PDPA ประกันภัย สำคัญอย่างไรในยุคที่กฎหมายคุ้มครองข้อมูลของลูกค้า?
ธุรกิจประกันภัย เป็นหนึ่งในธุรกิจที่ใช้ข้อมูลส่วนบุคคลประกอบการดำเนินธุรกรรม อาทิ การนำข้อมูลส่วนบุคคลมาใช้สนับสนุนการรับพิจารณาประกัน การปฏิบัติตามสัญญา การให้บริการลูกค้า ฯลฯ การใช้ข้อมูลส่วนบุคคลเพื่อทำธุรกรรมต่างๆ ถูกใช้จนเป็นเรื่องปกติ
จนถึงวันหนึ่งที่ กฎหมายคุ้มครองข้อมูลส่วนบุคคล ของพลเมืองสหภาพยุโรป (GDPR) ได้ถูกบังคับใช้และกลายเป็นแนวปฏิบัติในระดับสากล และตามมาด้วยกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย หรือกฎหมาย PDPA ที่มีผลบังคับใช้อย่างเป็นทางการ จนกลายเป็นหลักเกณฑ์และมาตรฐานการกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล ที่มีประสิทธิผลสอดคล้องกับกฎหมาย GDPR ซึ่งกฎหมายทั้งสองฉบับช่วยเสริมความเชื่อมั่น ให้กับระบบเศรษฐกิจและการเงินไทย
ในยุคที่ความปรกติ ถูกรบกวนด้วยพันธะทางกฎหมาย การใช้ข้อมูลส่วนบุคคลในธุรกิจประกันภัยจะเปลี่ยนไปอย่างไรบ้าง ธุรกิจประกันภัยยังสามารถดำเนินธุรกรรมเดิมที่เคยทำได้หรือไม่ และอะไรเป็นสิ่งสำคัญในกฎหมาย PDPA ที่ธุรกิจประกันต้องปฏิบัติตามเพื่อให้ตอบโจทย์กฎหมาย พบกับคำตอบของคำถาม และ 10 เรื่องที่บริษัทประกันควรรู้เกี่ยวกับ
PDPA X ธุรกิจประกันภัย ได้ในบทความนี้
ประกันภัย ประกันวินาศภัย ประกันรถยนต์ ประกันสุขภาพ เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างไรบ้าง
อย่างที่ได้เกริ่นไปในตอนต้นว่า ธุรกิจประกันภัย จำเป็นต้องใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการในหลายๆ ธุรกรรม และนับว่าเป็นธุรกิจที่เกี่ยวข้อง/ สัมผัสกับข้อมูลส่วนบุคคล ทั้งข้อมูลส่วนบุคคลทั่วไป และข้อมูลส่วนบุคคลอ่อนไหว ของผู้ใช้งานอยู่บ่อยครั้ง ตัวอย่างข้อมูส่วนบุคคลในธุรกิจประกันวินาศภัย อาทิ
นอกเหนือจากข้อมูลของผู้ซื้อประกัน ยังมีข้อมูลของพ่อแม่ บุตร คู่สมรส ผู้รับผลประโยชน์ ผู้อุปถัมภ์ ผู้พิทักษ์ ในกรณีที่ทำประกันกลุ่มก็ยิ่งมีข้อมูลส่วนบุคคลจำนวนมาก
จากที่เราคุ้นชินกัน ธุรกิจประกันภัยเป็นธุรกิจที่มีการเก็บข้อมูลส่วนบุคคล คำยินยอมของผู้ใช้บริการ ในรูปแบบเอกสาร แบบฟอร์ม สัญญา ฯ เอกสารเหล่านี้ทางบริษัทประกันจะต้องเก็บรักษาเป็นอย่างดี นับตั้งแต่วันที่ทำกรมธรรม์ จนถึงวันที่สิ้นสุดกรมธรรม์ และแม้จะสิ้นสุดกรมธรรม์ หรือผู้ซื้อประกันขอยกเลิกกรมธรรม์ไปแล้ว บริษัทยังคงต้องเก็บรักษาเอกสาร หรือข้อมูลส่วนบุคคลที่ผู้ซื้อประกันให้มา ตามกฎหมายแพ่งพาณิชย์ บริษัทประกันไม่เพียงแค่เก็บรักษาเอกสารเท่านั้น บริษัทยังต้องจัดเตรียมเอกสารให้พร้อมใช้งาน ในกรณีที่มีการเรียกใช้เอกสารกรมธรรม์ หรือกรณีที่เจ้าของข้อมูลส่วนบุคคลขอใช้สิทธิแก้ไข ถ่ายโอนหรือใช้ข้อมูลจากเอกสารประกัน
นอกจากเรื่องการทำสัญญาและเอกสารที่เป็นภาระงานของธุรกิจประกันภัย ยังมีเรื่องการจัดการคำยินยอม หรือ Consent จากผู้ซื้อประกัน ซึ่งเกี่ยวข้องและเชื่อมโยงกับ นโยบายความเป็นส่วนตัว (Privacy Policy) การกำหนดวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล การคุ้มครองเมื่อเกิดอุบัติเหตุ การต่ออายุกรมธรรม์ ฯ นอกจากธุรกรรมเหล่านี้ ที่จะกลายเป็นความท้าทายของธุรกิจประกันภัย ภายหลังจากการบังคับใช้กฎหมายคุ้มครองส่วนบุคคล ยังมีความท้าทายใดอีกบ้าง ที่เป็นผลมาจากการบังคับใช้กฎหมายนี้ ติดตามต่อที่หัวข้อถัดไปได้เลย
เข้าใจหลักการของกฎหมาย เข้าใจความท้าทาย
ก่อนจะเข้าใจความท้าทายของธุรกิจประกันภัย อยากชวนผู้อ่านทุกท่านเข้าใจหลักการเบื้องต้นของกฎหมาย PDPA สักเล็กน้อย
PDPA หรือ Personal Data Protection Act B.E 2562 (2019) เป็น พ.ร.บ. ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ถูกร่างขึ้นเพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต รวมทั้งควบคุมดูแลกิจกรรมใด ๆ ก็ตามที่ทำกับข้อมูลส่วนบุคคล มีผลบังคับใช้อย่างเป็นทางการตั้งแต่วันที่ 1 มิถุนายน 2565 เป็นต้นมา
PDPA เป็นกติกากลางที่องค์กรต่าง ๆ ต้องปฏิบัติตามหากองค์กรมีกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ซึ่งอาจอยู่ในรูปการเก็บข้อมูล ชื่อ สกุล ที่อยู่ IP Address เชื้อชาติ สัญชาติ เลขประจำตัวประชาชน ฯลฯ ครอบคลุมการเก็บข้อมูลในทุกรูปแบบ ทั้งการเก็บข้อมูลทางตรงด้วยการกรอกข้อมูลลงในเอกสาร แพลตฟอร์มอิเล็กทรอนิกส์ การสัมภาษณ์ หรือการเก็บข้อมูลส่วนบุคคลทางอ้อม อาทิ การรวบรวมพฤติกรรมการใช้งานเว็บไซต์ แอปพลิเคชัน ฯลฯ เกี่ยวข้องกับข้อมูลส่วนบุคคลหลายส่วน
นอกจากพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลหรือ PDPA ที่เป็นกฎหมายหลักแล้ว ยังมีกฎหมายรอง ที่มีชื่อทางการเรียกว่า ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล อีก 4 ฉบับ ซึ่งถูกประกาศใช้ภายหลัง เพื่อช่วยขยายความขั้นตอน กฎเกณฑ์ ข้อบังคับในกฎหมายหลัก แจกแจงรายละเอียดที่เกี่ยวกับกฎหมายอื่นๆ ซึ่งช่วยให้การตีความกฎหมายถูกต้องและชัดเจนมากขึ้น อ่านสรุปเนื้อหาหลักของประกาศฯ ทั้ง 4 ฉบับได้ที่ Link
ความเคลื่อนไหวล่าสุดของกฎหมาย PDPA คือการประกาศแนวทางที่เกี่ยวข้องกับ Consent และมีความเกี่ยวข้องกับธุรกิจประกันภัย 2 แนวทางนั้น คือ
1.แนวทางการดำเนินการในการ ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
2.แนวทางการดำเนินการในการ แจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ทั้งสองแนวปฏิบัติที่ประกาศล่าสุด มีเนื้อหาอย่างไร ธุรกิจที่เกี่ยวข้องกับ Consent ต้องปรับ/ แก้ไขอะไรบ้าง อ่านรายละเอียดได้ที่นี่
หัวใจสำคัญของการบังคับใช้กฎหมาย PDPA คือ การให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล มีอำนาจในการควบคุมการใช้ข้อมูลส่วนบุคคลของตนเอง และ สร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต
ด้วยเหตุนี้ธุรกิจประกันภัย ซึ่งมีการใช้และประมวลผลข้อมูลส่วนบุคคล จึงต้องปฏิบัติตามมาตรฐานของกฎหมาย PDPA เพื่อให้การดำเนินธุรกิจ อยู่ภายใต้มาตรฐานการประมวลผลข้อมูลส่วนบุคคล เช่นเดียวกับธุรกิจอื่นๆ
แวดวงประกันชีวิต ปรับตัวต่อกฎหมาย PDPA อย่างไรบ้าง
จากความสำคัญและพันธะทางกฎหมาย ทำให้ PDPA กลายเป็นมาตรฐานกลางที่หลายๆ ธุรกิจ ต้องกลับมาทบทวนกระบวนการทำงาน ด้วยเหตุนี้ สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) จึงได้จัดทำ แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลสำหรับธุรกิจประกันชีวิต ธุรกิจประกันวินาศภัย เพื่อให้สำนักงาน คปภ. และภาค อุตสาหกรรมประกันภัย มีแนวทางปฏิบัติที่ชัดเจนเกี่ยวกับการปฏิบัติตามหลักเกณฑ์และเงื่อนไขที่กำหนดไว้ในกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลของไทย ได้อย่างถูกต้องครบถ้วน
ขณะเดียวกัน สมาคมประกันชีวิตไทย ก็ได้เผยแพร่เอกสาร เรื่อง นโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล และ นโยบายการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อให้มีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปในมาตรฐานเดียวกันของผู้ใช้บริการของสมาคมประกันชีวิตไทยที่ติดต่อหรือประสานงานกับสมาคมประกันชีวิตไทย
ทั้งสององค์กร ซึ่งกำกับดูแลการดำเนินธุรกิจของบริษัทประกันภัยและประกันวินาศภัยในไทย ได้ตอบสนองกฎหมาย PDPA และร่วมมือกันจัดทำ แนวปฏิบัติของภาคธุรกิจประกันวินาศภัย ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (The Personal Data Protection Act B.E. 2562 Guideline for the Non-Life Insurance Industry)
จากแนวปฏิบัติของภาคธุรกิจประกันวินาศภัย ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และแนวปฏิบัติที่เกี่ยวข้อง จากคปภ.และ สมาคมประกันชีวิตไทย สรุปเป็น 10 เรื่องที่บริษัทประกันควรรู้เกี่ยวกับ
PDPA X ธุรกิจประกันภัย ได้ดังนี้
การจัดการข้อมูลส่วนบุคคลที่เก็บรวบรวมก่อนวันที่ กฎหมาย PDPA บังคับใช้ บริษัทยังสามารถเก็บและใช้ข้อมูลเหล่านั้นได้ โดยอยู่ในขอบเขตวัตถุประสงค์เดิม และจะต้องมีการกำหนดช่องทางนการเพิกถอนความยินยอม เพื่อรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล และประชาสัมพันธ์หรือแจ้งช่องทางการเพิกถอนความยินยอมต่อเจ้าของข้อมูลอย่างเปิดเผย
การแจ้งยกเลิกคำยินยอมต้องทำได้โดยง่าย เช่นเดียวกับการให้คำยินยอม บริษัทประกันต้องมีช่องทางรองรับการยกเลิกคำยินยอมของเจ้าของข้อมูลส่วนบุคคล และต้องแจ้งให้เจ้าของข้อมูลทราบเสมอ โดยบริษัทสามารถแจ้งผ่านช่องทางโซเชียลมีเดีย เช่น Email, Facebook Page, SMS, Website, เอกสารประกาศ และช่องทางอื่นๆ ได้
การเก็บข้อมูลของเจ้าของข้อมูลส่วนบุคคลที่เสียชีวิต/ พึ่งเสียชีวิตขณะที่มีภาระผูกพันธ์กับประกันชีวิต สามารถประมวลผลข้อมูลส่วนบุคคลของผู้เสียชีวิตได้ เนื่องจากข้อมูลของผู้เสียชีวิตไม่ถือว่าเป็นข้อมูลที่ได้รับการคุ้มครองตามกฎหมาย PDPA แต่ให้บริษัทยังยึดหลักเกณฑ์ตามกฎหมายอื่น เช่น ประมวลกฎหมายอาญา ฐานหมิ่นประมาท เป็นต้น
- กรณีที่ผู้เอาประกันภัยได้ทำประกันกับบริษัท จนพ้นระยะเวลาการทำประกัน กรมธรรม์นั้นได้สิ้นสุดลง และผู้เอาประกันไม่ได้ซื้อประกันหรือต่ออายุกรมธรรม์ แต่บริษัทต้องการเก็บข้อมูลไว้เป็นสถิติของบริษัท ให้บริษัทดำเนินการทำให้ข้อมูลส่วนบุคคลชุดนั้น เป็นข้อมูลที่ไม่สามารถระบุตัวตนได้ (De-identified Data) โดยการลบชื่อ-สกุล เลขบัตรประจำตัวประชาชน หมายเลข โทรศัพท์ เลขที่กรมธรรม์ประกันภัย และข้อมูลส่วนบุคคลอ่อนไหวอื่นๆ ที่มีออก คงไว้เฉพาะข้อมูลเพศ อายุ เบี้ยประกัน และวันที่ซื้อ
ความยินยอม และวัตถุประสงค์ที่เหมาะสม หากบริษัท มีการเปลี่ยนแปลงวิธีการดำเนินธุรกิจ ที่ส่งผลให้วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลเปลี่ยนไป จนทำให้ความยินยอมที่เจ้าของข้อมูลส่วนบุคคลเคยให้ไว้ ไม่เพียงพอหรือไม่เหมาะสมกับวัตถุประสงค์ใหม่ที่ปรับเปลี่ยน บริษัทต้องยื่นขอความยินยอมใหม่สำหรับวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่จัดทำขึ้นใหม่ด้วย
ผู้ควบคุมข้อมูลส่วนบุคคลเห็นสมควรว่า การประมวลผลส่วนบุคคลเป็นส่วนสำคัญเพื่อให้สามารถดำเนินการตามคำขอก่อนทำสัญญาหรือเพื่อให้สามารถปฏิบัติตามสัญญา ในกรณีนี้ใช้ได้เมื่อ บริษัทเสนอขายประกันภัยอุบัติเหตุผ่านช่องทางออนไลน์ และระบุว่าผู้เอาประกันต้องให้รายละเอียดเกี่ยวกับอีเมล เพื่อให้บริษัทใช้ติดต่อสอบถาม พร้อมออกใบเสนอราคาประกันภัยสุขภาพให้ลูกค้าทางอีเมลต่อไป
- การวิเคราะห์ข้อมูล (Data Analysis) เพื่อดำเนินธุรกิจของบริษัทหรือเพื่อส่งเสริมการขาย หากการประมวลผลข้อมูลส่วนบุคคลที่ทำเพื่อประโยชน์ในการดำเนินธุรกิจ ตามวัตถุประสงค์อื่น บริษัทฯ ไม่สามารถอ้างอิงฐานสัญญาในการประมวลผลข้อมูลส่วนบุคคลเพื่อการนั้นได้ เช่น กรณีบริษัทฯ นำรายละเอียดข้อมูลส่วนบุคคลของของผู้ที่ยังไม่เป็นลูกค้า ไปเปิดเผยกับคู่ค้า หรือฝ่ายการตลาดเพื่อทำกิจกรรมส่งเสริมการขาย เช่น การตลาดทางตรง (Direct Marketing) การโฆษณาออนไลน์แบบเฉพาะเจาะจง การยิงโฆษณาเพื่อการขาย ฯลฯ อ่านบทความเกี่ยวกับการทำ Direct Marketing ให้ถูกต้องตามกฎหมาย PDPA ได้ที่นี่
กรณีผู้เอาประกัน ซึ่งเคยซื้อกรมธรรม์กับบริษัทและให้ Comsent ต่อบริษัทฯ แต่ขาดการต่ออายุกรรมธรรม์ ตัวแทนบริษัทประกันสามารถโทรติดตามเพื่อสอบถามการต่ออายุกรมธรรม์ หรือเสนอขายกรมธรรม์ใหม่ที่เหมาะสมกับผู้เอาประกัน โดยที่บริษัทต้องประกาศเงื่อนไขนี้ใน Privacy notice และแจ้งให้ผู้เอาประกันทราบตั้งแต่ช่วงแรกที่ขายกรมธรรม์
- กรณีที่ผู้ที่สนใจทำประกัน โทรหรือติดต่อตัวแทนบริษัทประกันผ่านช่องทางใด ๆ เพื่อสอบถามรายละเอียดการคุ้มครอง หรือเบี้ยประกันของประกันภัย/ ประกันชีวิต/ ประกันวินาศภัย/ ประกันรถยนต์ หรือประกันภัยชนิดอื่นๆ ตัวแทนฯ สามารถเสนอกรมธรรม์ประกันภัยประเภทอื่นๆ ให้กับผู้ที่สนใจได้ ขณะเดียวกันตัวแทนฯ ต้องแจ้งสิทธิของเจ้าของข้อมูลในการระงับการรับข้อมูลข่าวสารได้
- บริษัท ตัวแทนประกัน นายหน้าขายประกันและธนาคาร ต้องปฏิบัติตามข้อกำหนดใน ประกาศ คปภ. เรื่องกำหนดหลักเกณฑ์ วิธีการออก การเสนอขายกรมธรรม์ประกันภัยของบริษัทประกันชีวิต และการปฏิบัติหน้าที่ของตัวแทนประกันชีวิต นายหน้าประกันชีวิต และธนาคาร ซึ่งบางส่วนของประกาศ ได้ระบุแนวทางในการขายประกันผ่านโทรศัพท์ไว้ดังนี้
- การเสนอขายประกันภัยทางโทรศัพท์ กระทำได้ในวันจันทร์-วันเสาร์ ระหว่างเวลา 08:30 – 19:00 น.เว้นแต่มีการนัดหมายล่วงหน้าและได้รับการยินยอมจากลูกค้า
- ห้ามเสนอขายกับลูกค้าที่แจ้งบริษัทให้ทราบว่าเป็นผู้ไม่ประสงค์ที่จะได้รับการติดต่อหรือลูกค้าที่ปฏิเสธารรับการเสนอขายกรมธรรม์ประกันภัยมาแล้ว เว้นแต่ล่วงเวลามาแล้วไม่น้อยกว่าหกเดือนนับตั้งแต่วันที่มีการปฏิเสธ หรือนับแต่วันที่ได้รับรายชื่อจากสำนักงาน
- หากลูกค้าไม่ประสงค์ทำประกันภัย หรือไม่ต้องการรับการติดต่อ ผู้เสนอขายต้องยุติการเสนอขายกรมธรรม์ทันที แต่หากลูกค้าต้องการทราบการได้มาซึ่งข้อมูลของตนเอง ผู้เสนอขายต้องแจ้งให้ลูกค้าทราบว่าได้รับข้อมู,เกี่ยวกับลูกค้ามาได้อย่างไรก่อน จึงจะยุติการสนทนาได้
แนวปฏิบัติและนโยบายเหล่านี้ มีประโยชน์ต่อการดำเนินธุรกิจประกันภัย และเป็นประโยชน์ต่อผู้ซื้อประกัน ในการใช้เป็นฐานอ้างอิงในการดำเนินการปกป้องความเป็นส่วนตัว หรือใช้เมื่อถูกบริษัทประกัน/ ตัวแทนประกันละเมิดความความเป็นส่วนตัว เมื่อผู้อ่านเข้าใจแนวทางที่บริษัทประกัน ตัวแทนประกันต้องรู้ เกี่ยวกับกฎหมาย PDPA ลำดับต่อไปเราอยากชวนผู้อ่าน ไปทำความเข้าใจ ผลกระทบของกฎหมาย PDPA ต่อการประกอบธุรกิจประกันภัย ในแบบเจาะลึก ถึงกระบวนการดำเนินงาน จะมีอะไรที่ต้องดำเนินการเพิ่ม หรือเสริมการดำเนินการที่มีอยู่เดิมให้เข้มงวดขึ้นบ้าง อ่านหัวข้อถัดไปได้เลย
ความท้าทายของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ในบริบทธุรกิจประกันภัยยุคปัจจุบัน
จากความเชื่อมโยงระหว่างกฎหมายคุ้มครองข้อมูลส่วนบุคคลและธุรกิจประกันภัย ทำให้เห็นว่าธุรกิจประกันภัยไม่อาจหลีกเลี่ยงการประมวลผลข้อมูลส่วนบุคคลได้ และในยุคปัจจุบันที่โลกเผชิญหน้ากับโรคระบาด การเก็บ ใช้ เปิดเผยและส่งต่อข้อมูลส่วนบุคคลยิ่งมีมากยิ่งขึ้น สาเหตุมาจาก ความต้องการซื้อและความต้องการขายประกันสุขภาพ การเคลมประกัน การใช้สิทธิประกันในช่วงการระบาดของโรคติดต่อ
ขณะที่มีข้อมูลส่วนบุคคลไหลเวียนอยู่ในระบบเป็นจำนวนมหาศาล ความท้าทายก็อุบัติขึ้นจากความต้องการในตลาด กระแสของประกันชีวิต/ ประกันสุขภาพมีแนวโน้มทะยานขึ้นตามสถานการณ์ และบริษัทประกันต้องแบกรับทั้งความท้าทายและความเสี่ยงไปพร้อมๆ กัน ความท้าทายที่ว่านี้ เชื่อมโยงกับการเกิดขึ้นของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งได้แก่
- บริษัทประกันต้องบริหารจัดการ Consent ที่ไหลเวียนเข้ามาในระบบตลอดเวลา ช่วงการระบาดของโรค COVID-19 การซื้อ-ขายประกัน มีแนวโน้มเพิ่มสูงขึ้นมากกว่าช่วงที่ไม่มีการระบาด การให้ Consent หรือยกเลิก Consent จึงเพิ่มขึ้นตาม บริษัทประกันต้องจัดการกับ Consent เหล่านี้ สำหรับบริษัทที่จัดเก็บเอกสารด้วยระบบเดิม ภาระงานของพนักงานก็เพิ่มขึ้นตาม ส่วนบริษัทที่ใช้ระบบเทคโนโลยีบริหารจัดการ Consent ต้องมาทบทวนว่าเทคโนโลยีที่ใช้อยู่นั้น ตอบโจทย์กฎหมาย PDPA หรือไม่
- ข้อมูลจำนวนมหาศาล
เกิดขึ้นเมื่อเทรนด์การทำประกันสุขภาพเพิ่มขึ้น คนทั่วไปสนใจทำประกันมากขึ้น การซื้อกรมธรรม์เพิ่มสูงขึ้น สิ่งที่ตามมาคือจากการทำประกันคือข้อมูลส่วนบุคคลจำนวนมหาศาล ทั้งข้อมูลของผู้เอาประกัน ผู้รับผลประโยชน์ ข้อมูลที่เข้ามาไม่ได้มีเพียงชื่อและนามสกุลเท่านั้น แต่ยังมีข้อมูลส่วนบุคคลอ่อนไหว อาทิข้อมูลสุขภาพ ข้อมูลส่วนบุคคเกี่ยวกับความพิการ ข้อมูลพันธุกรรม ฯลฯ รวมอยู่ด้วย โดยข้อมูลที่อยู่ในบริษัทประกัน อาจมีมากกว่า 1 ล้านชุดข้อมูล ซึ่งจำนวนที่มหาศาลนี้ ต้องมีการบริหารจัดการ และมีมาตรการดูแลความปลอดภัยอย่างทั่วถึง ขณะเดียวกันกฎหมาย PDPA ระบุไว้ชัดเจนว่าผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกรายการกิจกรรมการประมวลผล หรือเรียกว่าการทำ Records of Processing Activities (RoPA)โดยเริ่มจากการสำรวจข้อมูลส่วนบุคคลที่มีการจัดเก็บโดยองค์กร ระบุวัตถุประสงค์การใช้ข้อมูลส่วนบุคคลอย่างละเอียด พร้อมระบุระยะเวลาในการจัดเก็บข้อมูล สำรวจแหล่งจัดเก็บข้อมูลทั้งที่อยู่ในรูปเอกสารที่สามารถจับต้องได้ หรือข้อมูลในระบบอิเล็กทรอนิกส์ ระบุมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่มีการจัดเก็บ การจัดทำ RoPA จะถูกใช้เมื่อเจ้าของข้อมูล (Data Subject) ขอทราบกระบวนการ RoPA หรือในกรณีที่มีการตรวจสอบโดยเจ้าหน้าที่จากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
RoPA นับเป็นกระบวนการที่มีความท้าทายอย่างมาก สำหรับบริษัทที่ถือครองข้อมูลส่วนบุคคลจำนวนมหาศาล ทว่าบริษัทไม่สามารถเลี่ยงการทำ RoPA ได้ เนื่องจากกระบวนการนี้ถือเป็นการปฏิบัติตาม มาตรา 39 ในกฎหมาย PDPA หากบริษัทไม่ดำเนินการ ถือว่าองค์กรไม่บรรลุการทำตามกฎหมาย PDPA
- การส่งต่อข้อมูลให้ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) บริษัทประกันไม่เพียงแค่เก็บ ใช้ และประมวลผลข้อมูลส่วนบุคคลภายในบริษัทเท่านั้น แต่ยังมีการรับ-ส่งต่อข้อมูลจาก Third Party เช่น บริษัท ห้างร้านที่ซื้อประกันกลุ่ม ข้อมูลจากสำนักงานประกันสังคม ข้อมูลจากโรงพยาบาล การส่งต่อข้อมูลระหว่างองค์กรเพื่อการบริการ มีข้อที่ต้องระมัดระวัง มิเช่นนั้น บริษัทประกันอาจถูกฟ้องร้องจากเจ้าของข้อมูลส่วนบุคคลได้ หากส่งต่อข้อมูลส่วนบุคคลให้กับบุคคลที่สามโดยที่ไม่มีการแจ้งรายละเอียดล่วงหน้า หรืออาจถูกฟ้องร้อง จากการส่งต่อข้อมูลเพื่อประโยชน์ทางการตลาด เช่นกรณีของ แอปพลิเคชั่น Gridr ที่ใช้ประโยชน์จากข้อมูลส่วนบุคคลอย่างผิดกฎหมาย และแบ่งปันข้อมูลของผู้ใช้งานแอพลิเคชั่นให้กับบริษัทโฆษณาไปหลายร้อยแห่ง โดยที่ผู้ที่ใช้งานไม่ได้รับแจ้งล่วงหน้า จากเหตุการณ์นี้ทำให้ Gridr ถูกฟ้องจาก เจ้าหน้าที่การปกป้องข้อมูลแห่งประเทศนอร์เวย์ (DPA) โดยอ้างอิงฐานกฎหมาย GDPR สูญเสียค่าปรับกว่า 7.16 ล้านเหรียญ หรือราว 239 ล้านบาท
อ่าน Case Study การฟ้องร้องระหว่าง Gridr และ DPA ฉบับเต็มได้ ที่นี่
การเสนอขายกรมธรรม์ประเภทต่างๆ การโทรเสนอขายประกันมีแนวโน้มลดลงจากเดิม แม้กฎหมายคุ้มครองข้อมูลส่วนบุคคลจะไม่ได้ระงับการโทรเสนอขายประกัน ทว่าลูกค้าสามารถใช้ฐานกฎหมายนี้เพื่อปฏิเสธการเสนอขายประกันได้ ความท้าทายเกิดขึ้นกับตัวแทนและบริษัทประกันที่ต้องคิดหาวิธีในการเข้าถึงลูกค้าแบบใหม่ โดยอาจใช้วิธีการขายผ่านระบบออนไลน์ หรือขายควบคู่กับพาร์ทเนอร์ ซึ่งทุกรูปแบบการขายยังคงต้องคำนึงถึงหลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคลเป็นอันดับแรก
การถ่ายโอนข้อมูลส่วนบุคคลไปยังปลายทางต่างประเทศ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กำหนดให้ ในกรณีผู้ควบคุมข้อมูลส่วนบุคคลต้องการที่จะส่งหรือโอนข้อมูลส่วนบุคคลออกไปนอกประเทศไทย (ไม่ว่าจะเป็นต่างประเทศ หรือองค์กรระหว่างประเทศ) ปลายทางต่างประเทศที่จะรับข้อมูลส่วนบุคคลดังกล่าวต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ทั้งนี้ มาตรฐานการคุ้มครองดังกล่าวจะต้องเป็นไปตามคณะกรรมการประกาศกำหนด นอกจากนี้ ยังมีกรณีที่บริษัทประกันภัยทำการอัปโหลดข้อมูลส่วนบุคคลไปยังเว็บไซต์ในต่างประเทศ ซึ่งมีเซิร์ฟเวอร์ (Server) ตั้งอยู่ในต่างประเทศ การนำส่งข้อมูลส่วนบุคคลดังกล่าวถือเป็นการส่งหรือโอนข้อมูลไปยังปลายทางต่างประเทศ เช่นเดียวกับการใช้ระบบ Cloud ที่มีเซิร์ฟเวอร์ตั้งอยู่ในต่างประเทศ จำเป็นต้องคำนึงถึงกฎหมายคุ้มครองส่วนบุคคลของประเทศปลายทางด้วย
จากความท้าทายเหล่านี้ ทำให้ t-reg ซึ่งให้บริการระบบบริหารจัดการโครงการ PDPA พยายามทำความเข้าใจ บริบทของโครงการ PDPA ธุรกิจประกันภัย พร้อมทำการศึกษา แนวปฏิบัติของภาคธุรกิจประกันวินาศภัย ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของคปภ.และสมาคมประกันชีวิตไทย ควบคู่กับแนวปฏิบัติต่างๆ จากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล สรุปเป็น Checklist สำคัญที่ธุรกิจประกันภัยต้องรู้เพื่อตอบโจทย์กฎหมาย PDPA
บทสรุปของความท้าทาย
ธุรกิจประกัน ถือเป็นธุรกิจหนึ่งที่ต้องปฏิบัติตามขั้นตอนของกฎหมาย PDPA อย่างรอบคอบ เพราะถือเป็นธุรกิจที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจำนวนมาก หากบริษัทหลีกเลี่ยงการปฏิบัติตามกฎหมาย PDPA หรือดำเนินการบกพร่องเพียงเรื่องใดเรื่องหนึ่ง อาจส่งผลกระทบต่อความน่าเชื่อถือของธุรกิจ และเสี่ยงที่จะถูกฟ้องร้อง จากผู้เอาประกัน หรือลูกค้าซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล และยังเสี่ยงที่จะถูกฟ้องร้อง จากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่ทำหน้าที่กำกับและดูแลการประมวลผลข้อมูลส่วนบุคคลขององค์กร บริษัทห้างร้าน หน่วยงานต่างๆ ในประเทศไทย
เพื่อสร้างความไว้วางใจจากลูกค้าและเลี่ยงการถูกฟ้องร้อง ธุรกิจประกันภัยควรหันมาใส่ใจและปฏิบัติตามกฎหมาย PDPA อย่างเคร่งครัด เพราะนับตั้งแต่ปี 2566 เป็นต้นไป สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จะกวดขันการดำเนินการโครงการ PDPA ของบริษัท ห้างร้าน หน่วยงานอย่างจริงจัง และดำเนินการตรวจสอบตามไกด์ไลน์ที่ประกาศใช้ในปีนี้ ซึ่งในปีถัดไป อาจมีกฎหมายเพิ่มเติม หรือแนวทางเพิ่มเติมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลถูกประกาศออกมา เพื่อเสริมความเข้มงวดของมาตรการต่างๆ ที่มีอยู่ให้เข้มงวดยิ่งขึ้น
สำหรับบริษัทที่ดำเนินโครงการ PDPA เรียบร้อยแล้ว t-reg แนะนำให้ท่านตรวจสอบว่ากระบวนการที่ทำไปนั้น มีรายละเอียดที่ตกหล่นหรือการดำเนินการที่หละหลวมหรือไม่ และดำเนินการแก้ไขให้ตรงตามมาตรฐาน
สำหรับองค์กรที่ยังไม่เริ่มดำเนินโครงการ PDPA ดำเนินการไปแล้วบางส่วน หรืออยู่ในขั้นที่กำลังมองหาตัวช่วยบริหารจัดการโครงการ PDPA t-reg ช่วยคุณได้
t-reg เป็นระบบบริหารจัดการโครงการ PDPA ที่ดูแลโครงการ PDPA ขององค์กร Enterprise ขนาดใหญ่มากกว่า 50 องค์กร ดูแลด้วยความเข้าใจ เข้าถึงทุก Business Context เพื่อความครบถ้วนและยั่งยืนในระยะยาว และยังมีทีมงานผู้เชี่ยวชาญ พร้อมให้คำปรึกษาอย่างใกล้ชิด ในระหว่างกระบวนการและหลังจบกระบวนการ พร้อมอัปเดตกฎหมายฉบับรอง และฟีเจอร์ใหม่ให้ทันที
เริ่มวางรากฐานระบบจัดการ PDPA สำหรับประกันภัยให้ง่ายด้วย t-reg
ติดต่อเราได้ที่ t-reg.co หรือโทร 02-460-9321
