คปภ. คลอดแนวปฏิบัติ คุมบริษัทประกัน-ตัวแทน-ผู้ประเมิน ล้อกฎหมาย PDPA

ประกันชีวิต

เลขาธิการ คปภ. เผยสำนักงานคลอดแนวปฏิบัติแล้ว 3 ฉบับ คุมบริษัทประกันภัย-ตัวแทนนายหน้า-ผู้ประเมินวินาศภัย ล้อกฎหมายคุ้มครองข้อมูลส่วนบุคคล ชี้สถานะชัดใครควบคุมข้อมูลใครผู้ประมวลผล

วันที่ 17 ตุลาคม 2565 นายสุทธิพล ทวีชัยการ เลขาธิการ สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) เปิดเผยว่า

ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคล (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) ได้มีผลใช้บังคับไปเมื่อวันที่ 1 มิ.ย. 65

โดยมีวัตถุประสงค์เพื่อกำหนดมาตรฐานในการคุ้มครองและจัดการข้อมูลส่วนบุคคลในความครอบครองของผู้ควบคุมข้อมูล หรือผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อป้องกันไม่ให้เกิดการละเมิดสิทธิของเจ้าของข้อมูลส่วนบุคคล หรือมีการนำเอาข้อมูลส่วนบุคคลไปใช้เก็บรวบรวมและเปิดเผยโดยเจ้าของข้อมูลส่วนบุคคลไม่ยินยอมหรือเป็นไปโดยไม่ชอบด้วยกฎหมาย ซึ่งอาจจะเกิดความเสียหายกับตัวเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการขโมยตัวตน การเรียกค่าไถ่ข้อมูล และการขายต่อข้อมูลส่วนบุคคล เป็นต้น

โดยข้อมูลส่วนบุคคลจะแบ่งออกเป็น 2 ประเภทคือ 1.ข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ-นามสกุล, ที่อยู่, อีเมล์, เบอร์โทรศัพท์ เป็นต้น และ 2.ข้อมูลส่วนบุคคลที่อ่อนไหว เช่น เชื้อชาติ, ศาสนา, ข้อมูลสุขภาพ เป็นต้น โดยบุคคลที่มีผลเกี่ยวข้องกับข้อมูลส่วนบุคคลจะแบ่งออกเป็น 3 ประเภทคือ 1.เจ้าของข้อมูลส่วนบุคคล 2.ผู้ควบคุมข้อมูลส่วนบุคคล และ 3.ผู้ประมวลผลข้อมูลส่วนบุคคล

บริษัทประกันมีสถานะเป็นผู้ควบคุมข้อมูล ตัวแทนฯผู้ประมวล

ซึ่ง คปภ.ต้องมาพิจารณาว่าบุคคลในภาคธุรกิจประกันภัยเป็นประเภทอะไร ซึ่งอาจจะเป็นผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้ ขึ้นอยู่กับลักษณะของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล

เช่น บริษัทประกันชีวิตหรือผู้รับประกันภัยต่อ มีอำนาจตัดสินใจในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อพิจารณารับประกันภัย พิจารณาการรับประกันภัยต่อ หรือชดใช้ค่าสินไหมทดแทน ในกรณีนี้จะอยู่ในสถานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

แต่กรณีตัวแทนประกันชีวิต ต้องดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ขอเอาประกันภัยในนามของบริษัทหรือตามคำสั่งของบริษัทประกันภัย เพื่อให้บริษัทประกันภัยนั้นนำมาใช้คำนวณเบี้ยประกันชีวิต ในกรณีนี้ตัวแทนประกันชีวิตจะอยู่ในสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล

ในกรณีที่ไม่มีข้อยกเว้นตามกฎหมาย เช่น การปฏิบัติตามสัญญา การปฏิบัติตามกฎหมาย เจ้าของข้อมูลต้องให้ความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตามวัตถุประสงค์ที่ผู้เก็บรวบรวม ผู้ใช้ แจ้งไว้ตั้งแต่แรกเท่านั้น

นอกจากนั้นกฎหมายยังกำหนดให้ต้องมีมาตรการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย หรือเปลี่ยนแปลงแก้ไข หรือถูกเข้าถึงโดยผู้ที่ไม่เกี่ยวข้อง เช่น สถานพยาบาลจะต้องเก็บข้อมูลของผู้ป่วยให้เป็นความลับ และไม่เปิดเผยให้กับผู้อื่น เป็นต้น และที่สำคัญกฎหมายกำหนดให้สิทธิของเจ้าของข้อมูลส่วนบุคคลในการเข้าถึงข้อมูล และสามารถแก้ไขข้อมูล โอนข้อมูล ขอให้ลบหรือทำลายข้อมูลส่วนบุคคลของตนเองเมื่อใดก็ได้

และที่สำคัญต้องระมัดระวังเป็นพิเศษคือบทลงโทษค่อนข้างแรง มีทั้งโทษอาญาและโทษทางปกครอง แยกออกจากความรับผิดทางแพ่ง

นอกจากนี้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ทยอยออกกฎหมายลำดับรอง ซึ่งประกอบด้วย ประกาศ ระเบียบ และแนวทางดำเนินการในกรณีต่าง ๆ เพื่อรองรับการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และยังมีการจัดทำคู่มือ PDPA สำหรับประชาชนและผู้ประกอบการเอสเอ็มอีอีกด้วย

เลขาธิการ คปภ.กล่าวต่อว่า สำหรับภาคธุรกิจประกันภัยซึ่งมีลักษณะการดำเนินการกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเป็นจำนวนมาก เริ่มตั้งแต่กการเสนอขาย ข้อมูลเรื่องของการตรวจสุขภาพ การพิจารณาการรับประกันภัย การขอรับประกันภัยต่อ ตลอดจนการตรวจสอบการเรียกร้องเงินประกัน

ซึ่งเมื่อมีกฎหมาย PDPA แล้วอาจทำให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของลูกค้าเพื่อดำเนินธุรกิจอาจจะลำบาก แต่จำเป็นต้องปรับตัวโดยทบทวนกระบวนการทำงานเพื่อให้มีมาตราการควบคุมการบริหารจัดการอย่างเหมาะสม และต้องมีมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลตามมาตรฐานที่กฎหมายกำหนด เพื่อสร้างความเชื่อมั่นให้กับลูกค้าที่ใช้บริการ

“เนื่องจากกฎหมายคุ้มครองข้อมูลส่วนบุคคล มีสถานะเป็นกฎหมายกลางที่ใช้บังคับทุกภาคส่วน กฎหมายที่ออกจึงเป็นการกำหนดแนวทางหลักการทั่วไป และกฎหมายลำดับรองที่ออกมาจึงอาจไม่สอดคล้องกับรูปแบบของการประกอบธุรกิจประกันภัยเป็นการเฉพาะ จึงเป็นหน้าที่ คปภ.ในฐานะหน่วยงานกำกับดูแลธุรกิจประกันภัย ซึ่งจะมุ่งเน้นโดยคำนึงถึงความคล่องตัวในการประกอบธุรกิจ เพื่อไม่ให้เป็นอุปสรรคต่อการประกอบธุรกิจและไม่เป็นอุปสรรคในการอำนวยความสะดวกในการให้บริการกับลูกค้า” เลขาธิการ คปภ. กล่าว

ออกแนวปฏิบัติ 3 ฉบับ คุ้มครองข้อมูล PDPA

นอกจากนี้ได้บูรณาการร่วมกับ สคส. เพื่อกำหนดมาตรฐานขั้นต่ำสำหรับนโยบายคุ้มครองข้อมูลส่วนบุคคลเพื่อเป็นแนวทางปฏิบัติที่ชัดเจนและเหมาะสมสำหรับภาคธุรกิจประกันภัยในการปฏิบัติตามกฎหมาย PDPA เป็นการเฉพาะ และเมื่อปลายปี 2564 คปภ.ได้ออกแนวปฏิบัติคุ้มครองข้อมูลส่วนบุคคลรวมทั้งหมด 3 ฉบับคือ 1.คุ้มครองข้อมูลส่วนบุคคลสำหรับลูกค้าประกันชีวิต พ.ศ. 2564 จำนวน 1 ฉบับ 2.คุ้มครองข้อมูลส่วนบุคคลสำหรับลูกค้าประกันวินาศภัย พ.ศ. 2564 จำนวน 1 ฉบับ ซึ่งจะใช้บังคับกับบริษัทประกันภัย ตัวแทน และนายหน้าประกันภัย ซึ่งจะบูรณาการร่วมกันกับภาคธุรกิจประกันภัย และ 3.ประกาศสำนักงาน คปภ.เรื่องแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของผู้เอาประกันภัย สำหรับการตรวจสอบและประเมินวินาศภัย พ.ศ. 2564 ที่ใช้บังคับกับผู้ประเมินวินาศภัย

ซึ่งแนวปฏิบัติเบื้องต้นเป็นการวางกรอบเป็น minimum standard ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามลักษณะของกิจกรรมของการประกอบธุรกิจประกันภัย พร้อมยกตัวอย่างให้เกิดความชัดเจนต่อประเด็นที่อาจเกิดข้อถกเถียงในภาคธุรกิจ ไม่ว่าจะเป็นสถานะของบริษัทประกันภัย ตัวแทนประภัย นายหน้าประกันภัย ผู้ประเมินวินาศภัย ว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลข้อมูล เพื่อให้เห็นความชัดเจน

และมีการยกตัวอย่างกรณีต้องขอความยินยอมจากลูกค้าในการเก็บรวบรวมข้อมูลส่วนบุคคล เช่น การส่งข้อความ การสื่อสารด้านการตลาดกับลูกค้าที่ไม่เคยมีความสัมพันธ์ทางธุรกิจกับบริษัทมาก่อน และไม่อาจคาดหมายว่าจะได้รับข้อมูลข่าวสารทางการตลาดจากบริษัท หรือการซื้ออข้อมูลลูกค้าจากผู้ประกอบการรายอื่น

และมีการยกตัวอย่างกรณีที่สามารถที่จะอาศัยความจำเป็นเพื่อประโยชน์สาธารณะเป็นฐานทางกฎหมายในการเก็บรวบรวมโดยไม่ต้องขอความยินยอม เช่น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลสุขภาพเพื่อที่จะนำมารับประกัน หรือปฏิบัติตามสัญญา, การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลการฉ้อฉลประกันภัยให้แก่ คปภ.เพื่อปฏิบัติตามกฎหมาย

และนอกจากบริษัทจะต้องปฏิบัติตามกฎหมาย ว่าด้วยการขนส่งข้อมูลส่วนบุคคลแล้ว ยังต้องปฏิบัติตามประกาศ คปภ. เรื่องของการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ และกฎหมายอื่นที่เกี่ยวข้อง แล้ววิธีการเผยแพร่ประชาสัมพันธ์สิทธิของเจ้าของข้อมูลส่วนบุคคล สำหรับข้อมูลส่วนบุคคลที่เก็บก่อนวันที่กฎหมายใช้บังคับ

โดย คปภ.จะประเมินประสิทธิภาพการปรับใช้แนวปฏิบัติ ที่ออกโดยสำนักงาน คปภ. เพื่อทบทวนความสอดคล้องของรูปแบบ และกิจกรรมในการประกอบธุรกิจประกันภัย ให้สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลทั้งระบบต่อไป โดยจะมีการทำงานคู่ขนานกันไป มีการปรับปรุงแนวปฏิบัติไปอย่างต่อเนื่อง


“สิ่งสำคัญที่จะเกิดความมั่นใจในการปฏิบัติงาน ได้อย่างครบถ้วนและถูกต้องตามกฎหมาย นั่นก็คือ นอกจากกฎกติกาแล้วต้องเสริมภูมิคุ้มกันด้วย การสร้างรากฐานความรู้ ความเข้าใจในตัวกฎหมาย รวมถึงแนวปฏิบัติที่เกี่ยวข้อง” เลขาธิการ คปภ. กล่าว