October 27, 2020

คปภ. ติวเข้มบุคลากรรับมือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

July 16, 2020 446

พร้อมจัดทำแนวทางปฏิบัติเพื่อเพิ่มประสิทธิภาพการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และเพื่อให้ประชาชนได้รับความคุ้มครองด้านประกันภัยอย่างเป็นธรรม

ดร.สุทธิพล ทวีชัยการ เลขาธิการคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (เลขาธิการ คปภ.) เป็นประธานเปิดการประชุมชี้แจงโครงการเพิ่มประสิทธิภาพการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทย เมื่อวันที่ 10 กรกฎาคม 2563 ณ โรงแรมสวิสโฮเต็ล ถนนรัชดาภิเษก กรุงเทพมหานคร เพื่อสร้างความรู้ความเข้าใจและเตรียมความพร้อมเกี่ยวกับแนวทางปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้แก่ผู้บริหาร พนักงาน เจ้าหน้าที่ ของสำนักงาน คปภ. โดยกล่าวในตอนหนึ่งว่า จากสภาพปัญหาที่มีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคล จนสร้างความเดือดร้อน ความรำคาญ หรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม การใช้ข้อมูลต่าง ๆ ทำได้โดยง่าย สะดวก รวดเร็ว จึงมีการละเมิดข้อมูลส่วนบุคคลมากขึ้น ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม ประกอบกับมีการกำหนดกฎเกณฑ์มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศคู่ค้าที่สำคัญของไทย หากปราศจากมาตรการคุ้มครองข้อมูลส่วนบุคคล อาจส่งผลกระทบต่อการค้าระหว่างประเทศและการทำธุรกิจระหว่างประเทศได้ ซึ่งจะทำให้ประเทศไทยเสียโอกาสและความเชื่อมั่นจากประเทศคู่ค้า จึงมีการตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีสาระสำคัญคือ กำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป โดยเป็นกฎหมายกลางที่จะใช้บังคับกับทั้งภาครัฐ เอกชน รวมถึงธุรกิจประกันภัย และในกรณีที่ไม่มีข้อยกเว้นตามกฎหมาย เจ้าของข้อมูลต้องให้ความยินยอม (Consent) ในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ผู้เก็บรวบรวม ผู้ใช้ แจ้งไว้ตั้งแต่แรกแล้วเท่านั้น กล่าวคือ ต้องขออนุมัติจากเจ้าของข้อมูลก่อน พร้อมแจ้งวัตถุประสงค์ในการเก็บรวบรวม การใช้ และการเปิดเผย รวมทั้งผู้เก็บรวบรวมข้อมูลต้องรักษาความมั่นคงปลอดภัยของข้อมูลไม่ให้มีการเปลี่ยนแปลง แก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล เช่น สถานพยาบาลจะต้องเก็บข้อมูลของผู้ป่วยให้เป็นความลับและไม่เปิดเผยให้กับผู้อื่น , ธนาคารต้องเก็บรักษาข้อมูลเกี่ยวกับรายการถอนเงิน ตลอดจนเจ้าของข้อมูลมีสิทธิ์ถอนความยินยอม ขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ รวมทั้งสามารถขอให้มีการปรับปรุงข้อมูลส่วนบุคคลให้เป็นปัจจุบันได้ หากเป็นความประสงค์ของเจ้าของข้อมูลนั้น

ทั้งนี้ เพื่อเป็นการป้องกันการล่วงละเมิดความเป็นส่วนตัวของข้อมูลส่วนบุคคล และปกป้องความเสียหายแก่เจ้าของข้อมูล หรือสร้างความเดือดร้อน ความรำคาญ รวมถึงสร้างกลไก หรือมาตรฐานกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล และเยียวยาผู้ได้รับความเสียหาย ซึ่งสามารถฟ้องเรียกค่าสินไหมทดแทนจากกรณีถูกละเมิดข้อมูลส่วนบุคคลได้ด้วย

เลขาธิการ คปภ. กล่าวด้วยว่า แม้ว่าพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะมีการเลื่อนบังคับใช้ออกไปในปี 2564 แต่สำนักงาน คปภ. ในฐานะหน่วยงานของรัฐที่มีหน้าที่กำกับดูแลธุรกิจประกันภัยและคุ้มครองสิทธิประโยชน์ด้านประกันภัยของประชาชน มีภารกิจในการเก็บรักษาข้อมูลส่วนบุคคลเป็นจำนวนมากเพื่อใช้ประโยชน์ในการกำกับดูแลและคุ้มครองสิทธิประโยชน์ของประชาชน อันประกอบด้วยข้อมูลการศึกษา ฐานะการเงิน ประวัติการทำงาน ข้อมูลที่มีความอ่อนไหว เช่น ประวัติสุขภาพ ประวัติอาชญากรรม ลายพิมพ์นิ้วมือ และข้อมูลอื่นๆ ที่สามารถระบุไปถึงตัวเจ้าของข้อมูลส่วนบุคคลได้ เช่น เลขบัตรประชาชน หรือเลขหมายเอกสารส่วนตัวอื่นๆ ที่อยู่ เบอร์โทรศัพท์เพื่อการติดต่อ ประกอบกับบริษัทประกันภัยที่อยู่ภายใต้การกำกับดูแลก็มีการเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวเช่นเดียวกัน ดังนั้น สำนักงาน คปภ. จึงมีส่วนเกี่ยวข้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในสองส่วน คือ ส่วนแรก ในฐานะผู้เก็บรวบรวมและควบคุมข้อมูลส่วนบุคคล มีหน้าที่สำคัญในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลงแก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือเจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม ดังนั้น สำนักงาน คปภ. จึงจำเป็นต้องกำหนดแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน คปภ. ที่มีเนื้อหาครอบคลุมในเรื่องดังกล่าวเพื่อให้พนักงานปฏิบัติตามอย่างเคร่งครัด รวมถึงต้องแสดงวัตถุประสงค์ในการเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลรับทราบ 

ส่วนที่สอง ในฐานะหน่วยงานกำกับดูแลธุรกิจประกันภัย ที่ต้องกำกับดูแลภาคธุรกิจประกันภัยปฏิบัติให้สอดคล้องกับบทบัญญัติในกฎหมายนี้ โดยคำนึงถึงความคล่องตัวในการประกอบธุรกิจประกันภัย ก็อาจต้องมีการหารือภาคธุรกิจประกันภัยและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในฐานะผู้กำกับดูแลกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อกำหนดมาตรฐานขั้นต่ำสำหรับนโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อเป็นแนวทางปฏิบัติที่ชัดเจนสำหรับภาคธุรกิจประกันภัยในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะต่อไป เช่น วิธีการขอความยินยอมข้อมูลส่วนบุคคลทั่วไปและข้อมูลสุขภาพของเจ้าข้อมูลส่วนบุคคล เป็นต้น

ดังนั้นเพื่อเป็นการเตรียมความพร้อมให้กับผู้บริหาร พนักงาน เจ้าหน้าที่ ของสำนักงาน คปภ. ให้มีความรู้ความเข้าใจและตระหนักถึงความสำคัญในการปฏิบัติตามกฎหมายดังกล่าวอย่างเคร่งครัด จึงได้จัดทำโครงการเพิ่มประสิทธิภาพการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทย โดยมอบหมายให้บริษัท เบเคอร์ แอนด์ แม็คเค็นซี่ จำกัด ศึกษากฎหมาย และจัดทำข้อมูลเกี่ยวกับการเคลื่อนที่ของข้อมูลส่วนบุคคล (Data Flow) รวมทั้งวิเคราะห์ปัญหา อุปสรรค และช่องว่างในการปฏิบัติตามกฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคลของไทย (Gap Analysis) ตลอดจนจัดทำนโยบาย แนวทางปฏิบัติ คู่มือการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 และแบบฟอร์มที่เกี่ยวข้องกับการปฏิบัติงานแก่พนักงานและเจ้าหน้าที่ของสำนักงาน คปภ. และภาคธุรกิจประกันภัย รวมทั้งให้ความรู้เรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคลแก่บุคลากรของสำนักงาน คปภ. ทั้งนี้เพื่อเพิ่มประสิทธิภาพการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของสำนักงาน คปภ. และอุตสาหกรรมประกันภัย รวมทั้งช่วยให้ประชาชนได้รับความคุ้มครองด้านประกันภัยอย่างเป็นธรรม

“เนื่องจากภาคธุรกิจประกันภัยเข้าไปเกี่ยวข้องกับข้อมูลส่วนบุคคลในเชิงลึกของผู้ทำประกันภัยในทุกมิติ จึงต้องสร้างเครื่องมือ กลไก กระบวนการและแนวทางปฏิบัติที่รัดกุม ชัดเจน เพื่อสร้างองค์ความรู้ ความเข้าใจและเตรียมความพร้อมในการคุ้มครองข้อมูลส่วนบุคคลให้แก่ผู้บริหาร พนักงาน เจ้าหน้าที่ทุกคน ได้มีภูมิคุ้มกันที่อาจเกิดขึ้นจากการฟ้องร้อง ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีบทลงโทษทั้งทางแพ่งและอาญา และในขณะเดียวกันก็จะทำให้การปฏิบัติตามกฎหมายนี้เกิดประโยชน์ โดยไม่กระทบกระเทือนต่อสิทธิประโยชน์ด้านประกันภัยของประชาชน” เลขาธิการ คปภ. กล่าวในตอนท้าย

X

Right Click

No right click