พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล คุ้มครองข้อมูลการเงินของเรามากแค่ไหน
23 พฤศจิกายน 2563
มีผลบังคับใช้มาตั้งแต่ 27 พฤษภาคม 2563 แล้วสำหรับ “พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562” (Personal Data Protection Act : PDPA) ซึ่งเป็นกฎหมายที่ครอบคลุมทั้งองค์กร บริษัท หน่วยงานที่ทำการจัดเก็บข้อมูลส่วนบุคคล รวมทั้งธนาคารและสถาบันการเงิน
.
ในฐานะลูกค้าและเจ้าของข้อมูลส่วนบุคคล เราจะมองข้ามพ.ร.บ.นี้ไปไม่ได้ วันนี้ Fair Finance Thailand จะพาไปรู้จักกับ #พรบคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และแนวทางปฏิบัติของธนาคารและสถาบันการเงินแบบเข้าใจง่าย ถ้าพร้อมแล้ว กดดูคำบรรยายแต่ละภาพได้เลย
.
ที่มา
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นการกำหนดมาตรฐานให้องค์กร บริษัท หรือหน่วยงานต่างๆ จัดเก็บข้อมูลส่วนบุคคลตามที่มีการใช้งานจริงอย่างเหมาะสม เพื่อป้องกันความเสี่ยงที่จะมีผลไปถึงการรักษาความลับและป้องกันการรั่วไหลของข้อมูลส่วนบุคคลหรือองค์กรที่มีการนำข้อมูลมาใช้ โดยข้อมูลส่วนบุคคลในที่นี้ หมายถึง ข้อมูลที่เกี่ยวกับบุคคลที่ทำให้ระบุตัวบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น เลขประจำตัวประชาชน ชื่อ-นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล์ ข้อมูลทางการเงิน ข้อมูลสุขภาพ ฯลฯ ที่ถูกเก็บข้อมูลทั้งทาง Offline และ Online
ในพ.ร.บ.นี้สามารถแบ่งสาระสำคัญได้เป็น 3 ข้อคือ
1. “เจ้าของข้อมูลส่วนบุคคล” ต้องให้ความยินยอม (Consent) ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล ตัวอย่างเช่น ในแอปพลิเคชันของธนาคาร ที่มีข้อความให้เรากดยืนยันเพื่อยินยอม และแจ้งวัตถุประสงค์อย่างชัดเจนในการเก็บข้อมูลและใช้ข้อมูล
.
2. “ผู้ควบคุมข้อมูลส่วนบุคคล” ต้องมีระบบ วิธีในการรักษาความปลอดภัยของข้อมูล เช่น ธนาคารต้องเก็บรักษาข้อมูลเกี่ยวกับธุรกรรมทางการเงินของลูกค้าเป็นความลับและไม่เปิดเผยให้แก่ผู้อื่น หากข้อมูลรั่วไหล หรือถูกขโมย ผู้ควบคุมข้อมูลต้องแจ้งให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมงนับจากเวลาที่ทราบเหตุ และต้องแจ้งเจ้าของข้อมูลโดยทันที หากมีการกระทบถึงสิทธิเสรีภาพ
.
3. แม้ว่าบุคคลจะยินยอมให้ข้อมูลไปแล้ว แต่เจ้าของข้อมูลก็ยังคงมีสิทธิถอนความยินยอม ขอยกเลิก แก้ไข หรือทำลายข้อมูลตอนไหนก็ได้ สมมติว่าเราากดยินยอมให้ธนาคารเปิดเผยข้อมูลแก่พันธมิตรของธนาคารผ่านทางแอปพลิเคชันของธนาคาร แต่ภายหลัง เราไม่ต้องการจะเปิดเผยข้อมูลแล้วก็สามารถเข้าไปถอนความยินยอมผ่านแอปได้
1. “เจ้าของข้อมูลส่วนบุคคล” ต้องให้ความยินยอม (Consent) ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล ตัวอย่างเช่น ในแอปพลิเคชันของธนาคาร ที่มีข้อความให้เรากดยืนยันเพื่อยินยอม และแจ้งวัตถุประสงค์อย่างชัดเจนในการเก็บข้อมูลและใช้ข้อมูล
.
2. “ผู้ควบคุมข้อมูลส่วนบุคคล” ต้องมีระบบ วิธีในการรักษาความปลอดภัยของข้อมูล เช่น ธนาคารต้องเก็บรักษาข้อมูลเกี่ยวกับธุรกรรมทางการเงินของลูกค้าเป็นความลับและไม่เปิดเผยให้แก่ผู้อื่น หากข้อมูลรั่วไหล หรือถูกขโมย ผู้ควบคุมข้อมูลต้องแจ้งให้คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมงนับจากเวลาที่ทราบเหตุ และต้องแจ้งเจ้าของข้อมูลโดยทันที หากมีการกระทบถึงสิทธิเสรีภาพ
.
3. แม้ว่าบุคคลจะยินยอมให้ข้อมูลไปแล้ว แต่เจ้าของข้อมูลก็ยังคงมีสิทธิถอนความยินยอม ขอยกเลิก แก้ไข หรือทำลายข้อมูลตอนไหนก็ได้ สมมติว่าเราากดยินยอมให้ธนาคารเปิดเผยข้อมูลแก่พันธมิตรของธนาคารผ่านทางแอปพลิเคชันของธนาคาร แต่ภายหลัง เราไม่ต้องการจะเปิดเผยข้อมูลแล้วก็สามารถเข้าไปถอนความยินยอมผ่านแอปได้
ส่วนแนวทางปฏิบัติของสถาบันการเงิน ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2563 มีการระบุอย่างชัดเจนว่ามีการเก็บข้อมูลส่วนตัวอะไรบ้าง, เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลในวัตถุประสงค์ใด, อาจเปิดเผยข้อมูลส่วนบุคคลให้ใครบ้าง, มีการส่งหรือโอนข้อมูลไปยังต่างประเทศหรือไม่, คุ้มครองข้อมูลส่วนบุคคลอย่างไร และอื่นๆ โดยสามารถเข้าไปอ่านทั้งหมดเพิ่มเติมได้ที่เว็บไซต์ หรือแอปพลิเคชันของสถาบันการเงินที่ใช้บริการ
.
อย่างไรก็ตาม มีข้อยกเว้นในการใช้บังคับพ.ร.บ.นี้กับการดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต แม้จะไม่ครอบคลุมแต่ทางบริษัทก็ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐาน
.
อย่างไรก็ตาม มีข้อยกเว้นในการใช้บังคับพ.ร.บ.นี้กับการดำเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูลเครดิต แม้จะไม่ครอบคลุมแต่ทางบริษัทก็ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐาน
