การเงิน-การลงทุน

ข้อมูลส่วนบุคคลเท่าที่จำเป็นสำหรับการติดต่อกลับ

By ศุภวัชร์ มาลานนท์, ภัทรวิรินทร์ หมวดมณี | Tech, Law and Security10 มี.ค. 2023 เวลา 13:03 น.
ข้อมูลส่วนบุคคลเท่าที่จำเป็นสำหรับการติดต่อกลับ

หลายๆ ท่านที่เคยติดต่อสถาบันการเงินผ่านช่องทางออนไลน์ อาจจะเคยพบว่าเว็บไซต์ของสถาบันการเงินบางแห่งมีการขอให้กรอกข้อมูลต่างๆ

โดยส่วนใหญ่มักแจ้งว่าหรือทำให้เข้าใจว่าเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ที่สนใจสมัครสินเชื่อออนไลน์เพื่อให้สถาบันการเงินติดต่อกลับ โดยข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ได้แก่ ชื่อ สกุล เบอร์โทรศัพท์ อีเมล และหมายเลขบัตรประจำตัวประชาชน เป็นต้น 

การเก็บรวบรวมข้อมูลส่วนบุคคลผ่านช่องทางออนไลน์ดังกล่าว องค์กรมีหน้าที่ต้องปฏิบัติให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 โดยเฉพาะในส่วนของขั้นตอนการเก็บรวบรวม มีหน้าที่อย่างน้อย 3 ประการที่องค์กรต้องปฏิบัติ กล่าวคือ 

  1. การมีวัตถุประสงค์ที่ชอบด้วยกฎหมาย และได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบแล้วอย่างโปร่งใสและเป็นธรรม
  2. การเก็บรวบรวมเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย
  3. การแจ้งประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) อย่างถูกต้อง และเหมาะสม

ข้อมูลส่วนบุคคลเท่าที่จำเป็นสำหรับการติดต่อกลับ

ในบางเว็บไซต์ที่ผู้เขียนได้เข้าไปใช้บริการพบว่ามีการเก็บรวบรวมข้อมูลส่วนบุคคล โดยแจ้งวัตถุประสงค์เพื่อใช้ในการติดต่อกลับไปยังผู้ที่สนใจสมัครสินเชื่อ แต่ได้เก็บ "ข้อมูลหมายเลขบัตรประจำตัวประชาชน” ไปด้วย ซึ่งจะทำได้หรือไม่ก็ต้องทบทวนว่าองค์กรได้ปฏิบัติหน้าที่ทั้ง 3 ประการข้างต้นครบถ้วนแล้วหรือไม่ 

โดยเฉพาะอย่างยิ่งตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 22 ที่กำหนดไว้ว่า การเก็บรวบรวมข้อมูลส่วนบุคคลให้เก็บรวบรวมเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (data minimisation) ซึ่งพิจารณาจากหลักเกณฑ์ ดังนี้

  1. ข้อมูลส่วนบุคคลที่เก็บรวบรวมมีเพียงพอที่จะใช้ในการประมวลผลข้อมูลส่วนบุคคล
  2. ข้อมูลส่วนบุคคลที่เก็บรวบรวมต้องเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์
  3. ข้อมูลส่วนบุคคลต้องใช้อย่างจำกัดเท่าที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ของการเก็บรวบรวม

จากข้อพิจารณาดังกล่าว สถาบันการเงินจำต้องพิจารณาว่าการเก็บรวบรวมข้อมูลหมายเลขบัตรประจำตัวประชาชน สถาบันการเงินได้เก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวอย่างจำกัดตามวัตถุประสงค์ที่ได้แจ้งไว้ก่อนหรือขณะเก็บรวบรวมแล้วหรือไม่

โดยการเก็บรวบรวมห้ามใช้นอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้ ซึ่งต้องสอดคล้องกับหลักการจำกัดวัตถุประสงค์ (purpose limitation) 

กล่าวคือ การเก็บรวบรวมข้อมูลส่วนบุคคลจะทำได้เฉพาะเพื่อวัตถุประสงค์ที่เจาะจง ชัดแจ้ง และชอบด้วยกฎหมาย และต้องไม่เก็บรวบรวม ใช้ หรือเผยข้อมูลส่วนบุคคลในลักษณะที่ไม่สอดคล้องกับวัตถุประสงค์ดังกล่าว ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 21

เนื้อหาที่เกี่ยวข้อง

ข้อมูลส่วนบุคคลเท่าที่จำเป็นสำหรับการติดต่อกลับ

จากหลักเกณฑ์ข้างต้น การเก็บรวบรวมข้อมูลหมายเลขบัตรประจำตัวประชาชนนั้น เป็นการเก็บรวบรวมที่เพียงพอเกี่ยวข้อง และจำเป็นเพื่อให้สถาบันการเงินบรรลุวัตถุประสงค์ในการติดต่อกลับแล้วหรือไม่ 

ในกรณีนี้มีข้อสังเกตว่า เมื่อสถาบันการเงินไม่มีวัตถุประสงค์อื่นใดนอกเหนือจากการติดต่อกลับ การเก็บรวบรวมข้อมูลหมายเลขบัตรประจำตัวประชาชน จึงอาจเป็นข้อมูลส่วนบุคคลที่ไม่มีส่วนในการทำให้สถาบันการเงินบรรลุวัตถุประสงค์ในการติดต่อกลับ 

หากสถาบันการเงินไม่เก็บรวบรวมข้อมูลหมายเลขบัตรประจำตัวประชาชนไว้ สถาบันการเงินยังสามารถบรรลุวัตถุประสงค์ในการติดต่อกลับไปยังผู้ที่สนใจสมัครสินเชื่อได้ อีกทั้งสถาบันการเงินมีทางเลือกในการเก็บรวบรวมข้อมูลส่วนบุคคลให้น้อยกว่านี้ได้

อย่างไรก็ตาม ในการเก็บรวบรวมข้อมูลหมายเลขบัตรประจำตัวประชาชนของผู้ที่สนใจสมัครสินเชื่อ สถาบันการเงินอาจมีวัตถุประสงค์อื่นใดนอกเหนือจากวัตถุประสงค์เพื่อดำเนินการติดต่อกลับได้

อาทิ เพื่อตรวจสอบว่าผู้ที่สนใจสมัครสินเชื่อมีคุณสมบัติในการขอสินเชื่อหรือไม่ หากเป็นการเก็บข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังกล่าวด้วย สถาบันการเงินอาจต้องพิจารณาในประเด็นดังต่อไปนี้เพื่อให้สอดคล้องกับกฎหมาย กล่าวคือ

ประการแรก ภายใต้วัตถุประสงค์ของการเก็บรวบรวมเพื่อตรวจสอบว่าผู้ที่สนใจสมัครสินเชื่อมีคุณสมบัติในการขอสินเชื่อหรือไม่ สถาบันการเงินต้องพิจารณาว่าข้อมูลหมายเลขบัตรประจำตัวประชาชน จำเป็นหรือไม่ที่ต้องเก็บรวบรวม

และการเก็บรวบรวมดังกล่าวมีความจำเป็นมากน้อยเพียงใดในการดำเนินการประมวลผลข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ 

ถ้ามีความจำเป็นที่ต้องเก็บรวบรวมข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์เพื่อตรวจสอบว่าผู้ที่สนใจสมัครสินเชื่อว่ามีคุณสมบัติในการขอสินเชื่อหรือไม่นั้น สถาบันการเงินมีหน้าที่ต้องแจ้งประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice)

ให้ผู้สนใจสมัครสินเชื่อทราบถึงวัตถุประสงค์ดังกล่าว ก่อนหรือในขณะทำการเก็บรวบรวมข้อมูลส่วนบุคคล ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 23

ประการที่สอง หากมีการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการตรวจสอบหรือการทำ Profiling หรือมีการใช้ฐานข้อมูลอื่นๆ มาประกอบการตัดสินใจโดยระบบอัตโนมัติในการให้หรือไม่ให้สินเชื่อ (pre screening/background check)

กรณีนี้ สถาบันการเงินควรแจ้งอย่างชัดเจน อีกทั้งตามแนวปฏิบัติของสมาคมธนาคารไทยอาจต้องจัดทำรายงานผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลด้วย (DPIA : Data Protection Impact Assessment)

ประการที่สาม นอกจากการแจ้งประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) ให้ผู้สมัครสินเชื่อทราบถึงวัตถุประสงค์ในการเก็บรวบรวมข้อมูลดังกล่าวแล้ว สถาบันการเงินยังมีหน้าที่ในการกำหนดฐานทางกฎหมาย (Lawful basis)

ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับลักษณะการประมวลผล และความสัมพันธ์ระหว่างสถาบันการเงินกับผู้สมัครสินเชื่อ ภายใต้วัตถุประสงค์เพื่อตรวจสอบว่าผู้ที่สนใจสมัครสินเชื่อมีคุณสมบัติในการขอสินเชื่อหรือไม่ ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 24

ดังนั้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล องค์กรจำเป็นต้องปฏิบัติให้สอดคล้องกับกฎหมายต่างๆ ที่เกี่ยวข้อง การที่ผู้ใช้บริการเป็นผู้ให้ข้อมูลไม่ได้ทำให้องค์กรมีความชอบด้วยกฎหมายที่จะเก็บหรือจะใช้ข้อมูลอย่างไรก็ได้

 

 

พิสูจน์อักษร....สุรีย์  ศิลาวงษ์