แบงก์ หวั่นข้อมูลส่วนบุคคลรั่ว หลังกฎหมายใหม่บังคับใช้
วงการแบงก์หวั่น ข้อมูลส่วนบุคคลลูกค้ารั่วไหล หลัง “กฎหมายข้อมูลส่วนบุคคล” จะเริ่มบังคับใช้ 1 มิ.ย.64 หลังเลื่อนมา 1 ปี แต่ไม่มีความชัดเจน ทั้งมาตรฐานรวบรวมข้อมูลและแนวปฎิบัติ เหตุรอกฤษฎีกาตีความบอร์ดทั้งชุด “วินาศภัย” เบรกขยายตลาดเสนอขายประกันหรือบริการแบบอื่น
พระราชบัญญัติ (พ.ร.บ.)ข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) ซึ่งจะมีผลบังคับใช้ 1 มิถุนายน 2564 หลังเลื่อนมาจากวันที่ 27 พฤษภาคม 2563 แต่จนถึงตอนนี้ก็ยังมีความไม่ชัดเจนในหลายเรื่อง เช่น มาตรฐานจัดเก็บรวบรวมข้อมูลส่วนบุคคล แนวปฎิบัติ ส่วนหนึ่งเพราะยังต้องรอสำนักงานคณะกรรมการกฤษฎีกาตีความรายชื่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล(บอร์ด) จากปัจจุบันที่มีปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม(ดีอี)เป็นประธานกรรมการชั่วคราว
เมื่อบอร์ดยังไม่ชัดเจน จึงเกรงว่า จะสร้างปัญหาในทางปฎิบัติ ถ้าไม่มีรายละเอียดหรือแนวทางปฎิบัติ มาตรฐานการจัดเก็บรวบรวมข้อมูล การใช้ข้อมูลและการเปิดเผยข้อมูล ซึ่งถ้าไม่มีความชัดเจนเกี่ยวกับข้อมูลที่ต้องขอความยินยอม (Consent)จากเจ้าของข้อมูล และยังเกรงว่า เมื่อออกแนวปฎิบัติมาแล้วจะเป็นปัญหาว่า ไม่สามารถปฎิบัติ
“ข้อมูลที่ต้องรวบรวมจัดเก็บนั้นมี 2 ส่วนคือ ส่วนที่ไม่ต้องขอ Consent เพราะได้รับยกเว้น กรณีที่หน่วยงานมีกฎหมายเฉพาะภายในหน่วยงานแล้ว และส่วนที่ 2 เป็นข้อมูลที่ต้อง Consent ซึ่งกรณีนี้ถ้าต้อง Consent ทุกเรื่องหรือ Consent เป็นชิ้นๆ จะมีรายละเอียดเยอะ” แหล่งข่าวกล่าว
แหล่งข่าวจากสถาบันการเงินระบุว่า เพราะเป็นกฎหมายใหม่ จึงควรชัดเจนมากกว่านี้ ซึ่งธนาคารได้ลงทุนพัฒนาระบบรองรับไปแล้วและจัดอบรมให้ความรู้พนักงาน เพื่อให้สามารถรักษาข้อมูลลูกค้าได้อย่างปลอดภัย แต่ประเด็นที่กังวลคือ การที่ธนาคารเก็บรวบรวมข้อมูล นำไปใช้หรือเปิดเผยข้อมูลนั้น ได้รับความยินยอมจากเจ้าของข้อมูลแล้ว แต่ถ้าเจ้าของข้อมูลยกเลิกการให้ความยินยอมระหว่างทาง ธนาคารต้องไล่แจ้งยกเลิกเอกสารที่จัดทำไปก่อนหน้า และหากเป็นธุรกรรมที่ทำกับบริษัทในเครือหรือพันธมิตรก็ต้องไล่แจ้งยกเลิกเอกสาร
“ถ้าลูกค้าเจ้าของข้อมูลไม่เซ็น Consent ตั้งแต่ต้น ก็ไม่มีประเด็น แต่เกิดเปลี่ยนใจระหว่างทาง มาขอยกเลิกคำยินยอม เราต้องตามไปเปลี่ยนหรือยกเลิกให้ลูกค้า จึงเป็นประเด็นต้องอัพเดตสถานะว่า ลูกค้ายกเลิกไม่ให้จัดเก็บหรือนำข้อมูลไปใช้และไม่ยินยอมให้นำข้อมูลไปเปิดเผย ซึ่งวุ่นวายแน่”
นอกจากนั้น ยังมีความเสี่ยงในประเด็นข้อมูลส่วนบุคคลอาจหลุดรั่วไหล ไม่ว่าการส่งอีเมล์ข้อมูลส่วนบุคคล ทั้งภายในบริษัทหรือบริษัทในเครือ หรือการใช้ LINE สำหรับการติดต่องานและประชุม ซึ่งหากมีการแคปหน้าจอมือถือส่งต่อระหว่างกลุ่ม มีีโอกาสที่ข้อมูลจะหลุดหรือรั่วไหล ซึ่งเป็นความเสี่ยงที่จะถูกลงโทษ เพราะนอกจากกฎหมายจะระวางโทษกรณีฝ่าฝืนแล้ว หากทำให้ข้อมูลลูกค้ารั่วไหล ก็มีโอกาสที่จะถูกลงโทษ ซึ่งกฎหมายฉบับนี้ กำหนดโทษทั้งทางอาญาและทางปกครอง
นายอานนท์ วังวสุ นายกสมาคมประกันวินาศภัยไทยกล่าวว่า ประกันภัยจะขอข้อมูลมาใช้เฉพาะส่วนที่เกี่ยวข้องสัญญาประกันภัย การจ่ายเคลม เพราะยึดหลักสัญญาเกณฑ์การวิเคราะห์ข้อมูลไม่นำข้อมูลไปใช้ประโยชน์ด้านอื่น แต่ในส่วนขอบเขตที่ดูเหมือนจะลดลงคือ เรื่องขยายตลาดตัวใหม่ ที่อาจต้องหยุดเสนอขายประกันแบบอื่นหรือบริการอื่น เช่น นาย A ทำสัญญาประกันรถ บริษัทเก็บข้อมูลบุคคล เพื่อทำสัญญาและส่งข้อมูลให้ทางการ ซึ่งเป็นไปตามสัญญา แต่ไม่สามารถนำข้อมูลนาย A ไปเสนอขายประกันแบบอื่นหรือบริการอื่น เพราะกฎหมายกำหนดขอบเขตการใช้ข้อมูลต้องชัดเจน
ที่ผ่านมาได้จ้างที่ปรึกษกฎหมายว่าข้อมูลของภาคธุรกิจที่ต้องการมีอะไรบ้าง และทางเดินของข้อมูลจะต้องแน่ใจว่า ไม่นำไปใช้นอกเหนือขอบเขตการปฎิบัติตามสัญญา ซึ่งกฎหมายให้ความคุ้มครองอยู่แล้ว เช่น ประกันสุขภาพ สามารถใช้ข้อมูลด้านสุขภาพได้ แต่ถ้าทำสัญญาประกันรถ ถ้าเกี่ยวกับสัญญาก็ไม่มีปัญหา คือ กฎหมายออกมาเพื่อไม่ให้นำข้อมูลส่วนบุคคลไปใช้ประโยชน์นอกลู่นอกทาง ซึ่งอาชีพเราต้องใช้ข้อมูลกฎหมายไม่ได้ห้าม
นายผยง ศรีวณิช กรรมการผู้จัดการใหญ่ ธนาคาร กรุงไทย จำกัดและในฐานะประธานสมาคมธนาคารไทยกล่าวว่า ระบบธนาคารพาณิชย์ไทยได้เตรียมการมาอย่างต่อเนื่อง พร้อมทั้งจ้างที่ปรึกษาให้คำแนะนำและสร้างเป็นบรรทัดฐานของอุตสาหกรรมที่ร่วมมือกันธนาคารสมาชิกสร้างขึ้นมา ส่วนธนาคารไหนจะทำมากกว่าบรรทัดฐานก็แล้วแต่นโยบายของแต่ละแห่ง ฉะนั้นระบบสถาบันการเงินโดยเฉพาะธนาคารสมาชิกมีความพร้อม อย่างไรก็ตามปัจจุบันหลายประเทศทยอยออกกฎหมายเกี่ยวกับข้อมูลส่วนบุคคล ซึ่งจะนำไปสู่ Open Banking
ผู้บริหารระดับสูงจากธนาคารกรุงเทพระบุว่า กฎหมายข้อมูลส่วนบุคคลปี 2564 คงจะต้องเริ่มมีผลบังคับใช้อย่างเป็นทางการ ซึ่งข้อมูลส่วนบุคคลเป็นสิทธิส่วนบุคคลภายใต้กฎหมายฉบับนี้ เจ้าของข้อมูลสามารถจะขอให้ลบล้างข้อมูลหรือทำลายข้อมูลก็ได้ ดังนั้น หลักสำคัญจากนี้ไปจะต้องได้รับความยินยอมจากเจ้าของข้อมูล จึงจะจัดเก็บข้อมูลได้ แต่การ Consent ก็ยังสามารถจะบอกยกเลิกเมื่อไหรก็ได้ ขณะที่กฎหมายได้มีข้อยกเว้นให้จัดเก็บข้อมูลและเปิดเผยข้อมูลได้โดยไม่ต้องขอ Consent เช่น การกู้ยืมเงินกู้ต้องเป็นไปตามสัญญา แต่กรณีข้อมูลอื่นๆหรือข้อมูลที่ไม่เป็นสาธารณะ
หน้า 13 หนังสืออพิมพ์ฐานเศรษฐกิจ ฉบับที่ 3,641 วันที่ 3 - 6 มกราคม พ.ศ. 2564