“ธปท.” เตรียมความพร้อม “นอนแบงก์” ก่อนบังคับใช้ PDPA คุ้มครองข้อมูลส่วนบุคคล

“ธปท.” เตรียมความพร้อม “นอนแบงก์” ก่อนบังคับใช้ PDPA คุ้มครองข้อมูลส่วนบุคคล

ธนาคารแห่งประเทศไทย (ธปท.) ร่วมกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จัดงานสัมมนา “PDPA ก่อนบังคับใช้…อะไรที่ต้องพร้อม” สำหรับผู้ประกอบธุรกิจทางการเงินที่มิใช่สถาบันการเงิน โดยมีวัตถุประสงค์เพื่อส่งเสริมความรู้ความเข้าใจในแนวทางการกำกับดูแลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งจะมีผลบังคับใช้ในส่วนที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล วันที่ 1 มิถุนายน 2564 นี้ และเป็นการซักซ้อมเตรียมความพร้อมของผู้ประกอบธุรกิจในการปฏิบัติงานให้เป็นไปตามกฎหมายดังกล่าวได้อย่างถูกต้อง สำหรับด้านสถาบันการเงิน ได้มีการเตรียมการและซักซ้อมการเตรียมความพร้อมก่อนหน้านี้แล้ว

น.ส.สิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการ สายนโยบายระบบการชำระเงินและเทคโนโลยีทางการเงิน ธปท. กล่าวว่า พัฒนาการด้านเทคโนโลยีและนวัตกรรมการเงินที่มีการนำข้อมูลมาใช้ในการพัฒนาผลิตภัณฑ์และบริการทางการเงินที่มีประสิทธิภาพและตรงความต้องการของลูกค้ามากขึ้น ทำให้ผู้ประกอบธุรกิจทางการเงิน ต้องมีการกำกับดูแลและป้องกันข้อมูลของลูกค้าอย่างระมัดระวังและได้มาตรฐาน จึงมีความจำเป็นที่ต้องเข้าใจในหลักการของกฎหมาย และสามารถนำไปใช้ในทางปฏิบัติได้อย่างถูกต้อง สอดคล้องกับเจตนารมณ์

ดร.สุนทรีย์ ส่งเสริม ผู้เชี่ยวชาญจากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้สรุปสาระของกฎหมาย พร้อมหลักการสำคัญในการดูแลข้อมูลส่วนบุคคล เพื่อให้ผู้ประกอบธุรกิจดำเนินการได้ถูกต้องว่า ได้แก่ (1) หลักในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (2) มาตรฐานในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (3) มาตรการดูแลรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล (4) การดูแลสิทธิของเจ้าของข้อมูลส่วนบุคคล

โดยข้อมูลสำคัญในส่วนของประชาชนที่ควรระมัดระวัง และควรทราบถึงสิทธิข้อมูลส่วนบุคคลของตนใน 3 ประเด็นสำคัญ คือ

1.บุคคลหรือนิติบุคคลที่ได้รับข้อมูลห้ามใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่ได้รับความยินยอม (เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้ โดยได้รับยกเว้นไม่ต้องขอความยินยอม)

2.บุคคลหรือนิติบุคคลที่ได้รับข้อมูลจะต้องไม่ใช้หรือเปิดเผยข้อมูลเพื่อวัตถุประสงค์อื่น

3.การใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอม

ผู้ควบคุมข้อมูลส่วนบุคคล ต้องบันทึกการใช้ หรือเปิดเผยข้อมูลนั้นไว้ ซึ่งเรื่องนี้ถือเป็นส่วนหนึ่งในการสร้างความมั่นใจในการนำเทคโนโลยีและนวัตกรรมทางการเงิน เพิ่มความปลอดภัย ให้อยู่ภายใต้หลักในการคุ้มครองสิทธิข้อมูลสิทธิส่วนบุคคล ตามหลักกฎหมายเพื่อก่อให้เกิดประโยชน์สูงสุด

ด้านนายปิยะบุตร บุญอร่ามเรือง อาจารย์คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย อธิบายถึงแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่ผู้ประกอบธุรกิจสามารถนำไปประยุกต์ใช้ให้สอดคล้องตาม PDPA โดยผู้ประกอบธุรกิจควรสอบทานความพร้อมของตนให้ครบตาม PDPA Checklist 9 เรื่อง ดังต่อไปนี้

1) มีนโยบายของหน่วยงานที่สนับสนุนการปฏิบัติตาม PDPA

2) มีการแจ้งวัตถุประสงค์หรือนโยบายด้านการคุ้มครองข้อมูลส่วนบุคคล

3) จัดทำแบบขอความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล

4) มีการบันทึกกิจกรรม การประมวลผลข้อมูลส่วนบุคคล

5) มีแนวทางรองรับการใช้สิทธิเจ้าของข้อมูลในการเข้าถึงข้อมูลส่วนบุคคลของตน

6) มีแนวทางในการแจ้งเหตุละเมิดข้อมูลส่วนบุคคล

7) จัดทำข้อตกลงหรือสัญญาประมวลผลข้อมูล

8) มีมาตรฐานในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

9) แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

โดยแนวปฏิบัตินี้ เป็นการส่งเสริมและสนับสนุนให้เกิดการใช้ประโยชน์ข้อมูลส่วนบุคคลอย่างปลอดภัย และสอดคล้องตามมาตรฐานสากล