PDPA ที่มาดราม่า “เป๋าตัง-กรุงไทย”
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่รู้จักกันว่า กฎหมาย PDPA (Personal Data Protection Act) คือ กฎหมายที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคล… (เลื่อนบังคับใช้เป็น 1 มิ.ย. 2565)
ข้อมูลส่วนบุคคล คืออะไรบ้าง?
ข้อมูลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม เช่น ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์, รูปถ่าย, ข้อมูลทางการเงิน (กฎหมายฉบับนี้ไม่บังคับใช้กับคนตายและนิติบุคคล)
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น ข้อมูลสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น
. . .
บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
. . .
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะมีฐานทางกฎหมายต่าง ๆ ที่สามารถกระทำได้ 7 ฐานด้วยกัน
1. ฐานความยินยอม
2. ฐานสัญญา
3. ฐานประโยชน์สำคัญต่อชีวิต
4. ฐานภารกิจของรัฐ
5. ฐานประโยชน์อันชอบธรรม
6. ฐานการปฏิบัติตามกฎหมาย
7. ฐานเอกสารประวัติศาสตร์ จดหมายเหตุและการศึกษาวิจัยหรือสถิติ (Research)
นั่นหมายความว่า ผู้เก็บรวบรวมข้อมูลส่วนบุคคล สามารถเก็บข้อมูลส่วนบุคคลได้ หากเข้าฐานทางกฎหมาย ข้อใดข้อหนึ่ง
. . .
โดยทั่วไป การใช้ข้อมูลส่วนบุคคล จะมีข้ออนุโลมให้ใช้โดยไม่ต้องขออนุญาตได้หลายข้อ เพื่อให้พนักงานของบริษัทสามารถปฏิบัติงานได้อย่างราบรื่นครับ
ตัวอย่าง เช่น การเปิดบัญชีธนาคาร ย่อมเข้าใจได้ว่า ธนาคารต้องเก็บข้อมูลชื่อ-นามสกุล, ที่อยู่, ช่องทางการติดต่อกับลูกค้า เพื่ออัปเดตข้อมูลของบริการของทางธนาคาร (ตามประเภทบัญชีที่ลูกค้าเปิดไว้) จึงน่าจะเข้า “ฐานประโยชน์อันชอบธรรม และฐานสัญญา” นั่นเอง
ขณะเดียวกัน ธนาคารก็มีหน้าที่ในการปฏิบัติตามกฎหมายป้องกันการฟอกเงิน (AMLO) การเก็บข้อมูลส่วนตัวและข้อมูลทางการเงิน ในบุคคลที่น่าสงสัย/มีความเสี่ยงในการฟอกเงิน เพื่อส่งต่อให้ ปปง. ก็ย่อมเข้าข่าย การเก็บข้อมูลโดยใช้ “ฐานการปฏิบัติตามกฎหมาย”
. . .
แล้วอะไรที่ต้องขอความยินยอมเปิดเผยข้อมูลส่วนบุคคลกับลูกค้าละ?
การใช้ข้อมูลส่วนบุคคลนอกเหนือจากการให้บริการตามปกติ (นอกวิสัยที่ลูกค้าน่าจะคาดเดาได้) เช่น ลูกค้าเปิดบัญชีเงินฝาก แต่มีการนำข้อมูลการติดต่อส่งไปให้บริษัทประกันในเครือ เพื่อใช้เสนอขายผลิตภัณฑ์อื่นที่ไม่ใช่เงินฝาก กรณีเช่นนี้ ธนาคาร “ต้อง” ขอความยินยอม จากลูกค้าอย่างชัดเจนก่อน และการยินยอม/ไม่ยินยอม ต้องไม่เป็นเงื่อนไขในการให้บริการด้วย
แต่ถ้าธนาคารต้องการนำข้อมูลของลูกค้าไปพัฒนาปรับปรุง ก็สามารถทำได้โดยไม่ต้องขอความยินยอมเช่นกัน แต่ข้อมูลนั้น ต้องถูกทำให้ “ไม่สามารถระบุตัวตน” ได้ เรียกว่า การจัดทำข้อมูลนิรนาม (Data Anonymisation)
อย่างไรก็ตาม มีข้อจำกัดในเรื่องข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ซึ่งมีข้อยกเว้นให้ใช้โดยไม่ต้องขอความยินยอมน้อยมาก ๆ
. . .
ต่อกันที่ สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ซึ่งก็คือเรา ๆ คนทั่วไป ได้แก่
1. สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
2. สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
3. สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
4. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
5. สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
6. สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
7. สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
. . .
เข้าเรื่องแอป “เป๋าตัง” ทำไมต้องขอความยินยอมในการเก็บ รวบรวม และใช้ข้อมูลส่วนบุคคล?
คำตอบนั้นง่ายมาก เพราะ ธนาคารกรุงไทยอยากได้ข้อมูลลูกค้าเพื่อ พัฒนาและปรับปรุงการให้บริการ (ตามข้อที่ 2), เสนอขายผลิตภัณฑ์ของบริษัทในเครือ (ตามข้อที่ 1) และใช้ข้อมูลที่มีความละเอียดอ่อน เช่น บัตรประชาชน (มีข้อมูลศาสนา) และ Biometrics (เช่น ใบหน้า) เพื่อยืนยันตัวตนในการเข้าร่วมโครงการภาครัฐ (ตามข้อที่ 3)
. . .
การขอความยินยอมฯ ของแอปเป๋าตัง “ไม่ผิด” แต่สิ่งที่ผิดคือการทำให้ผู้ใช้งานเข้าใจผิดว่าหากไม่ยินยอมให้ใช้ข้อมูลส่วนบุคคลในข้อ 1 และข้อ 2 จะทำให้ไม่สามารถใช้บริการของแอปเป๋าตังได้
ซึ่งผิดกับหลักการของกฎหมายที่บอกไว้ว่าผู้ให้บริการสามารถขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลได้… แต่การขอความยินยอมนั้นจะต้องไม่เป็นหนึ่งในเงื่อนไขในการให้บริการด้วย
และยังมีประเด็นถัดมา ที่ว่า ผู้ใช้บริการจะต้องสามารถขอถอนการให้ความยินยอมได้โดย “ง่ายในระดับเดียวกัน” กับการให้ความยินยอม แต่แอปเป๋าตังก็ไม่มีช่องทางให้ถอนการให้ความยินยอม ในขณะเดียวกันเมื่อโทรไปยัง Call Centre ก็บอกว่าไม่สามารถถอนความยินยอมได้ ณ ปัจจุบัน
ส่วนประเด็นสุดท้ายที่ทำให้ประมาณนี้ดูจะรุนแรงกว่าของธนาคารอื่น ๆ ที่มีการขอความยินยอมเหมือนกัน ก็คือ เป๋าตัง เป็นแอปพลิเคชันที่ใช้งานในโครงการสวัสดิการของทางรัฐบาล แต่กลับมีการขอความยินยอมเข้าถึงใช้งานข้อมูลส่วนบุคคลไปให้บริษัทในเครือของธนาคารกรุงไทย
แต่คืนวันที่ 7 มิ.ย. 2564 ธนาคารออกมาแจ้งว่าจะทำช่องทางให้ยกเลิกได้ และเย็นวันที่ 8 มิ.ย. 2564 ธนาคารแจ้งว่าจะยกเลิกการให้ความยินยอมที่ผู้ใช้งานได้ให้ไปทั้งหมดโดยอัตโนมัติ
ก็ถือว่าดราม่านี้น่าจะจบลงแล้ว แต่ก็น่าจะทำให้คนไทยรู้จักกับกฎหมาย PDPA แพร่หลายมากขึ้น และเป็นบทเรียนของสถาบันการเงินที่ต้องให้บริการลูกค้าบนฐานของข้อมูลส่วนบุคคลจำนวนมากจึงมีความเสี่ยงในเรื่องของการปฏิบัติตามกฏหมายและหลักเกณฑ์ของข้อมูลส่วนบุคคลสูง
. . .
ความเห็นส่วนตัว
คิดว่าการขอความยินยอมในการใช้งานข้อมูลส่วนบุคคลสามารถทำได้แต่ควรจะแยกหัวข้ออย่างชัดเจนว่าการขอความยินยอมในข้อใดที่ลูกค้าไม่จำเป็นต้องให้ความยินยอม…
ส่วนข้อใดที่ลูกค้าจำเป็นต้องให้ความยินยอม ซึ่งมักจะเป็นข้อมูลที่มีความละเอียดอ่อน โดยมักจะอยู่ในบัตรประชาชน เช่น ข้อมูลศาสนา การเข้าใช้งานผ่านโปรแกรมอิเล็กทรอนิกส์ โปรแกรมจดจำใบหน้าซึ่งเป็นข้อมูลทางชีวภาพ และการยืนยันตัวตนกับทางภาครัฐ ก็ควรแยกหัวข้อนี้ออกมาให้ชัดเจน
##########
References
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 :
http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF
แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลภาคธุรกิจธนาคาร สมาคมธนาคารไทย :
https://www.tba.or.th/wp-content/uploads/2021/04/Guideline-on-Personal-Data-Protection-for-Thai-Banks-final-Version-MS-TH-28042021-%e0%b8%aa%e0%b8%b5%e0%b8%99%e0%b9%89%e0%b8%b3%e0%b9%80%e0%b8%87%e0%b8%b4%e0%b8%99.pdf
“กรุงไทย” แจ้งยกเลิกระบบยินยอมเปิดเผยข้อมูลบนแอปฯเป๋าตัง ให้ผู้ใช้งานทุกคน “โดยอัตโนมัติ” :
https://krungthai.com/th/krungthai-update/news-detail/720
##########
Blockdit :
https://www.blockdit.com/posts/60bf4b99b253933a6137242e
PDPA ที่มาดราม่า “เป๋าตัง-กรุงไทย”
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่รู้จักกันว่า กฎหมาย PDPA (Personal Data Protection Act) คือ กฎหมายที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคล… (เลื่อนบังคับใช้เป็น 1 มิ.ย. 2565)
ข้อมูลส่วนบุคคล คืออะไรบ้าง?
ข้อมูลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม เช่น ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์, รูปถ่าย, ข้อมูลทางการเงิน (กฎหมายฉบับนี้ไม่บังคับใช้กับคนตายและนิติบุคคล)
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น ข้อมูลสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น
. . .
บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
. . .
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะมีฐานทางกฎหมายต่าง ๆ ที่สามารถกระทำได้ 7 ฐานด้วยกัน
1. ฐานความยินยอม
2. ฐานสัญญา
3. ฐานประโยชน์สำคัญต่อชีวิต
4. ฐานภารกิจของรัฐ
5. ฐานประโยชน์อันชอบธรรม
6. ฐานการปฏิบัติตามกฎหมาย
7. ฐานเอกสารประวัติศาสตร์ จดหมายเหตุและการศึกษาวิจัยหรือสถิติ (Research)
นั่นหมายความว่า ผู้เก็บรวบรวมข้อมูลส่วนบุคคล สามารถเก็บข้อมูลส่วนบุคคลได้ หากเข้าฐานทางกฎหมาย ข้อใดข้อหนึ่ง
. . .
โดยทั่วไป การใช้ข้อมูลส่วนบุคคล จะมีข้ออนุโลมให้ใช้โดยไม่ต้องขออนุญาตได้หลายข้อ เพื่อให้พนักงานของบริษัทสามารถปฏิบัติงานได้อย่างราบรื่นครับ
ตัวอย่าง เช่น การเปิดบัญชีธนาคาร ย่อมเข้าใจได้ว่า ธนาคารต้องเก็บข้อมูลชื่อ-นามสกุล, ที่อยู่, ช่องทางการติดต่อกับลูกค้า เพื่ออัปเดตข้อมูลของบริการของทางธนาคาร (ตามประเภทบัญชีที่ลูกค้าเปิดไว้) จึงน่าจะเข้า “ฐานประโยชน์อันชอบธรรม และฐานสัญญา” นั่นเอง
ขณะเดียวกัน ธนาคารก็มีหน้าที่ในการปฏิบัติตามกฎหมายป้องกันการฟอกเงิน (AMLO) การเก็บข้อมูลส่วนตัวและข้อมูลทางการเงิน ในบุคคลที่น่าสงสัย/มีความเสี่ยงในการฟอกเงิน เพื่อส่งต่อให้ ปปง. ก็ย่อมเข้าข่าย การเก็บข้อมูลโดยใช้ “ฐานการปฏิบัติตามกฎหมาย”
. . .
แล้วอะไรที่ต้องขอความยินยอมเปิดเผยข้อมูลส่วนบุคคลกับลูกค้าละ?
การใช้ข้อมูลส่วนบุคคลนอกเหนือจากการให้บริการตามปกติ (นอกวิสัยที่ลูกค้าน่าจะคาดเดาได้) เช่น ลูกค้าเปิดบัญชีเงินฝาก แต่มีการนำข้อมูลการติดต่อส่งไปให้บริษัทประกันในเครือ เพื่อใช้เสนอขายผลิตภัณฑ์อื่นที่ไม่ใช่เงินฝาก กรณีเช่นนี้ ธนาคาร “ต้อง” ขอความยินยอม จากลูกค้าอย่างชัดเจนก่อน และการยินยอม/ไม่ยินยอม ต้องไม่เป็นเงื่อนไขในการให้บริการด้วย
แต่ถ้าธนาคารต้องการนำข้อมูลของลูกค้าไปพัฒนาปรับปรุง ก็สามารถทำได้โดยไม่ต้องขอความยินยอมเช่นกัน แต่ข้อมูลนั้น ต้องถูกทำให้ “ไม่สามารถระบุตัวตน” ได้ เรียกว่า การจัดทำข้อมูลนิรนาม (Data Anonymisation)
อย่างไรก็ตาม มีข้อจำกัดในเรื่องข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ซึ่งมีข้อยกเว้นให้ใช้โดยไม่ต้องขอความยินยอมน้อยมาก ๆ
. . .
ต่อกันที่ สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ซึ่งก็คือเรา ๆ คนทั่วไป ได้แก่
1. สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
2. สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
3. สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
4. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
5. สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
6. สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
7. สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
. . .
เข้าเรื่องแอป “เป๋าตัง” ทำไมต้องขอความยินยอมในการเก็บ รวบรวม และใช้ข้อมูลส่วนบุคคล?
คำตอบนั้นง่ายมาก เพราะ ธนาคารกรุงไทยอยากได้ข้อมูลลูกค้าเพื่อ พัฒนาและปรับปรุงการให้บริการ (ตามข้อที่ 2), เสนอขายผลิตภัณฑ์ของบริษัทในเครือ (ตามข้อที่ 1) และใช้ข้อมูลที่มีความละเอียดอ่อน เช่น บัตรประชาชน (มีข้อมูลศาสนา) และ Biometrics (เช่น ใบหน้า) เพื่อยืนยันตัวตนในการเข้าร่วมโครงการภาครัฐ (ตามข้อที่ 3)
. . .
การขอความยินยอมฯ ของแอปเป๋าตัง “ไม่ผิด” แต่สิ่งที่ผิดคือการทำให้ผู้ใช้งานเข้าใจผิดว่าหากไม่ยินยอมให้ใช้ข้อมูลส่วนบุคคลในข้อ 1 และข้อ 2 จะทำให้ไม่สามารถใช้บริการของแอปเป๋าตังได้
ซึ่งผิดกับหลักการของกฎหมายที่บอกไว้ว่าผู้ให้บริการสามารถขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลได้… แต่การขอความยินยอมนั้นจะต้องไม่เป็นหนึ่งในเงื่อนไขในการให้บริการด้วย
และยังมีประเด็นถัดมา ที่ว่า ผู้ใช้บริการจะต้องสามารถขอถอนการให้ความยินยอมได้โดย “ง่ายในระดับเดียวกัน” กับการให้ความยินยอม แต่แอปเป๋าตังก็ไม่มีช่องทางให้ถอนการให้ความยินยอม ในขณะเดียวกันเมื่อโทรไปยัง Call Centre ก็บอกว่าไม่สามารถถอนความยินยอมได้ ณ ปัจจุบัน
ส่วนประเด็นสุดท้ายที่ทำให้ประมาณนี้ดูจะรุนแรงกว่าของธนาคารอื่น ๆ ที่มีการขอความยินยอมเหมือนกัน ก็คือ เป๋าตัง เป็นแอปพลิเคชันที่ใช้งานในโครงการสวัสดิการของทางรัฐบาล แต่กลับมีการขอความยินยอมเข้าถึงใช้งานข้อมูลส่วนบุคคลไปให้บริษัทในเครือของธนาคารกรุงไทย
แต่คืนวันที่ 7 มิ.ย. 2564 ธนาคารออกมาแจ้งว่าจะทำช่องทางให้ยกเลิกได้ และเย็นวันที่ 8 มิ.ย. 2564 ธนาคารแจ้งว่าจะยกเลิกการให้ความยินยอมที่ผู้ใช้งานได้ให้ไปทั้งหมดโดยอัตโนมัติ
ก็ถือว่าดราม่านี้น่าจะจบลงแล้ว แต่ก็น่าจะทำให้คนไทยรู้จักกับกฎหมาย PDPA แพร่หลายมากขึ้น และเป็นบทเรียนของสถาบันการเงินที่ต้องให้บริการลูกค้าบนฐานของข้อมูลส่วนบุคคลจำนวนมากจึงมีความเสี่ยงในเรื่องของการปฏิบัติตามกฏหมายและหลักเกณฑ์ของข้อมูลส่วนบุคคลสูง
. . .
ความเห็นส่วนตัว
คิดว่าการขอความยินยอมในการใช้งานข้อมูลส่วนบุคคลสามารถทำได้แต่ควรจะแยกหัวข้ออย่างชัดเจนว่าการขอความยินยอมในข้อใดที่ลูกค้าไม่จำเป็นต้องให้ความยินยอม…
ส่วนข้อใดที่ลูกค้าจำเป็นต้องให้ความยินยอม ซึ่งมักจะเป็นข้อมูลที่มีความละเอียดอ่อน โดยมักจะอยู่ในบัตรประชาชน เช่น ข้อมูลศาสนา การเข้าใช้งานผ่านโปรแกรมอิเล็กทรอนิกส์ โปรแกรมจดจำใบหน้าซึ่งเป็นข้อมูลทางชีวภาพ และการยืนยันตัวตนกับทางภาครัฐ ก็ควรแยกหัวข้อนี้ออกมาให้ชัดเจน
##########
References
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 : http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF
แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลภาคธุรกิจธนาคาร สมาคมธนาคารไทย : https://www.tba.or.th/wp-content/uploads/2021/04/Guideline-on-Personal-Data-Protection-for-Thai-Banks-final-Version-MS-TH-28042021-%e0%b8%aa%e0%b8%b5%e0%b8%99%e0%b9%89%e0%b8%b3%e0%b9%80%e0%b8%87%e0%b8%b4%e0%b8%99.pdf
“กรุงไทย” แจ้งยกเลิกระบบยินยอมเปิดเผยข้อมูลบนแอปฯเป๋าตัง ให้ผู้ใช้งานทุกคน “โดยอัตโนมัติ” : https://krungthai.com/th/krungthai-update/news-detail/720
##########
Blockdit : https://www.blockdit.com/posts/60bf4b99b253933a6137242e