Home / Uncategorized / คปภ. ระดมสมอง “หน่วยงานรัฐ-ภาคอุตสาหกรรมประกันภัย” จัดทำแนวทางปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย ทั้งในส่วนของหน่วยงานกำกับดูแลและในส่วนธุรกิจประกันภัย

คปภ. ระดมสมอง “หน่วยงานรัฐ-ภาคอุตสาหกรรมประกันภัย” จัดทำแนวทางปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไทย ทั้งในส่วนของหน่วยงานกำกับดูแลและในส่วนธุรกิจประกันภัย

           ดร. สุทธิพล ทวีชัยการ เลขาธิการคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (เลขาธิการ คปภ.) เป็นประธานเปิดการสัมมนาโครงการเพิ่มประสิทธิภาพการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทย เมื่อวันที่ 2 กันยายน 2563 ณ โรงแรมสวิสโฮเต็ล ถนนรัชดาภิเษก กรุงเทพมหานคร โดยมีวัตถุประสงค์เพื่อให้ สำนักงาน คปภ. และภาคอุตสาหกรรมประกันภัย มีแนวทางปฏิบัติที่ชัดเจนเกี่ยวกับการปฏิบัติตามหลักเกณฑ์และเงื่อนไขที่กำหนดไว้ในกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทย ได้อย่างถูกต้องครบถ้วน รวมทั้งมีโครงการศึกษาการจัดตั้งศูนย์บริหารจัดการข้อมูลการประกันภัย ตลอดจนส่งเสริมและผลักดันการใช้บังคับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทยในอุตสาหกรรมการประกันภัย เพื่อให้ประชาชนได้รับความคุ้มครองตามกฎหมายดังกล่าว

เลขาธิการ คปภ. กล่าวในตอนหนึ่งว่า สำนักงาน คปภ. ในฐานะหน่วยงานกำกับดูแลธุรกิจประกันภัย ซึ่งต้องกำกับดูแลให้ภาคธุรกิจประกันภัยปฏิบัติให้สอดคล้องกับบทบัญญัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งตราขึ้นเพื่อป้องกันการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคล ในขณะเดียวกันก็คำนึงถึงความคล่องตัวในการประกอบธุรกิจประกันภัย จึงได้มีการประสานความร่วมมือกับหน่วยงานต่าง ๆ และภาคธุรกิจประกันภัย ประกอบด้วย ผู้แทนกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ผู้แทนสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล นายกสมาคมประกันชีวิตไทย นายกสมาคมประกันวินาศภัยไทย นายกสมาคมตัวแทนประกันชีวิตและ ที่ปรึกษาทางการเงิน นายกสมาคมนายหน้าประกันภัยไทย นายกสมาคมธนาคารไทย นายกสมาคมนักคณิตศาสตร์ประกันภัยไทย นายกสมาคมผู้ประเมินวินาศภัย และนายกสมาคมการค้าผู้สำรวจภัยไทย เพื่อรวบรวมประเด็นปัญหาและอุปสรรคต่อการประกอบธุรกิจจากการบังคับใช้กฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคล และได้มีการแต่งตั้งคณะทำงานศึกษาแนวทางการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลในส่วนที่เกี่ยวข้องกับธุรกิจประกันภัย ภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

ที่ผ่านมาได้มีการประชุมเพื่อร่วมกันพิจารณาประเด็นปัญหาและอุปสรรคจากการปฏิบัติตามกฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคลของธุรกิจประกันชีวิตและธุรกิจประกันวินาศภัย และพิจารณากรอบแนวนโยบายและ แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของธุรกิจประกันภัย โดยมี 10 ประเด็นปัญหาสำคัญที่ได้มีการหารือในครั้งนี้ คือ ประเด็นแรก เกี่ยวกับกรณีบริษัทประกันภัยจะต้องขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลสุขภาพของผู้เอาประกันภัย และบุคคลในครอบครัว หรือไม่ หากเป็นไปเพื่อประโยชน์ในการพิจารณารับประกันภัยหรือปฏิบัติตามสัญญาโดยการชดใช้ค่าสินไหมทดแทน ประเด็นสอง เกี่ยวกับกรณีที่เจ้าของข้อมูลส่วนบุคคลให้สำเนาบัตรประชาชน ซึ่งมีข้อมูลที่มีความอ่อนไหว กรณีดังกล่าวจะต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลหรือไม่ และถือว่าเป็นการเก็บรวบรวมข้อมูลนอกเหนือวัตถุประสงค์และเกินความจำเป็นในการรวบรวมตามกฎหมายหรือไม่ เช่น กรณีผู้เอาประกันภัยซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลได้มอบอำนาจให้บุคคลอื่นใช้สิทธิเรียกร้องค่าสินไหมทดแทน และได้แนบสำเนาบัตรประจำตัวประชาชนให้แก่บริษัทประกันภัยด้วย

         ประเด็นที่ 3 การให้บริการหลังการขายของตัวแทนประกันภัยหรือนายหน้าประกันภัยซึ่งจำเป็นต้องใช้ข้อมูลของลูกค้าเพื่อให้บริการหลังการขาย ต้องมีการขอความยินยอมจากลูกค้า เพื่อให้บริษัทสามารถเปิดเผยข้อมูลกับนายหน้าประกันภัยหรือไม่ ประเด็นที่ 4 การเก็บข้อมูลจากบุคคลอื่นที่มิใช่เจ้าของข้อมูล เช่น กรณีบริษัทประกันภัยได้รายชื่อลูกค้าจากนิติบุคคลอื่นมาเพื่อเสนอขายประกันภัยทางโทรศัพท์ ประเด็นที่ 5 การแลกเปลี่ยนข้อมูลเกี่ยวกับรายชื่อของผู้ขอเอาประกันภัยที่บริษัทประกันภัยได้ปฏิเสธการรับประกันภัยหรือการชดใช้ค่าสินไหมทดแทน ข้อมูลเกี่ยวกับตัวแทนประกันภัยหรือนายหน้าประกันภัย หรือเป็นข้อมูลของบุคคลที่เห็นว่ามีพฤติกรรมที่อาจเข้าข่ายกระทำผิดกฎหมายหรือฉ้อฉลประกันภัย

         ประเด็นที่ 6 ระยะเวลาการจัดเก็บข้อมูลส่วนบุคคลแต่ละประเภทที่ชัดเจน ประเด็นที่ 7 การเก็บข้อมูลส่วนบุคคลของลูกค้าที่ถูกปฏิเสธการรับประกันภัยไว้เพื่อประโยชน์ในการพิจารณารับประกันภัยครั้งต่อไปทำได้หรือไม่ ประเด็นที่ 8 การลบทำลายข้อมูลส่วนบุคคล เช่น กรณีลูกค้าขอให้ลบข้อมูลสุขภาพ หรือทำให้ไม่สามารถระบุตัวตนของเจ้าของข้อมูลสุขภาพได้อีกแล้วมาขอสมัครใหม่ ซึ่งอาจส่งผลต่อการรับพิจารณาประกันภัยใหม่เนื่องจากบริษัทจะไม่สามารถตรวจสอบประวัติสุขภาพเดิมได้ และลูกค้าอาจปกปิดประวัติสุขภาพที่แถลงต่อบริษัทจึงทำให้บริษัทเกิดความเสี่ยงได้

         ประเด็นที่ 9 ปัญหาขอบเขตของบริษัทรับประกันภัยต่อ เช่น กรณีที่บริษัทประกันภัยต้องเปิดเผยข้อมูลส่วนบุคคลของผู้เอาประกันภัยให้แก่บริษัทรับประกันภัยต่อ เพื่อการทำสัญญาประกันภัยต่อ กรณีดังกล่าวบริษัทประกันภัยส่งข้อมูลได้โดยไม่ต้องขอความยินยอมหรือไม่ และประเด็นที่ 10 ปัญหาการตีความหน้าที่ความรับผิดชอบของนายหน้าประกันภัยว่าเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล

ทั้งนี้ เพื่อให้ภาคธุรกิจประกันภัยมีแนวทางปฏิบัติที่ชัดเจนในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะต่อไป สำนักงาน คปภ. จึงได้จัดทำโครงการเพิ่มประสิทธิภาพการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทยขึ้น โดยได้มอบหมายให้บริษัท เบเคอร์ แอนด์ แม็คเค็นซี่ จำกัด พิจารณาประเด็นปัญหาอุปสรรคต่าง ๆ รวมถึงเอกสารดังกล่าวข้างต้นที่ภาคธุรกิจประกันภัยเสนอต่อสำนักงาน คปภ. และศึกษาและวิเคราะห์กฎหมายคุ้มครองข้อมูลส่วนบุคคล แนวทางปฏิบัติของ DGPR และต่างประเทศเพื่อกำหนดมาตรฐานขั้นต่ำสำหรับนโยบายคุ้มครองข้อมูลส่วนบุคคล และจัดทำข้อมูลเกี่ยวกับการเคลื่อนที่ของข้อมูลส่วนบุคคล (Data Flow)


โดยเชิญผู้แทนภาคธุรกิจประกันภัยมาให้ข้อมูล รวมทั้งวิเคราะห์ปัญหา อุปสรรค และช่องว่างในการปฏิบัติตามกฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคลของไทย (
Gap Analysis) การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลเพื่อดำเนินการจัดทำระบบฐานข้อมูลประกันภัย (Insurance Bureau System) หรือเพื่อป้องกันการฉ้อฉลประกันภัย รวมถึงการพัฒนาเอกสารที่รองรับการดำเนินการที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลสำหรับภาคอุตสาหกรรมประกันภัย โดยได้นำร่างหนังสือ Privacy Notice การเคลื่อนที่ของข้อมูลส่วนบุคคลในแต่ละกิจกรรมของภาคธุรกิจประกันภัย และใบคำขอเอาประกันภัย ฉบับมาตรฐานประเภทต่างๆ ที่ภาคธุรกิจประกันภัยได้ให้ข้อมูลมาใช้เพื่อประกอบการพิจารณาปรับปรุงให้ภาคธุรกิจประกันภัยมีทิศทางในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ได้อย่างถูกต้อง ตลอดจนจัดทำมาตรฐานขั้นต่ำนโยบายคุ้มครองข้อมูลส่วนบุคคล แนวทางปฏิบัติ โดยมีโครงสร้างที่มีหัวข้อเกี่ยวกับประเภทข้อมูลส่วนบุคคลที่บริษัทประกันภัยเก็บรวบรวม วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผย การเปิดเผยข้อมูลส่วนบุคคล การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูล รวมถึงแบบฟอร์มที่เกี่ยวข้องกับการปฏิบัติงานแก่ภาคอุตสาหกรรมประกันภัย เช่น การกำหนดแบบเอกสารที่เกี่ยวข้องกับการร้องเรียนของเจ้าของข้อมูลส่วนบุคคล รวมถึงใบคำขอเอาประกันภัย เป็นต้น โดยโครงการนี้มีความคืบหน้าและจะแล้วเสร็จภายในกำหนดคือวันที่ 10 กันยายนนี้

“การสัมมนาในครั้งนี้ เป็นการระดมสมองจากหน่วยงานที่เกี่ยวข้องเพื่อร่วมกันถอดรหัสและคลี่ประเด็นปัญหา โดยยังมีหลายประเด็นที่สำนักงาน คปภ. และภาคอุตสาหกรรมประกันภัยต้องร่วมมือกันเพื่อกำหนดทิศทางและวางกรอบในทางปฏิบัติ รวมทั้งหารือเพื่อขอความชัดเจนกับกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในฐานะหน่วยงานที่บังคับใช้กฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคล เพื่อให้ภาคธุรกิจประกันภัยมีแนวทางปฏิบัติที่ชัดเจนในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นการเฉพาะต่อไป” เลขาธิการ คปภ. กล่าวในตอนท้าย