NATIONAL

คปภ.ติวเข้มคนใน ลุย กม.ข้อมูลส่วนบุคคล

17/07/2020 1 min read

ดูแล้ว: 858

คปภ.จ้าง “เบเคอร์ แอนด์ แม็คเค็นซี่” จัดติวเข้มบุคลากร “รับมือ” พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พร้อมจัดแนวทางปฏิบัติ เพิ่มประสิทธิภาพการทำงาน ลดปัญหาที่อาจขัดกับหลักกฎหมายใหม่ เผย! ทั้งหมดเพื่อความปลอดภัยของประชาชน ที่จำเป็นต้องได้รับความคุ้มครองด้านประกันภัยอย่างเป็นธรรม

นายสุทธิพล ทวีชัยการ เลขาธิการคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (เลขาธิการ คปภ.) เป็นประธานจัดประชุมชี้แจงโครงการเพิ่มประสิทธิภาพการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งเป็นกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทย เพื่อเตรียมความพร้อมให้กับผู้บริหาร พนักงาน และเจ้าหน้าที่ “รับมือ” กับกฎหมายตัวนี้ ณ โรงแรมสวิสโฮเต็ล ถนนรัชดาภิเษก กรุงเทพมหานคร เมื่อวันที่ 10 ก.ค.ที่ผ่านมา โดยกล่าวตอนหนึ่งว่า สำนักงาน คปภ.จากสภาพปัญหาที่มีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคล จนสร้างความเดือดร้อน ความรำคาญ หรือความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม การใช้ข้อมูลต่างๆ ทำได้โดยง่าย สะดวก รวดเร็ว จึงมีการละเมิดข้อมูลส่วนบุคคลมากขึ้น ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม ประกอบกับมีการกำหนดกฎเกณฑ์มาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศคู่ค้าที่สำคัญของไทย หากปราศจากมาตรการคุ้มครองข้อมูลส่วนบุคคล อาจส่งผลกระทบต่อการค้าระหว่างประเทศและการทำธุรกิจระหว่างประเทศได้ ซึ่งจะทำให้ประเทศไทยเสียโอกาสและความเชื่อมั่นจากประเทศคู่ค้า จึงมีการตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

โดยมีสาระสำคัญคือ กำหนดหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครองข้อมูลส่วนบุคคลที่เป็นหลักการทั่วไป โดยเป็นกฎหมายกลางที่จะใช้บังคับกับทั้งภาครัฐ เอกชน รวมถึงธุรกิจประกันภัย และในกรณีที่ไม่มีข้อยกเว้นตามกฎหมาย เจ้าของข้อมูลต้องให้ความยินยอม (Consent) ในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ผู้เก็บรวบรวม ผู้ใช้ แจ้งไว้ตั้งแต่แรกแล้วเท่านั้น กล่าวคือ ต้องขออนุมัติจากเจ้าของข้อมูลก่อน พร้อมแจ้งวัตถุประสงค์ในการเก็บรวบรวม การใช้ และการเปิดเผย รวมทั้งผู้เก็บรวบรวมข้อมูลต้องรักษาความมั่นคงปลอดภัยของข้อมูลไม่ให้มีการเปลี่ยนแปลง แก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้องกับข้อมูล

เช่น สถานพยาบาลจะต้องเก็บข้อมูลของผู้ป่วยให้เป็นความลับและไม่เปิดเผยให้กับผู้อื่น, ธนาคารต้องเก็บรักษาข้อมูลเกี่ยวกับรายการถอนเงิน ตลอดจนเจ้าของข้อมูลมีสิทธิ์ถอนความยินยอม ขอให้ลบหรือทำลายข้อมูลเมื่อใดก็ได้ รวมทั้งสามารถขอให้มีการปรับปรุงข้อมูลส่วนบุคคลให้เป็นปัจจุบันได้ หากเป็นความประสงค์ของเจ้าของข้อมูลนั้น ทั้งนี้ เพื่อเป็นการป้องกันการล่วงละเมิดความเป็นส่วนตัวของข้อมูลส่วนบุคคล และปกป้องความเสียหายแก่เจ้าของข้อมูล หรือสร้างความเดือดร้อน ความรำคาญ รวมถึงสร้างกลไก หรือมาตรฐานกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล และเยียวยาผู้ได้รับความเสียหาย ซึ่งสามารถฟ้องเรียกค่าสินไหมทดแทนจากกรณีถูกละเมิดข้อมูลส่วนบุคคลได้ด้วย

เลขาธิการ คปภ. ระบุว่า แม้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ จะมีการเลื่อนบังคับใช้ออกไปในปี 2564 แต่สำนักงาน คปภ. ในฐานะหน่วยงานของรัฐที่มีหน้าที่กำกับดูแลธุรกิจประกันภัยและคุ้มครองสิทธิประโยชน์ด้านประกันภัยของประชาชน มีภารกิจในการเก็บรักษาข้อมูลส่วนบุคคลเป็นจำนวนมากเพื่อใช้ประโยชน์ในการกำกับดูแลและคุ้มครองสิทธิประโยชน์ของประชาชน อันประกอบด้วยข้อมูลการศึกษา ฐานะการเงิน ประวัติการทำงาน ข้อมูลที่มีความอ่อนไหว เช่น ประวัติสุขภาพ ประวัติอาชญากรรม ลายพิมพ์นิ้วมือ และข้อมูลอื่นๆ ที่สามารถระบุไปถึงตัวเจ้าของข้อมูลส่วนบุคคลได้ด้วยเลขบัตรประชาชนหรือเลขหมายเอกสารส่วนตัวอื่นๆ ที่อยู่ เบอร์โทรศัพท์เพื่อการติดต่อ ประกอบกับบริษัทประกันภัยที่อยู่ภายใต้การกำกับดูแลก็มีการเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวเช่นเดียวกัน

ดังนั้น สำนักงาน คปภ. จึงมีส่วนเกี่ยวข้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในสองส่วน คือ ส่วนแรก ในฐานะผู้เก็บรวบรวมและควบคุมข้อมูลส่วนบุคคล มีหน้าที่สำคัญในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลงแก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือเจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม ดังนั้น สำนักงาน คปภ.

จึงต้องกำหนดแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของสำนักงาน คปภ. ที่มีเนื้อหาครอบคลุมในเรื่องดังกล่าวเพื่อให้พนักงานปฏิบัติตามอย่างเคร่งครัด รวมถึงต้องแสดงวัตถุประสงค์ในการเก็บรวบรวม การใช้ การเปิดเผยข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลรับทราบ

ส่วนที่สอง ในฐานะหน่วยงานกำกับดูแลธุรกิจประกันภัย ที่ต้องกำกับดูแลภาคธุรกิจประกันภัยปฏิบัติให้สอดคล้องกับบทบัญญัติในกฎหมายนี้ โดยคำนึงถึงความคล่องตัวในการประกอบธุรกิจประกันภัย ก็อาจต้องมีการหารือภาคธุรกิจประกันภัยและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในฐานะผู้กำกับดูแลกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อกำหนดมาตรฐานขั้นต่ำสำหรับนโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อเป็นแนวทางปฏิบัติที่ชัดเจนสำหรับภาคธุรกิจประกันภัยในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะต่อไป เช่น วิธีการขอความยินยอมข้อมูลส่วนบุคคลทั่วไปและข้อมูลสุขภาพของเจ้าข้อมูลส่วนบุคคล เป็นต้น

ดังนั้น เพื่อเป็นการเตรียมความพร้อมให้กับผู้บริหาร พนักงาน เจ้าหน้าที่ ของสำนักงาน คปภ. ให้มีความรู้ความเข้าใจและตระหนักถึงความสำคัญในการปฏิบัติตามกฎหมายดังกล่าวอย่างเคร่งครัด จึงได้จัดทำโครงการเพิ่มประสิทธิภาพการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทย โดยมอบหมายให้ บริษัท เบเคอร์ แอนด์ แม็คเค็นซี่ จำกัด ศึกษากฎหมาย และจัดทำข้อมูลเกี่ยวกับการเคลื่อนที่ของข้อมูลส่วนบุคคล (Data Flow)

รวมทั้งวิเคราะห์ปัญหา อุปสรรค และช่องว่างในการปฏิบัติตามกฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคลของไทย (Gap Analysis) ตลอดจนจัดทำนโยบาย แนวทางปฏิบัติ คู่มือการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ และแบบฟอร์มที่เกี่ยวข้องกับการปฏิบัติงานแก่พนักงานและเจ้าหน้าที่ของสำนักงาน คปภ. และภาคธุรกิจประกันภัย รวมทั้งให้ความรู้เรื่องกฎหมายคุ้มครองข้อมูลส่วนบุคคลแก่บุคลากรของสำนักงาน คปภ. ทั้งนี้ เพื่อเพิ่มประสิทธิภาพการปฏิบัติตาม พ.ร.บ.ดังกล่าว ของสำนักงาน คปภ. และอุตสาหกรรมประกันภัย รวมทั้งช่วยให้ประชาชนได้รับความคุ้มครองด้านประกันภัยอย่างเป็นธรรม

“เนื่องจากภาคธุรกิจประกันภัยเข้าไปเกี่ยวข้องกับข้อมูลส่วนบุคคลในเชิงลึกของผู้ทำประกันภัยในทุกมิติ จึงต้องสร้างเครื่องมือ กลไก กระบวนการและแนวทางปฏิบัติที่รัดกุม ชัดเจน เพื่อสร้างองค์ความรู้ ความเข้าใจและเตรียมความพร้อมในการคุ้มครองข้อมูลส่วนบุคคลให้แก่ผู้บริหาร พนักงาน เจ้าหน้าที่ทุกคน ได้มีภูมิคุ้มกันที่อาจเกิดขึ้นจากการฟ้องร้อง ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ซึ่งมีบทลงโทษทั้งทางแพ่งและอาญา และในขณะเดียวกันก็จะทำให้การปฏิบัติตามกฎหมายนี้เกิดประโยชน์ โดยไม่กระทบกระเทือนต่อสิทธิประโยชน์ด้านประกันภัยของประชาชน” นายสุทธิพล ย้ำ.