ผู้แต่ง: ทศพร โคตะมะ นิสิตหลักสูตรนิติศาสตรปริญญามหาบัณฑิตสาขาวิชากฎหมายเอกชนและธุรกิจ คณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย
บทความนี้เป็นส่วนหนึ่งของวิทยานิพนธ์เรื่อง ปัญหาการใช้ฐานความจำเป็นเพื่อประโยชน์โดยชอบของธนาคารพาณิชย์ในการประมวลผลข้อมูลส่วนบุคคล
ภายหลังจากที่มีการประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ธนาคารพาณิชย์ถือเป็นองค์กรธุรกิจหนึ่งที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลมากมาย ทั้งจากการให้บริการลูกค้า และการจัดการบริหารภายในสำหรับการดำเนินธุรกิจภายใต้ประกาศและแนวปฏิบัติของธนาคารแห่งประเทศไทย
ดังนั้นผู้ศึกษาจึงมุ่งที่จะศึกษาการประมวลผลข้อมูลส่วนบุคคลกรณีการให้สินเชื่อที่เกี่ยวข้องกับบุคคลธรรมดา ซึ่งนับเป็นอีกหนึ่งผลิตภัณฑ์ที่มีความสำคัญไม่น้อยไปกว่าบริการด้านเงินฝาก ตราสารทางการเงิน หรือการลงทุนในหลักทรัพย์ เพราะเป็นการให้สินเชื่อกับบุคคลธรรมดาโดยตรง เริ่มต้นจากการศึกษาขั้นตอนการปฏิบัติงานในการให้สินเชื่อของกลุ่มเป้าหมายในแต่ละผลิตภัณฑ์ของธนาคารตาม Workflow Process (ภาพที่ 1) เพื่อพิจารณาถึงกิจกรรมที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคล
เมื่อศึกษาถึงขั้นตอนการปฏิบัติงานดังกล่าว พบว่าธนาคารมีความเกี่ยวข้องกับข้อมูลส่วนบุคคลที่สามารถเชื่อมโยงไปยังเจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะเป็นผู้ขอสินเชื่อเอง หรือผู้ที่เกี่ยวข้องกับผู้ขอสินเชื่อในการขอสินเชื่อครั้งนั้น ๆ จากกิจกรรมการประมวลผลข้อมูลส่วนบุคคลโดยนำขั้นตอนการปฏิบัติงานที่เหมือนกันในแต่ละผลิตภัณฑ์มาจัดกลุ่มกิจกรรม (ภาพที่ 2) ผ่านมุมมองของ พรบ. คุ้มครองข้อมูลส่วนบุคคล และกฎหมาย General Data Protection Regulation (GDPR) ของสหภาพยุโรป
เมื่อพิจารณากิจกรรมทั้ง 7 กลุ่มกิจกรรมที่ได้นำเสนอไว้แล้วข้างต้น มาศึกษาถึงการไหลเวียนของข้อมูลส่วนบุคคลที่ธนาคารพาณิชย์มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จากรายการประมวลผลข้อมูลส่วนบุคคลในแต่ละประเภทสินเชื่อ (ตารางที่ 1)
ดังนั้นจึงทำให้เห็นถึงแผนภาพเส้นทางการไหลเวียนของข้อมูลส่วนบุคคล (Data Flow) ในกิจกรรมการประมวลผลข้อมูลส่วนบุคคลของธนาคารพาณิชย์ในการให้สินเชื่อที่เกี่ยวข้องกับบุคคล (ภาพที่ 3)
นอกจากนั้นยังศึกษาถึงฐานการประมวลผลที่ธนาคารพาณิชย์เลือกใช้ (ตารางที่ 2) โดยมุ่งศึกษาถึงวัตถุประสงค์ที่ธนาคารพาณิชย์มีการเลือกใช้ฐานเพื่อประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) ซึ่งอ้างอิงจากแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของสมาคมธนาคารไทย และประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) รวมไปถึงหนังสือให้ความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของวัตถุประสงค์การประมวลผล
ผลจากการศึกษาดังกล่าวจึงพบความไม่สอดคล้องถึงการอ้างฐานเพื่อประโยชน์อันชอบธรรมของธนาคาร ซึ่งพบว่าวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลที่เหมือนหรือคล้ายกัน ธนาคารพาณิชย์แต่ละแห่งเลือกใช้ฐานการประมวลผลที่แตกต่างกัน (ตารางที่ 3) โดยเป็นการเลือกใช้ฐานการประมวลผลระหว่างฐานความยินยอม (Consent) กับฐานเพื่อประโยชน์โดยชอบธรรม (Legitimate Interest)
นอกจากนั้นยังพบว่า ปัจจุบันยังไม่มีประกาศกฎเกณฑ์กำหนดหน้าที่ความรับผิดชอบหรือนโยบายที่กำหนดให้ธนาคารต้องกำหนดผู้รับผิดชอบการประเมินผลการใช้ฐานเพื่อประโยชน์อันชอบธรรมและการตรวจสอบผลการประเมินให้มีความสมดุล เป็นธรรม และหลีกเลี่ยงความขัดแย้งกันทางด้านผลประโยชน์ (conflict of interest) รวมถึงหลักการและรูปแบบการประเมินการใช้ฐานเพื่อประโยชน์อันชอบธรรม Legitimate interest Assessment (LIA) เพื่อที่ธนาคารพาณิชย์นำไปปรับใช้กับการประเมินวัตถุประสงค์ที่ใช้ฐานเพื่อประโยชน์อันชอบธรรมได้
มาตรฐานนโยบายการเก็บรักษาข้อมูลสำหรับธนาคารพาณิชย์
จากการศึกษาถึงการไหลเวียนของข้อมูลส่วนบุคคลดังกล่าวยังพบถึงปัญหาของการกำหนดระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลของธนาคาร สำหรับข้อมูลบางประเภทที่ไม่มีกฎหมายกำหนดระยะเวลาการจัดเก็บข้อมูล ยังไม่มีมาตรฐานหรือหลักการในการจัดทำนโยบายการเก็บรักษาข้อมูลส่วนบุคคลที่ชัดเจน เพื่อเป็นแนวปฏิบัติให้ธนาคารพาณิชย์นำไปใช้ในการเก็บรวบรวมข้อมูลและระยะเวลาที่พึงคาดหมายได้ในการจัดเก็บข้อมูล
ข้อค้นพบ
การประมวลผลข้อมูลส่วนบุคคลของธนาคารพาณิชย์ในกลุ่มเป้าหมาย กรณีการประมวลผลบนฐานความจำเป็นเพื่อประโยชน์โดยชอบธรรม (legitimate interest) มีความคลุมเครือในการใช้ฐานความจำเป็นเพื่อประโยชน์โดยชอบธรรม (legitimate interest) ในวัตถุประสงค์เดียวกันของธนาคารพาณิชย์ ปราศจากมาตรฐานในวิธีการประเมิน และนโยบายการเก็บรักษาข้อมูล หรือ หลักการอื่นๆ ยังคงไม่ชัดเจน ดังนั้นจึงมีความจำเป็นอย่างยิ่งที่จะสร้างมาตรฐานและวิธีการ สำหรับวัตถุประสงค์ซึ่งใช้ฐานความจำเป็นเพื่อประโยชน์โดยชอบธรรม (legitimate interest) รวมถึงมาตรฐานนโยบายการเก็บรักษาข้อมูลสำหรับธนาคารพาณิชย์ต่าง ๆ เพื่อใช้เป็นแนวทางการดำเนินงานอย่างถูกต้องตามกฎหมาย
บทความนี้เป็นเพียงส่วนหนึ่งของวิทยานิพนธ์ที่มุ่งจะศึกษาการดำเนินงานและการประมวลผลข้อมูลส่วนบุคคลของธนาคารพาณิชย์ โดยเฉพาะอย่างยิ่ง ปัญหาการคุ้มครองข้อมูลส่วนบุคคลของผลิตภัณฑ์สินเชื่อส่วนบุคคล โดยมุ่งเน้นกรณีการประมวลผลบนฐานความจำเป็นเพื่อประโยชน์โดยชอบธรรม (legitimate interest) ประกอบกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลของสมาคมธนาคารไทยเป็นแหล่งอ้างอิงในการศึกษา