้น โดยการใช้เทคโนโลยีนี้ต้องมีความจำเป็นและเหมาะสมกับสถานการณ์
- ความได้สัดส่วน (Proportionality): การใช้เทคโนโลยีเพื่อการติดตามต้องมีความสมดุลระหว่างประโยชน์ขององค์กรกับสิทธิส่วนบุคคล เช่น ในกรณีบริษัทขนส่งที่ต้องมีการติดตามการเคลื่อนไหวควรต้องมีตัวเลือกปิดระบบการติดตามของพนักงานขับรถนอกเวลางานเพื่อไม่ให้รุกล้ำเวลาส่วนตัว
- พิจารณาถึงทางเลือกอื่น (Alternatives): องค์ควรต้องพิจารณาถึงวิธีการอื่นที่กระทบสิทธิพนักงานน้อยกว่าแต่ได้ผลลัพธ์เดียวกัน
- ความโปร่งใส (Transparency): พนักงานต้องได้รับการแจ้งล่วงหน้าว่าจะมีการติดตามอย่างไร โดยใช้อุปกรณ์เครื่องใด เพื่อวัตถุประสงค์อะไร ซึ่งควรระบุไว้ในนโยบายหรือประกาศให้ชัดเจน ตลอดจนมีการทบทวนวิธีการติดตามเป็นระยะ และไม่กระทำการนอกเหนือไปกว่าที่ได้แจ้งต่อพนักงาน
- ความปลอดภัยในการรักษาข้อมูล (Security): องค์กรจะต้องปกป้องข้อมูลที่บันทึกจากการสูญหายและมีการจำกัดสิทธิการเข้าถึงข้อมูลเฉพาะบุคคลที่เกี่ยวข้อง ตลอดจนมีระยะเวลาการจัดเก็บข้อมูลที่ชัดเจนตามความจำเป็นในการใช้ข้อมูล เมื่อข้อมูลหมดความจำเป็นแล้วต้องมีการลบทำลายมิให้ข้อมูลถูกเข้าถึงหรือย้อนกลับข้อมูลได้อีก
องค์กรควรปฏิบัติอย่างไร หากต้องการใช้ Biometric Technology ภายในองค์กร ?
นอกจากที่องค์กรจะต้องคำนึงหลักการพื้นฐานที่เหมาะสมข้างต้นเมื่อต้องมีการติดตามพนักงานแล้ว ตามมาตรา 26 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ข้อมูลภาพสแกนใบหน้า หรือข้อมูลลายนิ้วมือ คือ "ข้อมูลชีวมิติ" ซึ่งจัดเป็น "ข้อมูลส่วนบุคคลอ่อนไหว" ซึ่งเป็นข้อมูลส่วนบุคคลที่มีความเสี่ยงสูงต่อเจ้าของข้อมูล หากถูกเปิดเผยหรือใช้งานโดยมิชอบ อาจก่อให้เกิดความเสียหายหรือผลกระทบต่อสิทธิและเสรีภาพของบุคคลนั้น ๆ ดังนั้นการประมวลผลข้อมูลประเภทนี้ จึงต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล และองค์กรต้องมีมาตรการรักษาความปลอดภัยในระดับที่สูงกว่าข้อมูลส่วนบุคคลทั่วไป ตลอดจนต้องมีการจัดให้มีมาตรการเพื่อรองรับการประมวลผลข้อมูลอ่อนไหว ดังแนวปฏิบัติเบื้องต้น ดังต่อไปนี้
- จัดทำประกาศความเป็นส่วนตัวและแบบฟอร์มขอความยินยอม สำหรับการใช้เทคโนโลยีจดจำใบหน้า โดยมีการระบุอย่างชัดเจนถึงวัตถุประสงค์ วิธีการเก็บรวบรวม การใช้ และระยะเวลาการเก็บรักษาข้อมูล
- ขอความยินยอมโดยชัดแจ้งจากพนักงานก่อนเริ่มประมวลผลข้อมูลส่วนบุคคล: โดยต้องไม่บังคับหรือสร้างเงื่อนไขที่ไม่เป็นธรรมหากไม่ให้ความยินยอม และต้องมีทางเลือกรองรับหากพนักงานไม่ให้ความยินยอม เช่น การใช้บัตรประจำตัวพนักงานสำหรับเข้าอาคารหรือบันทึกการเข้า-ออกแทน
- ให้สิทธิพนักงานสามารถเพิกถอนความยินยอมได้ตลอดเวลา ด้วยวิธีการที่ไม่ยากไปกว่าตอนขอความยินยอม
- กำหนดมาตรการรักษาความปลอดภัยขั้นสูง เช่น การเข้ารหัสข้อมูล การจำกัดการเข้าถึงให้เฉพาะผู้ที่เกี่ยวข้องของข้อมูลที่บันทึกจัดเก็บเอาไว้
- ประเมินความเสี่ยงล่วงหน้าและจัดทำแผนรับมือกรณีข้อมูลรั่วไหลกรณีต่าง ๆ
- กำหนดระยะเวลาการเก็บรักษาและวิธีการทำลายข้อมูลเมื่อหมดความจำเป็นที่เหมาะสมเพื่อไม่ให้ข้อมูลถูกกู้คืนหรือทำให้ย้อนกลับได้
กล่าวโดยสรุป เมื่อองค์กรนำเทคโนโลยีมาใช้ในการติดตามตรวจสอบการทำงานของพนักงาน แต่องค์กรพึงต้องตระหนักว่าการเพิ่มประสิทธิภาพหรือการอำนวยความสะดวกในการบริหารงานต้องไม่ละเมิดสิทธิขั้นพื้นฐานของพนักงาน ดังนั้นหากองค์กรมีความจำเป็นต้องใช้ระบบติดตามพนักงาน องค์กรพึงต้องพิจารณาถึงหลักการพื้นฐานเพื่อวิเคราะห์ว่าการใช้ระบบติดตามนั้นมีความจำเป็นและสอดคล้องกับหลักการพื้นฐาน อีกทั้งต้องพิจารณาด้วยว่าข้อมูลที่องค์กรจะต้องประมวลผลนั้น ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ หรือตามกฎหมายอื่น ๆ ที่องค์กรต้องปฏิบัติตามมีแนวปฏิบัติเกี่ยวกับการประมวลผลข้อมูลชนิดนั้นอย่างไร เพื่อเป็นการปฏิบัติตามกฎหมายที่ถูกต้อง และสร้างความเป็นส่วนตัวให้กับพนักงานอย่างเหมาะสม
แหล่งข้อมูลอ้างอิง
• ICO: Employee monitoring – is it right for your business?
https://ico.org.uk/for-organisations/advice-for-small-organisations/whats-new/blogs/employee-monitoring-is-it-right-for-your-business/
• ICO orders Serco Leisure to stop using facial recognition technology
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/02/ico-orders-serco-leisure-to-stop-using-facial-recognition-technology/
