Blockdit Logo (Mobile)
ลงทุนกับอ๋อง
8 มิ.ย. 2021 เวลา 10:51 • ธุรกิจ
PDPA ที่มาดราม่า “เป๋าตัง-กรุงไทย”
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือที่รู้จักกันว่า กฎหมาย PDPA (Personal Data Protection Act) คือ กฎหมายที่ออกมาเพื่อคุ้มครองข้อมูลส่วนบุคคล… (เลื่อนบังคับใช้เป็น 1 มิ.ย. 2565)
PDPA ที่มาดราม่า “เป๋าตัง-กรุงไทย”
ข้อมูลส่วนบุคคล คืออะไรบ้าง?
ข้อมูลที่ทำให้ระบุตัวบุคคลได้ ทั้งทางตรงและทางอ้อม เช่น ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์, รูปถ่าย, ข้อมูลทางการเงิน (กฎหมายฉบับนี้ไม่บังคับใช้กับคนตายและนิติบุคคล)
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) เช่น ข้อมูลสุขภาพ, ข้อมูลทางพันธุกรรมและไบโอเมทริกซ์, เชื้อชาติ, ความคิดเห็นทางการเมือง, ความเชื่อทางศาสนาหรือปรัชญา, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน เป็นต้น
บุคคลที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
1. เจ้าของข้อมูลส่วนบุคคล (Data Subject)
2. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะมีฐานทางกฎหมายต่าง ๆ ที่สามารถกระทำได้ 7 ฐานด้วยกัน
1. ฐานความยินยอม
2. ฐานสัญญา
3. ฐานประโยชน์สำคัญต่อชีวิต
4. ฐานภารกิจของรัฐ
5. ฐานประโยชน์อันชอบธรรม
6. ฐานการปฏิบัติตามกฎหมาย
7. ฐานเอกสารประวัติศาสตร์ จดหมายเหตุและการศึกษาวิจัยหรือสถิติ (Research)
นั่นหมายความว่า ผู้เก็บรวบรวมข้อมูลส่วนบุคคล สามารถเก็บข้อมูลส่วนบุคคลได้ หากเข้าฐานทางกฎหมาย ข้อใดข้อหนึ่ง
โดยทั่วไป การใช้ข้อมูลส่วนบุคคล จะมีข้ออนุโลมให้ใช้โดยไม่ต้องขออนุญาตได้หลายข้อ เพื่อให้พนักงานของบริษัทสามารถปฏิบัติงานได้อย่างราบรื่นครับ
2
ตัวอย่าง เช่น การเปิดบัญชีธนาคาร ย่อมเข้าใจได้ว่า ธนาคารต้องเก็บข้อมูลชื่อ-นามสกุล, ที่อยู่, ช่องทางการติดต่อกับลูกค้า เพื่ออัปเดตข้อมูลของบริการของทางธนาคาร (ตามประเภทบัญชีที่ลูกค้าเปิดไว้) จึงน่าจะเข้า ฐานประโยชน์อันชอบธรรม และฐานสัญญา นั่นเอง
ขณะเดียวกัน ธนาคารก็มีหน้าที่ในการปฏิบัติตามกฎหมายป้องกันการฟอกเงิน (AMLO) การเก็บข้อมูลส่วนตัวและข้อมูลทางการเงิน ในบุคคลที่น่าสงสัย/มีความเสี่ยงในการฟอกเงิน เพื่อส่งต่อให้ ปปง. ก็ย่อมเข้าข่าย การเก็บข้อมูลโดยใช้ “ฐานการปฏิบัติตามกฎหมาย”
แล้วอะไรที่ต้องขอความยินยอมเปิดเผยข้อมูลส่วนบุคคลกับลูกค้าละ?
การใช้ข้อมูลส่วนบุคคลนอกเหนือจากการให้บริการตามปกติ (นอกวิสัยที่ลูกค้าน่าจะคาดเดาได้) เช่น ลูกค้าเปิดบัญชีเงินฝาก แต่มีการนำข้อมูลการติดต่อส่งไปให้บริษัทประกันในเครือ เพื่อใช้เสนอขายผลิตภัณฑ์อื่นที่ไม่ใช่เงินฝาก กรณีเช่นนี้ ธนาคาร “ต้อง” ขอความยินยอม จากลูกค้าอย่างชัดเจนก่อน และการยินยอม/ไม่ยินยอม ต้องไม่เป็นเงื่อนไขในการให้บริการด้วย
แต่ถ้าธนาคารต้องการนำข้อมูลของลูกค้าไปพัฒนาปรับปรุง ก็สามารถทำได้โดยไม่ต้องขอความยินยอมเช่นกัน แต่ข้อมูลนั้น ต้องถูกทำให้ “ไม่สามารถระบุตัวตน” ได้ เรียกว่า การจัดทำข้อมูลนิรนาม (Data Anonymisation)
อย่างไรก็ตาม มีข้อจำกัดในเรื่องข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ซึ่งมีข้อยกเว้นให้ใช้โดยไม่ต้องขอความยินยอมน้อยมาก ๆ
ต่อกันที่ สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ซึ่งก็คือเรา ๆ คนทั่วไป ได้แก่
1. สิทธิได้รับการแจ้งให้ทราบ (Right to be informed)
2. สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access)
3. สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)
4. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)
5. สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (Right to erasure (also known as right to be forgotten)
6. สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)
7. สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification)
เข้าเรื่องแอป “เป๋าตัง” ทำไมต้องขอความยินยอมในการเก็บ รวบรวม และใช้ข้อมูลส่วนบุคคล?
หน้าจอการขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลของแอป เป๋าตัง
คำตอบนั้นง่ายมาก เพราะ ธนาคารกรุงไทยอยากได้ข้อมูลลูกค้าเพื่อ พัฒนาและปรับปรุงการให้บริการ (ตามข้อที่ 2), เสนอขายผลิตภัณฑ์ของบริษัทในเครือ (ตามข้อที่ 1) และใช้ข้อมูลที่มีความละเอียดอ่อน เช่น บัตรประชาชน (มีข้อมูลศาสนา) และ Biometrics (เช่น ใบหน้า) เพื่อยืนยันตัวตนในการเข้าร่วมโครงการภาครัฐ (ตามข้อที่ 3)
การขอความยินยอมฯ ของแอปเป๋าตัง “ไม่ผิด” แต่สิ่งที่ผิดคือการทำให้ผู้ใช้งานเข้าใจผิดว่าหากไม่ยินยอมให้ใช้ข้อมูลส่วนบุคคลในข้อ 1 และข้อ 2 จะทำให้ไม่สามารถใช้บริการของแอปเป๋าตังได้
ซึ่งผิดกับหลักการของกฎหมายที่บอกไว้ว่าผู้ให้บริการสามารถขอความยินยอมให้ใช้ข้อมูลส่วนบุคคลได้… แต่การขอความยินยอมนั้นจะต้องไม่เป็นหนึ่งในเงื่อนไขในการให้บริการด้วย
และยังมีประเด็นถัดมา ที่ว่า ผู้ใช้บริการจะต้องสามารถขอถอนการให้ความยินยอมได้โดย “ง่ายในระดับเดียวกัน” กับการให้ความยินยอม แต่แอปเป๋าตังก็ไม่มีช่องทางให้ถอนการให้ความยินยอม ในขณะเดียวกันเมื่อโทรไปยัง Call Centre ก็บอกว่าไม่สามารถถอนความยินยอมได้ ณ ปัจจุบัน
ส่วนประเด็นสุดท้ายที่ทำให้ประมาณนี้ดูจะรุนแรงกว่าของธนาคารอื่น ๆ ที่มีการขอความยินยอมเหมือนกัน ก็คือ เป๋าตัง เป็นแอปพลิเคชันที่ใช้งานในโครงการสวัสดิการของทางรัฐบาล แต่กลับมีการขอความยินยอมเข้าถึงใช้งานข้อมูลส่วนบุคคลไปให้บริษัทในเครือของธนาคารกรุงไทย
แต่คืนวันที่ 7 มิ.ย. 2564 ธนาคารออกมาแจ้งว่าจะทำช่องทางให้ยกเลิกได้ และเย็นวันที่ 8 มิ.ย. 2564 ธนาคารแจ้งว่าจะยกเลิกการให้ความยินยอมที่ผู้ใช้งานได้ให้ไปทั้งหมดโดยอัตโนมัติ
ก็ถือว่าดราม่านี้น่าจะจบลงแล้ว แต่ก็น่าจะทำให้คนไทยรู้จักกับกฎหมาย PDPA แพร่หลายมากขึ้น และเป็นบทเรียนของสถาบันการเงินที่ต้องให้บริการลูกค้าบนฐานของข้อมูลส่วนบุคคลจำนวนมากจึงมีความเสี่ยงในเรื่องของการปฏิบัติตามกฏหมายและหลักเกณฑ์ของข้อมูลส่วนบุคคลสูง
ความเห็นส่วนตัว : คิดว่าการขอความยินยอมในการใช้งานข้อมูลส่วนบุคคลสามารถทำได้แต่ควรจะแยกหัวข้ออย่างชัดเจนว่าการขอความยินยอมในข้อใดที่ลูกค้าไม่จำเป็นต้องให้ความยินยอม…
ส่วนข้อใดที่ลูกค้าจำเป็นต้องให้ความยินยอม ซึ่งมักจะเป็นข้อมูลที่มีความละเอียดอ่อน โดยมักจะอยู่ในบัตรประชาชน เช่น ข้อมูลศาสนา การเข้าใช้งานผ่านโปรแกรมอิเล็กทรอนิกส์ โปรแกรมจดจำใบหน้าซึ่งเป็นข้อมูลทางชีวภาพ และการยืนยันตัวตนกับทางภาครัฐ ก็ควรแยกหัวข้อนี้ออกมาให้ชัดเจน
References
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 : http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF
แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลภาคธุรกิจธนาคาร สมาคมธนาคารไทย : https://www.tba.or.th/wp-content/uploads/2021/04/Guideline-on-Personal-Data-Protection-for-Thai-Banks-final-Version-MS-TH-28042021-%e0%b8%aa%e0%b8%b5%e0%b8%99%e0%b9%89%e0%b8%b3%e0%b9%80%e0%b8%87%e0%b8%b4%e0%b8%99.pdf
“กรุงไทย” แจ้งยกเลิกระบบยินยอมเปิดเผยข้อมูลบนแอปฯเป๋าตัง ให้ผู้ใช้งานทุกคน “โดยอัตโนมัติ” : https://krungthai.com/th/krungthai-update/news-detail/720
โฆษณา