คปภ.ดึงทุกส่วน คุย กม.คุ้มครองส่วนบุคคล
คปภ. ดึง “หน่วยงานรัฐ-ภาคอุตฯประกันภัย” ร่วมระดมสมอง สร้างแนวทางปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย เผย! ครอบคลุมทั้งส่วนของหน่วยงานกำกับดูแลและส่วนธุรกิจประกันภัย พร้อมเร่งเคลียร์ 10 ประเด็น “ปัญหาการตีความ” เกี่ยวกับประกันภัยก่อนกฎหมายมีผลบังคับ ตั้งเป้าจัดทำมาตรฐานขั้นต่ำให้แล้วเสร็จ 10 ก.ย.นี้
นายสุทธิพล ทวีชัยการ เลขาธิการคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย(เลขาธิการ คปภ.) กล่าวเปิดการสัมมนาโครงการเพิ่มประสิทธิภาพการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทย และย้ำตอนหนึ่งว่า สำนักงาน คปภ. ต้องกำกับดูแลให้ภาคธุรกิจประกันภัยปฏิบัติให้สอดคล้องกับบทบัญญัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ตราขึ้นเพื่อป้องกันการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคล แต่ต้องคำนึงถึงความคล่องตัวในการประกอบธุรกิจประกันภัย
จึงประสานความร่วมมือกับหน่วยงานต่างๆ และภาคธุรกิจประกันภัย ประกอบด้วย ผู้แทนกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ผู้แทนสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล นายกสมาคมประกันชีวิตไทย นายกสมาคมประกันวินาศภัยไทย นายกสมาคมตัวแทนประกันชีวิตและที่ปรึกษาทางการเงิน นายกสมาคมนายหน้าประกันภัยไทย นายกสมาคมธนาคารไทย นายกสมาคมนักคณิตศาสตร์ประกันภัยไทย นายกสมาคมผู้ประเมินวินาศภัย และนายกสมาคมการค้าผู้สำรวจภัยไทย
ทั้งนี้ เพื่อรวบรวมประเด็นปัญหาและอุปสรรคต่อการประกอบธุรกิจจากการบังคับใช้กฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคล และได้มีการแต่งตั้งคณะทำงานศึกษาแนวทางการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับธุรกิจประกันภัย ภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ที่ผ่านมาได้มี การประชุมเพื่อร่วมกันพิจารณาประเด็นปัญหาและอุปสรรคจากการปฏิบัติตามกฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคลของธุรกิจประกันชีวิตและธุรกิจประกันวินาศภัย และพิจารณากรอบแนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของธุรกิจประกันภัย โดยมี 10 ประเด็นปัญหาสำคัญที่ได้มีการหารือในครั้งนี้ ประกอบด้วย
ประเด็นแรก เกี่ยวกับกรณีบริษัทประกันภัยจะต้องขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลสุขภาพของผู้เอาประกันภัย และบุคคลในครอบครัว หรือไม่ หากเป็นไปเพื่อประโยชน์ในการพิจารณารับประกันภัยหรือปฏิบัติตามสัญญาโดยการชดใช้ค่าสินไหมทดแทน
ประเด็นที่ 2 เกี่ยวกับกรณีที่เจ้าของข้อมูลส่วนบุคคลให้สำเนาบัตรประชาชน ซึ่งมีข้อมูลที่มีความอ่อนไหว กรณีดังกล่าวจะต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลหรือไม่ และถือว่าเป็นการเก็บรวบรวมข้อมูลนอกเหนือวัตถุประสงค์และเกินความจำเป็นในการรวบรวมตามกฎหมายหรือไม่ เช่น กรณีผู้เอาประกันภัยซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลได้มอบอำนาจให้บุคคลอื่นใช้สิทธิเรียกร้องค่าสินไหมทดแทน และ
ได้แนบสำเนาบัตรประจำตัวประชาชนให้แก่บริษัทประกันภัยด้วย
ประเด็นที่ 3 การให้บริการหลังการขายของตัวแทนประกันภัยหรือนายหน้าประกันภัยซึ่งจำเป็นต้องใช้ข้อมูลของลูกค้าเพื่อให้บริการหลังการขาย ต้องมีการขอความยินยอมจากลูกค้า เพื่อให้บริษัทสามารถเปิดเผยข้อมูลกับนายหน้าประกันภัยหรือไม่
ประเด็นที่ 4 การเก็บข้อมูลจากบุคคลอื่นที่มิใช่เจ้าของข้อมูล เช่น กรณีบริษัทประกันภัยได้รายชื่อลูกค้าจากนิติบุคคลอื่นมาเพื่อเสนอขายประกันภัยทางโทรศัพท์
ประเด็นที่ 5 การแลกเปลี่ยนข้อมูลเกี่ยวกับรายชื่อของผู้ขอเอาประกันภัยที่บริษัทประกันภัยได้ปฏิเสธการรับประกันภัยหรือการชดใช้ค่าสินไหมทดแทน ข้อมูลเกี่ยวกับตัวแทนประกันภัยหรือนายหน้าประกันภัย หรือเป็นข้อมูลของบุคคลที่เห็นว่ามีพฤติกรรมที่อาจเข้าข่ายกระทำผิดกฎหมายหรือ
ฉ้อฉลประกันภัย
ประเด็นที่ 6 ระยะเวลาการจัดเก็บข้อมูลส่วนบุคคลแต่ละประเภทที่ชัดเจน
ประเด็นที่ 7 การเก็บข้อมูลส่วนบุคคลของลูกค้าที่ถูกปฏิเสธการรับประกันภัยไว้เพื่อประโยชน์ในการพิจารณารับประกันภัยครั้งต่อไปทำได้หรือไม่
ประเด็นที่ 8 การลบทำลายข้อมูลส่วนบุคคล เช่น กรณีลูกค้าขอให้ลบข้อมูลสุขภาพ หรือทำให้ไม่สามารถระบุตัวตนของเจ้าของข้อมูลสุขภาพได้อีกแล้วมาขอสมัครใหม่ ซึ่งอาจส่งผลต่อการรับพิจารณาประกันภัยใหม่เนื่องจากบริษัทจะไม่สามารถตรวจสอบประวัติสุขภาพเดิมได้ และลูกค้าอาจปกปิดประวัติสุขภาพที่แถลงต่อบริษัทจึงทำให้บริษัทเกิดความเสี่ยงได้
ประเด็นที่ 9 ปัญหาขอบเขตของบริษัทรับประกันภัยต่อ เช่น กรณีที่บริษัทประกันภัยต้องเปิดเผยข้อมูล
ส่วนบุคคลของผู้เอาประกันภัยให้แก่บริษัทรับประกันภัยต่อ เพื่อการทำสัญญาประกันภัยต่อ กรณีดังกล่าวบริษัทประกันภัยส่งข้อมูลได้โดยไม่ต้องขอความยินยอมหรือไม่
และ ประเด็นที่ 10 ปัญหาการตีความหน้าที่ความรับผิดชอบของนายหน้าประกันภัยว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล
ทั้งนี้ เพื่อให้ภาคธุรกิจประกันภัยมีแนวทางปฏิบัติที่ชัดเจนในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะต่อไป สำนักงาน คปภ. จึงได้จัดทำโครงการเพิ่มประสิทธิภาพการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทยขึ้น โดยได้มอบหมายให้ บริษัท เบเคอร์ แอนด์ แม็คเค็นซี่ จำกัด พิจารณาประเด็นปัญหาอุปสรรคต่างๆ รวมถึงเอกสารดังกล่าวข้างต้นที่ภาคธุรกิจประกันภัยเสนอต่อสำนักงาน คปภ. และศึกษาและวิเคราะห์กฎหมายคุ้มครองข้อมูลส่วนบุคคล แนวทางปฏิบัติของ DGPR และต่างประเทศเพื่อกำหนดมาตรฐานขั้นต่ำสำหรับนโยบายคุ้มครองข้อมูลส่วนบุคคล และจัดทำข้อมูลเกี่ยวกับการเคลื่อนที่ของข้อมูลส่วนบุคคล (Data Flow)
โดยเชิญ ผู้แทนภาคธุรกิจประกันภัยมาให้ข้อมูล รวมทั้งวิเคราะห์ปัญหา อุปสรรค และช่องว่างในการปฏิบัติตามกฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคลของไทย (Gap Analysis) การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลเพื่อดำเนินการจัดทำระบบฐานข้อมูลประกันภัย (Insurance Bureau System) หรือเพื่อป้องกันการฉ้อฉลประกันภัย รวมถึงการพัฒนาเอกสารที่รองรับการดำเนินการที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลสำหรับภาคอุตสาหกรรมประกันภัย และนำ ร่างหนังสือ Privacy Notice การเคลื่อนที่ของข้อมูลส่วนบุคคลในแต่ละกิจกรรมของภาคธุรกิจประกันภัย และใบคำขอเอาประกันภัย ฉบับมาตรฐานประเภทต่างๆ ที่ภาคธุรกิจประกันภัยได้ให้ข้อมูลมาใช้เพื่อประกอบการพิจารณาปรับปรุงให้ภาคธุรกิจประกันภัยมีทิศทางในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ได้อย่างถูกต้อง
ตลอดจน จัดทำมาตรฐานขั้นต่ำนโยบายคุ้มครองข้อมูลส่วนบุคคล แนวทางปฏิบัติ โดยมีโครงสร้างที่มีหัวข้อเกี่ยวกับประเภทข้อมูลส่วนบุคคลที่บริษัทประกันภัยเก็บรวบรวม วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผย การเปิดเผยข้อมูลส่วนบุคคล การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูล รวมถึงแบบฟอร์มที่เกี่ยวข้องกับการปฏิบัติงานแก่ภาคอุตสาหกรรมประกันภัย เช่น การกำหนดแบบเอกสารที่เกี่ยวข้องกับการร้องเรียนของเจ้าของข้อมูลส่วนบุคคล รวมถึงใบคำขอเอาประกันภัย เป็นต้น โดยโครงการนี้มีความคืบหน้าและจะแล้วเสร็จภายในกำหนดคือวันที่ 10 ก.ย.นี้
“การสัมมนาในครั้งนี้ เป็นการระดมสมองจากหน่วยงานที่เกี่ยวข้องเพื่อร่วมกันถอดรหัสและคลี่ประเด็นปัญหา โดยยังมีหลายประเด็นที่สำนักงาน คปภ. และภาคอุตสาหกรรมประกันภัยต้องร่วมมือกันเพื่อกำหนดทิศทางและวางกรอบในทางปฏิบัติ รวมทั้งหารือเพื่อขอความชัดเจนกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในฐานะหน่วยงานที่บังคับใช้กฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคล เพื่อให้ภาคธุรกิจประกันภัยมีแนวทางปฏิบัติที่ชัดเจนในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะต่อไป” เลขาธิการ คปภ. ระบุ.
