Guideline on Personal Data Protection for Thai Banks

เผยแพร ณ วนท 28 เมษายน 2564

แนวปฏบตการคมครองขอมลสวนบคคลภาคธรกจธนาคาร สมาคมธนาคารไทย

(Guideline on Personal Data Protection for Thai Banks)

ค ำสงวนสทธ : สมาคมธนาคารไทยจดท า แนวปฏบตการคมครองขอมลสวนบคคลภาคธรกจ ธนาคารน เพอใชเปนขอเสนอแนะส าหรบธนาคารสมาชกน าไปพจารณาเปนแนวปฏบตเบองตนตามทธนาคารสมาชกเหนสมควรเพอรองรบพระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 ตอไป ทงน สมาคมธนาคารไทยขอสงวนสทธในการแกไขปรบปรงแนวปฏบตการคมครองขอมลสวนบคคลส าหรบธนาคารพาณชยไทยนดงกลาวได ในกรณทมการแกไขกฎหมายหรอมการประกาศใชกฎหมายล าดบรอง หรอมการแกไขเปลยนแปลงแนวทางการปฏบตภายในภาคธรกจของแตละธนาคาร เพอใหแนวปฏบตการคมครองขอมลสวนบคคลภาคธรกจ ธนาคารมความสมบรณ และ ธนาคารสมาชกสามารถน าไปพจารณาปรบใชไดอยางมประสทธภาพ”


© 2021 Deloitte Touche Tohmatsu Jaiyos Advisory Co., Ltd. 2

สารบญ 1. บทน า ................................................................................................................................................................................................... 5

2. ค านยาม ............................................................................................................................................................................................. 8

3. ขอบเขตของขอมลสวนบคคลและการจ าแนกขอมลสวนบคคล (Personal Data Scope and Classification) ......... 11

3.1 การระบขอมลสวนบคคล (Identifying Personal Identifiable Information)............................................................................. 11

3.1.1 ตวอยางของขอมลทเปนขอมลสวนบคคล ................................................................................................................ 12

3.1.2 ตวอยางของขอมลทไมเปนขอมลสวนบคคล ........................................................................................................... 13

3.2 แนวปฏบตเกยวกบการรกษาความมนคงปลอดภยของขอมล (Information Security) ....................................... 13

3.2.1 การก าหนดเจาของขอมล (Information Owner/Data Owner).......................................................................................... 13

3.2.2 แนวปฏบตเกยวกบการจ าแนกขอมล (Data Classification) ....................................................................................... 13

3.2.3 ปจจยในการก าหนดผลกระทบทอาจเกดขนตอการรกษาความลบของขอมลสวนบคคล (Factors for

Determining PII Confidentiality Impact Levels) ................................................................................................................................. 17

4. หลกการส าคญในการคมครองขอมลสวนบคคล (Data Protection Principles) ............................................................ 19

4.1 Principle 1 : ("Lawfulness, Fairness, and Transparency”) ............................................................................................................. 19

4.2 Principle 2 : (“Purpose Limitation”) ................................................................................................................................................ 20

4.3 Principle 3 : (“Data Minimisation”) .................................................................................................................................................. 21

4.4 Principle 4 : (“Accuracy”) ................................................................................................................................................................ 21

4.5 Principle 5 : (“Storage Limitation”) .................................................................................................................................................. 22

4.6 Principle 6 : (“Integrity and Confidentiality”).................................................................................................................................... 22

4.7 Principle 7 : (“Accountability”) ......................................................................................................................................................... 23

5. การเกบรวบรวมขอมลสวนบคคล ......................................................................................................................................... 23

5.1 วตถประสงคในการเกบรวบรวมขอมล .......................................................................................................................... 23

5.2 แนวปฏบตเกยวกบฐานในการประมวลผลขอมลสวนบคคล ................................................................................ 24

5.2.1 ฐานความยนยอม (Consent)............................................................................................................................................ 24

5.2.2 ฐานสญญา (Contract) ........................................................................................................................................................ 25

5.2.3 ฐานประโยชนส าคญตอชวต (Vital Interest) .................................................................................................................. 27

5.2.4 ฐานภารกจของรฐ (Public Task) ...................................................................................................................................... 27

5.2.5 ฐานประโยชนอนชอบธรรม (Legitimate Interest) .......................................................................................................... 28

5.2.6 ฐานการปฏบตตามกฎหมาย (Legal Obligation) ........................................................................................................... 35

5.2.7 ฐานเอกสารประวตศาสตร จดหมายเหตและการศกษาวจยหรอสถต (Research) ............................................. 36


Guideline on Personal Data Protection for Thai Banking Sector 3

5.3 ความยนยอม (Consent) ........................................................................................................................................................... 36

5.4 ขอมลออนไหว (Sensitive Personal Data)............................................................................................................................... 47

5.5 การประกาศความเปนสวนตว (Privacy Notice) ............................................................................................................... 50

6. การใชและเปดเผยขอมลสวนบคคล (Data Usage and Data Disclosure)............................................................................ 58

6.1 แนวปฏบตในการเปดเผยขอมลภายในกลมเครอกจการในประเทศ ................................................................. 60

6.2 การโอนขอมลสวนบคคลไปยงตางประเทศหรอองคการระหวางประเทศ (Cross-border data transfer) ........... 60

6.2.1 ประเทศหรอองคการระหวางประเทศทรบขอมลสวนบคคลมมาตรฐานในการคมครองขอมลสวนบคคลทเพยงพอ ............................................................................................................................................................................ 61

6.2.2 กรณทไดรบการยกเวนตามกฎหมาย ................................................................................................................... 62

6.2.3 กรณทมมาตรการคมครองขอมลสวนบคคลทเพยงพอ (Transfers Subject to Appropriate Safeguards).. 63

6.3 แนวปฏบตในการคมครองขอมลสวนบคคลเมอมการเปดเผยขอมลภายในกลมเครอกจการหรอเครอธรกจเดยวกนซงอยตางประเทศ .................................................................................................................................................. 64

6.4 การประมวลผลขอมลเพอวตถประสงคเฉพาะ ............................................................................................................ 65

6.4.1 การประมวลผลขอมลสวนบคคลเพอวตถประสงคในการท าการตลาดแบบตรง (Direct Marketing) 65

7. การเกบขอมลสวนบคคลและระยะเวลาในการเกบ (Data Retention) ............................................................................ 68

7.1 แนวปฏบตเกยวกบระยะเวลาในการเกบรกษาขอมลสวนบคคล ............................................................................. 69

8. การลบหรอท าลายขอมลสวนบคคล (Data Deletion or Data Destruction) .......................................................................... 70

8.1 แนวปฏบตเกยวกบการท าขอมลนรนาม (Data Anonymization) ................................................................................. 71

9. แนวปฏบตเกยวกบขอมลทมการเกบอยกอนแลว .......................................................................................................... 73

10. แนวปฏบตเกยวกบการด าเนนการตามสทธทรองขอของเจาของขอมลสวนบคคล ......................................... 73

10.1 สทธในการถอนความยนยอม (“Right to Withdraw of Consent”) ................................................................................... 74

10.2 สทธในการเขาถงขอมลสวนบคคล (“Right to Access”) ................................................................................................ 74

10.3 สทธในการแกไขขอมลสวนบคคลใหถกตอง (“Right to Rectification”) ..................................................................... 76

10.4 สทธในการลบหรอท าลายขอมลสวนบคคล (“Right to Erasure” or “Right to be Forgotten”) .................................. 77

10.5 สทธในการขอใหระงบการใชขอมลสวนบคคล (“Right to Restriction of Processing”) ........................................... 78

10.6 สทธในการคดคานการประมวลผลขอมลสวนบคคล (“Right to Object”) ............................................................... 79

10.7 สทธในการขอรบหรอโอนยายขอมลสวนบคคล (“Right to Data Portability”) ......................................................... 80

11. แนวปฏบตเกยวกบหนาทและความรบผดชอบของผควบคมขอมลสวนบคคลและผประมวลผลขอมลสวนบคคล (Guideline on Data Controller and Data Processor Roles and Responsibilities) ........................................................................ 81



11.1 การระบสถานะในการคมครองขอมลสวนบคคลของธนาคาร ............................................................................. 81

11.2 หนาทของผควบคมขอมลสวนบคคล (Data Controller Roles and Responsibilities) ................................................... 83

11.3 หนาทของผประมวลผลขอมลสวนบคคล (Data Processor Roles and Responsibilities)........................................... 87

12. เจาหนาทคมครองขอมลสวนบคคล (Data Protection Officer : DPO) ................................................................................. 88

12.1 การแตงตงและคณสมบตของเจาหนาทคมครองขอมลสวนบคคล .................................................................... 88

12.2 หนาทของเจาหนาทคมครองขอมลสวนบคคล (Responsibility of DPO) ................................................................... 89

13. แนวปฏบตเกยวกบการจดท าการประเมนผลกระทบดานการคมครองขอมลสวนบคคล (Data Protection Impact

Assessment: DPIA) ....................................................................................................................................................................................... 90

13.1 ความแตกตางระหวาง Data Protection Impact Assessment (DPIA) กบ Privacy Impact Assessment (PIA)....... 90

13.2 แนวปฏบตเกยวกบการจดท า DPIA ........................................................................................................................ 91

14. แนวปฏบตเกยวกบ Three Lines of Defense ส าหรบการบรหารจดการขอมลและการบรหารความเสยงทเกยวของกบขอมลสวนบคคล ............................................................................................................................................................ 97

15. เหตการณการรวไหลของขอมลสวนบคคล (Personal Data Breach) ................................................................................ 99

17. Appendix A ....................................................................................................................................................................................... 113

1. Product: Saving Accounts .......................................................................................................................................................... 113

2. Product: Loan Process................................................................................................................................................................ 118

3. Product: Mobile Banking (Registration Process) ...................................................................................................................... 121

4. Service: Internet Banking (Purchase Product Process) ........................................................................................................... 124

5. Product: Payment ........................................................................................................................................................................ 127

6. Product: Credit Card ................................................................................................................................................................... 129

18. Appendix B ....................................................................................................................................................................................... 132

18.1 ตวอยางกระบวนการปฏบตเกยวกบการด าเนนการตามสทธทรองขอของเจาของขอมลสวนบคคล 132

19. Appendix C ....................................................................................................................................................................................... 133

19.1 การจดท าขอมลนรนาม (Data Anonymization) .................................................................................................................... 133

19.2 การแฝงขอมล (Data Pseudonymisation) ................................................................................................................................. 134

19.3 การเขารหสขอมล (Data Encryption) ...................................................................................................................................... 135



1. บทน า

• การคมครองขอมลสวนบคคลกบกลมธนาคารไทย

พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 (“พ.ร.บ. คมครองขอมลสวนบคคล”) จะมผลบงคบใชอยางสมบรณในวนท 1 มถนายน พ.ศ. 2564 ซงสมาคมธนาคารไทย (Thai Bankers’ Association) ไดเหนถงความส าคญ ของการก าหนดแนวทางในการด าเนนงานการคมครองขอมลสวนบคคลในกลมธนาคาร เพอใหเปนไปตาม พ.ร.บ. คมครองขอมลสวนบคคล

พ.ร.บ. คมครองขอมลสวนบคคลของไทยนนมการอางองกบกฎหมายของสหภาพยโรป ทเรยกกนวา “GDPR” (EU General Data Protection Regulation) ทมตวบทกฎหมายทมความชดเจนและครอบคลม ดงนนเอกสารแนวปฏบตเกยวกบการคมครองขอมลสวนบคคลของธนาคารไทย (Guideline on Personal Data Protection for Thai Banks) ฉบบน จงมการน าเนอหาบางสวนของ GDPR มาปรบใชเพอเปนแนวปฏบตในการคมครองขอมลสวนบคคล อกทง มการยกตวอยางแนวปฏบตในการคมครองขอมลสวนบคคลในตางประเทศ เพอใหผอานสามารถเขาใจถงการน าตวบทกฎหมายไปปฏบตไดดยงขน

มาตรการในการคมครองขอมลสวนบคคล มการมงเนนถง หนาทและความรบผดชอบของนตบคคล ในการกระท าการใดๆ ทเกยวกบขอมลสวนบคคล อนเนองมาจากในประเทศไทย มผประกอบการจ านวนมากท าการตดตอและรบสงขอมลสวนบคคลกน ทงการรบสงภายในกนเองภายในองคกรและภายนอกองคกร อกทงยงมการสงขอมลสวนบคคลออกนอกประเทศ มการน าขอมลไปเผยแพรเพอประโยชนสวนตนโดยไมไดรบอนญาต หรอมการตดตอไปยงเจาของขอมลสวนบคคลมากจนเกนความจ าเปน จนอาจเปนการรบกวนความเปนสวนตว ซงขอมลดงกลาว มทงขอมลทเปนขอมลทางธรกจ และขอมลสวนบคคล (นนกคอ ขอมลทเกยวของโดยตรงกบบคคลทท าใหสามารถระบตวตนได ไมวาทางตรงหรอทางออม) การกระท าใดๆ กบขอมลสวนบคคลนน อาจมความเสยงทจะเปนการกระท าอนละเมดหรอกระทบตอสทธและเสรภาพของบคคลได ดงนน จงตองมกฎหมาย กฎเกณฑตางๆ มาควบคมและจ ากดการใชขอมลสวนบคคล รวมถงบทลงโทษส าหรบการละเมดกฎขอบงคบตางๆ เพอคมครองสทธและเสรภาพของเจาของขอมลสวนบคคล โดยเฉพาะอยางยงสทธความเปนสวนตวใหดยงขน ผประกอบการจงตองมการใชขอมลอยางระมดระวงมากขน มใหการประมวลผลขอมลสวนบคคลเปนการละเมดสทธเสรภาพและความเปนสวนตวของบคคล ซงเปนหนาทของผประกอบการทตองจดใหมาตรการทท าใหมนใจวาขอมลสวนบคคลไดรบการคมครอง มการบรหารจดการขอมลอยางเหมาะสม

• เปาหมายและวตถประสงคของเอกสารฉบบน

แนวปฏบตเกยวกบการคมครองขอมลสวนบคคลของธนาคารไทย (Guideline on Personal Data Protection for Thai Banks) มวตถประสงคเพอใหมนใจวาธนาคารไทยตระหนกและเขาใจถงการคมครองขอมลสวนบคคลและเพอเปนแนวทางในการน า พ.ร.บ.คมครองขอมลสวนบคคล ไปถอปฏบตโดยใหเปน



มาตรฐานเดยวกนในกลมธนาคารไทย เอกสารฉบบนมกลมเปาหมายใหกบผจดท านโยบายของธนาคาร เพอใหงายตอการน าไปพฒนาเปนรางนโยบายและวธปฏบตเกยวกบการคมครองขอมลสวนบคคลของแตละธนาคารใหเหมาะสมและสอดคลองกบความเสยงและวธการด าเนนธรกจของแตละธนาคารเองไดอยางเหมาะสม

• การใชแนวปฏบตเกยวกบการคมครองขอมลสวนบคคลของธนาคารไทยฉบบน สามารถสรปเนอหาหลก ไดดงตอไปน 1) หลกการส าคญในการคมครองขอมลสวนบคคล (Principle Relating to Personal Data

Protection) 2) แนวปฏบตเกยวกบการคมครองขอมลสวนบคคล แบงตามวงจรชวตของขอมล (Data Life

Cycle) ไดแก การเกบรวบรวมขอมลสวนบคคล (Data Collection), การใชและเปดเผยขอมลสวนบคคล (Data Usage/Disclose/Transfer), การเกบขอมลสวนบคคลและระยะเวลาในการเกบรกษา (Data Retention) และการลบหรอท าลายขอมลสวนบคคล (Data Deletion or Data Destruction)

3) สทธของเจาของขอมลสวนบคคล (Data Subject Rights) 4) แนวปฏบตเกยวกบหนาทและความรบผดชอบของผควบคมขอมลสวนบคคลและผประมวลผล

ขอมลสวนบคคล (Data Controller and Data Processor Obligation) รวมทงหนาทและความรบผดชอบของเจาหนาทคมครองขอมลสวนบคคล (Data Protection Officer Roles and Responsibilities)

5) ภาคผนวก ไดแก ตวอยางการประมวลผลขอมลสวนบคคลของธนาคาร

• ขอจ ากดในการปฏบตงานและขอจ ากดของเอกสารฉบบน

บรษท ดลอย ทช โธมทส ไชยยศ ทปรกษา จ ากด (“บรษททปรกษา”) มขอจ ากดในการปฏบตงานเพอจดท าแนวปฏบตเกยวกบการคมครองขอมลสวนบคคลของสมาคมธนาคารไทย ดงตอไปน

• เอกสารฉบบนอางองตามขอก าหนดของ พ.ร.บ. คมครองขอมลสวนบคคลเปนหลก รวมถงกฎหมายเกยวกบการคมครองขอมลสวนบคคลของตางประเทศทมขอก าหนดทใกลเคยงกบ พ.ร.บ. คมครองขอมลสวนบคคลของไทย และกฎหมายทเกยวของกบธนาคาร

• เอกสารฉบบน มขอบเขตการศกษา วเคราะห และตความ จากประสบการณและจากฐานขอมลทนาเชอถอ ทงในเรองของการคมครองขอมลสวนบคคลและผลตภณฑหรอบรการทเกยวของของธนาคาร อยางไรกตาม ขอมลอางองดงกลาวเปนขอมลทม ณ เวลาใดเวลาหนง และ ธนาคารควรตระหนกดวยวาการคมครองขอมลสวนบคคลเปนเรองทก าลงพฒนาและมการปรบปรงเปลยนแปลงอย อยางรวดเรว ดงนน เนอหาหลายประการอาจม



ความลาสมยหรอไมเหมาะสมในหลายสถานการณเมอเวลาผานไป หรอรายการอางองใดๆ ของเนอหาอาจมการเปลยนแปลง สญหายไดเมอถงเวลาททานไดอานเอกสารฉบบน ดงนน ธนาคารจงอาจจ าเปนตองไดรบค าปรกษาจากผเชยวชาญในเรองดงกลาวโดยตรง

• บรษททปรกษาไมไดปฏบตงานดานการใหค าปรกษาทางกฎหมาย ดงนนจงไมสามารถรบรองความถกตองของครบถวนของเนอหา รวมถงไมสามารถใหค ารบรองหรอรบประกนใดๆทงสนของเนอหาในเอกสารฉบบนได และบรษททปรกษาจะไมรบผดชอบตอความสญเสย หรอเสยหายใดๆ ทอางวาเกดขนจากการปฏบตตามเนอหาของเอกสารฉบบน ไมวากรณใดๆ ทงสน



2. ค านยาม

รายการ ค าอธบายรายการ การประมวลผลขอมลสวนบคคล (Processing of Personal Data)

หมายถง การด าเนนการหรอชดการด าเนนการใดๆ กบขอมลสวนบคคล เชน การจดเกบ รวบรวม การบนทก การจดระบบ จดโครงสราง การอปเดตหรอการแกไข การดงขอมล การใช การเปดเผยดวยการสงตอ เผยแพร หรอ การกระท าใดๆ เพอใหพรอมใชงาน การใช การรวม การบลอก การลบหรอการท าลายขอมล

การรวไหลของขอมลสวนบคคล (Personal Data Breach)

การรวไหลหรอละเมดมาตรการความมนคงปลอดภยตอขอมลสวนบคคลท าใหเกด ความเสยหาย สญหาย เปลยนแปลง เปดเผยโดยไมไดรบอนญาต

การลบขอมล (Data Deletion) หมายถง การท าใหขอมลสวนบคคลนนถกลบออกระบบและไมอาจกคนไดโดยตวเจาของขอมลสวนบคคล ผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคล ทงน ไมวาในเวลาใด ๆ

กา รท า ข อ ม ล น ร น าม (Data Anonymization)

หมายถงกระบวนการแปลงขอมลสวนบคคลใหเปนขอมลท ไมสามารถใชเพอระบตวตนของบคคลใดบคคลหนงได

ก ล ม ธ ร ก จ ท า ง ก า ร เ ง น (Financial Business Group)

หมายความวา กลมธรกจทางการเงนตามประกาศธนาคารแหง ประเทศไทยวาดวยหลกเกณฑการก ากบดแลกลมธรกจทางการเงนและกฎเกณฑทเกยวของ

ข อ ม ล น ร น า ม (Anonymized Data)

หมายถง ขอมลทไมสามารถใชเพอระบตวตนของบคคลใดบคคลหนงได

ขอ ม ล ส ว นบ ค ค ล (Personal Data)

หมายถง ขอมลทเกยวกบบคคลซงท าใหสามารถระบตวบคคลนนได ไมวาทางตรงหรอทางออม แตไมรวมถงขอมลของผถงแกกรรมโดยเฉพาะ ตามค านยามของพระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562

ขอ ม ล ส ว นบ ค ค ล (Personal Identifiable Information ห ร อPII)

หมายถง ขอมลทเกยวกบตวบคคลซงท าใหสามารถระบตวบคคลได ไมวาทางตรงหรอทางออม ตามค านยามของ National Institutional of Standard and Technology (NIST)

ข อ ม ล อ อ น ไ ห ว (Sensitive Personal Data)

หมายถง ขอมลสวนบคคลทเปนเรองสวนตวของเจาของขอมลสวนบคคล และมความละเอยดออนและมความสมเสยงตอการถกใชในการเลอกปฏบตอยางไมเปนธรรม หรอเปนขอมลอนใดซงอาจท าใหเกดผลกระทบตอสทธเสรภาพของเจาของขอมลสวนบคคล

คณะกรรมการ (Personal Data Protection Committee)

หมายถง คณะกรรมการคมครองขอมลสวนบคคล



เจาของขอมลสวนบคคล (Data Subject)

หมายถง บคคลใดๆ ทขอมลใดๆท าใหสามารถระบตวตนนนได ไมวาทางตรงหรอทางออม

บ ร ษ ท ใ น เ ค ร อ (Affiliated Company)

หมายถง บรษท หรอนตบคคลใด ๆ ซงมความสมพนธกบบรษทมหาชนจ ากด หรอบรษทเอกชนบรษทใดบรษทหนงหรอหลายบรษท ในลกษณะดงตอไปน (1) บรษทหนงมอ านาจควบคมเกยวกบการแตงตงและถอดถอนกรรมการ ซงมอ านาจจดการทงหมดหรอโดยสวนใหญของอกบรษทหนง (2) บรษทหนงถอหนในอกบรษทหนงเกนกวารอยละหาสบของหนทออกจ าหนายแลว ในกรณทบรษทแรกและ/หรอบรษทในเครอบรษทเดยวหรอหลายบรษท หรอบรษทแรกและ/หรอบรษทในเครอในล าดบชนแรกและ/หรอในชนตอ ๆ ไป บรษทเดยวหรอหลายบรษทถอหนของบรษทใดมจ านวนรวมกนเกนกวารอยละหาสบของหนทออกจ าหนายแลวใหถอวาบรษทน นเปนบรษทในเครอของบรษทแรกดวย

โปรไฟลง (Profiling) รปแบบการประมวลผลขอมลสวนบคคลใดๆ ซงมการใชขอมลสวนบคคลในการประเมนลกษณะเกยวกบบคคลบางประการ โดยเฉพาะอยางยง เพอวเคราะหหรอคาดการณเกยวกบบคคลในเรองประสทธภาพในการท างาน สถานะทางเศรษฐกจ สขภาพของบคคล ความชนชอบสวนบคคล สถานะทางการเงนของบคคล สขภาพของบคคล พฤตกรรมของบคคล ความนาเชอถอของบคคล ต าแหนงทางภมศาสตร หรอความเคลอนไหวของบคคล

ผลตภณฑ (Product) หมายถง ผลตภณฑและบรการทางการเงนทกประเภททผใหบรการเปนผออก ผแนะน า หรอผขาย ซงรวมถงผลตภณฑทอยภายใตการก ากบของหนวยงานอน เชน ตราสารหน กองทนรวม ประกนวนาศภย และประกนชวต

ผควบคมขอมลสวนบคคล (Data Controller)

หมายถง บคคลหรอนตบคคลซงมอ านาจหนาทตดสนใจเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคล [เอกสารฉบบนอาจมการใชค าวา ผควบคมขอมลแทนค าวาผควบคมขอมลสวนบคคล

ผประมวลผลขอมลสวนบคคล (Data Processor)

หมายถง บคคลหรอนตบคคลซงด าเนนการเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลตามค าสงหรอในนามของผควบคมขอมลสวนบคคล ทงน บคคลหรอนตบคคลซงด าเนนการดงกลาวไม



เปนผควบคมขอมลสวนบคคล [เอกสารฉบบนอาจมการใชค าวา ผประมวลผลขอมลแทนค าวาผประมวลผลขอมลสวนบคคล]

ลกคา (Customer) หมายถง บคคลธรรมดาและนตบคคลซงใชผลตภณฑอยในปจจบนและใหหมายความรวมถงผตดตอสอบถามขอมลผลตภณฑ ผทรบทราบผลตภณฑผานสอตาง ๆ และผทไดรบ การเสนอหรอชกชวนจากผใหบรการเพอใหซอผลตภณฑ

ส านกงานคมครองขอมลสวนบคคล

หมายถง ส านกงานคณะกรรมการคมครองขอมลสวนบคคล (Office of the Personal Data Protection Committee)



3. ขอบเขตของขอมลสวนบคคลและการจ าแนกขอมลสวนบคคล ( Personal Data Scope and

Classification)

3.1 การระบขอมลสวนบคคล (Identifying Personal Identifiable Information) “ขอมลสวนบคคล” (Personal Data) ตาม พ.ร.บ. คมครองขอมลสวนบคคล หมายความวา ขอมลเกยวกบบคคลซงท าใหสามารถระบตวบคคลนนไดไมวาทางตรงหรอทางออม แตไมรวมถงขอมลของผถงแกกรรมโดยเฉพาะ “เจาของขอมลสวนบคคล” (Data Subject) หมายความวา บคคลผทขอมลสวนบคคลสามารถระบไปถง

เพอเปนการอธบายค าวาขอมลสวนบคคล National Institutional of Standard and Technology (“NIST”) ไดใหค านยามของ Personal Identifiable Information (PII) หมายถง ขอมลทเกยวกบตวบคคลซงท าใหสามารถระบตวบคคลได ไมวาทางตรงหรอทางออม ซงความสามารถในการระบตวบคคลสามารถแบงไดเปน 3 ลกษณะ อนไดแก ความสามารถในการแยกแยะ การตดตาม และ การเชอมโยง ตวอยางของ PII เชน ชอ ทอย อเมล ขอมลทางการเงน ขอมลสขภาพ ประวตอาชญากรรม เปนตน การเขาถง ใช หรอเปดเผย PII โดยมไดรบอนญาตนนอาจกอเกดใหผลกระทบทางลบกบทงเจาของขอมลสวนบคคล เชน อาจถกสวมรอยโดยคนรายและเอาขอมลไปแอบอางเพอประโยชนบางประการ อาจท าใหเกดความอบอาย มผลกระทบตอความเปนอยหรออาจท าใหเกดความเสยหายทางการเงน เปนตน และเกดผลกระทบทางลบกบผควบคมขอมลสวนบคคลเอง เชน มผลกระทบตอชอเสยงขององคกร ท าใหความนาเชอถอลดลง หรอตองรบผดทางกฎหมาย เปนตน

ความสามารถในการระบไปยงเจาของขอมลสวนบคคลสามารถแบงไดเปน 3 ลกษณะ

I. การแยกแยะ (Distinguishability) คอการทขอมลมความสามารถในการระบแยกแยะตวบคคลออกจากกนได ตวอยางเชน ในชดขอมล ม ชอ หมายเลขหนงสอเดนทาง หมายเลขประกนสงคม หรอขอมล Biometric ซงขอมลดงกลาวสามารถระบตวของเจาของขอมลได ในทางตรงกนขามหากชดขอมลระบเพยงคะแนนเครดต (Credit score) นนไมสามารถระบไปยงตวบคคลได จ าเปนจะตองมขอมลเกยวกบตวบคคลเพมเตมจงจะสามารถแยกแยะตวบคคลได

II. การตดตาม (Traceability) คอการทขอมลสามารถถกใชในการตดตาม เพอระบลกษณะจ าเพาะ

ของบคคลนนได ยกตวอยางเชน พฤตกรรม กจกรรมทบคคลนนกระท า สถานะหรอการบนทกการกระท าของผใชงานระบบทท าใหสามารถใชในการตดตามกจกรรมของแตละบคคลได

III. การเชอมโยง (Linkability) คอการทขอมลมคณสมบตในการเชอมโยงกนและระบไปยงตวบคคลได ซงแบงออกเปน 2 ประเภท

• ขอมลทถกเชอมโยงแลว (Linked Information) คอกรณทขอมลทเกยวของกบเจาของขอมลสวนบคคลคนละชด เมอใชขอมลทงสองชดประกอบกนแลวจะมความสามารถในการระบตว



เจาของขอมลสวนบคคลได เชน ขอมล PII สองชดทมองคประกอบ PII ตางกน เมอมบคคลทสามารถเขาถงชดขอมลทงสองชดได กจะสามารถเชอมโยงขอมลดงกลาวในการระบตวเจาของขอมลสวนบคคลได รวมถงกรณทการเขาถงขอมลอนทเกยวของกบเจาของขอมลสวนบคคล หากฐานขอมลทงสองชดอยในระบบเดยวกนหรอระบบทเกยวของกนอยางใกลชด และไมมควบคมการเขาถงอยางมประสทธภาพ กรณนถอเปนขอมลทถกเชอมโยงแลวได

• ขอมลทอาจถกเชอมโยงได (Linkable Information) คอกรณท หากมชดขอมลทหากใชรวมกนกบขอมลอนแลวกจะสามารถระบตวบคคลได โดยทขอมลอนทจะน ามาใชรวมนนมาจากแหลงขอมลอน โดยไมอยในระบบเดยวกนหรอระบบทเกยวของกนอยางใกลชด มอยในอนเทอรเนต หรอแหลงอน กรณนเปนขอมลท อาจถกเชอมโยงได

3.1.1 ตวอยางของขอมลทเปนขอมลสวนบคคล รายการตอไปนคอตวอยางของขอมลทอาจถกพจารณาเปนขอมลสวนบคคล

• ชอ นามสกล ชอกลาง

• เลขประจ าตวประชาชน หมายเลขประกนสงคม หมายเลขหนงสอเดนทางหมายเลขใบขบข หมายเลขประจ าตวผเสยภาษ เลขบญชธนาคาร เลขบตรเครดต

• ขอมลทอย อเมล หมายเลขโทรศพท

• ขอมลอปกรณ เชน เลข IP address, MAC address, Cookie ID

• ขอมลทเปนลกษณะเฉพาะ เชน รปภาพใบหนา

• ขอมลทางชวมต (Biometric) ซงเปนขอมลสวนบคคลทเปนขอมลออนไหว (Sensitive Personal Data) เชน ขอมลแบบจ าลองใบหนา ขอมลแบบจ าลองลายนวมอ ฟลมเอกซเรยขอมลสแกนมานตา ขอมลอตลกษณเสยง ขอมลพนธกรรม เปนตน

• ขอมลระบทรพยสนของบคคล เชน ทะเบยนรถยนต โฉนดทดน ขอมลเกยวกบบคคลทเชอมโยงหรอถกเชอมโยงกบหนงในขางตน เชน วนเกด สถานทเกด น าหนก สวนสง ขอมลต าแหนงทางภมศาสตร (Location)

• เชอชาต ศาสนา ความเชอ ลทธ เผาพนธ ปรชญา พฤตกรรมทางเพศ ความเหนทางการเมอง ประวตอาชญากรรม

• ขอมลการจางงาน ขอมลทางการแพทย ขอมลการศกษา ขอมลทางการเงน

• เชอชาต ศาสนา ความเชอ ลทธ เผาพนธ ปรชญา พฤตกรรมทางเพศ ความเหนทางการเมอง ประวตอาชญากรรม

• ขอมลการจางงาน ขอมลทางการแพทย ขอมลการศกษา ขอมลทางการเงน



3.1.2 ตวอยางของขอมลทไมเปนขอมลสวนบคคล

รายการตอไปนคอตวอยางของขอมลทไมถกพจารณาเปนขอมลสวนบคคล

3.2 แนวปฏบตเกยวกบการรกษาความมนคงปลอดภยของขอมล (Information Security) 3.2.1 การก าหนดหนวยงานเจาของขอมล (Information Owner หรอ Data Owner หรอ Data

Owners)

การรกษาความมนคงปลอดภยของขอมล (Information Security) ตามประกาศธนาคารแหงประเทศไทย ไดก าหนดใหธนาคารจะตองท าการก าหนดหนวยงานเจาของขอมล (Information Owner หรอ Data Owner หรอ Data Owners) คอ บคคลหรอหนวยงานทท าหนาทตรวจสอบดแลขอมลโดยตรง เพอใหมนใจวาการบรหารจดการขอมลสอดคลองกบนโยบาย มาตรฐาน กฎระเบยบ หรอกฎหมาย หนวยงานเจาของขอมลจะตองท าการทบทวนและอนมตการด าเนนการตาง ๆ ทเกยวของกบขอมล เปนผรบผดชอบในใหสทธในการเขาถงขอมลและจดชนความลบของขอมลอยางปลอดภยและเหมาะสม หนวยงานเจาของขอมลมกจะอยในต าแหนงบรหาร เชน ผอ านวยการฝายหรอหวหนาสวนงาน ดงนนหนาทและความหมายของหนวยงานเจาของขอมล (Data Owners) จงแตกตางกบค าวา เจาของขอมลสวนบคคล (Data Subject) ตาม พ.ร.บ. คมครองขอมลสวนบคคลซงมความหมายตามทไดกลาวไวในหวขอ 3.1

3.2.2 แนวปฏบตเกยวกบการจ าแนกขอมล (Data Classification) "การจ าแนกขอมล" (Data Classification) หมายถงกระบวนการทเกยวของกบการประเมนชดขอมล

กบการรกษาความปลอดภยของขอมล อนไดแก ขอมลความลบ ขอมลออนไหว ขอมลทตองจดใหมเพอพรอมใชงาน และขอมลทตองเปดเผยตามขอก าหนดของกฎหมาย เพอใหสามารถใชขอมล และก าหนดระดบการเปดเผยอยางเหมาะสม รวมถงระดบการปองกนความปลอดภยของขอมล เพอเพมความมนคงและความปลอดภยของขอมล

การจ าแนกขอมลเปนกระบวนการทชวยใหองคกรรกษาความปลอดภยของขอมลทมความออนไหว หรอส าคญใหอยในระดบทเหมาะสม ไมวาขอมลจะถกน าไปใชงานหรอถกเกบในท ใดกตาม การจ าแนกขอมลถอเปนจดเรมตนและเปนพนฐานในการรกษาความเปนสวนตวของขอมล ซงองคกรตองท าการ

• ขอมลจดทะเบยนบรษท, ขอมลตดตอทางธรกจ ทไมไดระบถงตวบคคล เชน ทอยส านกงาน, อเมลบรษท, หมายเลขโทรศพทส านกงาน, หมายเลขแฟกซส านกงาน

• ขอมลทไมสามารถระบถงตวบคคลได เชน ขอมลนรนาม (Anonymized Data)

• ขอมลผถงแกกรรม



ตดสนใจเกยวกบการกระท าใด ๆ กบขอมล บนพนฐานของความเสยงและผลกระทบทอาจเกดขนกบองคกร จะชวยใหองคกรประเมนความเสยงในแตละประเภทของขอมลไดอยางเหมาะสมยงขน ตวอยางการรกษาความปลอดภยของขอมลในแตละประเภท เชน ขอมลประเภทท “ถกจ ากด” (Restricted) ควรไดรบการดแลดวยมาตรฐานทสงกวาขอมลท “ไมถกจ ากด” (Unrestricted) ททกคนในองคกรสามารถเขาถงได เนองจากหากขอมลทถกจ ากดเกดการรวไหล อาจท าใหเกดผลกระทบรายแรงตอเจาของขอมลสวนบคคลและองคกรมากกวาขอมลทไมถกจ ากด

แนวปฏบตฉบบน ไดน าหลกการการก าหนดผลกระทบทอาจเกดขนจากการถกละเมดความปลอดภยของขอมลสวนบคคลจาก National Institute of Standards and Technology (NIST) ในการก าหนดวตถประสงคดานความปลอดภย (Security Objective) ของขอมลออกเปน 3 ดาน ไดแก

1. การรกษาความลบของขอมล (Confidentiality) คอ การจ ากดการเขาถงและการเปดเผย

ขอมล รวมถงการปกปองความเปนสวนตวและสทธของขอมล 2. ความถกตองสมบรณของขอมล (Integrity) คอ การรกษาความปลอดภยของขอมล จากการ

ดดแปลงหรอถกท าลายโดยไมเหมาะสม รวมถงการท าใหมนใจวาขอมลมความถกตอง 3. ความพรอมใชงานของขอมล (Availability) คอ การท าใหมนใจวา สามารถเขาถงขอมลและ

ใชงานไดอยางทนเวลาและเชอถอได

องคกรมความจ าเปนทตองจดใหมการบรหารความเสยงอยางเหมาะสม จากการจ าแนกขอมลตามความเสยงและผลกระทบ โดยการก าหนดระดบความเสยงของขอมลสวนบคคลในชดตาง ๆ (Data Risk Level) และผลกระทบทอาจเกดขน (Impact) กบองคกรหรอบคคลหากถกละเมดความปลอดภย สามารถแบงไดเปน 3 ระดบ ไดแก

1. ผลกระทบระดบต า (Low) คอ มแนวโนมทจะมผลกระทบอยางจ ากด (Limited Adverse Effect) ตอองคกร ทรพยสนขององคกรและบคคล เชน

1. ท าใหความสามารถในการปฏบตภารกจลดลงในขอบเขตและระยะเวลาทองคกรสามารถปฏบตหนาทหลกได แตประสทธภาพระบบสารสนเทศลดลงอยางสงเกตเหนได

2. สงผลใหเกดความเสยหายเลกนอยตอทรพยสนขององคกร 3. ความเสยหายทางการเงนเลกนอย 4. สงผลใหเกดอนตรายตอบคคลอยางเลกนอย

2. ผลกระทบระดบกลาง (Moderate) มแนวโนมทจะมผลกระทบอยางมาก (Serious Adverse

Effect) ตอองคกร ทรพยสนขององคกรและบคคล เชน



1. ท าใหเกดการลดลงอยางมนยส าคญในความสามารถในการปฏบตภารกจในระดบและระยะเวลาทองคกรสามารถปฏบตหนาทหลกได แตประสทธภาพของระบบสารสนเทศจะลดลงอยางมนยส าคญ

2. สงผลใหเกดความเสยหายอยางมนยส าคญตอทรพยสนขององคกร 3. สงผลใหเกดการสญเสยทางการเงนอยางมนยส าคญ 4. สงผลใหเกดอนตรายอยางมนยส าคญตอบคคล แตไมถงกบการสญเสยชวตหรอไดรบ

บาดเจบรายแรงถงชวต 3. ผลกระทบระดบสง (High) มแนวโนมทจะมผลกระทบอยางรายแรงหรอหายนะ (Severe or

Catastrophic Adverse Effect) ตอองคกร ทรพยสนขององคกรและบคคล เชน 1. ท าใหเกดความเสอมโทรมอยางรนแรงในหรอสญเสยความสามารถในการปฏบตภารกจใน

ขอบเขตและระยะเวลาทองคกรไมสามารถปฏบตหนาทหลกอยางนอยหนงอยาง 2. สงผลใหเกดความเสยหายอยางใหญหลวงตอทรพยสนขององคกร 3. สงผลใหเกดการสญเสยทางการเงนทส าคญ 4. สงผลใหเกดอนตรายอยางรนแรงตอความปลอดภยของชวตหรอไดรบบาดเจบรายแรงถง

ชวต

การจ าแนกขอมลสามารถก าหนดระดบการจ าแนกขอมลไดหลากหลายระดบ ขนอยกบความเหมาะสมขององคกร ดงตารางดานลางเปนตวอยางการจ าแนกขอมลออกเปน 5 ระดบ (ระดบ 0 ถง 4) ซงก าหนดให PII หรอ ขอมลสวนบคคลอยในระดบ 3 “Confidential” ซงเปนขอมลทถกจดใหไดรบการคมครองตามกฎหมาย ดงนนองคกรจงตองจดใหมมาตรการการรกษาความปลอดภยของขอมลดงกลาวใหเหมาะสมกบความเสยง

Level of

Dataset

Data Classification

Refer to

Level 0 Open หมายถงขอมลทไมจดอยในกลม 1,2,3 หรอ 4 เปนขอมลทพรอมใหสาธารณชนเขาถงไดบนเวบไซต หรอเปนชดขอมลทรฐเปดเผย

Level 1 Public Not Proactively Released

หมายถง ขอมลทไมไดรบการคมครองจากการเปดเผยตอสาธารณะหรอถกควบคมภายใตกฎหมายขอบงคบหรอสญญาใด ๆ เปนขอมลทถกเผยแพรบนอนเทอรเนตหรอสาธารณะ มแนวโนมทจะเสยงตอความปลอดภย ความเปนสวนตวหรอความปลอดภยของแตละบคคลทถกระบไวในชดขอมล



Level 2 For District Government Use

หมายถง ขอมลส าหรบการใชงานของรฐ ขอมลทไมใชขอมลออนไหวและอาจมการเผยแพรภายในรฐบาล ไมมขอจ ากดตามกฎหมาย ขอบงคบตามสญญา เปนขอมลการด าเนนธรกจของภาครฐเปนหลก

Level 3 Confidential หมายถงขอมลทเปนความลบ เปนขอมลทไดรบการปองกนการเปดเผยตามกฎหมาย ขอบงคบ หรอสญญา ซงเปนขอมลทมความออนไหวหรอไดรบการคมครองอยางถกตองตามกฎหมาย กฎระเบยบหรอขอบงคบตามสญญาจากการเปดเผยตอหนวยงานสาธารณะอน ๆ ซงขอมลทถกจ าแนกอยในประเภทน นนรวมถง ขอมลทเกยวของกบความเปนสวนตว เชน ขอมลทท าใหระบตวบคคลได ขอมลออนไหว เปนตน

Level 4 Restricted Confidential

หมายถงขอมลความลบทถกจ ากด คอขอมลทหากถกเปดเผยโดยไมไดรบอนญาตอาจท าใหเกดความเสยหายรายแรง อาจสงผลตอความปลอดภยของชวตหรอการไดรบบาดเจบรายแรงถงชวตตอผทถกระบไวในชดขอมล สงผลทลดลงอยางมนยส าคญในความสามารถในการปฏบตภารกจในระดบและระยะเวลาทองคกรสามารถปฏบตหนาทหลกได

ตารางดานลาง แสดงความสมพนธของผลกระทบทอาจเกดขนหากถกละเมดในแตละวตถประสงคดานความปลอดภย (Potential Impact Definitions for Security Objectives)

ผลกระทบทอาจเกดขน (Potential Impact) Security Objective

Low Moderate High

“Confidentiality” ก า ร จ า ก ด ก า รเ ข า ถ ง แ ล ะ ก า รเ ป ด เ ผ ย ข อ ม ล ร ว ม ถ ง ว ธ ก า รปกปองความเปนสวนตวและสทธในขอมล

การเปดเผยขอมลโดยไมไดรบอนญาต คาดวาอ า จ จ ะ ม ผ ล ก ร ะ ท บในทางลบอยางจ ากด ตอก า ร ด า เ น น ง า น ข อ งองคกร ทรพยสนขององคกรหรอบคคล

การเปดเผยขอมลโดยไมไดรบอนญาต คาดวาอ า จ จ ะ ม ผ ล ก ร ะ ท บในทางลบอยางมาก ตอก า รด า เ น น ง านขอ งองคกร ทรพยสนขององคกรหรอบคคล

การเปดเผยขอมลโดยไมไดรบอนญาต คาดวาอาจจะมผลกระทบในทางลบอยางรายแรงตอการด าเนนงานขององคกร ทรพยสนขององคกรหรอบคคล

“Integrity” การรกษาคว ามป ล อ ด ภ ย ข อ งข อ ม ล จ ากก า รดดแปลงหรอถก

การดดแปลงหรอท าลายข อ ม ล โ ด ย ไ ม ไ ด ร บอนญาตคาดวาอาจจะมผลกระทบอยางจ ากด ตอการด าเนนงานของ

ก า ร ด ด แ ป ล ง ห ร อท าลายขอมลโดยไมไดร บ อ น ญ า ต ค า ด ว าอาจจะมผลกระทบอยางมาก ตอการด าเนนงาน

การดดแปลงหรอท าลายข อ ม ล โ ด ย ไ ม ไ ด ร บอนญาตคาดวาอาจจะมผลกระทบอยางรายแรง ตอการด าเนนงานของ



ท า ล า ย โ ด ย ไ มเหมาะสม รวมถงการท าใหมนใจวาข อ ม ล ม ค ว า มถกตอง

องคกร ทรพยสนขององคกรหรอบคคล

ขององคกร ทรพยสนขององคกรหรอบคคล

องคกร ทรพยสนขององคกรหรอบคคล

“Availability” การท าใหมนใจวา ส า ม า ร ถ เ ข า ถ งขอมลและใชงานไดอยางทนเวลาและเชอถอได

การหยดชะงกของการเขาถงหรอการใชขอมลหรอระบบสารสนเทศของขอมล คาดวาอาจมผลกระทบอยางจ ากด ตอการด าเนนงานขององคกร ทรพยสนขององคกรหรอบคคล

การหยดชะงกของการเขาถงหรอการใชขอมลหรอระบบสารสนเทศของขอมล คาดวาอาจมผลกระทบอยางมาก ตอก า รด า เ น น ง านขอ งองคกร ทรพยสนขององคกรหรอบคคล

การหยดชะงกของการเขาถงหรอการใชขอมลหรอระบบสารสนเทศของข อ ม ล ค า ด ว า อ า จ มผลกระทบอยางรายแรง ตอการด าเนนงานขององคกร ทรพยสนขององคกรหรอบคคล

3.2.3 ปจจยในการก าหนดผลกระทบทอาจเกดขนตอการรกษาความลบของขอมลสวนบคคล (Factors for Determining PII Confidentiality Impact Levels) ในการพจารณาถงผลกระทบทอาจเกดขนจากการถกละเมดของขอมลสวนบคคล ธนาคารควรท า

การประเมนความเสยงจากปจจยทส าคญดงทจะกลาวตอไปน ซงในกระบวนการพจารณาปจจยตาง ๆ ธนาคารควรจะตองพจารณาปจจยทเกยวของรวมกน เนองจากการพจารณาเพยงปจจยเดยวนนอาจใหผลลพธของผลกระทบทอาจเกดขน (Potential Impact) ในระดบต า แตปจจยประการอนอาจบงชไดวาผลกระทบทอาจเกดขนอยในระดบสงได ซงผลลพธนนควรแทนทปจจยแรก

ในขนตอนการพจารณาปจจยทอาจสงผลกระทบตอการรกษาความลบของขอมลสวนบคคล จะชวยใหธนาคารสามารถก าหนดการรกษาความปลอดภยของขอมลไดดและเหมาะสมกบความเสยงยงขน ซงจะชวยใหธนาคารเขาใจถงกระบวนการ และเพอชวยใชในการประเมนความเสยงทอาจเกดขนกบขอมลสวนบคคล

Factors for Determining PII Confidentiality Impact Levels Identifiability

Quantity of PII Data Field Sensitivity

Context of Use Access to and Location of PII



1. (Identifiability) ความสามารถในการระบตวบคคล: ธนาคารจะตองพจารณาวาขอมลสวน

บคคลดงกลาว มความสามารถในการระบตวบคคลไดมากนอยเพยงใด เชน ชดขอมลทม ชอ นามสกล หมายเลขโทรศพทและทอยอเมลนนสามารถระบตวบคคลไดโดยตรง ชดขอมลทอาจระบตวตนไดโดยออมอาจตองพจารณาเพมเตมถงความสามารถในการระบตวบคคลตาม 3 ลกษณะ ไดแก ความสามารถในการแยกแยะ (Distinguishability) การตดตาม (Traceability) และการเชอมโยง (Linkability) ดงทไดกลาวไวในหวขอการระบขอมลสวนบคคล ( Identifying Personal Identifiable Information)

2. (Quantity of PII) ปรมาณของขอมลสวนบคคล: ธนาคารจะตองท าการประเมนวา ขอมลสวน

บคคลทธนาคารมอยนนมปรมาณมากนอยเพยงใด การถกละเมดขอมลสวนบคคลทมจ านวนนอยกบทมจ านวนมากยอมกอใหเกดผลกระทบตางกน ไมเพยงแตผลกระทบแกเจาของขอมลสวนบคคลแตรวมถงผลกระทบตอชอเสยงของธนาคารเองดวย รวมถงคาใชจายในทธนาคารจะตองท าการแกไขสาเหตการละเมดหรอคาใชจายทตองรบผดชอบใหกบเจาของขอมลสวนบคคล หรอคาปรบตามกฎหมาย ดงนนธนาคารอาจพจารณาใหผลกระทบทอาจเกดขนอยในระดบสงส าหรบชดขอมลขนาดใหญ แตกไมไดหมายความวาถามชดขอมลขนาดเลกแลวจะมระดบความเสยงทต าจงตองพจารณาปจจยอนดวย

3. (Data Field Sensitivity) ความออนไหวของขอมล: ธนาคารควรประเมนความออนไหวของ

ขอมลสวนบคคลทธนาคารท าการเกบรวบรวม ตวอยางเชน ขอมลทางการเงน ขอมลเลขบตรประจ าตวประชาชน ขอมลสขภาพ ยอมมความออนไหวมากกวา ขอมลหมายเลขโทรศพท หรอ รหสไปรษณย ของเจาของขอมลสวนบคคล ดงน นธนาคารจะตองก าหนดระดบผลกระทบทอาจเกดขนจากการถกละเมดขอมลส าหรบขอมลทมความออนไหวอยในระดบทสงกวาขอมลทมความออนไหวนอยกวา ซงธนาคารควรก าหนดใหขอมลออนไหวอยในระดบความเสยงปานกลางเปนอยางนอย อยางไรกตามธนาคารตองค านงถงบรบทในการใชงานดวย เชน ขอมลเขตทอย รหสไปรษณย สถานทเกด อาจมความออนไหวมากขนหากถกน าไปใชนอกเหนอจากวตถประสงคเดม เชนถกน าไปใชในการยนยนตวตนในการกรหสผานของเจาของขอมลสวนบคคล

4. (Context of Use) บรบทในการใชขอมล: เปนปจจยทเกยวของกบการใชขอมลอยาง ถกตอง เปนธรรม และโปรงใส บรบทในการใชขอมลสามารถพจารณาไดจากวตถประสงคในการเกบรวบรวม ใชหรอเปดเผยขอมลสวนบคคล เชน การเกบรวบรวมขอมลเพอใชในการวเคราะหเชงสถต เพอประโยชนตามกฎหมาย เพอการค านวณภาษ เปนตน ซงการประเมนบรบทของการใชขอมล จะชวยใหธนาคารประเมนระดบของผลกระทบทอาจเกดขนกบบคคลหรอธนาคารจากการเปดเผยขอมลสวนบคคล



5. (Access to and Location of PII) การเขาถงและทเกบขอมล: ธนาคารอาจพจารณาถงความ

จ าเปนในการใชขอมลสวนบคคลเพอบรรลวตถประสงค เพอใชในการก าหนดความจ าเปนในการอนญาตใหเขาถงขอมลสวนบคคลไดอยางเหมาะสม เนองจากหากขอมลสวนบคคลถกเขาถงบอยครงหรอเขาถงไดดวยบคคลจ านวนมาก จะเปนการเพมโอกาสทขอมลอาจรวไหลมากขน รวมถงหากขอมลสามารถเขาถงไดจาก เครองมอ หรอระบบอน ๆ หรอสวนงานตาง ๆ เชน การเขาระบบผานทางเวบไซต หรอผานทาง Application ทงจากภายในธนาคารและภายนอกธนาคาร ยอมท าใหความเสยงในการรวไหลมากขน ซงธนาคารอาจก าหนดใหระดบของผลกระทบทอาจเกดขนสงได

4. หลกการส าคญในการคมครองขอมลสวนบคคล (Data Protection Principles)

แนวปฏบตฉบบนอางองถงหลกการตาม GDPR Article 5 (“Principles Relating to Processing of Personal Data”) สาระส าคญกลาวถงหลกการทง 7 อยางในการประมวลผลขอมลสวนบคคลและหนาทของผควบคมขอมลสวนบคคล ซงเปนสงทพงระลกกอนท าการประมวลผลขอมลสวนบคคล ธนาคารควรท าความเขาใจหลกการทส าคญเหลาน จะชวยใหเขาใจถงหลกการและขอจ ากดในการประมวลขอมลสวนบคคล เพอทจะสามารถพจารณาความเหมาะสมในการประมวลผลขอมลในกรณอนได และหลกการเหลานจะถกอางองในการตความของเนอหาสวนอนในเอกสารแนวปฏบต ทจะตองมความสอดคลองกบหลกการส าคญทง 7 น

4.1 Principle 1 : ("Lawfulness, Fairness, and Transparency”)

ขอมลสวนบคคลจะตองถกประมวลผลโดยชอบดวยกฎหมาย มความเปนธรรมและโปรงใส ➢ “Lawfulness” หมายถงในการประมวลผลขอมลสวนบคคลโดยชอบดวยกฎหมาย ผควบคม

ขอมลสวนบคคลและผประมวลผลขอมลสวนบคคลจะตองสามารถระบ “ฐานทางกฎหมาย” (Lawful Basis) ในการประมวลผลขอมลสวนบคคลธนาคารจะตองระบฐานในการประมวลผลใหไดฐานใดฐานหนง และจะตองมความระมดระวงมากขนในการประมวลผลขอมลออนไหว (Sensitive Personal Data) ซงถาหากผควบคมขอมลสวนบคคลไมสามารถระบฐานทางกฎหมายในการเกบรวบรวม ใชหรอเปดเผยขอมลสวนบคคลได จะเปนการขดตอหลกการขอน รวมทงอาจเปนการขดตอกฎหมาย ซงเจาของขอมลสวนบคคลมสทธทจะขอใหผควบคมขอมลด าเนนการลบหรอท าลาย หรอท าใหขอมลสวนบคคลเปนขอมลทไมสามารถระบถงเจาของขอมลสวนบคคลได

➢ “Fairness” หมายถงความเปนธรรม ในการประมวลผลขอมลสวนบคคลจะตองท าในลกษณะทสมเหตสมผลตามความคาดหมายของเจาของขอมลสวนบคคล มความยตธรรมและไมเปนการละเมดสทธและประโยชนของเจาของขอมลสวนบคคล



➢ “Transparency” หมายถงความโปรงใส โดยทวไปแลวความโปรงใสนนเชอมโยงกบความเปนธรรม เนองจากการประมวลผลขอมลสวนบคคลอยางโปรงใส ผควบคมขอมลจะตองแสดงรายละเอยดในการประมวลผลขอมลโดยชดเจน เพอใหเจาของขอมลสวนบคคลเขาใจถงการประมวลผลขอมลของตนได ตวอยางเชน เรมตนจากผเกบรวบรวมขอมลสวนบคคลแสดงตนวาใครคอผควบคมขอมลสวนบคคลและผประมวลผลขอมลสวนบคคล มการประมวลผลขอมลสวนบคคลอยางไร รวมทงสามารถเปดเผยใหแกเจาของขอมลสวนบคคลทราบและตรวจสอบได นอกจากนนควรแจงใหเจาของขอมลสวนบคคลทราบดวยภาษาทงายตอความเขาใจ ไมซบซอนหรอไมท าเกดความเขาใจผดไดงาย

4.2 Principle 2 : (“Purpose Limitation”) การเกบรวบรวมขอมลสวนบคคล จะตองเกบเฉพาะทเกยวของ จ าเปน เพอประมวลผลขอมลสวนบคคลตามวตถประสงคอนชอบดวยกฎหมายทระบไวอยางชดเจน และชอบธรรม อกทงผควบคมขอมลสวนบคคลจะตองไมน าไปประมวลผลตอในลกษณะทไมสอดคลองกบวตถประสงคเหลานนและไมสามารถน าไปใชกบวตถประสงคใหมทนอกเหนอจากวตถประสงคในการเกบรวบรวมทระบไวในตอนแรก ส าหรบการใชขอมลในบรบทน หมายความรวมถง การใช เปดเผย และการโอนขอมลสวนบคคลดวย

ตวอยาง 1 การประมวลผลขอมลเพอวตถประสงคในการสงเสรมการขายและการประชาสมพนธเกยวกบผลตภณฑและบรการตางๆ ธนาคารอาจท าการเกบรวบรวมขอมล ชอ นามสกล อเมลและหมายเลขโทรศพทของลกคา ซงเปนการเกบรวบรวมและใชขอมลเฉพาะเทาทจ าเปนในการประมวลผลขอมลตามวตถประสงคดงกลาว

ตวอยาง 2 ธนาคารไมสามารถประมวลผลตามวตถประสงคทนอกเหนอจากวตถประสงคในการเกบรวบรวม ใช หรอเปดเผยตามทระบไวในตอนแรก เชน ปจจบนธนาคารประมวผลขอมลสวนบคคลของลกคา เพอวตถประสงคในการใหสนเชอ ภายหลงธนาคารตองการจะเปดเผยขอมลสวนบคคลของลกคาใหกบบรษทประกนภย เพอวตถประสงคในการขายผลตภณฑอน ธนาคารไมสามารถเปดเผยขอมลสวนบคคลใหบรษทประกนภยได เนองจากวตถประสงคนนเปนวตถประสงคอนทนอกเหนอจากวตถประสงคเดมทใชในการประมวลผลขอมล



4.3 Principle 3 : (“Data Minimisation”)

ในการประมวลผลขอมลสวนบคคล ตงแตกระบวนการเกบรวบรวม ใช หรอเปดเผย รวมถงระยะเวลาในการเกบ ผควบคมขอมลสวนบคคลควรจะด าเนนการเทาทจ าเปน เก ยวของ และจ ากดตามวตถประสงคในการประมวลผลขอมล และผควบคมขอมลสวนบคคลจะตองแจงวตถประสงคในการเกบรวบรวม ใช หรอเปดเผยใหเจาของขอมลสวนบคคลทราบ

4.4 Principle 4 : (“Accuracy”)

ขอมลสวนบคคลควรมความถกตอง สมบรณและเปนปจจบน ผควบคมขอมลสวนบคคลจะตองด าเนนการเพอใหแนใจวาขอมลสวนบคคลทไมถกตองจะถกลบหรอแกไขโดยไมลาชา

ตวอยาง 1 ในการเกบรวบรวมขอมลสวนบคคลของลกคา ธนาคารจะตองท าการเกบเทาทจ าเปนเพอใชในการประมวลผลขอมลตามวตถประสงคทแจงตอลกคา ธนาคารควรทจะพจารณาอยางรอบคอบวา ขอมลใดมความจ าเปนทตองท าการเกบรวบรวม เชน ในการเกบรวบรวมขอมลสวนบคคลเพอเปดบญชออมทรพยกบธนาคาร จะตองท าการขอขอมล ชอ นามสกล ทอย และขอมลในการตดตอลกคา ซงมความจ าเปนทจะตองท าการเกบขอมลเหลาน เพอใชในการใหบรการทางการเงนแกลกคา ซงธนาคารไมควรท าการเกบรวบรวม เชอชาต ศาสนา เนองจากขอมลดงกลาว เกนความจ าเปนในการประมวลผลขอมลตามวตถประสงคในการเปดบญชออมทรพย

ตวอยาง 2 กรณทลกคาขอสนเชอกบธนาคาร ธนาคารมความจ าเปนทจะตองท าการเกบรวบรวมขอมลคสมรสเพอใชในการพจารณาการใหสนเชอ ดงนนธนาคารสามารถเกบรวบรวมขอมลผสมรสไดเนองจากมความจ าเปนในการพจารณาการใหบรการของธนาคาร

ตวอยาง ในขนตอนการเกบรวบรวมขอมลสวนบคคล ธนาคารจะตองท าการตรวจสอบความถกตองและความสมบรณของขอมลตามขอก าหนดหรอกฎหมาย ภายหลงหากลกคาพบวาขอมลไมถกตองหรอประสงคจะแกไขขอมล ธนาคารจะตองด าเนนการแกไขตามทลกคาประสงคจะแกไขโดยไมลาชาเพอใหขอมลถกตองสมบรณและเปนปจจบนทสด ดงนนธนาคารจงควรจดใหมชองทางการตดตอทงาย สะดวก รวดเรว เพอใหเจาของขอมลสวนบคคลสามารถด าเนนการไดโดยงาย



4.5 Principle 5 : (“Storage Limitation”)

ขอมลสวนบคคลจะตองไมเกบเกนความจ าเปนตามระยะเวลาทเหมาะสมเพอวตถประสงคในการประมวลผลขอมลสวนบคคลหรอเกบตามระยะเวลาทกฎหมายก าหนด

4.6 Principle 6 : (“Integrity and Confidentiality”)

ในการประมวลผลขอมลสวนบคคลจะตองมมาตรการทท าใหมนใจวามการรกษาความปลอดภยของขอมลสวนบคคล และขอมลสวนมความสมบรณถกตอง โดยจดใหมมาตรการทงในเชงบรหารจดการและเชงเทคนคทมความเหมาะสม และมการปองกนการประมวลผลจากบคคลทไมไดรบอนญาตหรอการประมวลผลอนมชอบดวยกฎหมาย มการปองกนการสญหาย เสยหาย หรอการถกท าลาย โดยไมไดตงใจ

ตวอยาง ธนาคารท าการเกบขอมลเกยวกบสนเชอ เปนระยะเวลา 10 ป หลงช าระหนเสรจสน เนองจากสอดคลองตามอายความและสอดคลองตามกฎหมายวาดวยการปองกนและปราบปรามการฟอกเงน

ตวอยาง 1 ธนาคารมระบบฐานขอมลทเกยวของกบการขออนมตสนเชอ ซงพนกงานแผนกสนเชอจะสามารถเขาถงฐานขอมลดงกลาว เพอใชในการหาขอมลของลกคาเพอน าไปวเคราะหการใหสนเชอของธนาคารได เชน การคนหาขอมลสนทรพยและหนสนของลกคา เปนตน อยางไรกตามพนกงานแผนกอนทไมไดท าหนาทเกยวของกบการวเคราะหสนเชอ ไมควรทจะสามารถเขาถงฐานขอมลดงกลาวได ตามหลก Confidentiality

ตวอยาง 2 ธนาคารมระบบการจดการทเกยวกบการขออนมตสนเชอ ซงผวเคราะหสนเชอจะสามารถบนทกขอมลค าสงการขอสนเชอและขอมลเครดตตาง ๆ เพอประกอบการพจารณาการใหสนเชอแกลกคา และท าการสงค าขออนมตไปยงผพจารณาเครดต อยางไรกตามผพจารณาเครดตจะสามารถท าการอนมตหรอปฏเสธการใหสนเชอผานระบบดงกลาวได แตจะไมสามารถท าการแกไขขอมลเครดตทผวเคราะหสนเชอท าการบนทกไวได รวมทงพนกงานแผนกอนกไมสามารถท าการเขาถงและแกไขไดเชนกน ตามหลก Integrity นนคอขอมลจะตองคงความถกตองสมบรณ ไมถกเปลยนแปลง แกไข หรอลบได เวนแตผทไดรบสทธอยางถกตองและเหมาะสมเทานน



4.7 Principle 7 : (“Accountability”)

ผควบคมขอมลสวนบคคลและผประมวลผลขอมลสวนบคคล มหนาทและความรบผดชอบในการ ประมวลผลขอมลใหเปนไปตามหลกการส าคญในการคมครองขอมลสวนบคคล (Data Protection Principles)

5. การเกบรวบรวมขอมลสวนบคคล 5.1 วตถประสงคในการเกบรวบรวมขอมล

5.1.1 ธนาคารจะตองท าการแจงใหแกเจาของขอมลสวนบคคลทราบถงวตถประสงคในการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคล วาขอมลสวนบคคลของลกคาจะถกน าไปใชอยางไรเพอวตถประสงคใด อกทงความจ าเปนทตองใชขอมลเหลาน ในกรณทมความจ าเปนทจะตองเปดเผยขอมลสวนบคคลใหกบบคคลภายนอก กตองสามารถระบวตถประสงคไดวาเพอวตถประสงคอะไรรวมทงประเภทของบคคลหรอหนวยงานทขอมล

ตวอยาง 1 ธนาคารมการเกบขอมลสวนบคคลของลกคา ไวในระบบฐานขอมลของธนาคาร (Database) และมการเกบขอมลในเครองคอมพวเตอร รวมถงทเกบขอมลแบบพกพา ซ ง ในการเกบขอมลท งหมดน ธนาคารมห นาท และความรบผดชอบ (“Accountability”) ในการจดใหมมาตรการรกษาความมนคงและปลอดภยของขอมล และมจดใหมการควบคมการเขาถงขอมลตามหลก Integrity and Confidentiality

ตวอยาง 2 ธนาคารมการจดจางบรษทภายนอก เพอท าแคมเปญการตลาด (Marketing Campaign) ในการท าแคมเปญใหตรงกบความตองการของลกคานน ธนาคารมความจ าเปนทจะตองเปดเผยขอมลลกคาบางรายเฉพาะกลมลกคาเปาหมาย และเปดเผยเฉพาะขอมลทจ าเปนทใชในการประมวลผลตามวตถประสงค (“Data Minimisation”) เพอใหบรษท Marketing ท าการส ารวจความคดเหนของลกคา ตามวตถประสงคทไดแจงและไดท าการขอความยนยอมจากเจาของขอมลสวนบคคล ("Lawfulness, Fairness, and Transparency”) ซงธนาคารไมสามารถเปดเผยขอมลเพอวตถประสงคอนทนอกเหนอจากทไดแจงไวได (“Purpose Limitation”) ในกรณนธนาคารจะตองมการด าเนนการเพอใหมนใจวาขอมลทสงไปนนมการจดการอยางเหมาะสม มการรกษาความปลอดภยของขอมล (“Integrity and Confidentaility”) และตองด าเนนการใหลบขอมลออกทงหมดหลงจากทบรษท Marketing ท างานใหกบธนาคารเสรจเรยบรอยแลว (“Storage Limitation”) เนองจากหมดความจ าเปนในการเกบรกษาและเพอปองกนการรวไหล หรอการถกน าไปใชหรอเขาถงขอมลโดยไมไดรบอนญาต ตามตวอยางทไดกลาวมาน ธนาคารมหนาทในการประมวลผลขอมลภายใตหลกการส าคญในการคมครองขอมลสวนบคคล (“Accountability”)



อาจถกเปดเผย ซงธนาคารจะตองท าการด าเนนการแจงลกคาผานชองทางและวธการทเหมาะสม เชน ประกาศความเปนสวนตวหรอนโยบายความเปนสวนตว ผานทางเวบไซตของธนาคาร เปนตน

5.1.2 ในการระบวตถประสงคทเกยวของกบการประมวลผลขอมลสวนบคคล ธนาคารไมจ าเปนตองระบถงขนตอนหรอกระบวนการปฏบตงานทก ๆ กจกรรม แตใหระบถงวตถประสงคทเกยวของในการประมวลผลขอมลสวนบคคล เหตผลทเกยวของหรอประโยชนอนใดทเกยวของ รวมถงฐานในการประมวลผลขอมล หากลกคามขอสงสยในการเกบรวบรวมขอมล ใช เปดเผย ธนาคารตองจดใหมชองทางในการรองขอหรอจดใหมขอมลตดตอธนาคารอยางชดเจนไปยง DPO หรอบคคลทธนาคารก าหนดใหท าหนาทในการรบเรอง เพอใหเจาของขอมลสวนบคคลใชสทธรองขอได

5.1.3 ในการเกบรวบรวม ใชหรอเปดเผยขอมลสวนบคคล ธนาคารตองกระท าเทาทจ าเปนตามวตถประสงคอนชอบดวยกฎหมาย ตามหลกการ Principle 1 : ("Lawfulness, Fairness, and Transparency”), Principle 2 : (“Purpose Limitation”) และ Principle 3 : ( “Data Minimisation”) ซงในแตละกจกรรมการประมวลผลขอมล ธนาคารจะตองสามารถระบ “ฐานทางกฎหมาย” (Lawful Basis) ทเหมาะสมในการประมวลผลใหไดฐานใดฐานหนง

5.2 แนวปฏบตเกยวกบฐานในการประมวลผลขอมลสวนบคคล

การประมวลผลขอมลสวนบคคลโดยชอบดวยกฎหมาย ธนาคารจะตองสามารถระบฐานในการประมวลผลตามกฎหมาย (Lawful basis) ในแตละกจกรรมการประมวลผลขอมลใหไดฐานใดฐานหนง ตามทจะกลาวดงตอไปนและจะตองแจงใหเจาของขอมลสวนบคคลทราบถงฐานในการประมวลผลขอมล รวมถงสทธของเจาของขอมลสวนบคคลและขอจ ากดในแตละฐานทแตกตางกนดวย

5.2.1 ฐานความยนยอม (Consent) ธนาคารสามารถใชฐานความยนยอมในการประมวลผลขอมลไดใน กรณทเจาของขอมลสวนบคคลสมครใจ และใหความยนยอมอยางชดแจง (Explicit Consent) ทจะใหท าการประมวลผลขอมลสวนบคคลไดตามวตถประสงคทแจงแกเจาของขอมลสวนบคคล อยางไรกตาม ฐานความยนยอมเหมาะสมเมอตองการขอความยนยอมเพอประมวลผลขอมลสวนบคคลในเรองทไมจ าเปนในการปฏบตตามสญญาและไมสามารถอางฐานอนใดในการประมวลผลขอมลทางกฎหมายได นอกจากนนการใหความยนยอม จะตองเปนสงทใหเจาของขอมลสวนบคคลท าการเลอกวาจะใหหรอปฏเสธไดและการปฏเสธจะตองไมมผลกระทบตอการไดรบบรการตามสญญา ส าหรบเงอนไขและรายละเอยดการขอ



ความยนยอมภายใตฐานความยนยอมโปรดดรายละเอยดเพมเตมในหวขอ “5.3 ความยนยอม (Consent)”

5.2.2 ฐานสญญา (Contract) ธนาคารสามารถใชฐานสญญาในการประมวลผลขอมลสวนบคคล ในกรณทการประมวลผลขอมลจ าเปนตอการใหบรการตามสญญาทตกลงกนไวระหวางผควบคมขอมลสวนบคคลและเจาของขอมลสวนบคคล หรอเมอจ าเปนตองประมวลผลขอมลสวนบคคลเพอปฏบตตามค าขอของเจาของขอมลสวนบคคลกอนทจะเขาสการท าสญญา หากใชสญญาดงกลาวเปนฐานในการประมวลผลแลวกไมตองขอความยนยอมเพมเตม ฐานนใชไดกบขอมลสวนบคคลทวไปเทานน ไมสามารถใชฐานสญญาในการประมวลผลขอมลออนไหว (Sensitive Personal Data) ส าหรบรายละเอยดและเงอนไขในการประมวลผลขอมลออนไหวโปรดดรายละเอยดเพมเตมในหวขอ “5.4 ขอมลออนไหว (Sensitive Personal Data)” กรณทธนาคารมความจ าเปนทจะตองเปดเผยขอมลของลกคาไปยงบคคลทสาม หากการเปดเผยนนไมใชเพอวตถประสงคทางการตลาด ส าหรบกรณนหากลกคาไมใหความยนยอมจะกระทบตอการด าเนนงานของธนาคารอยางมนยส าคญ หรอไมสามารถใหบรการอยางเปนธรรมและตอเนองได เชน การเปดเผยขอมลแกผใหบรการภายนอก หรอตวแทนของผใหบรการ หรอผรบจางชวงงานตอ เพอสนบสนนการใหบรการของผใหบรการ การเปดเผยขอมลใหหนวยงานราชการตามกฎหมาย และการเปดเผยขอมลใหกบบรษทพนธมตรในลกษณะ Co-brand เปนตน ธนาคารสามารถก าหนดใหการเปดเผยขอมลสวนบคคลไปยงบคคลทสามดงกลาวเปนสวนหนงของเงอนไขในการขอใชบรการได ตามขอก าหนดของประกาศธนาคารแหงประเทศไทย เรอ ง การบรหารจดการดานการใหบรการแกลกคาอยางเปนธรรม (Market conduct) และการเปดเผยขอมลสวนบคคลไปยงบคคลทสามน ถอเปนการกระท าภายใตฐานสญญาทท ากบลกคา



ตวอยาง 1 ลกคาขอรบบรการจากธนาคาร เชน ขอสนเชอ เปดบญชเงนฝากออมทรพยหรอกระแสรายวน การท าบตรเครดต รวมทงการขอรบบรการอเลกทรอนกสตาง ๆ อนไดแก Mobile Banking Application และ Internet Banking ธนาคารควรใชฐานสญญาในการประมวลผลขอมลสวนบคคลเพอใหบรการแกลกคาตามขอก าหนดและเงอนไขการใหบรการ ทลกคาไดตกลงตามขอผกพนดงกลาว

ตวอยาง 2 ธนาคารท าการเปดเผยขอมลสวนบคคลของลกคาไปยงบคคลทสาม (Outsource) ทรบจางการจดสมมนา (Organizer) เพอดแลความเรยบรอยภายในงานและประสานงานตางๆ ในกรณนธนาคารสามารถเปดเผยขอมลภายใตฐานสญญาได ซงการเปดเผยขอมลจะตองอยภายใตเงอนไขของสญญาทธนาคารท าไวกบบรษทรบจางการจดสมมนา

ตวอยางท 3 ในการใหสนเชอหรอการทวงถามช าระหน ธนาคารมความจ าเปนตองเกบรวบรวมและใชขอมลสวนบคคลทเปนขอมลทางการเงนของลกคา อนไดแก ขอมลทเกยวของในการใชวเคราะหสนเชอ และขอมลการจายช าระเพอใชในการตดตามหรอทวงถามหน เชน ขอมลการผดนดช าระของลกหน ขอมลการใชเงนกผดวตถประสงค ขอมลบคคลทถกประกาศใหเปนบคคลลมละลาย ขอมลทไดรบจากบรษทขอมลเครดต ธนาคารสามารถประมวลผลขอมลสวนบคคลดงกลาวไดภายใตฐานสญญา

ตวอยางท 4 ส าหรบ Mobile Banking Application กรณลกคาเปนการแสดง/ตงคารายการโปรดทเปนขอมลของลกคาถอเปนการใหบรการตามฐานสญญา



5.2.3 ฐานประโยชนส าคญตอชวต (Vital Interest) กรณทการประมวลผลขอมลจ าเปนตอการปกปองผลประโยชนทส าคญของเจาของขอมลสวนบคคลหรอบคคลอน โดยเปนการปองกนอนตรายอนเกดตอสขภาพและชวต ผควบคมขอมลสวนบคคลสามารถใชฐานการประมวลผลขอมลสวนบคคลนได หากเจาของขอมลสวนบคคลอยในสภาพทไ มสามารถใหไดความยนยอมได ทวไปใชกบทางการแพทย

5.2.4 ฐานภารกจของรฐ (Public Task) กรณทการประมวลผลเปนการจ าเปนเพอการปฏบตหนาทในการด าเนนภารกจเพอประโยชนสาธารณะหรอปฏบตหนาทในการใชอ านาจรฐทไดมอบหมายใหแกผควบคมขอมลสวนบคคล โดยสวนใหญผทจะประมวลผลขอมลตามฐานนไดมกเปนเจาหนาทหรอองคกรของภาครฐ เชน ศาล รฐสภา หรอเจาหนาทของกระทรวงตางๆ ทปฏบตภารกจตามกฎหมาย ซงการประมวลผลโดยฐานดงกลาวจะตองสามารถอางองไดอยางชดเจนวากระท าภายใตกฎหมายใดทใหอ านาจในการประมวลผลขอมล ซงการใชฐานภารกจของรฐนนยงจ าเปนตองมการรกษาความปลอดภยของขอมล เชนเดยวกนกบฐานอน แตเจาของขอมลสวนบคคลไมสามารถ ใชสทธในการ ลบ หรอโอนยายขอมลได แตยงมสทธในการคดคานการประมวลผลได

ตวอยางทไมควรใชฐานประโยชนส าคญตอชวต

ตวอยาง 1 ในกรณทธนาคารท าการเกบรวบรวมขอมลสวนบคคลของพนกงาน เชน หมายเลขโทรศพทของผทสามารถตดตอไดในกรณฉกเฉน เพอใชตดตอในกรณฉกเฉน ซงธนาคารสามารถท าการเกบรวบรวมขอมลภายใตฐานสญญาทท าระหวางพนกงานและธนาคารในการรบเขาท างาน

ตวอยาง 2 ธนาคารตองการเกบรวบรวมขอมลทเปนขอมลออนไหวของพนกงาน เชน ขอมลกรปเลอดของพนกงาน หรอขอมลเกยวกบสขภาพของพนกงาน เพอไวใชในกรณฉกเฉนหากเกดอนตรายตอชวตของพนกงาน ในกรณนขอมลทธนาคารตองการเกบรวบรวมเปนขอมลออนไหว หากกอนหรอขณะท าการเกบรวบรวมขอมล พนกงานอยในสภาพทสามารถใหความยนยอมได ธนาคารสามารถเกบรวบรวมขอมลดงกลาวไดภายใตฐานความยนยอมแตไมสามารถอางฐานประโยชนส าคญตอชวตไดเนองจาก จะใชไดเฉพาะกรณทเจาของขอมลสวนบคคลอยในสภาพทไมสามารถใหไดความยนยอมไดเทานน



5.2.5 ฐานประโยชนอนชอบธรรม (Legitimate Interest) การใชฐานประโยชนอนชอบธรรมเปนหนงในฐานกฎหมายทมความยดหยนมากทสดในการประมวลผลขอมลสวนบคคล แตอยางไรกตามฐานนกไมไดเปนฐานท เหมาะสมทสดเสมอไป จะเหมาะสมเมอธนาคารประมวลผลขอมลสวนบคคลในแบบทเจาของขอมลสวนบคคลสามารถคาดหมายไดอยางสมเหตสมผล อกทงมผลกระทบตอความเปนสวนตวของเจาของขอมลสวนบคคลเพยงเลกนอย หรอในกรณทธนาคารมเหตผลในการประมวลผลขอมลอยางสมเหตสมผลซงธนาคารเองจะตองอธบายได หากธนาคารเลอกทจะประมวลผลภายใตฐานประโยชนอนชอบธรรม ธนาคารจะมหนาทและความรบผดชอบเพมขน ในการใชดลพนจอยางมากในการประมวลผลขอมลสวนบคคล และการคมครองสทธเสรภาพของเจาของขอมลสวนบคคล เนองจากธนาคารจะตองค านงถงประโยชนของ 2 ฝง อนไดแกผลประโยชนอนชอบธรรมของธนาคารเองกบสทธและประโยชนของเจาของขอมลสวนบคคล ซงการไดประโยชนอนชอบธรรมดงกลาวจะตองไมเปนการละเมดหรอกระทบตอสทธข นพนฐานและเสรภาพของเจาของขอมลสวนบคคลโดยเฉพาะอยางยงกบผเยาว

ตวอยาง 1 ธนาคารท าการเปดเผยขอมลรายละเอยดสนเชอของลกคาใหกบกระทรวงการคลงส าหรบกลมลกคาทกยมเงนโครงการภาครฐ เพอใชในการเบกดอกเบยทกระทรวงการคลงสนบสนนในบางสวน ในกรณนธนาคารท าการเปดเผยขอมลใหกบกระทรวงการคลงภายใตฐานการปฏบตตามกฎหมาย และกระทรวงการคลงท าการประมวลผลขอมลทไดรบจากธนาคารภายใตฐานภารกจของรฐ

ตวอยาง 2 ธนาคารมหนาท ในการจดท าการยนภาษใหกบกรมสรรพากร ซงกรมสรรพากรอาจขอใหธนาคารเปดเผยขอมลคาใชจายเงนเดอนพนกงาน เพอท าการตรวจสอบความถกตองของขอมลในการค านวณภาษทธนาคารยนตอกรมสรรพากร กรณนธนาคารสามารถเปดเผยขอมลใหกบกรมสรรพากรภายใตฐานการปฏบตตามกฎหมาย และกรมสรรพากรท าการประมวลผลขอมลทไดรบจากธนาคารภายใตฐานภารกจของรฐ



ตารางแสดงการประเมนการใชฐานผลประโยชนอนชอบธรรม Legitimate interest Assessment (LIA)

ในการประเมนการใชฐานผลประโยชนอนชอบธรรม สามารถท าไดโดยพจารณา 3 องคประกอบ ทชวยในการตดสนใจอยางเหมาะสมในการใชฐานดงกลาว ซงจะตองท ากอนการประมวลผลขอมลสวนบคคล อนไดแก

1. ระบผลประโยชนอนชอบธรรม (Identify a legitimate interest)

การประมวลผลขอมลสวนบคคลภายใตผลประโยชนอนชอบธรรมอาจเปนผลประโยชนของธนาคารเองหรอผลประโยชนของบคคลทสาม รวมถงผลประโยชนเชงพาณชย และผลประโยชนแกสาธารณะ

2. การประมวลผลขอมลสวนบคคลมความจ าเปนตอธนาคารในการบรรลวตถประสงค (Show that the processing is necessary to achieve it)

การประมวลผลขอมลสวนบคคลจะตองมความจ าเปน หากธนาคารสามารถบรรลวตถประสงคเดยวกนไดอยางสมเหตสมผลดวยวธการทจะมผลกระทบตอความเปนสวนตวของเจาของขอมลสวนบคคลทนอยกวา ธนาคารควรประมวลผลโดยใชฐานอน

3. การรกษาสมดลระหวางผลประโยชนอนชอบธรรมของธนาคารหรอผลประโยชนของบคคลทสาม กบประโยชนและสทธเสรภาพของเจาของขอมลสวนบคคล (Balance it against the individual’s interests, rights and freedoms)

1. Identify a legitimate interest What is purpose of data processing?

Necessary to meet the purposes of the data

controller

Necessary for the purpose of third party’s

interest

2. Necessity test Important? No other way?

3. Balancing test Expectation of others Value-added? Negative impact?



ธนาคารจะตองชงน าหนกระหวางผลประโยชนอนชอบธรรมของธนาคารกบสทธเ สรภาพ/ประโยชนของเจาของขอมลสวนบคคล หากการประมวลผลนนไมเปนไปตามความคาดหมายอยางสมเหตสมผลแกเจาของขอมลสวนบคคลหรออาจกอใหเกดความไมเปนธรรม ธนาคารจะตองให ประโยชนและสทธเสรภาพของเจาของขอมลสวนบคคลแทนทผลประโยชนอนชอบธรรมของธนาคาร นนคอการใหสทธในการคดคานการประมวลผลขอมลของเจาของขอมลสวนบคคล อยางไรกตามประโยชนอนชอบธรรมของธนาคารไมจ าเปนตองสอดคลองกบประโยชนของเจาของขอมลสวนบคคลเสมอไป หากมขอโตแยงเกยวกบสทธเสรภาพ/ประโยชนของเจาของขอมลสวนบคคลเกดขน ธนาคารยงสามารถประมวลผลไดเพอประโยชนอนชอบธรรมดงกลาวของธนาคารตราบเทาทธนาคารจะแสดงใหเหนอยางสมเหตสมผลและชดเจนในเรองของผลกระทบตอเจาของขอมลสวนบคคล

นอกจากนนธนาคารจะตองท าการเกบบนทกประเมนการใชฐานผลประโยชนอนชอบธรรม (LIA) เพอใหมนใจวาการประมวลผลมความจ าเปนและมความสมเหตสมผลในการใชฐานดงกลาวเพอใชแสดงแกส านกงานคมครองขอมลสวนบคคลหากมความจ าเปน และธนาคารจะตองท าการระบกจกรรมการประมวลผล (Data Processing Activities) ทใชฐาน

ตวอยาง ค าถามทใชประกอบการพจารณาการท า Balancing Test

▪ ธนาคารมความสมพนธอยางไรกบเจาของขอมลสวนบคคล ▪ มการเกบรวบรวม ใชหรอเปดเผยขอมลทเปนขอมลออนไหวหรอขอมล

สวนบคคลหรอไม ▪ ลกคามความคาดหวงเกยวกบกจกรรมการประมวลผลของธนาคารใน

ลกษณะนหรอไม ▪ ธนาคารมความเตมใจและสามารถทจะอธบายเกยวกบการประมวลผลให

ลกคาทราบหรอไม ▪ ธนาคารคาดวาลกคามแนวโนมจะคดคานกจกรรมการประมวลผลหรอ

พบวาเปนการละเมด/รกล าความเปนสวนตวหรอไม ▪ ผลกระทบทเปนไปไดตอบคคลเปนอยางไรและจะมผลกระทบมากนอย

เพยงใด ▪ ธนาคารก าลงประมวลผลขอมลสวนบคคลของผเยาวหรอไม ▪ ธนาคารสามารถใชมาตรการในการปองกนเพอลดผลกระทบทอาจเกดขน

ไดหรอไม ▪ ธนาคารสามารถใหลกคาท าการคดคานการประมวลผลไดหรอไม



ผลประโยชนอนชอบธรรมไวในนโยบายความเปนสวนตวของธนาคาร (Privacy Notice) เพอเปนการแจงใหทราบแกบคคล

ในทางปฏบตธนาคารสามารถใชฐานการประมวลผลอนชอบธรรมไดในกรณตอไปน

• ธนาคารสามารถประมวลผลขอมลสวนบคคลเพอวตถประสงคทางการตลาดได หากธนาคารสามารถแสดงใหเหนถงความเหมาะสมในการใชขอมล และมผลกระทบเพยงเลกนอยตอความเปนสวนตวของบคคล และบคคลสามารถคาดหมายตอกจกรรมเหลานนของธนาคารได หรอบคคลไมมแนวโนมทจะคดคานกจกรรมการประมวลผลเหลานนได

• ธนาคารสามารถประมวลผลขอมลของผเยาวภายใตฐานประโยชนอนชอบธรรมได แตจะตองกระท าอยางระมดระวงเปนพเศษเพอใหแนใจวาสทธและผลประโยชนของผเยาวนนไดรบการคมครองอยางเหมาะสม โดยเฉพาะอยางยงการท าโปรไฟลลงขอมลของผเยาว ทเกยวกบการวเคราะหขอมลเพอวตถประสงคทางการตลาด ส าหรบกรณน ธนาคารอาจตองพจารณาการจดท า DPIA เนองจากการท าโปรไฟลลงขอมลของผเยาว เขาขายการพจารณาการจดท า DPIA ตามเกณฑของ GDPR เพอประเมนความเสยงและผลกระทบทอาจเกดขนจากการประมวลผลขอมลและแนวทางในการจดการกบความเสยงดงกลาว โปรดดรายละเอยดการจดท า DPIA เพมเตมในหวขอ “13. แนวปฏบตเกยวกบการจดท าการประเมนผลกระทบดานการคมครองขอมลสวนบคคล (Data Protection Impact Assessment: DPIA)”



ตวอยางการใชฐานผลประโยชนอนชอบธรรม

ตวอยาง 1 ธนาคารท าการประมวลผลขอมลสวนบคคลเพอวตถประสงคทางการตลาด อนไดแก การวเคราะหขอมล (Data Analytic) หรอใชขอมลเพอการน าเสนอผลตภณฑในประเภทเดยวกนกบทลกคามอยกบธนาคารและผลตภณฑอนของธนาคาร เพอใหเหมาะสมกบความตองการของลกคามากขน ธนาคารสามารถท าไดภายใตฐานผลประโยชนอนชอบธรรมของธนาคารหากพสจนไดวาผลประโยชนอนชอบธรรมของธนาคารหรอของบคคลทสามมความส าคญมากกวาสทธข นพนฐานของเจาของขอมลสวนบคคล และธนาคารจะตองแจงรายละเอยดหรอวธการใด ๆ ทใหเจาของขอมลสวนบคคลแจงความประสงคในการปฏเสธการรบขาวสาร (Opt-out) หรอใชสทธคดคานการประมวลผลได โดยการใชสทธนนสามารถท าไดผานชองทางการตดตอทงายและสะดวกในการจดการและการเขาถง

ตวอยาง 2 ธนาคารท าการประมวลผลขอมลสวนบคคล เพอการปองกนระบบเศรษฐกจการเงนในการจดการอาชญากรรม การระงบเหต การสบสวน การเรยกคนความเสยหาย ลดความเสยงทจรตทอาจเกดการกระท าทผดกฎหมายตาง ๆ เพอปองกนนกลงทนและคมครองสทธ ประโยชนอนชอบธรรมของลกคาจากกลมมจฉาชพทแอบแฝงเขากอความเสยหายตอประชาชนทงทางตรงและทางออมอนสงผลถงเศรษฐกจโดยรวมของประเทศ เพอเสถยรภาพและความเชอมนตอการจดการอาชญากรรมทางเศรษฐกจ ซงรวมถงการแบงปนขอมลสวนบคคลเพอยกระดบมาตรฐานการท างานของกลมสถาบนการเงนธรกจธนาคาร ในการปองกน ระงบเหต ลดความเสยงทจรตและกฎหมายอาญาขางตน เชน การตรวจสอบปองกนการทจรต (Fraud Prevention and Investigation) ธนาคารอาจมการเปดเผยขอมลของบคคลทมความเสยงหรอบคคลเฝาระวงทเกยวของกบการทจรตหรอมประวตการทจรตใหกบกลมสถาบนการเงนธรกจธนาคาร รวมถงการจดเกบและรวบรวมขอมล Fraud Risk ซงอยภายใต วตถประสงคและนโยบายของกลมธรกจธนาคาร หรอภายใตวตถประสงคและนโยบายในการคมครองขอมลสวนบคคลของเครอกจการของธนาคาร หากเปนการเปดเผยขอมลภายในเครอกจการ เพอท าการประมวลผลขอมลสวนบคคลตามวตถประสงคขางตน



ตวอยาง 3 ธนาคารท าการบนทกภาพบรรยากาศและบนทกวดโอ ของผทมาเขารวมการอบรมหรองานสมมนาตางๆ ซงการบนทกดงกลาวอาจมการเปดเผยหรอเผยแพรใหแกบคคลภายนอกเพอวตถประสงคในการประชาสมพนธ อยางไรกตามส าหรบกรณนธนาคารจะตองท าการตดประกาศในบรเวณงานเพอเปนการแจงใหทราบแกบคคลทมารวมงาน วาจะมการบนทกภาพในงานและอาจมการเผยแพรเพอการประชาสมพนธ

ตวอยาง 4 ธนาคารท าการประมวลผลขอมลสวนบคคลเพอการรกษาความสมพนธกบลกคา เชน การจดการขอรองเรยน การเสนอสทธประโยชนพเศษโดยไมมวตถประสงคทางการตลาดใหแกลกคา เปนตน

ตวอยาง 5 ธนาคารท าการบนทกภาพผทมาตดตอท าธรกรรมกบส านกงานหรอสาขาของธนาคารลงบน CCTV รวมถง การแลกบตรกอนเขาอาคาร เพอการรกษาความปลอดภยภายในบรเวณอาคารของธนาคาร อยางไรกตามส าหรบกรณนธนาคารจะตองท าการตดประกาศ ในบรเวณทสามารถเหนไดงายของอาคาร เพอเปนการแจงใหทราบ

ตวอยาง 6 ธนาคารมการตดกลองทต ATM และมการบนทกภาพ เพอวตถประสงคในการรกษาความปลอดภย อยางไรกตามธนาคารควรตดประกาศหรอแจงผานหนาจอแสดงผล เพอเปนการแจงใหทราบแกบคคลทมาใชบรการผานต ATM

ตวอยาง 7 ธนาคารท าการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลเพอการบรหารความเสยง/การก ากบตรวจสอบ/การบรหารจดการภายในองคกร เชน ขอมลบคคลลมละลาย, ขอมลบคคลทมความเสยงในการทจรต Fraud Risk, ขอมลรายชอลกคาเฝาระวง Suspect risk ของธนาคารใหกบบรษทในเครอกจการซงอาจอยในราชอาณาจกรและนอกราชอาณาจกร ( Intra-Group Transfer) เพอวตถประสงคดงกลาว โดยธนาคารอาจจดใหมนโยบายในการคมครองขอมลสวนบคคลของเครอกจการ (Binding Corporate Rules) ทไดรบการรบรองจากส านกงาน หรอขอตกลงหรอสญญาของกลมเครอกจการ (Intra-Group Agreement) เพอท าการประมวลผลขอมลสวนบคคลตามวตถประสงคขางตน

ตวอยาง 8 ธนาคารท าการเปดเผยขอมลทจ าเปน เชน ชอ นามสกล หมายเลขบญช ของผโอนหรอผร บโอน แกผร บโอนหรอผโอน เพอประโยชนแกลกคาในการตรวจสอบความถกตองในการท ารายการ



ตวอยาง 9 ธนาคารท าการแจงเตอน (Payment Reminder) เพอการช าระหน/ตออายผลตภณฑของบรษททธนาคารเปนนายหนา เชน ผลตภณฑกองทน กรมธรรม เปนตน

ตวอยาง 10 ธนาคารท าการแจงเตอน (Payment Reminder) เพอช าระคาบรการ ตาง ๆ (Bill Payment) ใหแกบรษททลกคาใชบรการ ซงอาจเปนรายการทเกดขนบอยครง เชน คาน า คาไฟ

ตวอยาง 11 ธนาคารท าการบนทกเสยงผานทาง Contact Center เพอใชในการรบเรองรองเรยน และเพอปรบปรงการใหบรการทดขน อยางไรกตามธนาคารจะตองท าการแจงแกบคคลทท าการตดตอกอนด าเนนการบนทกเสยง วาธนาคารจะท าการบนทกเสยง

ตวอยาง 12 ส าหรบ Mobile Banking Application กรณธนาคารแสดงขอมลของบคคลอนในรายการโปรดภายในแอปพลเคชน เปนการแสดงขอมลของบคคลอนเพออ านวยความสะดวกใหแกลกคา

ตวอยาง 13 ธนาคารอาจบรการแจงเตอนลกคาผานชองทางตาง ๆ เชน สงขอความ อเมลหรอโทรตดตอลกคา ในกรณทมการท าธรกรรมผานต ATM, Online Bankingการใชจายผานบตรเครดต และอน ๆ ทมจ านวนเงนหรอรปแบบการท าธรกรรม ทเขาขายรายการทผดปกต ลกคาจะไดรบขอมลเกยวกบบญช หรอการสอบถามการท ารายการจากธนาคาร ซงจะเปนประโยชนตอธนาคารและลกคาในการลดความเสยงจากการท าธรกรรมทไมสจรต

ตวอยาง 14 ธนาคารท าการสงขอมลเกยวกบงานอบรมหรอสมมนาตาง ๆ เพอเปนการประชาสมพนธโครงการใหแกกลมลกคาของธนาคารทอาจสนใจเขารวมโครงการ

ตวอยางท 15 ในกรณทจะขอใหลกคาท าการตอบแบบสอบถามในการส ารวจความพงพอใจในการใหบรการของธนาคารเพอใหธนาคารน าไปใชในการปรบปรงและพฒนาผลตภณฑและการบรการใหตรงตอความตองการและดยงขน



5.2.6 ฐานการปฏบตตามกฎหมาย (Legal Obligation) ฐานการปฏบตตามกฎหมาย ผควบขอมลสวนบคคลสามารถใชฐานดงกลาวไดในกรณทผควบคมขอมลสวนบคคลมหนาทประมวลผลขอมลตามทกฎหมายก าหนด และจะตองสามารถระบไดอยางชดเจนวาก าลงปฏบตหนาทตามบทบญญตใดของกฎหมาย หรอท าตามค าสงของหนวยงานใด ส าหรบกรณน แมวาเจาของขอมลสวนบคคลจะมสทธในการคดคานการประมวลผลขอมล อยางไรกตามหากการประมวลผลดงกลาวเปนไปตามฐานการปฏบตตามกฎหมาย ธนาคารสามารถปฏเสธค ารองขอการคดคานการประมวลผลได โดยการระบเหตแหงการปฏเสธประกอบดวย

ตวอยาง 1 ธนาคารมความจ าเปนอยางยงในการประมวลผลขอมลสวนบคคลเพอใชในการระบตวตนและตรวจสอบเพอทราบขอเทจจรงเกยวกบลกคา Know Your Customer (KYC), Customer Due Diligence (CDD) เพอปฏบตตามกฎหมายวาดวยการปองกนและปราบปรามการฟอกเงน

ตวอยาง 2 ธนาคารมหนาทในการจดท าการยนภาษใหกบกรมสรรพากร ซงกรมสรรพากรอาจขอใหธนาคารเปดเผยขอมลคาใชจายเงนเดอนพนกงาน เพอท าการตรวจสอบความถกตองของขอมลในการค านวณภาษท ธนาคารย นตอกรมสรรพากร กรณนธนาคารสามารถเปดเผยขอมลใหกบกรมสรรพากรภายใตฐานการปฏบตตามกฎหมาย

ตวอยาง 3 ธนาคารเปดเผยขอมลสนทรพยและหนสนของพนกงานหรอลกคาใหกบคณะกรรมการปองกนและปราบปรามการทจรตแหงชาต เพอใหส านกงานใชในการตรวจสอบความถกตองของรายการสนทรพยหนสน ภายใตกฎหมายปองกนและปราบปรามการทจรต

ตวอยาง 4 ในกรณทธนาคารมความจ าเปนจะตองเปดเผยขอมลสวนบคคลของลกหนแกศาล เพอด าเนนการฟองลมละลายภายใตพระราชบญญตลมละลาย

ตวอย าง 5 เพ อปฏบตตามขอก าหนดของกฎหมาย Foreign Account Tax Compliance Act (FATCA) ตามทประเทศไทยไดท าขอตกลงกบประเทศสหรฐฯธนาคารอาจมความจ าเปนตองเกบรวบรวมขอมลสญชาตของลกคา และมหนาทตามกฎหมายทตองรายงานขอมลทางบญชของลกคาชาวอเมรกนตอกรมสรรพากรของสหรฐฯ ในกรณทธนาคารมการด าเนนงานในลกษณะทเปนการสรางรายไดหรอผลก าไรใหกบชาวสหรฐฯ



5.2.7 ฐานเอกสารประวตศาสตร จดหมายเหตและการศกษาวจยหรอสถต (Research) กรณทธนาคารมความจ าเปนในการประมวลผลขอมลสวนบคคลเพอวตถประสงคในการศกษาวจยทางวทยาศาสตร ประวตศาสตร หรอสถต หรอสาธารณประโยชนอน ตองกระท าเพอใหบรรลวตถประสงคดงกลาวเพยงเทาทจ าเปนเทานน ส าหรบการประมวลผลโดยฐานน GDPR ก าหนดใหจะตองใชฐานอนประกอบการประมวลผลโดยฐานนเสมอ ไมสามารถอางฐานนเพยงอยางเดยวเพอใชในการประมวลผลไดนอกจากนนการประมวลผลบนฐานนมความจ าเปนทจะตองจดใหมมาตรการทเหมาะสมเพอคมครองสทธขนพนฐานและประโยชนของเจาของขอมลสวนบคคล ตามทคณะกรรมการประกาศก าหนด เนองจากการประมวลผลขอมลภายใตฐานนจ าเปนจะตองมมาตรการทความสอดคลองกบมาตรฐานจรยธรรม และระเบยบในการจดท าเอกสารประวตศาสตร จดหมายเหตและการศกษาวจยหรอสถตดวย

5.3 ความยนยอม (Consent)

5.3.1 เงอนไขในการใชฐานความยนยอมมดงตอไปน • ผควบคมขอมลสวนบคคลจะตองไดรบความยนยอมจากเจาของขอมลสวนบคคล

กอนจงจะเกบรวบรวม ใช เปดเผยขอมลนนๆ ได • เจาของขอมลสวนบคคลสามารถถอนความยนยอมเมอใดกได • การใชฐานความยนยอมนน จะตองใหสทธเจาของขอมลสวนบคคลสามารถปฏเสธ

ไมใหความยนยอมได • การขอความยนยอมจะตองกระท าอยางชดเจนไมคลมเครอ ดงนน ธนาคารจงควร

ออกแบบแบบฟอรมการขอความยนยอมทท าใหเจาของขอมลสวนบคคลสามารถเหนไดอยางชดเจนวา ธนาคารขอความยนยอมในการประมวลผลขอมลเพอวตถประสงคใดบาง

• ผควบคมขอมลสวนบคคลจะตองค านงถงอสระของเจาของขอมลสวนบคคลในการใหความยนยอม ทงนการขอความยนยอมจะตองแยกสวนออกจากขอความอนอยางชดเจน ไมน ามารวมอยในเงอนไขการใหบรการ (Terms & Conditions) หรอขอความในสญญา

• การขอความยนยอมจะท าในรปแบบเปนหนงสอหรอท าโดยผานระบบอเลกทรอนกสกได

5.3.2 การใชฐานความยนยอมในการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคล เปนฐานในการประมวลผลทเจาของขอมลสวนบคคลสามารถเลอกทจะจดการกบขอมลสวนบคคล



ของตนเองไดอยางเตมท ซงธนาคารจะตองไดรบความยนยอมจากเจาของขอมลสวนบคคลในการประมวลผล ยกเวนกรณการประมวลผลขอมลสวนบคคลเปนการประมวลผลภายใตฐานกฎหมายอน

5.3.3 ธนาคารควรเลอกใชฐานในการประมวลผลใหเหมาะสมกบวตถประสงคในการประมวลผลขอมลสวนบคคล เนองจากฐานความยนยอมไมสามารถใชไดกบทกกรณ เวนแตกรณทตองขอความยนยอมตามขอก าหนดของกฎหมายอน ฐานความยนยอมจะเหมาะสมเมอการประมวลผลขอมลไมไดมความจ าเปนตามเงอนไขของสญญา นอกจากนนการใหความยนยอมจะตองเปนสงทใหเจาของขอมลสวนบคคลท าการเลอกวาจะใหหรอปฏเสธได และการปฏเสธจะตองไมมผลกระทบตอการไดรบบรการตามสญญา การขอความยนยอมจะตองกระท าโดยชอบดวยกฎหมาย เปนธรรม และโปรงใส ตามหลกการ Principle 1 : (“Lawfulness, Fairness, and Transparency”) โดยธนาคารจะตองไมใชขอความทเปนการหลอกลวงหรอท าใหเจาของขอมลสวนบคคลเขาใจผดในวตถประสงค และจะตองค านงถงความเปนอสระของเจาของขอมลสวนบคคลในการตดสนใจใหความยนยอม โดยการใหความยนยอมจะตองเปนการสมครใจ ดงนนการขอความยนยอมจะตองระบวตถประสงคในการประมวลผลขอมลอยางชดเจนวาจะขอความยนยอมในเรองใด

5.3.4 ธนาคารตองไมน าฐานความยนยอมและฐานสญญามาปะปนกน ตองแยกใหไดวาขอมลใดจ าเปนส าหรบการปฏบตตามสญญากควรจะระบอยในสญญา ซงการขอความยนยอมจะตองแยกสวนออกจากขอความอนอยางชดเจน ไมน ามารวมอยในเงอนไขการใหบรการ (Terms & Conditions) เนองจากการกระท าดงกลาวอาจท าใหเจาของขอมลสวนบคคลเขาใจผดวาหากไมใหความยนยอมแลวจะไมไดรบบรการหรอมผลตอการใชผลตภณฑหรอบรการของธนาคาร

5.3.5 นอกจากนนการใชฐานความยนยอมอาจเหมาะสมในสถานการณทจะประมวลผลขอมลสวนบคคลเพอวตถประสงคเฉพาะเจาะจงมากกวา และธนาคารไมสามารถประมวลผลตามวตถประสงคทเพมเตมขนมาใหมเองได โดยไมไดรบความยนยอมจากเจาของขอมลสวนบคคล ธนาคารจะตองท าการขอความยนยอมใหมหากตองการประมวลผลเพอวตถประสงคอนทนอกเหนอจากทเคยไดรบความยนยอมไปแลว เวนแตหากพจารณาแลววาการประมวลผลเพอวตถประสงคอนนน สามารถท าไดภายใตฐานกฎหมายฐานอน

5.3.6 การขอความยนยอม สามารถท าไดหลายวธ เชน • การยนยอมจากการเลอกยนยอม (Opt-in Consent) ผควบคมขอมลสวนบคคล

ไดรบความยนยอมจากเจาของขอมลสวนบคคลอยางชดเจน เปนลายลกษณอกษรธนาคารควรออกแบบใหเจาของขอมลสวนบคคลตองมการกระท าใหความยนยอม



อยางชดเจน (Clear Affirmative Action) เชน การท าเปนชองเชคถก (Check Box) โดยใหเจาของขอมลสวนบคคลกด /เขยนเชคเองได (Signatures or Ticks Indicating Consent)

• การขอความยนยอมในรปแบบวาจา (Verbal Consent) ส าหรบรปแบบการขอความยนยอมนใชในกรณทมการบนทกความยนยอมในรปแบบเสยง (Voice Record) ดวยระบบดจทล เชน บนทกผานการตดตอกบเจาของขอมลสวนบคคลทาง Contact Center หรอผานทางระบบ Interactive Voice Response (IVR) โดยขอใหเจาของขอมลสวนบคคลกดป มยนยนการใหความยนยอม เปนตน ซงธนาคารจะตองมกระบวนการพสจนและยนยนตวตนของเจาของขอมลสวนบคคลกอนท าการขอความยนยอมเพอใหมนใจวาคสนทนาเปนเจาของขอมลสวนบคคลของธนาคารจรง นอกจากนนธนาคารควรใหขอมลแก เจาของขอมลสวนบคคลอยางเพยงพอตอการตดสนใจ มทางเลอก และเนอหาชดเจนไมกอใหเกดความเขาใจผด และใหเจาของขอมลสวนบคคลสามารถใหความยนยอมหรอไมใหความยนยอมกไดโดยสมครใจ ไมเปนการบงคบ

• การถอนความยนยอม (Withdraw of Consent) เจาของขอมลสวนบคคลมสทธทจะขอเพกถอนความยนยอม (“Right to Withdraw of Consent”) ทจะใหไวกบธนาคารในการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลของเจาของขอมลสวนบคคลเมอใดกได และธนาคารจะตองด าเนนการหยดการประมวลผลขอมลทเจาของขอมลสวนบคคลเคยไดใหความยนยอมไวหากธนาคารไมมฐานโดยชอบดวยกฎหมายอนทจะท าการเกบรวบรวมใชหรอเปดเผยตอไปใหธนาคารด าเนนการลบขอมลออก

การใชสทธถอนความยนยอม ผควบคมขอมลสวนบคคลจะตองจดใหมชองทางทเจาของขอมลสวนบคคลสามารถใชสทธกระท าไดงายในระดบเดยวกบการใหความยนยอม

5.3.7 กรณการเกบรวบรวมขอมลสวนบคคล ทธนาคารสามารถท าไดโดยไดรบการยกเวนไมตองขอความยนยอม ในกรณดงน • เพอใหบรรลวตถประสงคทเกยวกบการจดท าเอกสารประวตศาสตรหรอจดหมาย

เหตหรอเพอประโยชนสาธารณะ

• เพอการศกษาวจยหรอสถตซงไดจดใหมมาตรการปกปองทเหมาะสม

• เพอปองกนหรอระงบอนตรายตอชวต รางกาย หรอสขภาพของบคคล



• เปนการจ าเปนเพอการปฏบตตามสญญาซงเจาของขอมลสวนบคคลเปนคสญญาหรอเพอใชในการด าเนนการตามค าขอของเจาของขอมลสวนบคคลกอนเขาท าสญญานน

• เพอการปฏบตหนาทในการด าเนนภารกจเพอประโยชนสาธารณะของธนาคารหรอปฏบตหนาทในการใชอ านาจรฐทไดมอบใหแกธนาคาร

• เปนการจ าเปนเพอประโยชนอนชอบดวยกฎหมายของธนาคารหรอของบคคลหรอนตบคคลอนทไมใชธนาคาร เวนแตประโยชนดงกลาวมความส าคญนอยกวาสทธข นพนฐานในขอมลสวนบคคลของเจาของขอมลสวนบคคล

• เปนการปฏบตตามกฎหมายของผควบคมขอมลสวนบคคล

ตวอยางการประมวลผลขอมลทควรใชฐานความยนยอม

ตวอยาง 1 ธนาคารจะตองท าการขอความยนยอม เพอใชในการเปดเผยขอมลสวนบคคล หรอขอมลทางการเงนอน ๆ ของลกคาทไดใหไวแกธนาคารหรอทธนาคารอาจเขาถงไดจากแหลงอน ไปยงกลมธรกจทางการเงนของธนาคาร และพนธมตรทางธรกจของธนาคาร เพอการสงเสรมการขายผลตภณฑและบรการ และเพอประชาสมพนธเกยวกบบรการตาง ๆ (Marketing Purpose) ของบคคลดงกลาว ส าหรบกรณนธนาคารตองขอความยนยอมจากลกคาภายใตขอก าหนดของประกาศธนาคารแหงประเทศไทย เรอง การบรหารจดการดานการใหบรการแกลกคาอยางเปนธรรม (Market conduct)

ตวอยาง 2 ธนาคารตองการเกบรวบรวมขอมลทางชวมต (Biometric) เชน ขอมลแบบจ าลองใบหนา (Face recognition), ขอมลแบบจ าลองลายนวมอ เปนตน ซงเปนขอมลออนไหว เพอใชในการยนยนตวตนของลกคาในขนตอนการสมครครงแรก หรอการยนยนตวตนกอนการใชบรการผลตภณฑดจตล ธนาคารจะตองท าการขอความยนยอมในการประมวลผลขอมลออนไหวกอนหรอขณะทลกคาสมครใชบรการครงแรก เนองจากการเกบรวบรวมขอมลสวนบคคลทเปนขอมลออนไหวจะตองขอความยนยอมโดยชดแจง ในกรณทเปนผลตภณฑดจทลทไมมชองทางอนในการยนยนตวตนส าหรบผลตภณฑ ธนาคารสามารถระบเงอนไขไวในการขอความยนยอมไดวาหากไมใหขอมลดงกลาวธนาคารกจะไมสามารถใหบรการได เนองจากมความจ าเปนในการใหบรการอยางไร



ตวอยางกรณการขอความยนยอมทไมควรน ามารวมอยในเงอนไขของการใหบรการ ตวอยาง 1 ลกคาท าการสมครบตรเครดตกบธนาคาร ธนาคารไมสามารถก าหนดใหลกคาจะตองใหความยนยอมในการรบขอมลขาวสารทางการตลาด ทเปนการน าเสนอผลตภณฑในประเภทเดยวกนกบทลกคามอยกบธนาคารและผลตภณฑอนของธนาคาร ไวในเงอนไขของการสมครบตรเครดตได เนองจากการขอความยนยอมดงกลาวไมเกยวของและเกนความจ าเปนในการใหบรการบตรเครดต อยางไรกตามส าหรบกรณนธนาคารอาจไมจ าเปนตองขอความยนยอมในการประมวลผลขอมลสวนบคคลเพอใชในการน าเสนอผลตภณฑในประเภทเดยวกนกบทลกคามอยกบธนาคารและผลตภณฑอนของธนาคาร ธนาคารสามารถท าไดภายใตฐานผลประโยชนอนชอบธรรมของธนาคารหากพสจนไดวาผลประโยชนอนชอบธรรมของธนาคารหรอของบคคลทสามมความส าคญมากกวาสทธข นพนฐานของเจาของขอมลสวนบคคล และธนาคารจะตองแจงรายละเอยดหรอวธการใด ๆ ทใหเจาของขอมลสวนบคคลแจงความประสงคในการปฏเสธการรบขาวสาร (Opt-out) หรอใชสทธคดคานการประมวลผลได โดยการใชสทธนนสามารถท าไดผานชองทางการตดตอทงายและสะดวกในการจดการและการเขาถงรวมทงมกระบวนการภายในทจะรวบรวมขอมลลกคาทจะไมประสงครบการตดตอจากธนาคารในการขายผลตภณฑได

ตวอยาง 2 ธนาคารไมสามารถก าหนดใหการขายผลตภณฑดานหลกทรพยหรอประกนภยควบคกบผลตภณฑของธนาคารได (Bundle Product) หรอก าหนดเปนเงอนไขในการขายหรอใหบรการผลตภณฑหลก เชน ใหลกคาท าประกนภยกบบรษทใดบรษทหนงเพอเปนเงอนไขในการพจารณาการใหสนเชอ ในกรณนหากธนาคารตองการเสนอขายผลตภณฑดานหลกทรพยและประกนภย สามารถท าไดภายใตความเหมาะสม แตธนาคารจะตองแจงรายละเอยดหรอวธการใด ๆ ทใหเจาของขอมลสวนบคคลแจงความประสงคในการปฏเสธการรบขาวสาร หรอใชสทธคดคานการประมวลผลได โดยการใชสทธนนสามารถท าไดผานชองทางการตดตอทงายและสะดวกในการจดการและการเขาถงรวมทงมกระบวนการภายในทจะรวบรวมขอมลลกคาทจะไมประสงครบการตดตอจากธนาคารในการขายผลตภณฑได



ตวอยาง แบบฟอรมการขอความยนยอม (Consent form)

หนงสอใหความยนยอมในการเกบรวบรวม/ใช/เปดเผยขอมลสวนบคคล (PDPA)

เรยนลกคาคนส าคญ:

ธนาคารมความมนใจเปนอยางยงวาจะน าพาทานไปสความปลอดภยทางการเงนและยงคงน าเสนอผลตภณฑและบรการทเหมาะสมกบทานมากทสด ใหสอดคลองกบกฎหมายและกฎระเบยบขอบงคบ ธนาคารจงไดจดท าหนงสอขออนญาตจากทานในการเกบรวบรวม ใช เปดเผยขอมลสวนบคคล หรอขอมลทางการเงนอน ๆ ของทาน ททานไดใหแกธนาคารหรอทธนาคารอาจเขาถงไดจากแหลงอน เพอวตถประสงคดงตอไปน:

• [ ]

ทานสามารถดรายละเอยดเพมเตมทเผยแพรภายใต นโยบายความเปนสวนตว (Privacy Policy) บนเวบไซตของธนาคาร <webpage URL> ธนาคารจะท าการเกบขอมลสวนบคคลและการใหความยนยอมของลกคาไวตามนโยบายของธนาคาร หากทานประสงคจะเพกถอนความยนยอมน หรอท าการยนขอรองเรยนใดๆทเกยวกบการละเมดสทธของทาน สามารถด าเนนการผานทาง ABC Contact Center หมายเลข 1234 หรอชองทางทระบไวในเวบไซตของธนาคาร นอกจากนทานยงสามารถรายงานหรอยนขอเรองรองเรยนใดๆทเกยวของกบการละเมดสทธของทาน ไดทเจาหนาทคมครองขอมลสวนบคคลท [email protected]

วนท...................................................

ชอ-นามสกล………………………………………….………………..………………………… เบอรตดตอ............................ Email........................................

□ ยนยอม □ ไมยนยอม

ลงชอ................................เจาของขอมลสวนบคคล

(..........................................................)




ธนาคารมความมนใจเปนอยางยงวาจะน าพาทานไปสความปลอดภยทางการเงนและยงคงน าเสนอผลตภณฑและบรการทเหมาะสมกบทานมากทสด อกทงยงคงน าเสนอผลตภณฑและบรการทเหมาะสมกบทานมากทสด ใหสอดคลองกบกฎหมายและกฎระเบยบขอบงคบ ธนาคารจงไดจดท าหนงสอขออนญาตจากทานในการเกบรวบรวม ใช เปดเผยขอมลสวนบคคล หรอขอมลทางการเงนอน ๆ ของทาน ททานไดใหแกธนาคารหรอทธนาคารอาจเขาถงไดจากแหลงอน เพอวตถประสงคดงตอไปน:

• เพอใชในการยนยนตวตนของลกคา โดยการสแกนใบหนา/ สแกนลายนวมอ (Biometric) เพอเขาใชบรการ Application ของธนาคารแทนการเขารหส

ทานสามารถดรายละเอยดเพมเตมทเผยแพรภายใต นโยบายความเปนสวนตว (Privacy Nolicy) บนเวบไซตของธนาคาร <webpage URL> ธนาคารจะท าการเกบขอมลสวนบคคลและการใหความยนยอมของลกคาไวตามนโยบายของธนาคาร หากทานประสงคจะเพกถอนความยนยอมน หรอท าการยนขอรองเรยนใดๆทเกยวกบการละเมดสทธของทาน สามารถด าเนนการผานทาง ABC Contact center หมายเลข 1234 หรอชองทางทระบไวในเวบไซตของธนาคาร นอกจากนทานยงสามารถรายงานหรอยนขอเรองรองเรยนใดๆทเกยวของกบการละเมดสทธของทาน ไดท เจาหนาทคมครองขอมลสวนบคคลท [email protected]

วนท...................................................

ชอ-นามสกล………………………………………….………………..………………………. เลขประจ าตวประชาชน.......................หนงสอเดนทางเลขท (กรณคนตางดาว)....................


ลงชอ ............................................................... เจาของขอมลสวนบคคล

(..........................................................)




ธนาคารมความมนใจเปนอยางยงวาจะน าพาทานไปสความปลอดภยทางการเงนและยงคงน าเสนอผลตภณฑและบรการทเหมาะสมกบทานมากทสด ใหสอดคลองกบกฎหมายและกฎระเบยบขอบงคบ ธนาคารจงไดจดท าหนงสอขออนญาตจากทานในการเกบรวบรวม ใช เปดเผยขอมลสวนบคคล หรอขอมลทางการเงนอน ๆ ของทาน ททานไดใหแกธนาคารหรอทธนาคารอาจเขาถงไดจากแหลงอน เพอวตถประสงคดงตอไปน:

1. [ ] 2. [ ]

ทานสามารถดรายละเอยดเพมเตมทเผยแพรภายใต นโยบายความเปนสวนตว (Privacy Policy) บนเวบไซตของธนาคาร <webpage URL> ธนาคารจะท าการเกบขอมลสวนบคคลและการใหความยนยอมของลกคาไวตามนโยบายของธนาคาร หากทานประสงคจะเพกถอนความยนยอมน หรอท าการยนขอรองเรยนใดๆทเกยวกบการละเมดสทธของทาน สามารถด าเนนการผานทาง ABC Contact Center หมายเลข 1234 หรอชองทางทระบไวในเวบไซตของธนาคาร นอกจากนทานยงสามารถรายงานหรอยนขอเรองรองเรยนใดๆทเกยวของกบการละเมดสทธของทาน ไดท เจาหนาทค มครองขอมลสวนบคคลท [email protected]

วนท...................................................

ชอ-นามสกล………………………………………….………………..………………………… เลขประจ าตวประชาชน........................หนงสอเดนทางเลขท (กรณคนตางดาว)...................


ลงชอ ................................................................... เจาของขอมลสวนบคคล

(..............................................................)



หนงสอยนยอมใหเปดเผยขอมลเพอวตถประสงคทางการตลาด (Market Conduct)

ธนาคารมความมนใจเปนอยางยงวาจะน าพาทานไปสความปลอดภยทางการเงนและยงคงน าเสนอผลตภณฑและบรการทเหมาะสมกบทานมากทสด ใหสอดคลองกบกฎหมายและกฎระเบยบขอบงคบ ธนาคารจงไดจดท าหนงสอขออนญาตจากทานในการเปดเผยขอมลสวนบคคล หรอขอมลทางการเงนอน ๆ ของทาน ททานไดใหแกธนาคารหรอทธนาคารอาจเขาถงไดจากแหลงอน ไปยงบคคลดงตอไปน:

1. [ ] 2. [ ]

ขอมลสวนบคคลของทานทถกเปดเผยไปยงบคคลดงกลาวขางตน จะถกน าไปใชเพอการสงเสรมการขายผลตภณฑและบรการอน และเพอประชาสมพนธเกยวกบบรการตางๆ หากทานประสงคจะเพกถอนความยนยอมน หรอท าการยนขอรองเรยนใดๆทเกยวกบการละเมดสทธของทาน สามารถด าเนนการผานทาง ABC Contact Center หมายเลข 1234 หรอชองทางทระบไวในเวบไซตของธนาคาร

*ทานมสทธเลอกใหความยนยอมหรอไมกได โดยไมสงผลตอการพจารณาการใชผลตภณฑหรอบรการของธนาคาร

วนท...........................................................

ชอ-นามสกล………………………………………….………………..………………………… เลขประจ าตวประชาชน.........................หนงสอเดนทางเลขท (กรณคนตางดาว)..................


ลงชอ ................................................................... เจาของขอมลสวนบคคล

(..........................................................)



5.3.8 การขอความยนยอมจากผเยาว ในการขอความยนยอมจากผเยาว ( ผเยาวหมายถง ผมอายไมครบ 20 ปบรบรณ

หรอ ไมไดจดทะเบยนสมรสกนกอนอาย 20 ปโดยอายไมต ากวา 17 ป) ธนาคารตองกระท าโดยระมดระวงเปนพเศษ เนองจากความสามารถในการเขาใจวตถประสงคของผเยาวนนไมเทากบผทบรรลนตภาวะแลว ดงนนการขอความยนยอมจากผเยาวตองท าอย างถกตอง เ ปนธรรมและโปร ง ใส Principle 1 : ("Lawfulness, Fairness, and Transparency”) โดยใชภาษาทงาย มความเหมาะสมกบระดบความเขาใจของผเยาว มความชดเจน ไมกอใหเกดความเขาใจผดไดงาย

ตาม พ.ร.บ.คมครองขอมลสวนบคคลไดใหหลกการในเรองของการใหความยนยอมของผเยาววา หากเจาของขอมลสวนบคคลเปนผเยาวซงยงไมบรรลนตภาวะโดยการสมรสหรอไมมฐานะเสมอนดงบคคลซงบรรลนตภาวะแลวตามมาตรา 27 แหงประมวลกฎหมายแพงและพาณชย การขอความยนยอมจากผเยาวนน จะตองไดรบความยนยอมจากผใชอ านาจปกครองทมอ านาจกระท าแทนผเยาวดวย เวนแต เปนไปตาม มาตรา 22 23 และ 24* แหงประมวลกฎหมายแพงและพาณชย ผเยาวจงจะสามารถใหความยนยอมตามล าพงได

ในกรณทผเยาวมอายไมเกนสบป ใหขอความยนยอมจากผใชอ านาจปกครองทมอ านาจกระท าการแทนผเยาว

( * มาตรา 22 แหงประมวลกฎหมายแพงและพาณชย ผเยาวอาจท าการใดๆ ไดทงสน หากเปนเพยงเพอจะไดไปซงสทธอนใดอนหนง หรอเปนการเพอหลดพนจากหนาทอนใดอนหนง มาตรา 23 แหงประมวลกฎหมายแพงและพาณชย ผเยาวอาจท าการใดๆ ไดทงสน ซงเปนการตองท าเองเฉพาะตว มาตรา 24 แหงประมวลกฎหมายแพงและพาณชย ผเยาวอาจท าการใดๆ ไดทงสน ซงเปนการสมแกฐานานรปแหงตน และเปนการอนจ าเปนในการด ารงชพอนสมควร) ส าหรบการถอนความยนยอมของผเยาวทไมใชเพอการใด ๆ ตามประมวลกฎหมายแพงและพาณชยมาตรา 22 23 และ 24 จะตองไดรบความยนยอมจากผมอ านาจปกครองทมอ านาจกระท าแทนดวย ในกรณทผเยาวมอายไมเกนสบป ใหผใชอ านาจปกครองทมอ านาจกระท าการแทนผเยาวใชสทธในการถอนความยนยอมกระท าการแทนผเยาว



หากธนาคารมความจ าเปนทตองประมวลผลขอมลของผเยาว ธนาคารควรจดท าการประเมนผลกระทบดานการคมครองขอมลสวนบคคล (Data Protection Impact Assessment : DPIA) กอนการประมวลผล โปรดดรายละเอยดในหวขอ “13 แนวปฏบตเกยวกบการจดท าการประเมนผลกระทบดานการคมครองขอมลสวนบคคล (Data Protection Impact Assessment: DPIA)” เพอประเมนผลกระทบทอาจเกดขน และหาวธการลดความเสยงจากการประมวลผลขอมลสวนบคคลของผเยาวตอไป นอกจากนนธนาคารตองค านงถงการคมครองสทธของผเยาวดวย

5.3.9 การขอความยนยอมในการเกบคกก (Cookie Consent) “คกก (Cookie)” หมายถง ขอความขนาดเลกทเวบไซตท าการเกบไว ซงคกกจะถกจดเกบลงในอปกรณคอมพวเตอร หรอเครองมอสอสารทเขาใชงานของผใชงานเวบไชตหรอ แอปพล เ คชน ซ ง ค กก จ ะถ กน ามา ใช เพ อท า ใหผ ใ ช ง าน เวบ ไชตหรอ แอปพลเคชนสามารถใชงานไดอยางตอเนอง อยางไรกตาม คกกบางประเภทอาจสงผลกระทบกบความเปนสวนตวของผใชงาน เชน ใชในการวเคราะหความสนใจลกคา พฤตกรรมการเยยมชม เพอน าเสนอสอใหเหมาะสมกบความสนใจของลกคา รวมถงอาจมการตดตามการใชงานเวบไชตหรอแอปพลเคชนทผใชงานเยยมชมได ธนาคารสามารถใชขอมลคกกประเภททมความจ าเปนตอการใชงานเวบไชตหรอแอปพลเคชน (Necessary Cookies) ไดโดยไมตองขอความยนยอม ส าหรบคกกประเภทอน ๆ เชน คกกทใชในการวเคราะหขอมล (Analytic Cookies) คกกทใชในการโฆษณา (Targeting Cookies) เปนตน ธนาคารควรท าการขอความยนยอมในการใชงานคกกประเภททไมไดจ าเปนตอการใชงานเวบไชตดงกลาวกอนการใชคกกนน ๆ หรอธนาคารอาจจดใหลกคาสามารถจดการฟงกชนคกกเองได กลาวคอ ลกคาจะสามารถเลอกเปดหรอปดคาคกกแตละประเภทในหนาเวบไชตได ในการขอความยนยอมคกก ผใชงานจะตองสามารถยอมรบหรอปฏเสธคกกไดและการปฏเสธไมใหความยนยอมของผใชงานจะตองไมสงผลกระทบตอการใชงานเวบไชตหรอแอปพลเคชน

ตวอยางกรณมาตรา 22 มาตรา 23 และมาตรา 24

ในกรณทลกคา(ผเยาว) มความประสงคทจะเปดบญชกบธนาคารและการท าบตร ATM ในกรณดงกลาวขางตนลกคา (ผเยาว) สามารถใหความยนยอมโดยล าพงได



5.4 ขอมลออนไหว (Sensitive Personal Data)

ขอมลสวนบคคลทเปนขอมลออนไหว “Sensitive Personal Data” คอ ขอมลสวนบคคลทสามารถพจารณาไดวาเปนเรองสวนตวของเจาของขอมลสวนบคคล และมความละเอยดออนและมความสมเสยงตอการถกใชในการเลอกปฏบตอยางไมเปนธรรม จงจ าเปนตองด าเนนการอยางระมดระวงเปนพเศษในการเกบรวบรวมขอมลสวนบคคลทเปนขอมลออนไหว เชน เชอชาต เผาพนธ ประวตอาชญากรรม ความเหนทางการเมอง ความเชอ ลทธ ศาสนา ปรชญา พฤตกรรมทางเพศ ประวตอาชญากรรม ขอมลสขภาพ ขอมลความพการ ขอมลสขภาพจต ขอมลสหภาพแรงงาน ขอมลพนธกรรม ขอมลชวภาพ ขอมลอนใดซงกระทบตอสทธเสรภาพของเจาของขอมลสวนบคคล

ธนาคารหามเกบขอมลสวนบคคลทเปนขอมลออนไหว หากไมไดรบความยนยอมโดยชดแจงจากเจาของขอมลสวนบคคล (Explicit Consent) เวนแตในกรณทไดรบการยกเวนตามกฎหมายไมไดตองขอความยนยอม ในการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลทเปนขอมลออนไหว ไดแก

• เพอปองกนหรอระงบอนตรายตอชวต รางกาย หรอสขภาพของบคคลซงเจาของขอมลสวนบคคลไมสามารถใหความยนยอมได ไมวาดวยเหตใดกตาม

• เปนการด าเนนกจกรรมโดยชอบดวยกฎหมายทมการคมครองทเหมาะสมของมลนธ สมาคมหรอองคกรทไมแสวงหาก าไรทมวตถประสงคเกยวกบการเมอง ศาสนา ปรชญา หรอสหภาพแรงงานใหแกสมาชก ผซงเคยเปนสมาชก หรอผซงมการตดตออยางสม าเสมอกบมลนธ สมาคม หรอองคกรทไมแสวงหาก าไรตามวตถประสงคดงกลาวโดยไมไดเปดเผยขอมลสวนบคคลนนออกไปภายนอก

• เปนขอมลทเปดเผยตอสาธารณะดวยความยนยอมโดยชดแจงของเจาของขอมลสวนบคคล

• เปนการจ าเปนเพอการกอตงสทธเรยกรองตามกฎหมาย การปฏบตตามหรอการใชสทธเรยกรองตามกฎหมาย หรอการยกขนตอสสทธเรยกรองตามกฎหมาย

• เปนการจ าเปนในการปฏบตตามกฎหมายเพอใหบรรลวตถประสงคเกยวกบ เวชศาสตรปองกนหรออาชวเวชศาสตร ประโยชนสาธารณะดานการสาธารณสข การคมครองแรงงาน การประกนสงคม หลกประกนสขภาพแหงชาต สวสดการเกยวกบการรกษาพยาบาลของผมสทธตามกฎหมาย การศกษาวจยทางวทยาศาสตร ประวตศาสตร หรอสถต หรอประโยชนสาธารณะอนทส าคญ โดยตองกระท าเพอบรรลวตถประสงคเทาทจ าเปน และจดใหมมาตรการในการคมครองขอมลทเหมาะสม



ในกรณการเกบ รวบรวม ใชและเปดเผยขอมลของผเปราะบางของธนาคารตามเกณฑของธนาคารแหงประเทศไทยและส านกงานคณะกรรมการก ากบหลกทรพยและตลาดหลกทรพย ธนาคารสามารถเกบ รวบรวม ใชและเปดเผยขอมลของผเปราะบางโดยไมตองขอความยนยอมจากผเปราะบางโดยอาศยมาตรา 26 (4)



ตวอยาง 1 ในกรณทลกคาท าการซอผลตภณฑประกนภยกบธนาคาร ธนาคารอาจมความจ าเปนทตองท าการเกบรวบรวมขอมลสวนบคคลทเปนขอมลออนไหว เชน ขอมลสขภาพของลกคาในปจจบน, ประวตสขภาพ ในกรณเหลานธนาคารจ าเปนตองไดรบความยนยอมอยางชดแจงจากลกคากอนหรอขณะเกบรวบรวมขอมล

ตวอยาง 2 ในกรณของกลมธนาคาร ทตองท าการเกบขอมลจากบตรประจ าตวประชาชน ซงมขอมลออนไหวคอศาสนา และ/หรอกรปเลอด เพอวตถประสงคในการยนค าขอเปดบญชธนาคาร และเพอการบรหารจดการบญช ซงเกดขนบอยครงในรปแบบของ

• การขอถายส าเนาบตรประจ าตวประชาชนจากลกคา และเกบส าเนาของขอมลลกคาไว

• การอานขอมลทางอเลกทรอนกสบนชพการดของบตรประจ าตวประชาชน และเกบขอมลในรปแบบอเลกทรอนกสเขาฐานขอมลของธนาคาร

หากธนาคารจะท าการเกบรวบรวมขอมลศาสนา จะตองไดรบความยนยอมอยางชดแจง จากเจาของขอมลสวนบคคลกอน หรอหากธนาคารไมประสงคจะขอความยนยอมจากลกคา กจะตองมกระบวนการในการจดเกบขอมลบตรประจ าตวประชาชน โดยไมมการเกบขอมลศาสนา และ/หรอกรปเลอด เชนการขดทบขอมลดงกลาวในส าเนาบตรประจ าตวประชาชน

ตวอยาง 3 กรณทธนาคารเกบรวบรวมขอมลออนไหว อนไดแกลายนวมอของพนกงาน เพอใชในการเชคเวลาเขางานหรอเลกงาน หรอ ใชการสแกนลายนวมอเพอเขาตกส านกงานของธนาคาร ธนาคารจะตองท าการขอความยนยอมอยางชดแจงในการเกบขอมลลายนวมอ เมอพนกงานเขาท างานกบธนาคาร ส าหรบขอมลลายนวมอทมการเกบอยกอนแลวใหธนาคารท าการขอความยนยอมใหม

ตวอยาง 4 กรณลกจางลาปวยตดตอกนเกน 3 วน ลกจางจะตองแสดงใบรบรองแพทยตามกฎหมายคมครองแรงงาน ในกรณนนายจาง (ธนาคาร) สามารถท าการเกบรวบรวมขอมลออนไหวได ในทนคอขอมลสขภาพทระบอยในใบรบรองแพทยโดยไมตองขอความยนยอม เนองจากเปนกรณยกเวนไมตองขอความยนยอมในการประมวลผลขอมลออนไหว หากการจ าเปนในการปฏบตตามกฎหมายเพอใหบรรลวตถประสงคเกยวกบการคมครองแรงงาน



5.5 การประกาศความเปนสวนตว (Privacy Notice)

ประกาศความเปนสวนตวเปนขอความหรอรายละเอยด ทธนาคารจะตองแสดงกบเจาของขอมลสวนบคคล เพออธบายเกยวกบรายละเอยดในการประมวลผลขอมล ประกาศความเปนสวนตวจะชวยเพมความโปรงใสในการประมวลผลขอมลสวนบคคลของธนาคารเอง ตามหลกการการประมวลผลขอมลสวนบคคลโดยชอบดวยกฎหมาย เปนธรรมและโปรงใส Principle 1 : ("Lawfulness, Fairness, and Transparency”) ซงเปนหลกการทส าคญส าหรบเรองน ซงจะชวยใหเจาของขอมลสวนบคคลมนใจไดวา ธนาคารปฏบตอยางไรกบขอมลของตน อกทงเพอใหความเชอมนแกเจาของขอมลสวนบคคล วาขอมลทตนไดใหไวกบธนาคารหรอทธนาคารไดมาจากแหลงอนนน จะไมถกน าไปประมวลผลนอกเหนอจากรายละเอยดตามทระบไวในประกาศความเปนสวนตว ดงนน ธนาคารจงตองอธบายในรายละเอยดเกยวกบการประมวลผลขอมลสวนบคคลทงหมด ในภาษาทเขาใจไดงาย เพอเปนการแจงใหกบเจาของขอมลสวนบคคลทราบวาธนาคารก าลงเกบรวบรวมขอมลสวนบคคลอะไรบางของลกคา เพอบรรลวตถประสงคอะไร และมการเปดเผยขอมลสวนบคคลใหแกประเภทของบคคลหรอหนวยงานใดบาง และจะท าการเกบขอมลไวเปนระยะเวลาเทาใด รวมถงสทธของเจาของขอมลสวนบคคล เปนตน นอกจากนนธนาคารจะตองท าการแจงประกาศความเปนสวนตวแกลกคา ดวยวธการหรอชองทางทลกคาสามารถเขาถงไดงาย ซงอาจท าในรปแบบเปนหนงสอหรอท าโดยผานระบบอเลกทรอนกสกได

ในการเกบรวบรวมขอมลสวนบคคล ธนาคารจะตองแจงเจาของขอมลสวนบคคลกอน หรอขณะเกบรวบรวม เกยวกบรายละเอยดในการประมวลผลขอมลสวนบคคลไวในประกาศความเปนสวนตว ซงจะตองแสดงรายละเอยดของประกาศความเปนสวนตวในหวขอดงตอไปน

1. ขอมลของผควบคมขอมลสวนบคคล และเจาหนาทคมครองขอมลสวนบคคล (Data Protection Officer : DPO) ใหธนาคารแจงรายละเอยดการตดตอธนาคารและรายละเอยดการตดตอเจาหนาทคมครองขอมลสวนบคคล (หากม) ใหชดเจนเพอใหเจาของขอมลสวนบคคลตดตอได เชน ชอบรษท สถานทตดตอ ชองทางการตดตอ เชน หมายเลขโทรศพท อเมล

2. ขอมลสวนบคคลทท าการเกบรวบรวม : ใหธนาคารแสดงรายการขอมลสวนบคคลทตองการเกบรวบรวม ใช และเปดเผยเพอแจงรายละเอยดเกยวกบการประมวลผลขอมลสวนบคคล ใหเจาของขอมลสวนบคคลทราบ

3. แหลงทมาของขอมล : ใหธนาคารแสดงรายละเอยดการไดมาของขอมล อนไดแก ท าการเกบรวบรวมขอมลจากเจาของขอมลสวนบคคลโดยตรง หรอการเกบรวบรวมขอมลจากแหลงทอนดวย เชน จากการทธนาคารสามารถเขาถงขอมลจากแหลงอนทนาเชอถอ เชน หนวยงานราชการ บรษทในกลมธรกจทางการเงนของธนาคาร และ/หรอบรษทพนธมตรของธนาคาร หรอทปรกษาของธนาคาร



4. ขอความแสดงวตถประสงค : เปนการบอกวตถประสงคของการเกบรวบรวม การใช และการเปดเผยขอมลสวนบคคล ซงในประกาศความเปนสวนตวจะตองมการระบวตถประสงคในการเกบรวบรวม การใช และการเปดเผยขอมลสวนบคคลขอมลสวนบคคลไวอยางชดเจน และครอบคลมทกวตถประสงคของกจกรรมการประมวลผล ธนาคารไมควรกลาวอยางกวางเกนไป หรอกลาวอยางคลมเครอ เพอใหเจาของขอมลสวนบคคลเขาใจวาขอมลสวนบคคลจะถกน าไปประมวลผลอยางไร

5. ฐานการประมวลผลขอมลสวนบคคล : ธนาคารตองระบฐานในการประมวลผลขอมลโดยพจารณาฐานทใชในการประมวลผลตามหวขอ “5.2 แนวปฏบตเกยวกบฐานในการประมวลผลขอมลสวนบคคล” โดยธนาคารจะตองระบฐานในการประมวลผลใหไดฐานใดฐานหน ง และธนาคารจะตองแจงใหทราบถงความจ าเปนทเจาของขอมลสวนบคคลตองใหขอมลสวนบคคลเพอปฏบตตามกฎหมายหรอสญญา หรอมความจ าเปนทตองใหขอมลสวนบคคลเพอเขาท าสญญา และแจงผลกระทบทเปนไปไดจากการไมใหขอมลสวนบคคล โดยระบรายละเอยดไวในฐานการประมวลผลตามกฎหมาย

6. ค าอธบายการประมวลผลขอมลสวนบคคล : ธนาคารท าการแจงรายละเอยดในการประมวลผลขอมลสวนบคคล อนไดแก การเกบรวบรวมขอมลสวนบคคล การใชขอมล และประเภทของบคคลหรอหนวยงานทขอมลสวนบคคลอาจถกท าการเปดเผย โดยใหระบอยางชดเจน ซ งอาจระบรวมไวกบวตถประสงคในการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลของลกคาและเหตผลในการประมวลผลขอมลตามวตถประสงค

7. ระยะเวลาในการเกบรกษาขอมลสวนบคคล : ธนาคารตองท าการระบระยะเวลาในการเกบรกษาขอมลไวอยางชดเจน ตามเกณฑทธนาคารใชในการพจารณาระยะเวลาในการเกบขอมลสวนบคคล เชน ภาระผกพนตามกฎหมายทตองเกบตามระยะเวลาทก าหนด อาท กฎหมายวาดวยการปองกนและปราบปรามการฟอกเงน กฎหมายวาดวยสถาบนการเงน กฎหมายวาดวยภาษอากร กฎหมายวาดวยการบญช ซงธนาคารอาจระบวธการท าลายขอมลสวนบคคล หรอการท าใหขอมลสวนบคคลไมสามารถระบตวตนไดเมอสนสดระยะเวลาในการเกบขอมล

8. สทธของเจาของขอมลสวนบคคล : ธนาคารตองอธบายสทธของเจาของขอมลสวนบคคลทงหมดอยางชดเจน และรายละเอยดการตดตอของเจาหนาทค มครองขอมลสวนบคคลหรอบคคลทท าหนาทรบผดชอบตอการจดการขอมลสวนบคคลเพอใหเจาของขอมลสวนบคคลท าการรองขอได ผอานสามารถดรายละเอยดเกยวกบสทธของเจาของขอมลสวนบคคลไดในหวขอ “10. แนวปฏบตเกยวกบการด าเนนการตามสทธของเจาของขอมลสวนบคคล”



5.5.1 ตวอยางประกาศความเปนสวนตว/นโยบายความเปนสวนตว (Privacy Notice or Privacy Policy)

นโยบายความเปนสวนตว (Privacy Notice)

ธนาคาร ABC จ ากด (“ธนาคาร”) มงเนนทจะใหบรการทดทสดใหแกลกคาคนส าคญของธนาคาร ซงการไดรบความไววางใจและความเชอมนจากทานในฐานะลกคาของธนาคาร (“ลกคา”) เปนสงทส าคญอยางยง ธนาคารมความตระหนกถงความส าคญในการคมครองขอมลสวนบคคลของลกคา ธนาคารจงมระบบในการรกษาความปลอดภยของขอมล และขนตอนการด าเนนงานทรดกม อกทงมาตรการในการรกษาความปลอดภยของขอมล เพอปองกนการเขาถง เปดเผย น าไปใชหรอเปลยนแปลงขอมลโดยมไดรบอนญาต ดงนนธนาคารจงจดท านโยบายฉบบนขนเพอชแจง รายละเอยดเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคล ระยะเวลาในการเกบขอมล การท าลายขอมล อกทงสทธของเจาของขอมลสวนบคคล ซงลกคาสามารถศกษารายละเอยดเกยวกบการคมครองขอมลสวนบคคลไดดงตอไปน

1. ขอมลทธนาคารท าการเกบรวบรวม ใช หรอเปดเผย และแหลงทมาของขอมลธนาคารท าการเกบรวบรวมขอมลสวนบคคลของทาน อนไดแก

1.1 ขอมลสวนบคคลทวไปทเปนขอมลแสดงตวตนของลกคา (Identity Data) ซงหมายถงขอมลทเกยวกบบคคลธรรมดาทท าใหสามารถระบตวตนลกคารายนนไดไมวาทางตรงหรอทางออม เชน ชอ/นามสกล เลขประจ าตวประชาชน เลขหนงสอเดนทาง วน/เดอน/ปเกด รวมถงขอมลออนไหว เชน ขอมลชวภาพ (ลายนวมอ ขอมลใบหนา) ขอมลสขภาพ เปนตน

1.2 ขอมลตดตอของลกคา (Contact Data) เชน ทอย อเมล หมายเลขโทรศพท 1.3 ขอมลทางการเงนหรอขอมลการท าธรกรรมของลกคากบธนาคาร (Financial and

Transaction Data) เชน หมายเลขบญชเงนฝาก/เงนลงทน หมายเลขบตรเครดต หมายเลขบตรเดบต หรอ รายงานขอมลการเบก/ถอนเงนในบญช ขอมลรายได รายจาย ยอดเงนฝากทมกบธนาคาร ประวตสนเชอทมอยกบธนาคาร หรอขอมลการช าระหน ขอมลจากฐานขอมลของกรมบงคบคด เปนตน

1.4 ขอมลความชนชอบของลกคาในการคนหาขอมลจากอนเทอรเนต (Technical and Usage Data) เชน การคนหาขอมลผลตภณฑของธนาคาร (Website Browsing) จากการใช Cookies หรอการเชอมตอเวบไซตอนๆ ทลกคาเขาไปคนหาขอมล เปนตน



1.5 ขอมลการตดตอกบธนาคาร (Communication Data) เชน เทปบนทกในกรณทลกคา เขามาตดตอธนาคาร ผานทาง Contact Center ซงอาจเปนภาพหรอเสยง เปนตน และไมวาลกคาไดใหขอมลไวหรอมอยกบธนาคาร หรอ ทธนาคารไดรบ หรอ เขาถงไดจากแหลงอนทนาเชอถอ เชน หนวยงานราชการ บรษทในกลมธรกจทางการเงนของธนาคาร และ/หรอบรษทพนธมตรของธนาคาร หรอทปรกษาของธนาคาร

2. วตถประสงคในการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลของลกคา

ทงนธนาคารท าการเกบรวบรวมขอมล เพอประโยชนของทานในการท าธรกรรมและ/หรอใชบรการกบธนาคาร เพอปฏบตตามกฎหมายและกฎระเบยบทเกยวของ และ/หรอเพอประโยชนอนใดททานไดใหความยนยอมไวแกธนาคาร โดยธนาคารจะเกบรกษาขอมลของทานตามมาตรการรกษาความปลอดภยของธนาคาร ลกคาสามารถศกษารายละเอยดไดดงตอไปน

2.1 การปฏบตตามสญญาระหวางลกคากบธนาคาร เชน การใชผลตภณฑหรอบรการตางๆ ของลกคา การปฏบตตามกระบวนการภายในของธนาคาร การท าประกนภยทรพยหลกประกน การโอนขายกลมลกหนใหแกบคคลอน การรบ-สงเอกสารตดตอระหวางลกคากบธนาคาร การทวงถามใหลกคาช าระหนทคางตามสญญาสนเชอทมกบธนาคาร

2.2 การปฏบตตามกฎหมาย เชน การปองกนและตรวจจบความผดปรกตของธรกรรมทน าไปสกจกรรมทผดกฎหมาย การรายงานขอมลของลกคาตอกรมสรรพากร การรายงานขอมลสวนบคคลตอหนวยงานราชการ เชน ธนาคารแหงประเทศไทย ส านกงานปองกนและปราบปรามการฟอกเงน หรอ กรมสรรพากร หรอ เมอไดรบหมายเรยก หมายอายดจากหนวยงานราชการ หรอ ศาล เปนตน

2.3 ประโยชนอนชอบดวยกฎหมายของธนาคาร เชน - การปองกน รบมอ ลดความเสยงทอาจเกดการกระท าทผดกฎหมายตางๆ ซงรวมถงการ

แบงปนขอมลสวนบคคลเพอยกระดบมาตรฐานการท างานของบรษทในธรกจเดยวกนในการปองกน รบมอ ลดความเสยงขางตน

- การบนทกภาพผทมาตดตอท าธรกรรมกบส านกงานหรอสาขาของธนาคารลงบน CCTV รวมถง การแลกบตรกอนเขาอาคาร เพอการรกษาความปลอดภยภายในบรเวณอาคารของธนาคาร

- การบรหารความเสยง/การก ากบตรวจสอบ/การบรหารจดการภายในองคกร รวมถงการสงตอไปยงบรษทในเครอกจการและ/หรอกลมธรกจทางการเงนเพอการดงกลาว ภายใตนโยบายในการคมครองขอมล



สวนบคคลของเครอกจการ (Binding Corporate Rules) - การตรวจสอบการรบสงอเมลหรอการใชอนเทอรเนตของพนกงานกบลกคา เพอปองกน

การเปดเผยขอมลลบของธนาคารตอบคคลภายนอก - การวเคราะหขอมลเพอใชในการน าเสนอผลตภณฑในประเภทเดยวกนกบทลกคามอย

กบธนาคารและผลตภณฑอนของธนาคารใหแกลกคา อยางเหมาะสมกบความตองการของลกคาและ/หรอในการท าวจยทางการตลาด เพอพฒนาผลตภณฑของธนาคาร

- การรกษาความสมพนธกบลกคา เชน การจดการขอรองเรยน การเสนอสทธประโยชนพเศษโดยไมมวตถประสงคทางการตลาดใหแกลกคา เปนตน

ทงน หากลกคาไมใหขอมลสวนบคคลกบเราอาจสงผลกระทบตอลกคาในการไมไดรบการใหผลตภณฑ/บรการ ไมไดรบความสะดวก หรอไมไดรบการปฏบตตามสญญาและลกคาอาจไดรบความเสยหาย/เสยโอกาสและอาจสงผลกระทบตอการปฏบตตามกฎหมายใดๆ ทลกคาหรอธนาคารตองปฏบตตาม และอาจมบทก าหนดโทษทเกยวของ

3. การเปดเผยขอมลสวนบคคล

ธนาคารจะท าการเปดเผยขอมลใหแกบคคลภายนอกในกรณดงตอไปน

- เปนการเปดเผยขอมลสวนบคคลใหแก บรษทในกลมธรกจทางการเงนไดแก บรษท abcประกนภย จ ากด, บรษท abc บรหารสนทรพย จ ากด, บรษท abc หลกทรพยจ ากด และ พนธมตรทางธรกจของธนาคาร ไดแก บรษท XYZbank จ ากด

- เปดเผยขอมลใหแก Credit Bureau ทธนาคารเปนสมาชก - เปดเผยขอมลใหแกบคคลภายนอกตามทธนาคารไดรบความยนยอมจากลกคา - เปดเผยขอมลเพอการท าธรกรรม และ/หรอ การใชบรการตามความประสงคของลกคา - เปดเผยแกผบรการภายนอก (Outsource/Service Provider) ทธนาคารเปนคสญญา ทง

ในประเทศไทยและตางประเทศ เชน ผใหบรการ Cloud Computing บรษทรบจางท ากจกรรมทางการตลาด บรษทรบจางท าวจยใหแกธนาคาร บรษทรบจางพฒนาเทคโนโลยสารสนเทศใหแกธนาคาร

- เปดเผยใหแกหนวยงานราชการหรอหนวยงานก ากบดแล เพอปฏบตตามกฎหมายหรอเปนไปตามค าสงของหนวยงานรฐ เชน ธนาคารแหงประเทศไทย ส านกงานปองกนและปราบปรามการฟอกเงน กรมสรรพากร ส านกงานคณะกรรมการก ากบและสงเสรมการประกอบธรกจประกนภย ส านกงานคณะกรรมการก ากบหลกทรพยและตลาดหลกทรพย ศาล รวมทงผสอบบญช 4. สทธของลกคาเกยวกบขอมลสวนบคคล



ธนาคารค านงถงสทธสวนบคคลของลกคา ซงสทธของลกคาในขอน เปนสทธตามกฎหมายคมครองขอมลสวนบคคลทลกคาควรทราบ ไดแก

4.1 สทธในการถอนความยนยอม (“Right to Withdraw of Consent”) ลกคามสทธขอเพกถอนความยนยอมทจะใหไวกบธนาคารในการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลของลกคาเมอใดกได เวนแตการเพกถอนความยนยอมจะมขอจ ากดโดยกฎหมายหรอสญญาทใหประโยชนแกลกคา เชน ลกคายงมการใชบรการ/ผลตภณฑจากธนาคาร หรอลกคายงมภาระหน/ภาระผกพนอยกบธนาคาร เปนตน

4.2 สทธในการเขาถงขอมลสวนบคคล (“Right to Access”) ลกคามสทธขอทราบและขอรบส าเนาขอมลสวนบคคลของลกคาซงอยในความรบผดชอบของธนาคาร หรอ ขอใหธนาคารเปดเผยการไดมาซงขอมลทลกคาไมไดใหความยนยอมได

4.3 สทธในการแกไขขอมลสวนบคคลใหถกตอง (“Right to Rectification”) ลกคามสทธขอใหธนาคารด าเนนการแกไขเพอใหขอมลถกตอง เปนปจจบน สมบรณและไมกอใหเกดความเขาใจผด

4.4 สทธในการใหโอนยายขอมลสวนบคคล (“Right to Data Portability”) ลกคามสทธขอรบขอมลทเกยวกบลกคาจากธนาคาร ในกรณทธนาคารไดท าใหขอมลนนอยในรปแบบทสามารถอาน หรอ ใชงานโดยทวไปไดดวยเครองมอ หรอ อปกรณทท างานไดโดยอตโนมตและสามารถใชหรอเปดเผยไดดวยวธการอตโนมต รวมทง (ก) มสทธขอใหธนาคารสงหรอโอนขอมลในรปแบบดงกลาวไปยงผควบคมขอมลสวนบคคลอน เมอสามารถท าไดดวยวธการอตโนมต หรอ (ข) ขอรบขอมลทธนาคารสงหรอโอนขอมลในรปแบบดงกลาวไปยงผควบคมขอมลสวนบคคลอนโดยตรง เวนแตสภาพทางเทคนคไมสามารถท าได

4.6 สทธในการลบขอมลสวนบคคล (“Right to Erasure” or “Right to be Forgotten”) ลกคามสทธขอใหธนาคารลบ หรอ ท าลาย หรอ ท าใหขอมลสวนบคคลเปนขอมลทไมสามารถระบตวบคคลวาเปนลกคาได ในกรณดงน - ขอมลสวนบคคลดงกลาวไมมความจ าเปนส าหรบวตถประสงคในการเกบ

รวบรวมหรอประมวลผลขอมลสวนบคคลอกตอไป - เจาของขอมลสวนบคคล ท าการถอนความยนยอมในการประมวลผลขอมลสวน

บคคลและธนาคารไมมอ านาจตามกฎหมายทจะท าการประมวลผลได - เจาของขอมลสวนบคคล คดคานการประมวลผลเพอวตถประสงคเกยวกบ

การตลาดแบบตรง



- เปนการประมวลผลขอมลสวนบคคลอนมชอบดวยกฎหมาย - เจาของขอมลสวนบคคล คดคานการประมวลผลขอมล (นอกเหนอจากท

เกยวของกบการคดคานการประมวลผลเพอวตถประสงคเกยวกบการตลาดแบบตรง) และธนาคารไมมเหตแหงการอางการประมวลผลโดยประโยชนอนชอบธรรม

4.7 สทธในการหามมใหประมวลผลขอมลสวนบคคล (“Right to Restriction of Processing”) ลกคามสทธในการหามมใหประมวลผลขอมลสวนบคคลของตน เมอเขาเงอนไขดงตอไปน - การประมวลผลไมจ าเปนอกตอไป แตการเกบรกษาขอมลสวนบคคลยงคงม

ความจ าเปนเพอการใชสทธเรยกรองทางกฎหมาย - เปนการประมวลผลขอมลสวนบคคลอนมชอบดวยกฎหมาย แตเจาของขอมล

สวนบคคลนนตองการหามมใหมการประมวลผลโดยแทนการลบหรอท าลายขอมลสวนบคคลของตน

- เมออยในระหวางการตรวจสอบความถกตองของขอมลสวนบคคลตามทลกคารองขอ

- เมอธนาคารอยในระหวางการพสจนใหเหนถงเหตอนชอบดวยกฎหมายทส าคญยงกวา

4.8 สทธในการคดคานการประมวลผลขอมลสวนบคคล (“Right to Object”)

ลกคามสทธคดคานการเกบรวบรวม ใช หรอ เปดเผยขอมลทเกยวกบลกคา ในกรณดงน

- กรณทเปนการเกบรวบรวม ใช หรอ เปดเผยขอมลสวนบคคลเพอวตถประสงคเกยวกบการตลาดแบบตรง

- กรณทเปนการเกบรวบรวม ใช หรอ เปดเผยขอมลสวนบคคลเพอวตถประสงคเกยวกบการศกษาวจยทางวทยาศาสตร ประวตศาสตร หรอสถต เวนแตการจ าเปนเพอการด าเนนภารกจเพอประโยชนสาธารณะของธนาคาร

- กรณทเปนขอมลทเกบรวบรวมไดดวยเหตจ าเปนเพอการด าเนนภารกจเพอประโยชนสาธารณะของธนาคาร หรอ เหตจ าเปนเพอประโยชนโดยชอบดวยกฎหมายของธนาคาร เวนแตธนาคารแสดงใหเหนถงเหตอนชอบดวยกฎหมายทส าคญยงกวา หรอ เปนไปเพอกอตงสทธเรยกรองตามกฎหมาย การปฏบตตาม หรอ การใชสทธเรยกรองตามกฎหมาย หรอ การยกขนตอสสทธเรยกรองตามกฎหมาย



5. มาตรการในการรกษาความปลอดภยของขอมลสวนบคคล ธนาคารมการก าหนดนโยบาย แนวปฏบตและมาตรฐานในการรกษาความปลอดภยของขอมลสวนบคคลของลกคา ทงมาตรการในการบรหารจดการ (Organizational Measure) และมาตรการเชงเทคนค (Technical Measure) เพอปองกนการเขาถงขอมลของทานโดยมไดรบอนญาตหรอการละเมดขอมลสวนบคคล เชน ระบบสารสนเทศในการรกษาความปลอดภยทเขมงวด นโยบายการรกษาขอมลความลบของลกคา เปนตน และธนาคารไดมการปรบปรงนโยบาย แนวปฏบตและมาตรฐานขนต าดงกลาวเปนระยะๆ ตามเกณฑทกฎหมายก าหนด นอกจากน พนกงาน ลกจาง และผใหบรการภายนอกของธนาคารกมหนาทตองรกษาความลบของขอมลสวนบคคลของลกคาตามสญญารกษาความลบทไดลงนามไวกบธนาคาร และในกรณทธนาคารมความจ าเปนตองสง หรอ โอนขอมลสวนบคคลของลกคาไปตางประเทศทมมาตรฐานการจดการขอมลสวนบคคลต ากวาประเทศไทย 6.ระยะเวลาในการเกบรกษาขอมลสวนบคคล ในกรณทลกคายตความสมพนธทางธรกจกบธนาคารไปแลว ธนาคารจะจดเกบขอมลสวนบคคลของลกคาตามทกฎหมายก าหนดและตามนโยบาย แนวปฏบตตางๆ ในเรองการจดเกบ ท าลายเอกสารตางๆ ของธนาคาร เชน พระราชบญญตปองกนและปราบปรามการฟอกเงนก าหนดใหจดเกบไวอยางนอย 10 ป เปนตน และเมอสนสดระยะเวลาในการเกบแลวธนาคารจะท าลายขอมลสวนบคคลดงกลาว

7. ขอมลการตดตอธนาคาร

หากลกคาตองการตดตอหรอมขอสงสยหรอตองการสอบถามรายละเอยดเพมเตมเกยวกบเกบรวบรวม ใชหรอเปดเผยขอมลสวนบคคล การใชสทธของลกคา หรอมขอรองเรยนใดๆ ลกคาสามารถตดตอธนาคารไดดงชองทางตอไปน - ศนยบรการลกคา (Contact Center) โทร 1234 - เจาหนาทคมครองขอมลสวนบคคลของเรา (Data Protection Officer)

(นาย ข. email: [email protected]) - เวบไซตของธนาคาร www.abcbank.com - สถานทตดตอ (ระบทอยในการตดตอ)

mailto:[email protected]

http://www.abcbank.com/



6. การใชและเปดเผยขอมลสวนบคคล (Data Usage and Data Disclosure)

หลงจากทธนาคารท าการเกบรวบรวมขอมลสวนบคคลจากเจาของขอมลสวนบคคลแลว ธนาคารอาจมความจ าเปนทตองใชหรอเปดเผยขอมลสวนบคคลไปยงบคคลอนทเกยวของ ซงการเปดเผยขอมล ธนาคารสามารถท าไดเพอบรรลวตถประสงคในการประมวลผลขอมล หรอการเปดเผยมความเกยวของโดยตรงกบวตถประสงคดงกลาว หรอเปนการเปดเผยเพอปฏบตต ามกฎหมายหรอเปนไปตามค าสงของหนวยงานใด ซงโดยหลกการแลวหากตองมการเปดเผยขอมลสวนบคคล ธนาคารตองมการแจงกบเจาของขอมลสวนบคคลไวในประกาศความเปนสวนตว (Privacy Notice) ซงจะตองแจงกอนหรอขณะเกบรวบรวมขอมลจากเจาของขอมลสวนบคคล ถงความจ าเปนในการใชหรอเปดเผยขอมลเพอวตถประสงคใด อกทงตองระบประเภทของบคคลหรอหนวยงานทขอมลสวนบคคลอาจถกท าการเปดเผยอยางชดเจน

ตวอยาง แนวปฏบตในการใชหรอเปดเผยขอมลไปยงบคคลหรอหนวยงานตาง ๆ

ตวอยาง แนวปฏบตในการเปดเผยขอมลเพอการท าธรกรรม และ/หรอ การใชบรการตามความประสงคของลกคา

ตวอยาง 1 ธนาคารท าการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลของลกคา เพอวตถประสงคในการสมครบตรเครดตใหกบลกคา ในการด าเนนการขออนมตการเปดบตรเครดตนน ธนาคารมความจ าเปนทจะตองท าการเปดเผยขอมลไปยงบรษทแมทอยในประเทศหรอตางประเทศเพอท าการอนมตบตรเครดต การเปดเผยในกรณน ใหเปนไปตามนโยบายการเปดเผยขอมลของกลมเครอธนาคารเอง

ตวอยาง แนวปฏบตในการเปดเผยขอมลแกผบรการภายนอก (Outsource/Service Provider) ทธนาคารเปนคสญญา ทงในประเทศไทยและตางประเทศ

ตวอยาง 1 ธนาคารท าการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลของลกคาไปยงผใหบรการภายนอก เพอวตถประสงคในการพฒนาเทคโนโลยสารสนเทศของธนาคาร ธนาคารอาจมการเปดเผยไปยงบคคลภายนอก (Outsource) ทธนาคารท าการจดจาง เชน ผใหบรการ Cloud Computing เพอเกบรกษาขอมลสวนบคคลไวในระบบคลาวด ธนาคารควรทจะท าสญญาระหวางธนาคารและผใหบรการภายนอก (Data Processing Agreement) เพอเปนการก าหนดอยางชดเจนวา บรษททธนาคารท าการจดจางผซงท าหนาทเปนผประมวลผลขอมลนนจะประมวลผลขอมลสวนบคคลเฉพาะตามขอตกลงทท าไวกบธนาคาร ไมประมวลผลนอกเหนอไปกวาทก าหนดไว นอกจากนนธนาคารจะตองมนใจวาบรษททธนาคารจดจาง มมาตรการในการรกษาความปลอดภยทเพยงพอ เพอใหแนใจวาขอมลทถกเปดเผยจะไดรบการรกษาความปลอดภยอยางเหมาะสม



ตวอยาง 2 ในกรณทลกคาเงนกของธนาคารผดนดช าระหนกบธนาคารเกนระยะเวลาทก าหนด ธนาคารท าการจดจางตวแทนในการเรยกเกบหน เพอเรยกเกบหนทคางช าระ /จดจางทนายความ เพอยนฟองลกหนทคางช าระ ธนาคารสามารถเปดเผยขอมลของลกหน ใหกบตวแทนในการเรยกเกบหนหรอทนายความ เพอเรยกเกบหนดงกลาวไดภายใตสญญาทท ารวมกน (Data Processing Agreement) เพอก าหนดอยางชดเจนวา ตวแทนทธนาคารท าการจดจางผซงท าหนาทเปนผประมวลผลขอมลนนจะประมวลผลขอมลสวนบคคลเฉพาะตามขอตกลงทท าไวกบธนาคาร ไมประมวลผลนอกเหนอไปกวาทก าหนดไว ส าหรบการทวงถามหนใหเปนไปตามเกณฑของพระราชบญญตการทวงถามหน

ตวอยาง แนวปฏบตในการเปดเผยขอมลแกผบรการภายนอก (Outsource/Service Provider) ทธนาคารเปนคสญญา ทงในประเทศไทยและตางประเทศ

ตวอยาง 3 กรณลกคาธนาคารโอนเงนไปตางประเทศ ซงธนาคารจะตองมการสงขอมลใหแกผบรการ Switching ผใหบรการระบบการช าระเงนระหวางประเทศทอยในตางประเทศและธนาคารในตางประเทศ โดยในกรณดงกลาวขางตนธนาคารสามารถอางองตามมาตรา 28 (3) ซงเปนการปฏบตตามสญญาระหวางธนาคารและเจาของขอมลสวนบคคล

ตวอยางท 4 กรณทธนาคารเปดเผยขอมลสวนบคคลของลกคาใหแกผบรการภายนอกซงอยในประเทศปลายทางทไมมมาตราฐานการคมครองขอมลสวนบคคลเพยงพอ เพอวตถประสงคในการท า Data Analytic เพอพฒนาผลตภณฑ/บรการของธนาคาร หรอการน าเสนอผลตภณฑ/บรการของธนาคาร หรอการน าเสนอผลตภณฑ/บรการแกลกคา โดยในกรณดงกลาวขางตนธนาคารสามารถอางองมาตรา 28 (4) ซงเปนการท าตามสญญาระหวางผควบคมขอมลสวนบคคลกบบคคลอนเพอประโยชนของเจาของขอมลสวนบคคล



6.1 แนวปฏบตในการเปดเผยขอมลภายในกลมเครอกจการในประเทศ

โดยปกตธรกจของธนาคาร อาจมโครงสรางการถอหน โดยมบรษทแมหรอมบรษท Holding Company ทถอหนของบรษทในเครออย ธนาคารจงอาจมความจ าเปนในการเปดเผยขอมลสวนบคคลระหวางกนภายในกลมบรษทในเครอทอยในประเทศ เชน เพอวตถประสงคในการใหบรการแกลกคา เพอการบรหารความเสยงภายในกลมเครอ เปนตน ใหธนาคารท าการแจงรายละเอยดแกเจาของขอมลสวนบคคลไวในประกาศความเปนสวนตว (Privacy Notice) โดยระบถงความจ าเปนในการเปดเผยขอมลภายในบรษทในเครอ และประเภทของบคคลหรอหนวยงานดวย ส าหรบฐานตามกฎหมายในการเปดเผยขอมลสวนบคคลนน ขนอยกบกจกรรมการประมวลผลขอมล โปรดดรายละเอยดเพมเตมในหวขอ “5.2 แนวปฏบตเกยวกบฐานในการประมวลผลขอมลสวนบคคล”

อยางไรกตามแมวาจะเปนการเปดเผยขอมลระหวางบรษทในเครอเดยวกน ธนาคารควรจะตองจดท านโยบายในการเปดเผยขอมลระหวางเครอกจการ เพอใหบรษทในเครอมแนวปฏบตเปนไปในทศทางเดยวกน เปนมาตรฐานเดยวกน และพนกงานทกคนจะตองทราบและปฏบตตาม ซงนโยบายควรมการก าหนดสทธในการเขาถงขอมลสวนบคคลอยางเหมาะสม ใหเพยงเฉพาะบคคลหรอแผนกทจ าเปนตองใชในการประมวลผลตามวตถประสงคเทานน ภายใตหลกการ “Need to know” และ “Need to use” เพอเปนการปองกนการเขาถง เปลยนแปลง แกไขขอมลโดยมชอบ หรออาจถกน าไปใชนอกเหนอจากวตถประสงคในการประมวลผลขอมล มมาตรการในรกษาความปลอดภยของขอมล ทงในเชงบรหารจดการและเชงเทคนค และมการตรวจสอบ ตดตามผลการปฏบตตามนโยบายหรอแนวปฏบตการปฏบตงานอยางสม าเสมอ

6.2 การโอนขอมล สวนบคคลไปยง ต างประเทศหร อองคการระหว างประเทศ (Cross-border data transfer)

ธนาคารอาจมความจ าเปนจะตองสงหรอโอนขอมลสวนบคคลไปยงตางประเทศ หรอองคการระหวางประเทศ ตาม พ.ร.บ.คมครองขอมลสวนบคคล ก าหนดใหประเทศทรบขอมลสวนบคคลตองมมาตรฐานในการคมครองขอมลสวนบคคลทเพยงพอ และเปนไปตามประกาศก าหนด

ตวอยาง แนวปฏบตในการเปดเผยขอมลใหแกหนวยงานราชการหรอหนวยงานก ากบดแล เพอปฏบตตามกฎหมายหรอเปนไปตามค าสงของหนวยงานรฐ

ตวอยาง 1 เพอปฏบตตามกฎหมายหรอเปนไปตามค าสงของหนวยงานรฐ ธนาคารสามารถเปดเผยขอมลใหแกหนวยงานราชการหรอหนวยงานก ากบดแลได เชน ธนาคารแหงประเทศไทย ส านกงานปองกนและปราบปรามการฟอกเงน กรมสรรพากร ส านกงานคณะกรรมการก ากบและสงเสรมการประกอบธรกจประกนภย ส านกงานคณะกรรมการก ากบหลกทรพยและตลาดหลกทรพย ศาล รวมทงผสอบบญช บรษทขอมลเครดต เปนตน



หลกเกณฑการใหความคมครองขอมลสวนบคคลทสงหรอโอนไปยงตางประเทศ อยางไรกตามปจจบนคณะกรรมการคมครองขอมลสวนบคคลยงมไดมการก าหนดรายละเอยดหลกเกณฑการใหความคมครองขอมลสวนบคคลทสงหรอโอนไปยงตางประเทศ แนวปฏบตฉบบนจงน าหลกเกณฑของ GDPR มาเปนแนวปฏบตในกบกลมธนาคารไทย

ในการโอนขอมลสวนบคคลไปยงตางประเทศหรอองคการระหวางประเทศ ธนาคารสามารถท าในกรณดงตอไปน

6.2.1 ประเทศหรอองคการระหวางประเทศทรบขอมลสวนบคคลมมาตรฐานในการคมครองขอมลสวนบคคลทเพยงพอ แนวทางการพจารณาความเพยงพอของมาตรฐานการคมครองขอมลสวนบคคลของ

ประเทศทรบโอนขอมลสวนบคคล (Adequacy of the Level of Protection) สามารถพจารณาไดโดย

1) พจารณาจากกฎหมายของประเทศดงกลาว วามการคมครองสทธมนษยชนและสทธขนพนฐาน จากกฎหมายทเกยวของทงในภาพรวมหรอกฎหมายเฉพาะ รวมถงการรกษาความมนคงของชาต กฎหมายอาญา การเขาถงขอมลสวนบคคลของหนวยงานรฐ การบงคบใชกฎหมาย กฎเกณฑในการคมครองขอมลสวนบคคล กฎเกณฑของผประกอบวชาชพ มาตรการในการรกษาความปลอดภยของขอมล กฎเกณฑในการโอนขอมลสวนบคคลไปยงตางประเทศหรอองคการระหวางประเทศ ความมประสทธภาพในการบงคบใชสทธของเจาของขอมลสวนบคคล มาตรการเยยวยาแกเจาของขอมลสวนบคคลหากขอมลสวนบคคลทถกโอนนนถกละเมด

2) การมอยและการท างานขององคกร/หนวยงานอสระในตางประเทศหรอหนวยงานระหวางประเทศทรบโอนขอมลสวนบคคล วามอ านาจหนาทในการบงคบใชกฎหมายทเกยวของกบการคมครองขอมลสวนบคคล และอ านาจหนาทในการใหความชวยเหลอเจาของขอมลสวนบคคล ในการใชสทธของเจาของขอมลสวนบคคลและอ านาจหนาทในการรวมมอกบคณะกรรมการคมครองขอมลสวนบคคลของราชอาณาจกรไทย

3) ขอผกพนระดบนานาชาตของประเทศหรอองคการระหวางประเทศทรบโอนขอมลสวนบคคล เกดจากการทประเทศหรอองคกรระหว างประเทศผร บโอนไดเขาผกพนทางกฎหมาย โดยเฉพาะทเกยวของกบการคมครองขอมลสวนบคคล เชน อนสญญาทมผลบงคบผกพนทางกฎหมาย หรอ การเขารวมในระบบพหภาคหรอภมภาค



6.2.2 กรณทไดรบการยกเวนตามกฎหมาย

ธนาคารสามารถโอนขอมลสวนบคคลไปยงตางประเทศหรอองคการระหวางประเทศได แมวามาตรฐานการคมครองขอมลสวนบคคลของประเทศปลายทางไมเพยงพอหากเขากรณยกเวนตามกฎหมายดงตอไปน 1) เปนการปฏบตตามกฎหมาย 2) ไดรบการยนยอมจากเจาของขอมลสวนบคคลโดยธนาคารไดแจงใหเจาของขอมลสวน

บคคล ทราบถงมาตรการในการคมครองขอมลสวนบคคลทไมเพยงพอของประเทศปลายทางหรอ องคการระหวางประเทศทรบขอมลสวนบคคลแลว

3) เปนการจ าเปนเพอการปฏบตตามสญญาซงเจาของขอมลสวนบคคลเปนคสญญาหรอเพอใชในการด าเนนการตามค าขอของเจาของขอมลสวนบคคลกอนเขาท าสญญานน

ตวอยางการโอนขอมลสวนบคคลไปยงตางประเทศ

ธนาคาร A มความประสงคทจะจาง บรษท B ซงเปนบรษททใหบรการระบบคลาวด (Cloud Service Provider) โดยมสาขาในประเทศไทย ซงมศนยจดเกบขอมลทประเทศญป นและฮองกง หากธนาคาร A ตองการจะใชงานระบบคลาวดของบรษท B ธนาคาร A จะตองมนใจวา ในการเกบขอมลทศนยขอมลหรอการประมวลผลยอยของขอมลสวนบคคลทจะเกดขนในประเทศทญป นและฮองกง ประเทศดงกลาวมมาตรฐานในการคมครองขอมลสวนบคคลทเพยงพอ เทยบเทาหรอมากกวากฎหมายของประเทศไทยหรอไม

หากมการละเมดขอมลเกดขนในขณะทขอมลสวนบคคลอยในความดแลของบรษท B ในการพจารณาวาธนาคาร A มความผดจากการละเมดขอมลสวนบคคลหรอไม คณะกรรมการคมครองขอมลสวนบคคลล อาจมการพจารณาถงการตรวจสอบมาตรฐานของประเทศทรบโอนขอมลสวนบคคลของธนาคาร A (Due Diligence) เนองจากการพจารณาความพอเพยงของมาตรการคมครองขอมลสวนบคคลของประเทศปลายทาง ถอเปนหนาทของผควบคมขอมลสวนบคคล

ตวอยางการโอนขอมลสวนบคคลไปยงตางประเทศ ในกรณทมความจ าเปนเพอการปฏบตตามสญญา ทเจาของขอมลสวนบคคลเปนคสญญา หรอเพอใชในการด าเนนการตามค าขอของเจาของขอมลสวนบคคลกอนเขาท าสญญานน ธนาคารสามารถท าไดภายใตมาตรา 28(3)



4) เปนการกระท าตามสญญาระหวางผควบคมขอมลสวนบคคลกบบคคลหรอนตบคคลอนเพอประโยชนของเจาของขอมลสวนบคคล

5) เพอปองกนหรอระงบอนตรายตอชวต รางกาย หรอสขภาพของเจาของขอมลสวนบคคลหรอบคคลอน เมอเจาของขอมลสวนบคคลไมสามารถใหความยนยอมในขณะนนได

6) เปนการจ าเปนเพอการด าเนนภารกจเพอประโยชนสาธารณะทส าคญ

6.2.3 กรณทมมาตรการคมครองขอมลสวนบคคลทเพยงพอ (Transfers Subject to

Appropriate Safeguards)

1) ธนาคารม “นโยบายในการคมครองขอมลสวนบคคลของเครอกจการ” (Binding Corporate Rules) ทไดรบการตรวจสอบและรบรองจากส านกงานคมครองขอมลสวนบคคลแลว ในการสงหรอโอนขอมลสวนบคคลไปยงตางประเทศหรอองคการระหว างประเทศเพอการประกอบกจการหรอธรกจรวมกน นนสามารถท าไดตามขอก าหนดในนโยบายดงกลาว โปรดดรายละเอยดเพมเตมในหวขอ “6.3 แนวปฏบตในการคมครองขอมลสวนบคคลเมอมการเปดเผยขอมลภายในกลมเครอกจการหรอเครอธรกจเดยวกนซงอยตางประเทศ”

2) กรณทคณะกรรมการมาตรการคมครองขอมลสวนบคคลยงไมมประกาศหลกเกณฑในการใหความคมครองขอมลสวนบคคลทสงหรอโอนไปยงตางประเทศ หรอยงไมมนโยบายในการคมครองขอมลสวนบคคลของเครอกจการ ธนาคารสามารถใชมาตรการในการคมครองขอมลสวนบคคลทเหมาะสมอน ๆ ทสามารถบงคบสทธของเจาของขอมลสวนบคคลไดตามขอก าหนดของ GDPR ไดแก 2.1) ขอสญญาทเกยวกบมาตรฐานการคมครองขอมลสวนบคคล (Standard Data

Protection Clauses) ทคณะกรรมการคมครองขอมลสวนบคคลอนมต 2.2) หลกปฏบตดานจรรยาบรรณ (Code of Conduct) ทคณะกรรมการคมครองขอมล

สวนบคคลอนมต หลกปฏบตดานจรรยาบรรณ ดงกลาวตองมผลผกพนและบงคบใชกบผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลในตางประเทศหรอองคการระหวางประเทศ ในการจดใหมมาตรการคมครองขอมลอยางเหมาะสม รวมถงการบงคบใชสทธของเจาของขอมลสวนบคคล

2.3) ค ารบรองเกยวกบการคมครองขอมลสวนบคคล (Certification Mechanism) ทคณะกรรมการคมครองขอมลสวนบคคลอนมต ซงค ารบรองดงกลาวตองมผลผกพนและบงคบใชกบผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลในตางประเทศหรอองคการระหวางประเทศ ในการจดใหมมาตรการ



คมครองขอมลอยางเหมาะสม รวมถงการบงคบใชสทธของเจาของขอมลสวนบคคล

2.4) ขอสญญาระหวางผควบคมขอมลสวนบคคลและผประมวลผลขอมลสวนบคคล (Contractual Clauses) ผประมวลผลหรอผร บขอมลสวนบคคลในประเทศปลายทางทไดรบอนมตจาก คณะกรรมการคมครองขอมลสวนบคคลอนมต

2.5) ขอบญญตเพมเตม ในขอตกลงการบรหารงานระหวางหนวยงานสาธารณะ (Provision to be Inserted into Administrative Arrangements Between Public Authorities) ทไดรบอนมตจาก คณะกรรมการคมครองขอมลสวนบคคลอนมต ซงมผลบงคบใช การใชสทธของเจาของขอมลสวนบคคล

6.3 แนวปฏบตในการคมครองขอมลสวนบคคลเมอมการเปดเผยขอมลภายในกลมเครอกจการหรอเครอธรกจเดยวกนซงอยตางประเทศ

1) จดใหม “นโยบายในการคมครองขอมลสวนบคคลของเครอกจการ” (Binding Corporate Rules) เพอการสงหรอโอนขอมลสวนบคคลไปยงผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลซงอยตางประเทศและอยในเครอกจการหรอเครอธรกจเดยวกนเพอการประกอบกจการหรอประกอบธรกจรวมกน นโยบายดงกลาวเปนการก าหนดแนวทางในการปฏบตของกลมเครอกจการในการโอนขอมลระหวางกน ซงจะตองมการบงคบใชกบทกบรษทในเครอ หากนโยบายดงกลาวไดรบการตรวจสอบและรบรองจากส านกงานคมครองขอมลสวนบคคลแลว การสงหรอโอนขอมลไปยงตางประเทศทเปนไปตามนโยบายนนสามารถกระท าได อยางไรกตาม ปจจบนคณะกรรมการคมครองขอมลสวนบคคลยงมไดมการก าหนดรายละ เอยดหลกเกณฑในการตรวจสอบนโยบายดงกลาว แนวปฏบตฉบบนจงน าหลกเกณฑ Binding Corporate Rules ของ GDPR มาเปนแนวทางในการก าหนดนโยบายดงกลาว ซงมสาระส าคญของนโยบายดงตอไปน ▪ ก าหนดใหนโยบายในการคมครองขอมลสวนบคคลของเครอกจการมสภาพบงคบตาม

กฎหมายและใหมผลบงคบใชกบทกสมาชกของบรษทในเครอ รวมถงลกจางและพนกงานของสมาชก

▪ ก าหนดใหนโยบายในการคมครองขอมลสวนบคคลของเครอกจการรบรองสทธของเจาของขอมลสวนบคคลทเกยวกบการประมวลผลขอมลสวนบคคล และควรมเนอหาของนโยบายทครอบคลมอยางนอยดงหวขอตอไปน

▪ โครงสรางและรายละเอยดการตดตอของแตละสมาชกของกลมกจการหรอกลมบรษททมสวนรวมในการประกอบกจการรวมกน

▪ อธบายขอบเขตของนโยบายการคมครองขอมลสวนบคคลของบรษทในเครอ รวมถง สภาพของการสงหรอโอนขอมล ประเภทเจาของขอมลสวนบคคล และประเทศทอยในขอบเขต



▪ การใชหลกการในการคมครองขอมลสวนบคคล โดยเฉพาะอยางยง การประมวลผลขอมลตามวตถประสงค การเกบรวบรวมขอมลเฉพาะเทาทจ าเปน ระยะเวลาในการเกบ การรกษาความปลอดภยของขอมล ฐานการประมวลผลขอมลตามกฎหมาย เปนตน

▪ สทธของเจาของขอมลสวนบคคลและวธการหรอชองทางในการใชสทธของเจาของขอมลสวนบคคล

▪ หนาทของเจาหนาทคมครองขอมลสวนบคคล (Data Protection Officer) หรอบคคลทท าหนาทรบผดชอบในการตรวจสอบการปฏบตตามนโยบายการคมครองขอมลสวนบคคลของสมาชกของกลมเครอกจการ อกทง การตดตามการฝกอบรมใหความรแกพนกงาน การจดการกบขอรองเรยน

▪ กลไกในการคมครองขอมลสวนบคคลของกลมเครอกจการ เพอใหมนใจวามการตรวจสอบและประเมนการปฏบตตาม นโยบายในการคมครองขอมลสวนบคคลของเครอกจการรวมทงตรวจสอบการปกปองสทธของเจาของขอมลสวนบคคล เชน การด าเนนการตามเรองรองขอของเจาของขอมลสวนบคคล การด าเนนการแกไขเมอไดรบเรองรองเรยน

▪ การอบรมใหความรแกพนกงานทสามารถเขาถงขอมลสวนบคคลได ▪ มาตรการรบเรองรองเรยนทเหมาะสม ▪ ก าหนดหนาทในการใหความรวมมอกบส านกงานคมครองขอมลสวนบคคล

2) ธนาคารควรตดตามความเหมาะสมของการใชงานขอมลสวนบคคลวามการใชขอมลสวนบคคลเปนไปตามขอก าหนดในนโยบายในการคมครองขอมลสวนบคคลของเครอกจการ หรอไม และมการตรวจสอบใหแนใจวามการท าลายขอมลสวนบคคลอยางเหมาะสมหลงจากทสนสดความจ าเปนในการใชงานหรอตามระยะเวลาการเกบขอมลสวนบคคลทก าหนดในนโยบายดงกลาว

6.4 การประมวลผลขอมลเพอวตถประสงคเฉพาะ 6.4.1 การประมวลผลขอมลสวนบคคลเพอวตถประสงคในการท าการตลาดแบบตรง (Direct

Marketing)

การประมวลผลขอมลสวนบคคลเพอวตถประสงคในการท าการตลาดแบบตรง ซงท าผานชองทางตาง ๆ เชน การโทรตดตอ สงการอเมล ขอความSMS โทรสาร หรออนๆ เพอน าเสนอขอมลเกยวกบผลตภณฑของธนาคารแกลกคา สามารถแบงไดเปนหลากหลายกรณดงตอไปน

Scenario แนวปฏบตเกยวกบขอมลสวนบคคล

1. การวเคราะหขอมลหรอการใชขอมลเพอการน าเสนอผลตภณฑประเภทอนของธนาคาร

ธนาคารสามารถประมวลผลขอมลสวนบคคลภายใตฐานประโยชนอนชอบธรรม เพอวตถประสงคในการวเคราะห /วจย /พฒนา ผลตภณฑของธนาคารให



เหมาะสมกบความตองการของลกคามากขน หรอเพอขยายสทธประโยชนแกล กคาผ านการท า เสนอผลตภณฑอนของธนาคาร

2. การวเคราะหขอมลหรอการใชขอมลเพอการน าเสนอผลตภณฑประเภทเดยวกน/ ใกลเคยงกบทลกคามอยของธนาคาร

ธนาคารสามารถประมวลผลขอมลสวนบคคลภายใตฐานประโยชนอนชอบธรรม เพอวตถประสงคในการวเคราะห /วจย /พฒนา ผลตภณฑของธนาคารใหเหมาะสมกบความตองการของลกคามากขน หรอเพอขยายสทธประโยชนแกล กคาผ านการท า เสนอผลตภณฑประเภทเดยวกนกบทลกคามอย ห รอผลตภณฑประเภททใกลเคยงกบทลกคามอยกบธนาคาร

3. การวเคราะหขอมลหรอการใชขอมลเพอการน าเสนอผลตภณฑประเภทอน ของกลมธรกจทางการเงนและ/หรอพนธมตรทางธรกจ (กรณทธนาคารมการเปดเผยขอมลสวนบคคล)

ธนาคารจะตองท าการขอความยนยอมจากลกคา (ตาม Market Conduct) ในกรณทตองการเปดเผยขอมลสวนบคคลทธนาคารมอยใหกบกลมธรกจทางการเงนและ/หรอพนธมตรทางธรกจ ส าหรบการประมวลผลขอมลสวนบคคลเพอวตถประสงคในการวเคราะห /วจย /พฒนา ผลตภณฑของกลมธรกจทางการเงนและ/หรอพนธมตรทางธรกจของธนาคารใหเหมาะสมกบความตองการของลกคามากขน หรอเพอขยายสทธประโยชนแกลกคาผานการน าเสนอผลตภณฑอนของกลมธรกจทางการเงนและ/หรอพนธมตรทางธรกจ

4. การวเคราะหขอมลหรอการใชขอมลเพอการน าเสนอผลตภณฑประเภทเดยวกน/ ใกลเคยงกบทลกคามอย ของกลมธรกจทางการเงนและ/หรอพนธมตรทางธรกจ(กรณทธนาคารมการเปดเผยขอมลสวนบคคล)

ธนาคารจะตองท าการขอความยนยอมจากลกคา (ตาม Market Conduct) ในกรณทตองการเปดเผยขอมลสวนบคคลทธนาคารมอยใหกบกลมธรกจทางการเงนและ/หรอพนธมตรทางธรกจ ส าหรบการประมวลผลขอมลสวนบคคลเพอวตถประสงคในการวเคราะห /วจย /พฒนา ผลตภณฑของกลมธรกจทางการเงนและ/หรอพนธมตรทางธรกจของธนาคารใหเหมาะสมกบความตองการของลกคามากขน หรอเพอขยายสทธประโยชนแกลกคาผานการน าเสนอผลตภณฑประเภทเดยวกนกบทลกคามอย ขอกลมธรกจทางการเงนและ/หรอพนธมตรทางธรกจ

5. การวเคราะหขอมลหรอการใชขอมลเพอการน าเสนอผลตภณฑ

ธนาคารสามารถประมวลผลขอมลสวนบคคลภายใตฐานประโยชนอนชอบธรรม เพอวตถประสงคในการ



ประเภทเดยวกนกบทลกคามอยหรอผลตภณฑอน ของกลมธรกจทางการเงนและ/หรอพนธมตรทางธรกจ (กรณทธนาคารไมไดมการเปดเผยขอมลสวนบคคล)

น าเสนอผลตภณฑของกลมธรกจทางการเงนและ/หรอพนธมตรทางธรกจของธนาคารใหเหมาะสมกบความตองการของลกคามากขน และเพอขยายสทธประโยชนแกลกคาผานการน าเสนอผลตภณฑประเภทเดยวกนกบทลกคามอยหรอผลตภณฑประเภททใกลเคยง รวมถงผลตภณฑอน ซ ง ผลตภณฑและบรการทธนาคารน าเสนอแกลกคาจะเปนผลตภณฑทธนาคารสามารถน าเสนอไดภายใตใบอนญาตทธนาคารมอย เชน กองทน ประกน เปนตน โดยมไดมการเปดเผยขอมลลกคาของธนาคารออกไปยงกลมธรกจทางการเงนและ/หรอพนธมตรทางธรกจแตอยางใด

6. การวเคราะหขอมลหรอการใชขอมลเพอการน าเสนอผลตภณฑประเภทเดยวกนกบทลกคามอยหรอผลตภณฑอนของธนาคาร (ขอมลทเกบอยกอน 1 ม.ย. 2564)

ส าหรบขอมลทเกบรวบรวมไวกอนวนทพระราชบญญตนใชบงคบ ซงธนาคารท าการเกบรวบรวมและใชขอมล ตามวตถประสงคเดม อนไดแก เพอขยายสทธประโยชนแกลกคาผานการท าเสนอผลตภณฑประเภทเดยวกนกบทลกคามอยหรอผลตภณฑประเภททใกลเคยงกบทลกคามอยกบธนาคาร รวมทงการน าเสนอผลตภณฑอน การประมวลผลดงกลาวธนาคารสามารถท าไดภายใตฐานประโยชนอนชอบธรรม

7. การวเคราะหขอมลหรอการใชขอมลเพอการน าเสนอผลตภณฑประเภทเดยวกนกบทลกคามอยหรอผลตภณฑอนของธนาคาร (ขอมลทเกบหลง1 ม.ย. 2564)

ส าหรบขอมลทเกบรวบรวมไวหลงวนทพระราชบญญตนใชบงคบ ซงธนาคารท าการเกบรวบรวมและใชขอมล ตามวตถประสงคเดม อนไดแก เพอขยายสทธประโยชนแกลกคาผานการท าเสนอผลตภณฑประเภทเดยวกนกบทลกคามอยหรอผลตภณฑประเภททใกลเคยงกบทลกคามอยกบธนาคาร รวมทงการน าเสนอผลตภณฑอน ธนาคารสามารถท าไดภายใตฐานประโยชนอนชอบธรรม

8. Lead Management กรณทธนาคารไดรบขอมลสวนบคคลจากแหลงอน เชน การซอขอมลลกคาจากบรษทอน ขอมลดงกลาวมรายละเอยดของเจาของขอมลสวนบคคล อนไดแก ชอ นามสกล รายละเอยดการตดตอ ส าหรบกรณนธนาคารไมตองขอความยนยอมซ าจากเจาของขอมลสวนบคคล แตใหบรษททท าหนาทเปนผควบคมขอมลสวนบคคลเปนผขอความยนยอมในการเปดเผยขอมลใหกบ



ธนาคารแตแรกจากเจาของขอมลสวนบคคล และธนาคารสามารถเกบรวบรวม ใชขอมลสวนบคคลไดตามวตถประสงคทเจาของขอมลสวนบคคลไดใหความยนยอมไว แตทงน หากขอมลจากแหลงอนดงกลาวเปนกรณทธนาคารได เ กบ รวบรวมขอม ลส ว นบ คค ล จากแหลงขอมลสาธารณะ (เชน กรมพฒนาธรกจการคา เฟสบค หรอเวบไซตสาธารณะอน ๆ ) ธนาคารจะตองขอความยนยอมจากลกคาในการเกบ รวบรวมใชขอมลสวนบคคลภายในระยะเวลา 30 วน หลงจากไดรบขอมลดงกลาว และเมอลกคาใหความยนยอมแลว ธนาคารจงจะสามารถใชขอมลดงกลาวตอไปได

อยางไรกตามกรณของ Scenario1, Scenario2, Scenario5, Scenario6, Scenario7 ทธนาคารไมไดท าการขอความยนยอมจากลกคาในรปแบบ Opt-in Consent แตท าการเกบรวบรวม ใช เพอวตถประสงคในการวเคราะห/วจย/พฒนา ผลตภณฑ หรอเพอวตถประสงคทางการตลาด ภายใตฐานผลประโยชนอนชอบธรรม ธนาคารสามารถประมวลผลขอมลภายใตฐานดงกลาวได หากธนาคารสามารถพสจนไดวาผลประโยชนอนชอบธรรมของธนาคารหรอของบคคลทสามมความส าคญมากกวาสทธขนพนฐานของเจาของขอมลสวนบคคล และธนาคารจะตองแจงรายละเอยดหรอวธการใด ๆ ทใหเจาของขอมลสวนบคคลแจงความประสงคในการปฏเสธการรบขาวสาร (Opt-out) หรอใชสทธคดคานการประมวลผลได โดยการใชสทธนนสามารถท าไดผานชองทางการตดตอทงายและสะดวกในการจดการและการเขาถงรวมทงมกระบวนการภายในทจะสามารถแยกขอมลลกคาทจะไมประสงครบการตดตอจากธนาคารในการขายผลตภณฑได

7. การเกบขอมลสวนบคคลและระยะเวลาในการเกบ (Data Retention)

ธนาคารสามารถท าการเกบขอมลสวนบคคล ตามระยะเวลาในการเกบรกษาเฉพาะเทาทจ าเปนตามทตองบรรลวตถประสงคในการประมวลผลขอมลสวนบคคลหรอตามทเจาของขอมลสวนบคคลรองขอ หรอเกบตามขอก าหนดของกฎหมายทธนาคารจ าเปนตองปฏบต เมอสนสดระยะเวลาในการเกบรกษาแลวใหธนาคารด าเนนการลบหรอท าลายขอมลสวนบคคล ทงนในกรณทไมสามารถก าหนดระยะเวลาดงกลาวไดชดเจน ใหก าหนดระยะเวลาทอาจคาดหมายไดตามมาตรฐานของการเกบรวบรวมขอมลนน ๆ



7.1 แนวปฏบตเกยวกบระยะเวลาในการเกบรกษาขอมลสวนบคคล ธนาคารจะตองเกบรกษาขอมลสวนบคคล เทาทจ าเปนตามวตถประสงคในการเกบรวบรวมขอมล

เพอเปนการปฏบตตามหลกการในการคมครองขอมลสวนบคคล Principle 5 : (“Storage Limitation”) และธนาคารจะตองมการระบระยะเวลาในการเกบรกษาตามเกณฑทธนาคารใชในการพจารณาระยะเวลาในการเกบขอมลสวนบคคล เชน ภาระผกพนตามกฎหมายทตองเกบตามระยะเวลาทก าหนด ไวในนโยบายความเปนสวนตวหรอนโยบายคมครองขอมลสวนบคคล และธนาคารจะตองจดใหมระบบการตรวจสอบเพอด าเนนการลบหรอท าลายขอมลสวนบคคลเมอพนก าหนดระยะเวลาการเกบรกษา

ส าหรบการพจารณาเพอก าหนดระยะเวลาในการเกบรกษา ควรพจารณาถงความจ าเปนของระยะเวลาในการเกบรกษาขอมลสวนบคคลเพอวตถประสงคอนชอบดวยกฎหมายในการประมวลผลขอมล เนองจากความจ าเปนในการประมวลผลขอมลสวนบคคลแตละกรณ อาจมขอก าหนดของระยะเวลาการเกบรกษาทแตกตางกน ธนาคารจงตองพจารณาถงความเหมาะสมของระยะเวลาการเกบขอมลเปนรายกรณหรอรายวตถประสงคในการประมวลผลขอมล ซงควรก าหนดไวในนโยบายการเกบรกษา (Retention Policy) หรอแนวปฏบตตาง ๆ อยางชดเจน รวมถงควรระบวธการจดเกบ และวธการท าลายเอกสารตาง ๆ เนองจากการเกบขอมลสวนบคคลเกนความจ าเปนนนจะเปนผลลบตอธนาคารเอง จะเปนการเพมความเสยงในการรวไหลของขอมล อกทงการเกบขอมลจ านวนมากนนจะเปนการเพมคาใชจายในการเกบรกษาขอมล

เมอสนสดความจ าเปนตามวตถประสงคในการเกบรวบรวมขอมลสวนบคคล หรอเจาของขอมลสวนบคคลด าเนนการรองขอใชสทธในการลบขอมลสวนบคคล หรอถอนความยนยอม ธนาคารจะตองด าเนนการลบหรอท าลายขอมลสวนบคคลนน เวนแตเปนไปตามขอยกเวนตามกฎหมาย ทก าหนดใหธนาคารสามารถเกบรกษาไวเพอวตถประสงคดงตอไปนได

• การใชเสรภาพในการแสดงความคดเหน

• การเกบรกษาไวเพอการจดท าเอกสารประวตศาสตรหรอจดหมายเหต หรอเกยวกบการศกษาวจยหรอสถตเพอประโยชนสาธารณะทมมาตรการปกปองทเหมาะสมเพอคมครองสทธและเสรภาพของเจาของขอมลสวนบคคล

• การจ าเปนเพอปฏบตหนาทในการด าเนนภารกจเพอประโยชนสาธารณะ

• การจ าเปนเพอปฏบตตามกฎหมายใหบรรลวตถประสงคเกยวกบเวชศาสตรปองกนหรออาชวเวชศาสตร หรอประโยชนสาธารณะดานสาธารณสข

• ใชเพอการกอตงสทธเรยกรองตามกฎหมาย

• การใชขอมลเพอฟองรองหรอตอสคด

• การปฏบตตามกฎหมายอน



8. การลบหรอท าลายขอมลสวนบคคล (Data Deletion or Data Destruction)

เมอพนก าหนดระยะเวลาในการเกบรกษาขอมลสวนบคคล หรอไมเกยวของเกนความจ าเปนตามวตถประสงคในการเกบรวบรวมขอมลสวนบคคล ธนาคารจะตองท าการลบหรอท าลายขอมลสวนบคคล (“การลบ” หมายถง การท าใหขอมลสวนบคคลนนถกลบออกระบบและไมอาจกคนไดโดยตวเจาของขอมลสวนบคคล ผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคล ทงน ไมวาในเวลาใด ๆ) หรอท าใหขอมลสวนบคคลอยในลกษณะทไมสามารถระบตวบคคลของเจาของขอมลสวนบคคลได ดงนนธนาคารจงตองจดใหมระบบการตรวจสอบขอมลเพอด าเนนการลบหรอท าลายขอมลสวนบคคล เมอสนสดความจ าเปน

ตวอยาง ระยะเวลาการเกบรกษาขอมลสวนบคคลตามวตถประสงคทางกฎหมาย

ตวอยาง 1 ธนาคารจะตองท าการเกบรกษาเอกสาร หลกฐานการประกอบการลงบญช ตามกฎหมายวาดวยการบญช (พ.ร.บ.การบญช พ.ศ. 2543) ไวเปนเวลาไมนอยกวา 5 ป นบแตวนทปดบญช หรอการเกบขอมลเพอการด าเนนคด

ตวอยาง 2 ธนาคารจะตองเกบรกษาเอกสารเกยวกบการแสดงตน และเอกสารเกยวกบการตรวจสอบเพอทราบขอเทจจรงเกยวกบลกคาเปนเวลา 5 ปนบแตวนทมการปดบญชหรอยตความสมพนธกบลกคา ตามกฎหมายวาดวยการปองกนและปราบปรามการฟอกเงน เวนแตจะไดรบแจงเปนหนงสอจากพนกงานเจาหนาทใหปฏบตเปนอยางอน

ตวอยาง 3 ธนาคารจะตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวา 90 วนกไดแตมใหเกนกวา 2 ป หรอตามค าสงของพนกงานเจาหนาท นบแตวนทขอมลนนเขาสระบบคอมพวเตอร ตามขอก าหนดของ พ.ร.บ.ความผดเกยวกบคอมพวเตอร พ.ศ.2550

ตวอยาง 4 ธนาคารตองเกบและรกษารายงานเกยวกบภาษมลคาเพม ใบก ากบภาษ และส าเนาใบก ากบภาษ พรอมทงเอกสารประกอบการรายงานหรอเอกสารอนทอธบดกรมสรรพากรก าหนดไว ณ สถานประกอบการหรอสถานทอนทอธบดกรมสรรพากรก าหนดเปนเวลาไมนอยกวา 5 ปนบแตวนทไดยนแบบแสดงรายการภาษหรอวนท ารายงานแลวแตกรณ แตไมเกน 7 ป ตามประมวลรษฎากร

ตวอยาง 5 ธนาคารสามารถจดเกบขอมลสวนบคคลของลกคาไวตามทพระราชบญญตปองกนและปราบปรามการฟอกเงน ทก าหนดใหจดเกบไวอยางนอย 10 ป หลงจากทลกคายตความสมพนธทางธรกจกบธนาคารไปแลว

ตวอยาง 6 ธนาคารท าการเกบขอมลเกยวกบสนเชอไว 10 ป หลงจากทลกคาช าระหนเสรจสน เนองจากสอดคลองกบอายความ เปนตน



ตามวตถประสงคในการเกบรวบรวมขอมลสวนบคคล หรอเจาของขอมลสวนบคคลด าเนนการรองขอใชสทธในการลบขอมลสวนบคคล หรอถอนความยนยอม เวนแต เปนกรณทไดรบยกเวนตามกฎหมาย โปรดดรายละเอยดเพมเตมในหวขอ “7.1 แนวปฏบตเกยวกบระยะเวลาในการเกบรกษาขอมลสวนบคคล”

ธนาคารจงมความจ าเปนทจะตองมการบรหารจดการขอมลสวนบคคล ซงในการตดสนใจเลอกใชวธการในการประมวลผลขอมลสวนบคคลทเหมาะสมนนจะตองมมาตรการเชงเทคนคหรอมาตรการเชงบรหารจดการ เพอเพมมาตรฐานในการรกษาความปลอดภยของขอมลสวนบคคล เชน ด าเนนการออกแบบระบบใหรองรบการปฏบตงานของธนาคารใหเปนไปไดอยางราบรน ในขณะเดยวกนกตองมการคมครองขอมลอยางเหมาะสมและมประสทธภาพ ระบบสามารถท าการตรวจสอบไดวาขอมลจะตองถกลบและท าลายภายใตเงอนไขใด เชน เมอสนสดระยะเวลาในการเกบ ธนาคารอาจท าขอมลใหอยในรปของขอมลนรนาม (Anonymization) ซงเปนวธการทจะท าใหขอมลไมสามารถระบตวตนไดขณะเดยวกนธนาคารจะตองพจารณาทงตนทนในการตดตงระบบทใชในการประมวลผลใหเพยงพอกบผลกระทบทอาจเกดขนตอเจาของขอมลสวนบคคล (Impact) และโอกาสทอาจเกดขน (Likelihood) จากการถกละเมดขอมลสวนบคคล

อยางไรกดหากธนาคารมการเกบขอมลทอยในรปของเอกสาร Hard file การลบหรอท าลายอาจตองใชเครองท าลายเอกสาร หรอจดจางบรษทท าลายเอกสารเพอท าลาย โดยธนาคารตองมนใจวาบรษททถกจดจางมมาตรการในการรกษาความปลอดภยทกขนตอนกอนถกท าลาย เพอปองกนการเขาถงหรอเปดเผยขอมลสวนบคคลแกผทไมไดรบอนญาต ส าหรบเอกสารในรปแบบ Soft file หรอการจดเกบขอมลในระบบของธนาคาร ในทางปฏบตอาจเปนเรองยากทจะท าการลบหรอท าลายขอมลใหหายไปและไมสามารถกคนไดอก เอกสารฉบบนจงจะเนนถงการท าขอมลสวนบคคลใหเปนขอมลทไมสามารถระบตวตนของเจาของขอมลสวนบคคลได ซงการกระท าดงกลาวเปนวธการทท าใหขอมลสวนบคคลไมใชขอมลสวนบคคลอกตอไป เปนหนงในการบรหารความเสยงของธนาคาร มเทคนคหลากหลายวธ ดงทจะกลาวรายละเอยดในหวขอถดไป

8.1 แนวปฏบตเกยวกบการท าขอมลนรนาม (Data Anonymization)

โดยทวไปแลวการจดท าขอมลนรนาม หมายถง กระบวนการในการท าใหขอมลสวนบคคลไมสามารถระบตวบคคลได ค าศพททใชในแตละแหลงอางองอาจแตกตางกนไป ตวอยางเชน บางใชค าวา การท าขอมลนรนาม (Anonymization) และการขจดตวตน (De-Identification) สลบกน บางกใชค าวา de-identification วาเปนการอธบายกระบวนการในการท าใหขอมลไมสามารถระบตวตนได และใชค าวา anonymization เพอแสดงถงความจ าเพาะของประเภทการ De-Identification ทจะท าใหไมสามารถน ากลบมาระบตวบคคลไดอกครง ไมวาจะเปนขอมลทเปนขอมลเดยวหรอขอมลทตองน าไปรวมกบขอมลอนทมอยอก

ส าหรบวตถประสงคหลกของแนวปฏบตฉบบน ค าวา "Anonymization" หมายถงกระบวนการแปลงขอมลสวนบคคลใหเปนขอมลทไมสามารถใชเพอระบตวตนของบคคลใดบคคลหนงได ทงนขอมลทถกท าการนรนามทางกฎหมายจะไมถอเปนขอมลสวนบคคลอก ในกรณทขอมลจะสามารถยอนกลบมาเพอระบ



ตวตนไดหรอยอนกลบไมได การท าใหขอมลกลบมาระบตวตนของบคคลไดนนเปนสงทองคกรตองพจารณาในการจดการกบความเสยงของขอมลทสามารถกลบมาระบตวตนได

เหตผลในการท าขอมลใหอยในรปของขอมลนรนาม (Anonymized Data) เพอใหขอมลมความเหมาะสมส าหรบการใชงานมากกวาสถานะเดมของขอมลทถกคมครองภายใตกฎหมายคมครองขอมลสวนบคคล ตวอยางเชน ขอมลทไมสามารถระบตวตนได อาจถกใชเพอการท าวจยและการวเคราะหขอมลจ านวนมาก ซงการกระท าดงกลาวไมมความจ าเปนทจะตองใชขอมลเพอการระบตวตน ดงนนชดขอมลของ Anonymized Data ถอเปนมาตรการในการบรหารความเสยง ลดผลกระทบทอาจเกดขนจากการถกละเมดความปลอดภยของขอมล

ตวอยาง มาตรการเชงเทคนคในการรกษาความและปลอดภยของขอมล

i. การแฝงขอมล (Pseudonymisation) คอการแทนทสงทระบตวบคคลของเจาของขอมลสวนบคคล ดวยการอางองอน ๆ ตวอยางเชน การแทนทชอบคคล ดวย รหสหรอหมายเลขอางองทสรางขนแบบสม ซงขอมลทงสองชดจะตองถกลดความสามารถในการเชอมโยงกน ซงเปนหน งในมาตรการในการรกษาความปลอดภยของขอมล เพอลดความเสยงและผลกระทบจากเหตการณถกละเมดขอมล ในความหมายของ GDPR หมายถง กระบวนการประมวลผลขอมลในลกษณะทขอมลไมสามารถระบตวบคคลไดหากปราศจากการใชขอมลเพมเตมประกอบ ทงนขอมลเพมเตมอกชดควรท าการเกบรกษาไวแยกออกจากกน ไมใหเขาถงขอมลไดทงสองชดเพอลดความสามารถในการเชอมโยงขอมลดงกลาวในการกลบไประบตวเจาของขอมลสวนบคคลได

ii. การรวมกลมขอมล (Aggregation) แสดงคาเปนผลรวม ดงนนจงไมมการแสดงคาแตละคาทสามารถระบตวบคคลได ตวอยางเชนก าหนดชดขอมลทมอายแปดคน (เชน 33, 35, 34, 37, 42, 45, 37, 40) แสดงผลรวมของอายแตละบคคลของจ านวนบคคลทงหมดในกลม (เชน 303 ) มากกวาอายของแตละบคคลทเปนตวแทนในชดขอมลน

iii. การแทนท (Replacement) เ ปนการแทนทค าหรอ เซตยอยของคาดวยคาเฉลยทค านวณ ตวอยางเชนแทนทบคคลดวยอาย 15, 18 และ 20 ดวยคาอาย 17 เพอลดความแตกตางของขอมล หากในกรณทอายทแทจรงไมไดเปนวตถประสงคในการใชขอมล

iv. การสกดกนขอมล (Data Suppression) คอลบคาทไมจ าเปนส าหรบวตถประสงคในการใชขอมล ตวอยางเชนการลบฟลด "เชอชาต" ออกจากชดของขอมลสวนบคคล

v. การกลาวอยางกวาง (Data recoding or generalization) คอการจดกลมหมวดหมเปนหมวดหมทกวางขน การกลาวเปนชวงของขอมล ตวอยางเชนการจดกลมของระดบการศกษาทแนนอน (เชน ชนประถมศกษา3 ชนมธยมศกษา2) ออกเปนหมวดหมทกวางขน (เชน ระดบ ประถมศกษา มธยมศกษา ระดบปรญญาตร) หรอซอนคาภายในชวงทก าหนด (เชนแทนทอาย 43 ' ดวยชวง '40 -50 ')



vi. การสบเปลยนขอมล (Data Shuffling) คอการผสมหรอแทนทคากบชนดเดยวกนเพอใหขอมลมลกษณะคลายกน แตไมเกยวของกบรายละเอยดทแทจรง ตวอยางเชน นามสกลในฐานขอมลลกคาสามารถถกท าใหไมสามารถระบตวตนได โดยการแทนทดวยนามสกลทมาจากฐานขอมลอน

vii. การบงขอมล (Masking) คอลบรายละเอยดบางอยางในขณะทร กษารปลกษณของข อมล ตวอยางเชนการแสดงขอมลตวเลขพาสปอรตเปน ‘#####567A’ แทนทจะแสดง ‘S1234567A’ หรอการ บงขอมลหมายเลขโทรศพทเปน ‘081xxxx678 แทนทจะแสดง ‘0812345678’

อยางไรกตาม กฎหมายมไดก าหนดใหใชวธการใดวธการหนงโดยเฉพาะหรอรบรองการใชเทคนคใด ๆ องคกรจงควรประเมนสถานการณและลกษณะการด าเนนธรกจเองและน าเทคนคการรกษาความมนคงและปลอดภยทเหมาะสมทมาใชกบการด าเนนธรกจ

9. แนวปฏบตเกยวกบขอมลทมการเกบอยกอนแลว

ตาม พ.ร.บ.คมครองขอมลสวนบคคล มาตรา 95 ก าหนดให “ขอมลสวนบคคลทผควบคมขอมลสวนบคคลไดเกบรวบรวมไวกอนวนทพระราชบญญตนใชบงคบ ใหผควบคมขอมลสวนบคคลสามารถเกบรวบรวมและใชขอมลสวนบคคลนนตอไปไดตามวตถประสงคเดม ทงน ผควบคมขอมลสวนบคคลตองก าหนดวธการยกเลกความยนยอมและเผยแพรประชาสมพนธใหเจาของขอมลสวนบคคลทไมประสงคใหผควบคมขอมลสวนบคคลเกบรวบรวมและใชขอมลสวนบคคลดงกลาวสามารถแจงยกเลกความยนยอมไดโดยงาย”

ส าหรบแนวปฏบตของขอมลทมอยกอนแลว ใหธนาคารสามารถประมวลผลขอมลสวนบคคลไดตามวตถประสงคเดมทเคยแจงตอลกคาหรอตามความคาดหมายเดมของลกคา ตวอยางเชน เดมธนาคารเคยสงขอมลทางการตลาดใหกบลกคา เมอพระราชบญญตฉบบนมผลบงคบใชอยางสมบรณ ธนาคารยงสามารถสงขอมลทางการตลาดใหกบลกคาไดดงเดม แตจะตองแจงถงวธการยกเลกความยนยอมใหลกคาทราบ เพอใหลกคาสามารถใชสทธในการถอนความยนยอมได และหากลกคาถอนความยนยอมแลวธนาคารจะประมวลผลขอมลสวนบคคลตามวตถประสงคทถกถอนไปแลวมได เวนแตจะเขาขอยกเวนตามกฎหมาย 10. แนวปฏบตเกยวกบการด าเนนการตามสทธของเจาของขอมลสวนบคคล

หากธนาคารไดรบการตดตอจากเจาของขอมลสวนบคคล ในการรองขอใชสทธของเจาของขอมลสวนบคคล ธนาคารอาจจดใหเจาหนาทคมครองขอมลสวนบคคลหรอหนวยงานรบเรองรองเรยน หรอ Contact Center ของธนาคารท าหนาทในการรบเรองรองขอกได

ตาม พ.ร.บ. คมครองขอมลสวนบคคลก าหนดใหสทธของเจาของขอมลสวนบคคล มดงตอไปนซงสอดคลองกบหลกการของ GDPR

• สทธในการถอนความยนยอม (“Right to Withdraw of Consent”)

• สทธในการเขาถงขอมลสวนบคคล (“Right to Access”)



• สทธในการแกไขขอมลสวนบคคลใหถกตอง (“Right to Rectification”)

• สทธในการลบขอมลสวนบคคล (“Right to Erasure” or “Right to be Forgotten”)

• สทธในการหามมใหประมวลผลขอมลสวนบคคล (“Right to Restriction of Processing”)

• สทธในการคดคานการประมวลผลขอมลสวนบคคล (“Right to Object”)

• สทธในการใหโอนยายขอมลสวนบคคล (“Right to Data Portability”)

• สทธในการไมตกอยภายใตการตดสนใจอตโนมตเพยงอยางเดยว (“Right to Restriction of Automated Individual Decision-Making, Including Profiling”) **

** ส าหรบสทธในการไมตกอยภายใตการตดสนใจอตโนมตเพยงอยางเดยวนน ไมไดถกกลาวถงใน พ.ร.บ. คมครองขอมลสวนบคคล ดงนนสทธดงกลาวไมไดอยขอบเขตการบงคบใชของกฎหมายไทย

พ.ร.บ. คมครองขอมลสวนบคคล ก าหนดใหเจาของขอมลสวนบคคลมสทธตามกฎหมายในการรองขอใหผควบคมขอมลสวนบคคลด าเนนการตามทรองขอ ซงในรายละเอยดของการด าเนนการตามสทธทรองขอของเจาของขอมลสวนบคคลจะกลาวถงในรายละเอยดดงตอไปน

10.1 สทธในการถอนความยนยอม (“Right to Withdraw of Consent”)

เจาของขอมลสวนบคคลมสทธทจะขอเพกถอนความยนยอมทจะใหไวกบผควบคมขอมลสวนบคคลในการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลของเจาของขอมลสวนบคคลเมอใดกได และผควบคมขอมลสวนบคคลจะตองด าเนนการหยดการประมวลผลขอมลทเจาของขอมลสวนบคคลเคยไดใหความยนยอมไว หากผควบคมขอมลสวนบคคลไมมฐานโดยชอบดวยกฎหมายอน ทจะท าการเกบรวบรวม ใชหรอเปดเผยตอไป ใหผควบคมขอมลสวนบคคลด าเนนการลบขอมลออก

การใชสทธถอนความยนยอม ผควบคมขอมลสวนบคคลควรด าเนนการโดยไมลาชานบแตทไดทราบถงการใชสทธของเจาของขอมลสวนบคคล โดยระยะเวลาในการปฏตามสทธใหเปนไปตามนโยบายทเหมาะสมของผควบคมขอมลสวนบคคล และผควบคมขอมลสวนบคคลจะตองจดใหมชองทางทเจาของขอมลสวนบคคลสามารถใชสทธกระท าไดงายในระดบเดยวกบการใหความยนยอม

10.2 สทธในการเขาถงขอมลสวนบคคล (“Right to Access”)

เจาของขอมลสวนบคคลมสทธในการเขาถงขอมลสวนบคคลและขอรบส าเนาขอมลสวนบคคลทเกยวกบตนซงอยในความรบผดชอบของผควบคมขอมลสวนบคคล หรอขอใหเปดเผยถงการไดมา ซงขอมลดงกลาวทเจาของขอมลสวนบคคลไมไดใหความยนยอม เพอเปนการยนยนจากผควบคมขอมลสวนบคคลวา ขอมลสวนบคคลทผควบคมขอมลสวนบคคลท าการเกบรวบรวมไวนนก าลงถกประมวลผลหรอไมอยางไร เมอไดรบค ารองขอแลว ผควบคมขอมลสวนบคคลจะตองด าเนนการตามค ารองขอ โดยไมชกชาภายใน 30 วน นบแตวนทไดรบการรองขอ



คณะกรรมการคมครองขอมลสวนบคคล อาจก าหนดหลกเกณฑเกยวกบการเขาถงและการขอรบส าเนาหรอขยายระยะเวลาในการด าเนนการตามค ารองขอตามความเหมาะสมได อยางไรกตาม เพอเปนแนวทางในการปฏบตในการด าเนนการตามค ารองขอใชสทธของเจาของขอมลสวนบคคลน เอกสารฉบบนจงอางองหลกเกณฑตาม GDPR เกยวกบสทธในการเขาถงและการขอรบส าเนาของขอมลสวนบคคลทเกยวกบตน ซงผควบคมขอมลสวนบคคลจะตองจดใหมรายละเอยดดงตอไปน

• วตถประสงคในการประมวลผลขอมลสวนบคคล ซงบคคลมสทธทจะทราบถงฐานทางกฎหมายในการประมวลผลขอมลสวนบคคลของตน

• ประเภทของขอมลสวนบคคล

• ประเภทของบคคลหรอหนวยงานทขอมลสวนบคคลอาจถกท าการเปดเผย โดยเฉพาะผรบขอมลในตางประเทศหรอองคการระหวางประเทศ

• ระยะเวลาทในจดเกบขอมลสวนบคคล หรอ เกณฑในการก าหนดระยะเวลาในการจดเกบขอมล

• การมอยของสทธของเจาของขอมลสวนบคคล อนไดแก สทธในการแกไขขอมลสวนบคคลของตนใหถกตอง สทธในการลบขอมล สทธในการหามมใหประมวลผล สทธในการคดคานการประมวลผลขอมล และสทธในการยนเรองรองเรยนตอหนวยงานก ากบดแล

• แหลงทมาของขอมลสวนบคคลกรณไดรบมาจากแหลงอน

• รายละเอยดทเกยวของกบการตดสนใจอตโนมตและโปรไฟลลง (profiling) รวมถง ตรรกะเหตผลทใช และผลทคาดวาจะเกดขนจากการประมวลผลดวยวธการดงกลาว

ทงนผควบคมขอมลสวนบคคลมสทธทจะปฏเสธค ารองขอจากเจาของขอมลสวนบคคลได ในกรณตอไปน และใหบนทกการปฏเสธค ารองขอพรอมดวยเหตผลตามทระบในหวขอ 11.2.11

1. เปนการปฏเสธตามกฎหมาย หรอ ตามค าสงศาล 2. หากการใชสทธในการเขาถงและการขอรบส าเนาขอมลสวนบคคลนน จะสงผลกระทบ

ทอาจกอใหเกดความเสยหายตอสทธและเสรภาพของบคคลอน หากขอมลทเกบรวบรวมมขอมลสวนบคคลของบคคลทสามรวมเกยวของอยดวย ผควบคมขอมลสวนบคคลสามารถปฏเสธทจะไมเปดเผยขอมลเฉพาะของบคคลทสามได แตไมสามารถปฏเสธการเขาถงขอมลและขอรบส าเนาของเจาของขอมลสวนบคคลได

ในการด าเนนการตามค ารองขอของเจาของขอมลสวนบคคลนน ผควบคมขอมลสวนบคคลไมควรเรยกเกบคาธรรมเนยมใด ๆ ในการใชสทธ เวนแตเจาของขอมลบคคลมการขอรบส าเนาเพมเตม



มากจนเกนความจ าเปน ธนาคารอาจพจารณาเรยกเกบคาธรรมเนยมในการจดการไดตามสมควรแกกรณ

การใชสทธในการเขาถงขอมลสวนบคคลของเจาของขอมลสวนบคคล ธนาคารควรพจารณาใหมชองทางการรองขอใชสทธทสาขาหรออเลกทรอนกสไดตามสมควรแกกรณ และการด าเนนการตามสทธนนควรพจารณาการใหขอมลทางสาขาหรอทางอเลกทรอนกสไดตามสมควรดวยเชนกน เพอใหงายตอการใชสทธของเจาของขอมลสวนบคคล

10.3 สทธในการแกไขขอมลสวนบคคลใหถกตอง (“Right to Rectification”)

เจาของขอมลสวนบคคลมสทธรองขอใหผควบคมขอมลสวนบคคลแกไขขอมลสวนบคคลของตนทใหถกตอง เปนปจจบน สมบรณและไมกอใหเกดความเขาใจผด อนไดแก

i. กรณทขอมลไมสมบรณ คอการทขอมลทผควบคมขอมลสวนบคคลมอยนนถกตองแตไดรบขอมลมาไมครบถวน ไมเพยงพอตอการน าไปประมวลผลตามวตถประสงค

ii. กรณทขอมลไมถกตอง คอการทขอมลไมตรงกบความจรง

ทงสองกรณ ผควบคมขอมลสวนบคคลจะตองด าเนนการแกไขโดยไมชกชา ในระหวางการด าเนนการแกไขนน เจาของขอมลสวนบคคลมสทธทจะขอใหผควบคมขอมลสวนบคคลระงบการประมวลผลชวคราวในระหวางการตรวจสอบความถกตองของขอมล และด าเนนการแกไขขอมลสวนบคคลกอนประมวลผลอกครง อยางไรกตามเพอปองกนผลกระทบจากการประมวลผลขอมลสวนบคคลทไมถกตองผควบคมขอมลสวนบคคลควรระงบการประมวลผลแมวาเจาของขอมลสวนบคคลจะใชสทธขอใหผควบคมขอมลสวนบคคลระงบการประมวลผลขอมลสวนบคคลหรอไมกตาม นอกจากนนผควบคมขอมลสวนบคคลจะตองท าการแจงแกบคคลทสามทขอมลสวนบคคลถกเปดเผย เชน ผประมวลผลขอมลสวนบคคลของธนาคาร ใหทราบถงการแกไขขอมลสวนบคคลใหถกตอง เวนแตผควบคมขอมลสวนบคคลขอมลจะพสจนไดวาเปนไปไมไดหรอเกนความพยายามตามสมควร

ทงน หากผควบคมขอมลสวนบคคลไมด าเนนการตามค ารองขอ ผควบคมขอมลสวนบคคลจะตองบนทกค ารองขอของเจาของขอมลสวนบคคล พรอมดวยเหตผลตามทระบในหวขอ 11.2.11

ในการใชสทธของเจาของขอมลสวนบคคลในแกไขขอมลสวนบคคลใหถกตอง ธนาคารอาจก าหนดหลกเกณฑในการพสจนความถกตองของขอมลสวนบคคล เชน ใหเจาของขอมลสวนบคคลน าหลกฐานทเกยวของมาประกอบการพจารณา อยางไรกตาม แมเจาของขอมลสวนบคคลจะมสทธในการแกไข แตธนาคารยงคงมหนาท ทตองด าเนนการตามหลกการในการประมวลผลขอมลสวนบคคลอยางถกตอง Principle 4 : (“Accuracy”) เพอใหมนใจวาขอมลสวนบคคลควรมความถกตอง สมบรณและเปนปจจบน ไมกอใหเกดความเขาใจผด และขอมลทไมถกตองจะตองถกลบหรอไดรบการแกไข ธนาคาร



ควรตรวจสอบความถกตองของขอมลสวนบคคลในขณะเกบรวบรวมขอมลสวนบคคล เพอลดความเสยงและผลกระทบทอาจท าใหเกดความเสยหายแกเจาของขอมลสวนบคคลและกบธนาคารเอง

10.4 สทธในการลบหรอท าลายขอมลสวนบคคล (“Right to Erasure” or “Right to be

Forgotten”)

เจาของขอมลสวนบคคลมสทธในการขอใหลบหรอท าลายขอมลสวนบคคลของตน ธนาคารจะตองด าเนนการดงกลาว หากมเหตดงตอไปน

• ขอมลสวนบคคลดงกลาวหมดความจ าเปนในการเกบรกษาไวตามวตถประสงคในการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลอกตอไป

• เจาของขอมลสวนบคคล ท าการถอนความยนยอมในการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลและธนาคารไมมอ านาจตามกฎหมายทจะท าการเกบรวบรวม ใช หรอเปดเผยอกตอไป

• เจาของขอมลสวนบคคลคดคานการเกบรวบรวม ใช หรอเปดเผยขอมล ในกรณทเปนขอมลสวนบคคลทธนาคารเกบรวบรวม ไวโดยไดรบยกเวนไมตองขอความยนยอม ภายใตฐานภารกจของรฐ หรอ ฐานประโยชนอนชอบธรรม และธนาคารไมสามารถพสจนไดวามเหตอนชอบดวยกฎหมายทส าคญยงกวา ประโยชน สทธเสรภาพขนพนฐานของเจาของขอมลสวนบคคล หรอเปนไปเพอการกอตงสทธเรยกรองตามกฎหมาย การปฏบตตามหรอการใชสทธเรยกรองตามกฎหมาย หรอการยกขนตอสสทธเรยกรองตามกฎหมาย

• เจาของขอมลสวนบคคลคดคานการเกบรวบรวม ใช หรอเปดเผยขอมล เพอวตถประสงคเกยวกบการตลาดแบบตรง

• เปนการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลอนมชอบดวยกฎหมาย

หากเกดเหตขางตน ธนาคารจะตองท าการลบหรอท าลายหรอท าใหขอมลไมสามารถระบตวบคคลไดอกโดยไมลาชา หากธนาคารไดท าใหขอมลสวนบคคลเปนขอมลทเปดเผยแกสาธารณะ และธนาคารไดรบค ารองขอใชสทธดงกลาว ธนาคารจะตองรบผดชอบด าเนนการทงในทางเทคโนโลยและคาใชจายเพอใหเปนไปตามค ารองขอ โดยจะตองท าการแจงใหผควบคมขอมลสวนบคคลอน ๆ ทราบถงการใชสทธในการลบของเจาของขอมลสวนบคคล เพอด าเนนการลบหรอท าลายหรอท าใหขอมลไมสามารถระบตวบคคลได

อยางไรกตามธนาคารสามารถปฏเสธค ารองขอการใชสทธในการลบหรอท าลายได หากพสจนไดวาการประมวลผลขอมลนนมความจ าเปนในเรองดงตอไปน



• ธนาคารพสจนไดวา การเกบรวบรวม ใชหรอเปดเผยขอมลนนไดแสดงใหเหนถงเหตอนชอบดวยกฎหมายทส าคญยงกวา ประโยชน สทธ เสรภาพขนพนฐานของเจาของขอมลสวนบคคล

• เพอใชในการกอตงสทธเรยกรองตามกฎหมาย การปฏบตตามหรอการใชสทธเรยกรองตามกฎหมาย หรอการยกขนตอสสทธเรยกรองตามกฎหมาย

• เพอวตถประสงคในการใชเสรภาพในการแสดงความคดเหน

• เพอใหบรรลวตถประสงคทเกยวกบการจดท าเอกสารประวตศาสตรหรอจดหมายเหตเพอประโยชนสาธารณะ หรอทเกยวกบการศกษาวจยหรอสถตซงไดจดใหมมาตรการปกปองทเหมาะสมเพอคมครองสทธและเสรภาพของเจาของขอมลสวนบคคล

• เปนการจ าเปนเพอการปฏบตหนาทในการด าเนนภารกจเพอประโยชนสาธารณะ หรอปฏบตหนาทในการใชอ านาจรฐทไดมอบใหแกธนาคาร

• เปนการจ าเปนเพอบรรลวตถประสงคเกยวกบเวชศาสตรปองกนหรออาชวเวชศาสตร หรอประโยชนดานสาธารณสข

10.5 สทธในการขอใหระงบการใชขอมลสวนบคคล (“Right to Restriction of Processing”)

เจาของขอมลสวนบคคล มสทธในการขอใหระงบการใชขอมลสวนบคคลของตน เมอเขาเงอนไขดงตอไปน

• เมอธนาคารอยในระหวางการตรวจสอบขอมล ตามค ารองขอใชสทธในการแกไขขอมลสวนบคคลใหถกตอง

• เมอเปนขอมลทตองท าการลบหรอท าลาย เนองจากการประมวลผลขอมลสวนบคคลอนมชอบดวยกฎหมาย แตเจาของขอมลสวนบคคลใชสทธในการขอใหระงบการใชแทนการลบหรอท าลายขอมลสวนบคคลของตน

• เมอขอมลสวนบคคลไมจ าเปนในการเกบรกษาไว ตามวตถประสงคในการเกบรวบรวมขอมลอกตอไป แตเจาของขอมลมความจ าเปนทตองขอใหการเกบรกษาไว เพอใชในการกอตงสทธเรยกรองตามกฎหมาย การปฏบตตามหรอการใชสทธเรยกรองตามกฎหมาย หรอการยกขนตอสสทธเรยกรองตามกฎหมาย

• เมอธนาคารอยในระหวางการพสจนขออางทวาการเกบรวบรวม ใช หรอเปดเผยขอมลนนมเหตอนชอบดวยกฎหมายทส าคญยงกวาประโยชน สทธ เสรภาพขนพนฐานของเจาของขอมลสวนบคคล

• ธนาคารอยในระหวางการตรวจสอบเพอด าเนนการปฏเสธการคดคานการประมวลผลของเจาของขอมลสวนบคคล ในกรณทธนาคารเกบรวบรวม ใช หรอเปดเผยขอมลสวน



บคคลเพอวตถประสงคเกยวกบการศกษาวจยทางวทยาศาสตร ประวตศาสตร หรอสถต วาเปนไปขอยกเวนทธนาคารสามารถประมวลผลไดเนองจากเปนการจ าเปนเพอการด าเนนภารกจเพอประโยชนสาธารณะของธนาคาร

หากธนาคารปฏเสธไมด าเนนการตามค ารองขอใชสทธในการขอใหระงบการใชขอมลสวนบคคลเจาของขอมลสวนบคคลมสทธรองเรยนตอคณะกรรมการผเชยวชาญเพอสงใหผควบคมขอมลสวนบคคลด าเนนการตามสทธได

ธนาคารควรจดใหมมาตรการทเหมาะสม ในการระงบการประมวลผลขอมลในระบบของธนาคาร เชน การระงบการใหผใชขอมลเขาถงขอมลชวคราว หรอการแยกสวนขอมลทถกระงบออกจากขอมลอนชวคราว เพอใหแนใจวาขอมลสวนบคคลนนถกด าเนนการตามค ารองขอ

10.6 สทธในการคดคานการประมวลผลขอมลสวนบคคล (“Right to Object”)

เจาของขอมลสวนบคคลมสทธในการคดคานการประมวลผลขอมลของตนเม อใดกได เมอเขาเงอนไขดงตอไปน

1. เมอเปนกรณทขอมลสวนบคคลทธนาคารท าการเกบรวบรวมไดรบยกเวนไมตองขอความยนยอม เฉพาะในกรณดงน I. เพอการปฏบตหนาทในการด าเนนภารกจเพอประโยชนสาธารณะ หรอปฏบตหนาทใน

การใชอ านาจรฐทไดมอบใหแกธนาคาร II. เปนการจ าเปนเพอประโยชนโดยชอบดวยกฎหมายของธนาคารหรอของบคคลอน

สามารถปฏเสธค ารองขอไดหาก ธนาคารสามารถพสจนไดวาการประมวลผลขอมลนนแสดงใหเหนถงเหตอนชอบดวยกฎหมายทส าคญยงกวาผลประโยชน สทธ เสรภาพขนพนฐานของเจาของขอมลสวนบคคล หรอการประมวลขอมลสวนบคคลนนท าเพอกอตงสทธเรยกรองตามกฎหมาย การปฏบตตามหรอการใชสทธเรยกรองตามกฎหมาย หรอการยกขนตอสสทธเรยกรองตามกฎหมาย

2. เปนกรณท ธนาคารท าการประมวลผลขอมลสวนบคคล เพอวตถประสงคทเกยวของกบการตลาดแบบตรง (Direct marketing) ในกรณนธนาคารจะไมสามารถปฏเสธค ารองขอในการคดคานการประมวลผลขอมลสวนบคคลได

3. กรณทเปนการประมวลผลขอมลสวนบคคลเพอวตถประสงคเกยวกบการศกษาวจยทางวทยาศาสตร ประวตศาสตร หรอสถต สามารถปฏเสธค ารองขอไดหาก เปนการจ าเปนเพอการด าเนนภารกจเพอประโยชน สาธารณะของธนาคาร



หากธนาคารอางเหตแหงการปฏเสธการคดคานการประมวลผลดงทกลาวมา ธนาคารจะตองบนทกค ารองขอของเจาของขอมลสวนบคคล พรอมดวยเหตผลตามทระบในหวขอ 11.2.11

ในกรณทเจาของขอมลสวนบคคล ใชสทธคดคานการประมวลผลขอมลสวนบคคล และธนาคารสามารถอางเหตแหงการปฏเสธ ธนาคารจะไมสามารถเกบรวบรวม ใชหรอเปดเผยขอมลสวนบคคลตอไปได และธนาคารจะตองด าเนนการตามค ารองขอ ซงจะตองปฏบตโดยแยกสวนออกจากขอมลอนอยางชดเจนในทนทเมอเจาของขอมลสวนบคคลไดแจงการคดคานใหทราบ

10.7 สทธในการขอรบหรอโอนยายขอมลสวนบคคล (“Right to Data Portability”)

ลกคามสทธขอรบขอมลทเกยวกบลกคาจากธนาคาร ในกรณทธนาคารไดท าใหขอมลนนอยในรปแบบทสามารถอาน หรอ ใชงานโดยทวไปไดดวยเครองมอ หรอ อปกรณทท างานไดโดยอตโนมตและสามารถใชหรอเปดเผยไดดวยวธการอตโนมต รวมทง

10.7.1 มสทธขอใหธนาคารสงหรอโอนขอมลในรปแบบดงกลาวไปยงผควบคมขอมลสวนบคคลอน เมอสามารถท าไดดวยวธการอตโนมต สามารถปฏเสธค ารองขอไดหาก การประมวลผลขอมลสวนบคคลนนเปนการปฏบตหนาทเพอประโยชนสาธารณะหรอเปนการปฏบตหนาทตามกฎหมาย หรอการใชสทธนนเปนการละเมดสทธเสรภาพของบคคลอน และธนาคารจะตองบนทกค ารองขอของเจาของขอมลสวนบคคล พรอมดวยเหตผลตามทระบในหวขอ 11.2.11

10.7.2 ขอรบขอมลทธนาคารสงหรอโอนขอมลในรปแบบดงกลาวไปยงผควบคมขอมลสวนบคคลอนโดยตรง เวนแตสภาพทางเทคนคไมสามารถท าได

ดงนน เพอประโยชนของทงเจาของขอมลสวนบคคลและประโยชนแกธนาคารเอง ธนาคารจงควรมนโยบายและกระบวนการจดการทชดเจนในกรณทเจาของขอมลสวนบคคลมาขอใชสทธของเจาของขอมลสวนบคคล ยกตวอยางเชน ธนาคารอาจมอบหมายงานหรอจดตงหนวยงานภายใน ในการดแล รบเรองรองขอดงกลาว แตงตงเจาหนาทคมครองขอมลสวนบคคล (Data Protection Officer : DPO) เปนผรบผดชอบและพจารณาการใชสทธวาสามารถด าเนนการใหไดหรอไม และจดใหมชองทางทเหมาะสมในการยนค ารองขอใชสทธของเจาของขอมลสวนบคคล



11. แนวปฏบตเกยวกบหนาทและความรบผดชอบของผควบคมขอมลสวนบคคลและผประมวลผล

ข อ ม ล ส ว น บ ค ค ล (Guideline on Data Controller and Data Processor Roles and Responsibilities)

11.1 การระบสถานะในการคมครองขอมลสวนบคคลของธนาคาร

ธนาคารอาจท าหนาทเปนทงผควบคมขอมลสวนบคคล (Data Controller) และผประมวลผลขอมลสวนบคคล (Data Processor) ซงขนอยกบแตละกรณ อยางไรกตามธนาคารจะตองสามารถระบสถานะใหไดวา ส าหรบชดขอมลใดธนาคารเปนผควบคมขอมลสวนบคคลหรอเปนผประมวลผลขอมลสวนบคคล โดยสามารถพจารณาจากการทธนาคารเปนผทก าหนดวตถประสงคและสามารถตดสนใจในเรองของการประมวลผลขอมลสวนบคคลไดเองหรอไม หรอธนาคารท าหนาทเปนผประมวลผลขอมลสวนบคคลตามทไดรบมอบหมายจากผควบคมขอมลสวนบคคลอน เนองจากการระบสถานะเปนสงส าคญพนฐานในการก าหนดหนาทตอไป โดยธนาคารสามารถพจารณาไดตามรายละเอยดใน Checklist ดานลางดงตอไปน



รายการตรวจสอบวาธนาคารเปนผควบคมขอมลสวนบคคลหรอไม (Data Controller Checklist)

❒ ธนาคารเปนผตดสนใจในเรองของการเกบรวบรวมหรอประมวลผลขอมลสวนบคคลได

❒ ธนาคารสามารถก าหนดวตถประสงคหรอผลลพธจากการประมวลผลขอมลสวนบคคลทควรจะเปนได

❒ ธนาคารเปนผตดสนใจไดวาควรเกบรวบรวมขอมลสวนบคคลใดบาง

❒ ธนาคารเปนผตดสนใจไดวาจะเกบรวบรวมขอมลสวนบคคลของใครบาง

❒ ธนาคารเปนผทไดรบประโยชนเชงเศรษฐกจหรอประโยชนอนจากการประมวลผลขอมล

❒ ธนาคารกระท าการประมวลผลขอมลภายใตขอตกลงหรอสญญาทไดท าไวกบเจาของขอมลสวนบคคล

❒ ธนาคารท าการเกบรวบรวมขอมลสวนบคคลของพนกงานธนาคาร

❒ ธนาคารเปนผพจารณาเกยวกบผลกระทบทอาจเกดขนตอเจาของขอมลสวนบคคลจากการประมวลผลขอมลสวนบคคลของธนาคาร

❒ ธนาคารใชดลยพนจอยางมออาชพในการประมวลผลขอมลสวนบคคล

❒ ธนาคารเปนผทมความสมพนธเชงธรกจโดยตรงกบเจาของขอมลสวนบคคล

❒ ธนาคารมอสระในการตดสนใจเกยวกบวธการประมวลผลขอมลสวนบคคล

❒ ธนาคารท าการแตงตงผประมวลผลขอมลเพอท าการประมวลผลขอมลสวนบคคลในนามของธนาคาร



รายการตรวจสอบวาธนาคารเปนผประมวลผลขอมลสวนบคคลหรอไม (Data Processor Checklist)

11.2 หนาทของผควบคมขอมลสวนบคคล (Data Controller Roles and Responsibilities) 11.2.1 เมอธนาคารเปนผควบคมขอมลสวนบคคล ธนาคารจะท าการประมวลผลขอมลสวน

บคคลไดตามวตถประสงคอนชอบดวยกฎหมาย นอกจากนนธนาคาร จะตองจดใหมมาตรการรกษาความปลอดภยทเหมาะสม ทงมาตรการเชงเทคนค (Technical Measure) และมาตรการเชงบรหารจดการ (Organizational Measure) เพอปองกนการสญหาย เขาถง ใช หรอเปลยนแปลงแกไขหรอเปดเผยขอมลโดยมชอบ และจะตองมการทบทวนมาตรการในการรกษาความปลอดภยของขอมลเมอมความจ าเปนหรอเมอเทคโนโลยเปลยนแปลงไปเพอใหมประสทธภาพในการรกษาความมนคงและปลอดภยอยางเหมาะสมอยเสมอ

❒ ธนาคารเปนผประมวลผลขอมลสวนบคคลตามค าแนะน าเกยวกบการประมวลผลจากบคคลอนหรอไม

❒ ธนาคารไดรบขอมลสวนบคคลจากบคคลทสามหรอโดยผทก าหนดวาธนาคารจะเกบรวบรวมขอมลใดบาง

❒ ธนาคารไมไดเปนผตดสนใจไดวาควรเกบรวบรวมขอมลสวนบคคลใดบาง

❒ ธนาคารไมไดเปนผตดสนใจไดวาจะเกบรวบรวมขอมลสวนบคคลของใครบาง

❒ ธนาคารไมไดเปนผทก าหนดฐานทางกฎหมายในการประมวลผลขอมลสวนบคคล

❒ ธนาคารไมไดเปนผก าหนดวตถประสงคในการประมวลผลขอมลสวนบคคล

❒ ธนาคารไมไดเปนผตดสนใจวาขอมลสวนบคคลจะถกเปดเผยใหแกใคร

❒ ธนาคารไมไดเปนผก าหนดระยะเวลาในการเกบรกษาขอมลสวนบคคล

❒ ธนาคารอาจท าการตดสนใจในเรองของการประมวลผลขอมลอยางไรแตเปนการท าภายใตขอตกลงในสญญาทไดท ากบผอน

❒ ธนาคารไมมหนาทท าการประเมนผลกระทบจากการประมวลผลขอมลสวนบคคลทอาจเกดขนแกเจาของขอมลสวนบคคล



11.2.2 ในกรณทธนาคารตองใหขอมลสวนบคคลแกบคคลหรอนตบคคลอน ธนาคารจะตองด าเนนการปองกน ไมใหผนนน าขอมลสวนบคคลไปใชหรอเปดเผยโดยมชอบ

11.2.3 ธนาคารจะตองจดใหมระบบในการตรวจสอบเพอด าเนนการลบหรอท าลายขอมลสวนบคคล หรอท าใหขอมลไมสามารถระบตวบคคลได เมอพนก าหนดระยะเวลาในการเกบรกษาหรอทไมเกยวของเกนความจ าเปนตามวตถประสงคในการเกบรวบรวมขอมลสวนบคคลนน หรอตามทเจาของขอมลสวนบคคลรองขอ หรอทเจาของขอมลสวนบคคลไดถอนความยนยอม เวนแตจะท าการเกบรกษาไวภายใตขอยกเวนตามกฎหมาย

11.2.4 หากเกดเหตการณละเมดขน ธนาคารจะตองแจงแกส านกงานคมครองขอมลสวนบคคล โดยไมชกชาภายใน 72 ชวโมง นบจากทไดรบทราบเหต เวนแตการละเมดนนไมมความเสยงทจะมผลกระทบตอสทธและเสรภาพของบคคล หากเหตการณละเมดนนมความเสยงสงทจะมผลกระทบตอสทธเสรภาพของเจาของขอมลสวนบคคล ใหธนาคารรบแจงเหตละเมดนนแกเจาของขอมลสวนบคคลทราบดวย รวมถงแนวทางในการเยยวยาโดยเรวทสด

11.2.5 ธนาคารตองท าการแตงตงเจาหนาทคมครองขอมลสวนบคคล (Data Protection Officer : DPO) หากมการประมวลผลขอมลสวนบคคล มความจ าเปนทตองตรวจสอบขอมลสวนบคคลหรอระบบอยางสม าเสมอ โดยเหตทมขอมลสวนบคคลเปนจ านวนมากตามทคณะกรรมการก าหนด หรอกจกรรมหลกของธนาคารเปนการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลทเปนขอมลออนไหว นอกจากนนธนาคารจะตองใหขอมลการตดตอ DPO ไวใน Privacy Notice/ Privacy Policy ของธนาคารดวย เพอใหเจาของขอมลสวนบคคลสามารถตดตอ DPO ได หากมความประสงคจะใชสทธของเจาของขอมลสวนบคคล

ตวอยาง ขอมลการตดตอเจาหนาทคมครองขอมลสวนบคคล ในสวนของ Privacy Notice/ Privacy Policy “หากมขอสงสยเกยวกบขอมลสวนบคคลหรอมความประสงคทจะใชสทธของเจาของขอมลสวนบคคล ทานสามารถตดตอเจาหนาทคมครองขอมลสวนบคคลของเราไดตามรายละเอยดการตดตอดานลางน เจาหนาทคมครองขอมลสวนบคคล (Data Protection Officer: DPO) : นาย ข. อเมล: [email protected] โทร: 1234”




ธนาคารสามารถดรายละเอยดเกยวกบเจาหนาทค มครองขอมลสวนบคคลไดในหวขอ “12. เจาหนาทคมครองขอมลสวนบคคล (Data Protection Officer : DPO)”

11.2.6 ธนาคารจะตองท าการประเมนผลกระทบดานการคมครองขอมลสวนบคคล (Data Protection Impact Assessment : DPIA) ในกรณทการประมวลผลขอมลมความเสยงทจะเกดผลกระทบตอสทธและเสรภาพของเจาของขอมลสวนบคคล ธนาคารจะตองมการจดท า DPIA สามารถดรายละเอยดเกยวกบการประเมนผลกระทบดานการคมครองขอมลสวนบคคลไดในหวขอ “13. แนวปฏบตเกยวกบการจดท าการประเมนผลกระทบดานการคมครองขอมลสวนบคคล (Data Protection Impact Assessment: DPIA)”

11.2.7 ธนาคารมหนาทในการด าเนนการใหเปนไปตามสทธของเจาของขอมลสวนบคคล หากเจาของขอมลสวนบคคลมการรองขอใชสทธ ในการรบเรองรองขอจากเจาของขอมลสวนบคคล ธนาคารอาจก าหนดใหมผทรบผดชอบในเรองดงกลาวอยางชดเจน เชน เจาหนาทคมครองขอมลสวนบคคล หนวยงานรบเรองรองเรยน หนวยงานลกคาสมพนธ เปนตน เพอจดใหมการด าเนนการตามค ารองขอของเจาของขอมลสวนบคคลโดยไมชกชา หากธนาคารปฏเสธค ารองขอตามเหตแหงการปฏเสธการใชสทธของเจาของขอมลสวนบคคลนน ธนาคารจะตองบนทกค ารองขอของเจาของขอมลสวนบคคล พรอมดวยเหตผลตามทระบในหวขอ 11.2.11

11.2.8 ธนาคารจะตองท าการเลอกผประมวลผลขอมลสวนบคคลทมมาตรการเชงเทคนคและเชงบรหารจดการทเหมาะสมในการประมวลผลและการรกษาความมนคงปลอดภยของขอมล

11.2.9 ธนาคารจะตองจดใหมการท าขอตกลงกนระหวางธนาคาร (ผควบคมขอมลสวนบคคล) และผประมวลผลขอมลสวนบคคล หรอท เรยกวา Data Processing Agreement เพอใหผประมวลผลขอมลด าเนนการใหเปนไปตามกฎหมาย

11.2.10 หากธนาคารมการโอนขอมลไปยงตางประเทศหรอธนาคารระหวางประเทศจะตองท าโดยชอบดวยกฎหมาย นนคอจะตองมนใจวาประเทศปลายทางทรบขอมลสวนบคคลจะตองมมาตรการในการคมครองขอมลสวนบคคลทเพยงพอ สามารถดรายละเอยดเพมเตมไดในหวขอ “6.2 การโอนขอมลสวนบคคลไปยงตางประเทศหรอองคการระหวางประเทศ (Cross-Border Data Transfer)”

11.2.11 ธนาคารจะตองท าการจดใหมการเกบบนทกขอมลเกยวกบการประมวลผลขอมลสวนบคคล ตาม พ.ร.บ.คมครองขอมลสวนบคคล ก าหนดใหผควบคมขอมลสวนบคคลตองท าการบนทกขอมลทเกยวกบการประมวลผลขอมลสวนบคคล เพอใหเจาของขอมลสวนบคคลและส านกงานคมครองขอมลสวนบคคลสามารถตรวจสอบไดตามหลกการ



หนาทของผควบคมขอมลสวนบคคล โดยจะบนทก เ ปนหน งสอหรอระบบอเลกทรอนกสกได ธนาคารจะตองท าการบนทกรายการอยางนอยดงตอไปน 1. ขอมลสวนบคคลทท าการเกบรวบรวม 2. วตถประสงคของการเกบรวบรวมขอมลสวนบคคลแตละประเภท 3. ขอมลเกยวกบผควบคมขอมลสวนบคคล 4. ระยะเวลาการเกบรกษาขอมลสวนบคคล 5. สทธและวธการเขาถงขอมลสวนบคคล รวมทงเงอนไขเกยวกบบคคลทมสทธ

เขาถงขอมลสวนบคคลและเงอนไขในการเขาถงขอมลสวนบคคล 6. การใชหรอเปดเผย 7. การปฏเสธค าขอหรอการคดคานตามขอก าหนดของกฎหมาย 8. ค าอธบายเกยวกบมาตรการรกษาความมนคงปลอดภย

ส าหรบหนาทในการเกบบนทกไดรบยกเวนใหกบกจการขนาดเลก โดยอางองจาก GDPR ทวาหากธนาคารมจ านวนลกจางนอยกวา 250 คน ใหถอเปนกจการขนาดเลก อยางไรกตามหากการประมวลผลขอมลนนอาจกอใหเกดความเสยงสงตอสทธเสรและเสรภาพของเจาของขอมลสวนบคคลหรอมการประมวลผลขอมลสวนบคคลทเปนขอมลออนไหว หรอเปนการประมวลผลขอมลอาชญากรรม ใหธนาคารท าการเกบบนทกการประมวลผลขอมลสวนบคคล

11.2.12 หากธนาคารอยนอกราชอาณาจกร แตอยภายใตบงคบของ พ .ร.บ.คมครองขอมลสวนบคคล จะตองแตงตงตวแทนของธนาคารตางประเทศ (ตวแทนของผควบคมขอมลสวนบคคล) เปนหนงสอซงตวแทนจะตองอยในราชอาณาจกรและจะตองไดรบมอบอ านาจใหกระท าการแทนธนาคารทอยนอกราชอาณาจกรโดยไมมขอจ ากดความรบผดชอบใด ๆ ทเกยวกบการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลตามวตถประสงคของธนาคารทอยนอกราชอาณาจกร จะไดรบยกเวนไมตองแตงตงตวแทนในราชอาณาจกรในกรณทธนาคารทอยนอกราชอาณาจกรไมไดมการประมวลผลขอมลทเกยวของกบขอมลออนไหว และไมไดประมวลผลขอมลสวนบคคลเปนจ านวนมากตามทคณะกรรมการประกาศก าหนด

11.2.13 ธนาคารมหนาทในการใหความรวมมอกบองคกรก ากบดแล หรอท าหนาทตามกฎหมาย ตามค าสงของหนวยงานรฐหรออ านาจโดยชอบในการเขาถงขอมล

11.2.14 กรณธนาคารไดมการเปดเผยขอมลสวนบคคลใหแกบคคลภายนอกอนใด แตละฝายจะมหนาทและความรบผดชอบในฐานะผควบคมขอมลสวนบคคลแยกตางหากจากกนตามกฎหมายคมครองขอมลสวนบคคล



11.3 หนาทของผประมวลผลขอมลสวนบคคล (Data Processor Roles and Responsibilities) ในกรณทธนาคารท าหนาทในการประมวลผลขอมลสวนบคคล ในนามของผควบคมขอมลสวนบคคลอน ซงธนาคารจะตองท าการประมวลผลขอมลตามทไดตกลงกบผควบคมขอมลสวนบคคลเทานน ซงผควบคมขอมลสวนบคคลจะตองจดใหมขอตกลงหรอสญญาในการประมวลผลขอมลสวนบคคล (Data Processing Agreement) หากธนาคารท าการประมวลผลนอกเหนอหรอขดตอค าสงของผควบคมขอมล การกระท าดงกลาวใหถอวาธนาคารท าหนาทเปนผควบคมขอมลสวนบคคลส าหรบการประมวลผลขอมลนน ซงธนาคารกจะตองปฏบตตามหนาทและความรบผดชอบของผควบคมขอมลสวนบคคลตาม พ.ร.บ. คมครองขอมลสวนบคคลส าหรบกรณดงกลาวดวย

ในกรณทธนาคารมสถานะเปนผประมวลผลขอมลสวนบคคล ธนาคารจะตองปฏบตตามหนาทของผประมวลผลขอมลสวนบคคลตามแนวปฏบตดงตอไปน

11.3.1 ธนาคารจะตองด าเนนการเกบรวบรวม ใชหรอเปดเผยขอมลสวนบคคลตามค าสงทไดรบจากผควบคมขอมลสวนบคคลเทานน ไมท าการประมวลผลขอมลสวนบคคลนอกเหนอจากทตกลงกบผควบคมขอมลสวนบคคลหากไมไดรบอนญาตเปนลายลกษณอกษร เวนแตค าสงดงกลาวนนขดตอกฎหมาย

11.3.2 ธนาคารจะตองจดใหมมาตรการในการรกษาความมนคงและปลอดภยทเหมาะสม มมาตรการเชงเทคนคและเชงบรหารจดการเพอรกษาความมนคงปลอดภยในการประมวลผลทเหมาะสมกบความเสยง เพอปองกนการสญหาย การใช เปลยนแปลง แกไข หรอการเปดเผยขอมลโดยมชอบ

11.3.3 ธนาคารจะตองจดท าและเกบรกษาบนทกรายการของกจกรรมการประมวลผลขอมลสวนบคคลไวตามหลกเกณฑและวธการทคณะกรรมการประกาศก าหนด เวนแตธนาคารเปนกจการขนาดเลก โดยอางองจาก GDPR ทวาหากกจการมจ านวนลกจางนอยกวา 250 คน ใหถอเปนกจการขนาดเลก อยางไรกตามหากการประมวลผลขอมลนนอาจกอใหเกดความเสยงสงตอสทธเสรและเสรภาพของเจาของขอมลสวนบคคลหรอมการประมวลผลขอมลสวนบคคลทเปนขอมลออนไหวหรอเปนการประมวลผลขอมลอาชญากรรม ใหธนาคารท าการเกบบนทกการประมวลผลขอมลสวนบคคล ธนาคารจะตองจดใหมรายละเอยดการเกบบนทกรายการประมวลผลขอมลสวนบคคลจะตองมดงตอไปน โดยจะบนทกเปนหนงสอหรอระบบอเลกทรอนกสกได 1. ชอและขอมลการตดตอธนาคารและผควบคมขอมลสวนบคคล ตวแทนหรอ

เจาหนาทคมครองขอมลสวนบคคล



2. ประเภทการประมวลผลซงท าแทนผควบคมขอมลสวนบคคล

3. การสงขอมลไปยงตางประเทศ (หากม)

4. ค าอธบายเกยวกบมาตรการเชงเทคนคและเชงบรหารจดการเกยวกบการรกษาความมนคงและปลอดภยของขอมลสวนบคคล

11.3.4 ธนาคารตองท าการแตงตงเจาหนาทคมครองขอมลสวนบคคล (Data Protection Officer : DPO) หากมการประมวลผลขอมลสวนบคคล มความจ าเปนทตองตรวจสอบขอมลสวนบคคลหรอระบบอยางสม าเสมอ โดยเหตทมขอมลสวนบคคลเปนจ านวนมากตามทคณะกรรมการก าหนด หรอกจกรรมหลกของธนาคารเปนการเกบรวบรวม ใช หรอเปดเผยขอมลสวนบคคลทเปนขอมลออนไหว

11.3.5 ธนาคารจะตองท าการแจงเหตแกผควบคมขอมลกรณขอมลสวนบคคลเกดการรวไหล (Data Breach) ธนาคารจะตองท าการแจงโดยไมชกชาหลงจากทราบเหต และธนาคารไมมหนาทตองแจงแกส านกงานคมครองขอมลสวนบคคลหรอเจาของขอมลสวนบคคล

12. เจาหนาทคมครองขอมลสวนบคคล (Data Protection Officer : DPO)

ธนาคารจะตองมบคลากรทท าหนาทเกยวกบการคมครองขอมลสวนบคคล (Data Protection Officer : DPO) เพอการคมครองสทธประโยชนของธนาคารและเพอคมครองสทธประโยชนของเจาของขอมลสวนบคคล นอกจากนนการแตงตงเจาหนาทคมครองขอมลสวนบคคลจะชวยใหองคกรสามารถบรหารความเสยงและจดการขอมลสวนบคคลไดอยางมประสทธภาพและประสทธผล

12.1 การแตงตงและคณสมบตของเจาหนาทคมครองขอมลสวนบคคล

ธนาคารสามารถทจะจดแตงตงบคคลหรอคณะท างานจากบคลากรของธนาคารเอง หรอจดจางบคคลภายนอกกได ซงบคคล/คณะท างานดงกลาวจะตองมความรความเขาใจในดานกฎหมายการคมครองขอมลสวนบคคล มความเขาใจกจกรรมการประมวลผลขอมลสวนบคคลของธนาคาร การรกษาความปลอดภยของขอมลสวนบคคล งานดานเทคโนโลยสารสนเทศ อกทงเขาใจถงภาพรวมธรกจของธนาคารและมความสามารถในการสรางวฒนธรรมขององคกรในการคมครองขอมลสวนบคคลอยางเหมาะสม

หากธนาคารมความประสงคทจะแตงตงเจาหนาทคมครองขอมลสวนบคคลรวมกนกบกลมเครอกจการ นนสามารถท าได โดยธนาคารหรอกลมเครอกจการจะตองสามารถตดตอเจาหนาทคมครองขอมลสวนบคคลไดโดยงาย



12.2 หนาทของเจาหนาทคมครองขอมลสวนบคคล (Responsibility of DPO)

ตาม พ.ร.บ. คมครองขอมลสวนบคคล ก าหนดใหเจาหนาทคมครองขอมลสวนบคคลนนมหนาทดงตอไปน

1) ใหค าแนะน าแกผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคล รวมทงลกจางหรอผรบจางของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคล (ซงหมายถงเจาหนาทคมครองขอมลสวนบคคล ควรใหค าแนะน าแกพนกงานทกคนของธนาคาร รวมถงผรบจางใหท าการประมวลผลขอมลสวนบคคลของธนาคาร) เกยวกบการปฏบตตาม พ.ร.บ. คมครองขอมลสวนบคคล

2) ท าการตรวจสอบการด าเนนงานของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคล รวมทงลกจางหรอผรบจางของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลเกยวกบการประมวลผลขอมลสวนบคคลเพอใหเปนไปตาม พ.ร.บ. คมครองขอมลสวนบคคล

3) ประสานงานและใหความรวมมอกบส านกงานคมครองขอมลสวนบคคล ในกรณทมปญหาเกยวกบการประมวลผลขอมลสวนบคคล ของผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลในการปฏบตตาม พ.ร.บ. คมครองขอมลสวนบคคล

4) รกษาความลบของขอมลสวนบคคลทตนลวงรหรอไดมาเนองจากการปฏบตหนาทตาม พ .ร.บ. คมครองขอมลสวนบคคล

นอกจากนนเพอใหการปฏบตหนาทของเจาหนาทคมครองขอมลสวนบคคล เปนไปไดอยางมประสทธภาพเจาหนาทคมครองขอมลสวนบคคลควรไดรบการสนบสนนการปฏบตงานจากธนาคาร โดยการใหอ านาจหนาท และมความเปนอสระในการท างาน มสายการรายงานทตรงไปยงผบรหารสงสดของธนาคารได อกทง เจาหนาทคมครองขอมลสวนบคคลอาจมความจ าเปนทจะตองไดรบสทธในเขาถงขอมลสวนบคคลทจ าเปนเพอการปฏบตหนาท ธนาคารจงควรแสดงใหเหนถงความส าคญของหนาทดงกลาว เพอใหพนกงานทกคนตระหนกถงความส าคญของการคมครองขอมลสวนบคคล และใหความรวมมอในการปฏบตหนาทกบเจาหนาทคมครองขอมลสวนบคคล โดยการใหขอมลหรอแจงเหตความเปนไปไดทจะเกดการละเมดของขอมลสวนบคคล หรอปญหาตาง ๆ ทเกยวของกบการประมวลผลขอมล ใหเจาหนาทคมครองขอมลสวนบคคลทราบและเพอหาแนวทางการแกไขตอไป



13. แนวปฏบตเกยวกบการจดท าการประเมนผลกระทบดานการคมครองขอมลสวนบคคล (Data Protection Impact Assessment: DPIA) การประมวลผลขอมลสวนบคคลผควบคมขอมลสวนบคคลจะตองค านงถงความเสยงทจะม

ผลกระทบตอสทธและเสรภาพของบคคล และจะตองจดใหมมาตรการในการรกษาความมนคงและปลอดภยทเหมาะสมกบความเสยง ดงนนการจดท าการประเมนผลกระทบดานการคมครองขอมลสวนบคคลหรอ Data Protection Impact Assessment (DPIA) นนเปนหนงในกระบวนการทธนาคารตองจดใหมส าหรบการประมวลผลทมความเสยงสง เพอเปนการปฏบตตาม พ .ร.บ. คมครองขอมลสวนบคคล ซงสอดคลองกบ GDPR

การจดท า DPIA ทมประสทธภาพนนจะชวยใหธนาคารสามารถก ากบการปฏบตตามกฎเกณฑในเรองของการคมครองขอมลสวนบคคลไดดยงขน อกทงยงเปนการสรางความเชอมนและความไววางใจใหกบเจาของขอมลสวนบคคลและสวนรวมมากขน ชวยลดความเสยงในการประมวลผลขอมลสวนบคคลทไ มเหมาะสม ลดความเสยงทจะเกดผลกระทบตอชอเสยงของธนาคาร ซงจะเปนผลดแกธนาคารเอง

13.1 ความแตกตางระหวาง Data Protection Impact Assessment (DPIA) กบ Privacy Impact Assessment (PIA)

• Data Protection Impact Assessment (DPIA) เปนกระบวนการประเมนผลกระทบดาน

การคมครองขอมลสวนบคคล ส าหรบกจกรรมประมวลผลขอมลสวนบคคลตาง ๆ ซงตามกฎหมายก าหนดใหท าเฉพาะกบความเสยงสง นนกคอมผลกระทบตอสทธและเสรภาพของบคคล ซงธนาคารสามารถขอค าปรกษาจาก DPO ในขนตอนการออกแบบและการจดท า DPIA กระบวนการในจดท า DPIA ไดแก การระบความเสยงและผลกระทบทอาจเกดขน (ส าหรบการระบความเสยงและประเมนผลกระทบทอาจเกดขน โปรดดรายละเอยดในหวขอ 3.2 แนวปฏบตเกยวกบการจ าแนกขอมล) รวมถงแนวทางการลดความเสยงทอาจเกดขนจากกจกรรมการประมวลผลนน การท า DPIA ไมใชกระบวนการทท าเพยงครงเดยวแตจะตองมการทบทวนความเหมาะสมอยเสมอ เนองจากความเสยงอาจเปลยนแปลงไดจากปจจยหลายอยาง เชน การเปลยนแปลงของเทคโนโลยอยางรวดเรวอาจท าใหความเสยงทจะเกดผลกระทบตอเจาของขอมลสวนบคคลสงขน เปนตน

• Privacy Impact Assessment (PIA) เปนกระบวนการทเกยวของกบการวเคราะห การเกบรวบรวม ใชหรอเปดเผยขอมลสวนบคคลวาจะท าอยางไร โดยท PIA เปนกระบวนการทใชในการปองกนในเรองของการจดท า Privacy by Design นนกคอ การทธนาคารจะตองค านงถงสทธความเปนสวนตวของเจาของขอมลสวนบคคลตงแตขนตอนการออกแบบ ซงมกท าเมอมการเรมหรอเขาควบรวมกจการอน มการใชกระบวนการใหม หรอออกผลตภณฑใหม



ธนาคารอาจท า DPIA เพยงอยางเดยวกไดหรออาจจดท า PIA เขากบ DPIA กไดเนองจากแนวทางในการจดท านนมความคลายคลงกน อยางไรกตาม ธนาคารอาจพจารณาการท า PIA เพมเตมเมอเหนวามความจ าเปน

13.2 แนวปฏบตเกยวกบการจดท า DPIA แนวปฏบตฉบบน ได อางองหลกการจาก GDPR ในการจดท า DPIA ซงก าหนดให

กระบวนการจดท าจะตองปฏบตตาม 4 ขนตอนตอไปนเปนอยางนอย 1. ธนาคารจะตองท าการระบรายละเอยดของกจกรรมการประมวลผลอยางเปนระบบ อน

ไดแก กระบวนการหรอวธการประมวลผลขอมล วตถประสงคในการประมวลผลขอมลและประโยชนอนชอบดวยกฎหมายของธนาคาร

2. การประเมนความจ าเปนและสดสวนในการใชขอมลอยางเหมาะสม ทเกยวของกบการประมวลผลตามวตถประสงค

3. การประเมนความเสยงทอาจเกดผลกระทบกบความเปนสวนตว สทธและเสรภาพของเจาของขอมลสวนบคคล

4. แนวทางในการจดการกบความเสยงทอาจเกดขน รวมถงมาตรการในการรกษาความปลอดภยของขอมลทเหมาะสมเพอใหแนใจวาธนาคารมการคมครองสทธเสรภาพและประโยชนอนของธรรมของเจาของขอมลสวนบคคลหรอบคคลอนทมความเสยงทจะไดรบผลกระทบ หากธนาคารพจารณาแลววาระดบของความเสยงนนสงเกนกวาทธนาคารสามารถจดใหมมาตรการในการลดความเสยงนนได ธนาคารควรพจารณาไมกระท าการประมวลผลขอมลสวนบคคลหรอปรกษาคณะกรรมคมครองขอมลสวนบคคลกอน

การจดท า DPIA เปนกระบวนการทธนาคารควรเรมจดท ากอนการท าการประมวลผลขอมลและด าเนนการควบคไปกบกระบวนการวางแผนและพฒนา และท าอยางตอเนอง หากขนตอนในการจดท า DPIA มความละเอยดและชดเจน กจะเปนการเพมประสทธภาพและประสทธผลในการประมวลผลขอมลอยางเหมาะสม ธนาคารอาจพจารณาขนตอนในการจดท า DPIA เพมเตมตามดงภาพดานลาง เพอใชในการจดท า DPIA ไดอยางครอบคลมยงขน



ขนตอนในการจดท า DPIA (Steps carry out a DPIA)

ในการพจารณาการจดท า DPIA น นไดก าหนดใหจ าเปนตองท า เมอมกจกรรมการประมวลผลขอมลสวนบคคลทมความเสยงสงตอสทธและเสรภาพของเจาของขอมลสวนบคคล ซงธนาคารสามารถพจารณากจกรรมการประมวลผลทเขาขายเปนกจกรรมทมความเสยงสงได ตามหลกการของ GDPR ดงตอไปน

• Systematic and Extensive Profiling with Significant Effects การประมวลผลขอมลดวยระบบอตโนมต หรอ การท า Profiling ทอาจมผลกระทบอยางมนยส าคญ

• Process Special Category or Criminal Offence Data on a Large Scale การประมวลผลขอมลทมความออนไหว เชน ขอมลประวตอาชญากรรม ขอมลพฤตกรรมทางเพศ เปนจ านวนมาก

• Systematically Monitor Publicly Accessible Places on a Large Scale ระบบการตรวจตราทใชเฝาดพนทสาธารณะเปนจ านวนมาก เชน ศนยการคา หองสมด

กรอบในการพจารณาทจะชวยในการตดสนใจของธนาคารวาในกรณใดธนาคารมความจ าเปนทตองท า DPIA สามารถท าตามมาตรฐานสากลของ GDPR ก าหนดใหหากกจกรรมการประมวลผลขอมลสวนบคคลเขาขายตามเกณฑทระบตงแต 2 ขอขนไป

1.Identify need for a DPIA

2. Describe the processing

3. Consider consultation

4. Assess necessity

5. Identify and assess risks

6. Identify measures to mitigate risk

7. Sign-off and record outcomes

8. Integrate outcomes into plan

9. Keep under review



1. (Evaluation or Scoring) เปนกระบวนการท าโปรไฟลงหรอการประเมนผลหรอใหคะแนนโดยระบบอตโนมต และการใชขอมลสวนบคคลเพอการคาดการณ (prediction) โดยเฉพาะเมอการประมวลผลนนมความเกยวของกบขอมลสวนบคคลเชงลก เชน พฤตกรรม , ความชอบ, สขภาพ, หรอ ต าแหนงทต ง เปนตน

2. (Automated-Decision Making with Legal or Similar Significant Effect) หากกจกรรมการประมวลผลขอมลสวนบคคลมการใชเทคโนโลยเพอท าการตดสนใจอตโนมต ในเรองทสงผลกระทบกบกฎหมายหรอในเรองทสงผลกระทบกบบคคลอยางมนยส าคญ เชน อาจท าใหถกเลอกปฏบต

3. (Systematic Monitoring) ระบบการประมวลผลขอมลสวนบคคลทเกยวของกบ การตดตาม การสงเกต สอดสอง หรอควบคมบคคล โดยเฉพาะในพนททบคคลสาธารณะสามารถเขาถงได (Public Accessible Area) เชน ระบบเฝาระวงหรอตรวจตราในพนทสาธารณะ โดยทบคคลไมอาจทราบถงหรอไมรลวงหนาวามกจกรรมการประมวลผลน หรอไมทราบวามผควบคมขอมลสวนบคคลเปนใครและก าลงท าอะไรอย สงผลใหเปนการยากทเจาของขอมลสวนบคคลจะสามารถหลกเลยง หรอ ปฏเสธการมสวนรวมได

4. (Sensitive Data) เมอกจกรรมการประมวลผลขอมลสวนบคคลนนเกยวของกบขอมลออนไหว เชน เชอชาต, เผาพนธ, ประวตอาชญากรรม, ความเหนทางการเมอง เปนตน (โปรดดรายละเอยดเพมเตมในหวขอ 5.4 ขอมลออนไหว) เนองจากการประมวลผลขอมลดงกลาว

5. (Data Processed on a Large Scale) หากการประมวลผลขอมลสวนบคคลนนเปนการประมวลผลขอมลสวนบคคลจ านวนมาก โดยพจารณาจากจ านวนเจาของขอมลสวนบคคลทเกยวของ , ปรมาณขอมลหรอเนอหาของขอมลสวนบคคล , ระยะเวลาของกจกรรมประมวลผล, และ ขอบเขตทางภมศาสตรของกจกรรมการประมวลผล

6. (Datasets That Have Been Matched or Combined) ชดขอมลทเกดจากการรวบรวมหรอเปรยบเทยบขอมลสวนบคคลทมาจากแหลงขอมลหลายแหลง ทมวตถประสงค ในการประมวลผลขอมลตางกน ขอมลทถกน ามารวมหรอเปรยบเทยบไมจ ากดวาเปนขอมลทถกประมวลผลแลว และไมจ ากดวาแหลงขอมลมาจากธนาคารเองแตอาจมาจากผควบคมขอมลอนกได ซงการท าเชนนอาจท าใหการประมวลผลขอมลสวนบคคลนนผดจากวตถประสงคทไดมการแจงเจาของขอมลสวนบคคลไวในตอนแรก อกทงอาจไมเปนไปตามความคาดหมายอยางสมเหตสมผลของเจาของขอมลสวนบคคลได

7. (Data Concerning Vulnerable Data Subjects) หากองคกรมการประมวลผลขอมลสวนบคคลทเกยวกบผเปราะบาง (Vulnerable Person) เชน ผเยาว ผอพยพ ผปวยทางจต หรอผสงวย GDPR ใหจดวากจกรรมการประมวลผลนนมความเสยงทจะท าใหเกดผลกระทบตอ



เจาของขอมลสวนบคคล เนองจากผเปราะบางอาจไมอยในสภาพทสามารถใหความยนยอมหรอปฏเสธการประมวลผลขอมลสวนบคคลได รวมถงการท าโปรไฟลงขอมลของผเยาวหรอการใหบรการออนไลนแกผเยาวโดยเฉพาะเพอวตถประสงคการท าการตลาดแบบตรง

8. (Innovative Use or Applying Technological or Organizational Solutions) เ ม อ มก า รประมวลผลขอมลสวนบคคลซงเกดจากเทคโนโลยใหมทมการใชอยางกวางขวางในชวตประจ าวนของเจาของขอมลสวนบคคล เชน การ สแกนลายนวมอ และใบหนา ซงอาจจะน าไปสความเสยงทนอกเหนอความคาดหมายได เนองดวยเทคโนโลยดงกลาวยงไมเคยปรากฏหรอใชมากอน ธนาคารจงอาจไมมขอมลเกยวกบผลกระทบทอาจเกดขนไดตอเจาของขอมลสวนบคคล

9. (Data Transfer Across Borders) หากมการโอนขอมลไปยงตางประเทศ สามารถดรายละเอยดเพมเตมไดทหวขอ “6.2 การโอนขอมลสวนบคคลไปยงตางประเทศหรอองคการระหวางประเทศ” นอกจากธนาคารจะตองพจารณากฎหมายและมาตรฐานการคมครองขอมลสวนบคคลของประเทศปลายทางแลว ยงตองพจารณาถงความเปนไปไดทขอมลนนอาจถกสงตอดวย

10. (Prevents Data Subjects from Exercising a Right or Using a Service or a Contract) หากกจกรรมการประมวลผลนนอาจสงผลใหเกดการเปลยนแปลงหรออาจถกปฏเสธสทธของเจาของขอมล หรออาจถกปฏเสธการไดรบบรการหรอการเขาท าสญญาของเจาของขอมล เชน ธนาคารมกระบวนการคดกรองลกคา จากการประมวลผลขอมลของลกคากบฐานขอมลของธนาคาร เพอตรวจสอบขอมลเครดตและตดสนใจวาจะใหลกคาเขาท าสญญาเงนกกบธนาคารหรอไม

อยางไรกตามในกรณทกจกรรมประมวลผลขอมลนนเขาขายตามเกณฑทไดระบไวมากกวาสองขอ ธนาคารสามารถเลอกทจะไมท า DPIA ได หากพจารณาแลววาการประมวลผลขอมลสวนบคคลนนจะไมสงผลกระทบทท าใหเกดความเสยงสงตอเจาของขอมลสวนบคคล โดยธนาคารควรทจะท าการปรกษากบเจาหนาทคมครองขอมลสวนบคคลกอนเพอพจารณาถงความเหมาะสม รวมถงท าการจดบนทกถงเหตผลทธนาคารใชในการตดสนใจไมท า DPIA หรอกรณทแมเขาขายเพยงหนงขอแตอาจสงผลกระทบทท าใหเกดความเสยงสงกบเจาของขอมลสวนบคคล ธนาคารกจ าเปนจะตองจดท า DPIA



ตวอยาง แบบฟอรมการท า DPIA

1. จดประสงคในการจดท า DPIA

อธบายอยางละเอยดถงกจกรรมการประมวลผลขอมลสวนบคคลทเกยวของ วตถประสงค และประเภทของการประมวลผลขอมล และระบเหตผลทในการจดท า DPIA ส าหรบกจกรรมการประมวลผลนน และหากมเอกสารทเกยวของโปรดแนบมาพรอมแบบฟอรมน :

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

2. รายละเอยดของกจกรรมการประมวลผล

(Nature of data processing) ระบรปแบบของกจกรรมการประมวลผลทเกยวของ โดยอธบายถงรายละเอยดหากคณจะมการเกบรวบรวม ใช เปดเผย หรอ ท าลายขอมลสวนบคคล และโปรดระบหากมการสงตอขอมลสวนบคคลไปยงองคกรอน และสวนไหนของกจกรรมการประมวลผลขอมล นนพจารณาแลววามความเสยงสง

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

(Scope) ขอบเขตของกจกรรมการประมวลผลขอมล อธบายถงรปแบบในการประมวลผลขอมลสวนบคคลทมความเกยวของ โดยระบหากขอมลสวนบคคลนนนบวาเปนขอมลออนไหว เชน ประวตอาชญากรรมหรอ ขอมลทางดานสขภาพ และโปรดระบถงรายละเอยดการเกบรวบรวมหรอใชของขอมลทเกยวของในแงของปรมาณ ความถในการเกบรวบรวม ระยะเวลาในการจดเกบ และมเจาของขอมลสวนบคคลกคนทอาจจะไดรบผลกระทบ

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

(Context) ระบถงบรบทของกจกรรมการประมวลผล โดยอธบายถงความสมพนธระหวางองคกรและเจาของขอมลสวนบคคล ขอบเขตของการควบคมทเจาของขอมลสวนบคคลมความคาดหมายของเจาของขอมลสวนบคคลตอกจกรรมการประมวลผลน เจาของขอมลสวนบคคลนนมกลมของเยาวชนหรอบคคลออนไหวหรอไม และโปรดระบหากมเคยมการแจงองคกรถงความเสยงตอกจกรรมการประมวลผลน

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



(Purpose) อธบายถงจดประสงคของกจกรรมการประมวลผลขอมลน จดมงหมายของคณคออะไร, ผลกระทบทนาจะเกดตอเจาของขอมลสวนบคคล, และ ผลประโยชนทองคกรจะไดรบจากกจกรรมการประมวลผลน

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

3. การพจารณาความจ าเปนและสดสวนของกจกรรมการประมวลผลทเหมาะสม

(Nature) ระบถงมาตรการ และ ฐานกฎหมายทใชในกจกรรมการประมวลผล โดยอธบายถงความเกยวของระหวางกจกรรมการประมวลผลและเปาหมายของกจกรรมการประมวลนน และโปรดระบหากมวธการอนทจะชวยใหองคกรบรรลจดมงหมายดงกลาวไดนอกเหนอจากกจกรรมการประมวลผลนน คณมมาตรการอยางไรในการแจงและการสนบสนนการใชสทธของเจาของขอมลสวนบคคล

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

4. การพจารณาและประเมนความเสยง

อธบายถงทมาของความเสยงและผลกระทบทนาจะเกดขนตอเจาของขอมลสวนบคคล

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

ความนาจะเปนทผลกระทบจะเกดขน (Likelihood)

❒ โอกาสต า ❒ โอกาสปานกลาง ❒ โอกาสสง

ความรายแรงของผลกระทบ (Severity)

❒ ไมรายแรง ❒ รายแรงปานกลาง ❒ รายแรงมาก

ความเสยงโดยรวม (Overall Risk)

ความเสยงต า ความเสยงสง ความเสยงสง

ความเสยงต า ความเสยงปานกลาง ความเสยงสง

ความเสยงต า ความเสยงต า ความเสยงต า



14. แนวปฏบตเกยวกบ Three Lines of Defense ส าหรบการบรหารจดการขอมลและการบรหารความเสยงทเกยวของกบขอมลสวนบคคล เพอใหการบรหารจดการขอมลและการบรหารความเสยงทเกยวของกบขอมลสวนบคคลเปน

ผลส าเรจ ธนาคารจะตองจดใหมการแบงหนาทในเรองของการปองกนและการรกษาความปลอดภยของขอมลสวนบคคลอยางชดเจน เพอใหแนใจวาพนกงานทกคนทราบและตระหนกถงหนาทและความรบผดชอบของตนทเกยวของกบขอมลสวนบคคลไดอยางเหมาะสม

แนวปฏบตฉบบน ไดน าหลกการจาก Federation of European Risk Management Associations (FERMA) มาใชเปนแนวทางในการก าหนดแนวปฏบตเกยวกบเจาหนาทคมครองขอมลสวนบคคล (DPO) ซงก าหนดให DPO จะตองปฏบตหนาทอยางเปนกลาง มความเปนอสระจากการประมวลผลขอมลสวนบคคล ไมท าหนาทในการก าหนดวตถประสงครวมทงวธในการประมวลผลขอมล

Three Lines of Defense Model

คณะกรรมการตรวจสอบ (Audit Committee)

2nd Line of Defense 3rd Line of Defense 1st Line of Defense

Management Control

Internal Control Measure

Financial Controller

Security

Risk Management

Quality

Inspection

Compliance

DPO

Internal Audit

Senior Management

External Audit

Regulator



จากรปแบบการแบงแนวปองกน Three Lines of Defense Model ก าหนดให

• หนวยงานปฏบตงาน (Operational Function) ท าหนาทในการก าหนดวตถประสงคและวธการในการด าเนนการในการประมวลผลขอมลสวนบคคล ท าหนาทเปนแนวปองกนแรก (First Line of Defense)

• หนวยงานบรหารความเสยงความเสยง (Risk Management Function) ท าหนาทเปนแนวปองกนทสอง (Second Line of Defense)

• หนวยงานตรวจสอบภายใน (Internal Audit Function) ท าหนาทเปนแนวปองกนทสาม (Third Line of Defense)

• ก าหนดให DPO Function ท าหนาทเปนแนวปองกนทสอง

First Line of Defense: ส าหรบ First Line of Defense เปนหนาทของสายงานธรกจ เชนหนวยงานปฏบตงาน เพอท าหนาทในการเกบรวบรวมขอมลจากเจาของขอมลสวนบคคล และท าหนาทในการบนทกขอมลลงในระบบฐานขอมลของธนาคาร และเปนผก าหนดวตถประสงคและวธการในการด าเนนการเกยวกบการประมวลผลขอมลสวนบคคล อกทงรบผดชอบในการตรวจสอบคณภาพของขอมลทเกบรวบรวม เพอใหมนใจวาขอมลมความถกตองครบถวน ตามขอก าหนดของกฎหมาย และเปนไปตามขอก าหนดของหนวยงานก ากบดแลขอมลของธนาคาร

Second Line of Defense: ส าหรบ Second Line of Defense ท าหนาทในการควบคมก ากบ

ดแลธนาคารในภาพรวม เชน ท าหนาทก ากบดแลการปฏบตงาน วางแนวทาง กรอบแนวคด เงอนไขและขนตอนปฏบตงานใหกบ First Line of Defense คอยสอดสอง ตรวจตราหาชองวางในการปฏบตงาน ทสวนทไมชดเจน (Gray Areas) ของธนาคารเพอหาทางปองกนและแกไข รวมทงเพอก าหนดแนวทางในการจดการกบความเสยงทอาจเกดขน หนวยงานทท าหนาทเปน Second Line of Defense ไดแก หนวยงานก ากบ หนวยงานบญชและการเงน หนวยงานดาน IT หนวยงานบรหารบคคล หนวยงานวางแผนงบประมาณ หนวยงานงานบรหารอาคารสถานท หนวยงานบรหารความเสยง รวมถงเจาหนาทคมครองขอมลสวนบคคล (Data Protection Officer)

ก าหนดใหหนาทของเจาหนาทคมครองขอมลสวนบคคล เปนหนาททอยใน Second Line of Defense ซงธนาคารอาจแตงตงเปนบคคลหรอหนวยงานกได เชน ส านกงานขอมลสวนกลาง (Central Data Office) หนวยงานก ากบดแลขอมล (Data Governance Function) ส านกงานจดการขอมล (Data Management Office) หรอ ผดแลขอมลระดบสง (Chief Data Officer) เปนตน ซงหนาทของบคคลหรอหนวยงานคมครองขอมลสวนบคคล จะท าหนาทในการควบคม ก ากบ การประมวลผลขอมล เชน ก าหนดนโยบายทเกยวของกบการบรหารจดการขอมล บรหารความเสยงทเกยวของกบขอมลสวนบคคล และก าหนดตวชวดคณภาพของขอมล รวมทงท าการตดตามผล เพอเปนการสรางกลไกในการยกระดบ



มาตรฐานในการเกบรวบรวม ใช เปดเผยขอมลสวนบคคล และเพอใหเปนไปตามขอก าหนดของกฎหมายและเปนไปตามนโยบายของธนาคารเอง นอกจากน ยงท าหนาทเปนผทใหค าปรกษาในเรองทเกยวของกบขอมลสวนบคคลเมอมความจ าเปน เชน เมอจะมการออกแบบวธการประมวลขอมลแบบใหม เมอตองมการประเมนผลกระทบทอาจเกดขนตอเรองทเกยวของกบขอมลสวนบคคลจากการเปลยนแปลงของเทคโนโลยและรปแบบการด าเนนธรกจ เปนตน รวมถงหนาทในการตดตอประสานงานกบเจาหนาทคมครองขอมลสวนบคคล สามารถดรายละเอยดเพมเตมเกยวกบหนาทของเจาหนาทคมครองขอมลสวนบคคลไดในหวขอ “12.2 หนาทของเจาหนาทคมครองขอมลสวนบคคล (Responsibility of DPO)”

Third Line of Defense: ส าหรบ Third Line of Defense ธนาคารสามารถจดใหเปนบคคลหรอ

หนวยงาน เพอท าหนาทในการตรวจสอบภายใน เพอใหมนใจวาธนาคารมการปฏบตงานทเกยวของกบการบรหารจดการขอมลและการบรหารความเสยง เปนไปตามขอก าหนดของกฎหมายและนโยบายทเกยวของกบการบรหารจดการขอมลของธนาคาร และเพอใหมนใจวาธนาคารมนโยบายทเพยงพอและเหมาะสม ส าหรบโครงสรางของสายการรายงานส าหรบหนวยงานทท าหนาทในการตรวจสอบ ธนาคารควรก าหนดใหหนวยงานดงกลาวสามารถรายงานตรงตอคณะกรรมการตรวจสอบได ในกรณทเกดเหตการณทอาจกระทบตอสทธเสรภาพของเจาของขอมลสวนบคคล ธนาคารอาจก าหนดใหเปนหนาทของเจาหนาทคมครองขอมลสวนบคคลหรอหนวยงานอนใด ในการรายงานตอส านกงานคมครองขอมลสวนบคคลตามแตธนาคารจะเหนสมควร

15. เหตการณการรวไหลของขอมลสวนบคคล (Personal Data Breach) การรวไหลของขอมลสวนบคคล หมายถง การทขอมลสวนบคคลถกท าลาย การสญหาย การแกไข

เปลยนแปลง การเปดเผย หรอการเขาถง สงตอ เกบ รกษาหรอถกประมวลผลอยางอนไมวาจะเกดจากการกระท าอนมชอบดวยกฎหมายหรอโดยอบตเหต

ในกรณทมการรวไหลของขอมลสวนบคคลเกดขนภายในธนาคาร ผททราบเหตจะตองมการแจงไปยงเจาหนาทคมครองขอมลสวนบคคลโดยเรวทสด เพอทเจาหนาทคมครองขอมลสวนบคคลจะท าการตรวจสอบถงสาเหตทมาและระบจดตนเหตของการรวไหล รวมทงออกมาตรการเยยวยาเหตการณรวไหลของขอมล พรอมทงแจงแกเจาของขอมลสวนบคคลและ /หรอส านกงานคมครองขอมลสวนบคคลตามทกฎหมายก าหนดโดยไมชกชา

เจาหนาทคมครองขอมลสวนบคคลมหนาทจดบนทกการรวไหลของขอมลสวนบคคล และประเมนความเสยงเมอเกดการรวไหลของขอมลสวนบคคลขน ในการประเมนความเสยงจากการรวไหลของขอมลนน อาจพจารณาถงผลกระทบตอสทธและเสรภาพขนพนฐาน ผลกระทบตอชวตและทรพยสนของเจาของขอมลสวนบคคล เนองจากหากพจารณาแลววา ไมมผลกระทบตอสทธและเสรภาพของเจาของขอมลสวนบคคล เจาหนาทคมครองขอมลสวนบคคลสามารถท าการจดบนทกไวและอาจไมจ าเปนตองมการแจงแกเจาของขอมลสวนบคคลหรอแจงตอส านกงานคมครองขอมลสวนบคคลถงเหตการณการรวไหลทเกดขน แตหากผล



ของการประเมนแสดงใหเหนวาการรวไหลของขอมลอาจจะท าใหเกดความเสยงสง ซงมผลกระทบตอสทธและเสรภาพของเจาของขอมลสวนบคคล เจาหนาทคมครองขอมลสวนบคคลตองมการด าเนนการแจงแกเจาของขอมลสวนบคคลรวมทงแนวทางในการเยยวยาอกทงแจงเหตละเมดของขอมลสวนบคคลแกส านกงานคมครองขอมลสวนบคคลโดยไมชกชาภายในระยะเวลา 72 ชวโมง นบจากทราบเหตการณการรวไหลของขอมลสวนบคคล

ธนาคารควรมการจดท าแบบฟอรมบนทกการรวไหลของขอมลสวนบคคล ขนเพอเปนแนวทางในการจดบนทกอยางถกตองและครบถวน ส าหรบหนาทในการจดบนทกควรก าหนดใหเปนหนาทของเจาหนาทคมครองขอมลสวนบคคล หรอในกรณทพนกงานผพบเหตการณรวไหลของขอมลอาจใหพนกงานผพบเหตการณเปนผท าการบนทกแทนเจาหนาทคมครองขอมลสวนบคคลกไดแลวแตกรณ และแจงแกเจาหนาทคมครองขอมลสวนบคคลทราบถงเหตการณการรวไหลของขอมลทเกดขนดวย เพอใหเจาหนาทคมครองขอมลสวนบคคลด าเนนการหาสาเหตและมาตรการเยยวยา รวมถงตดตามผลการด าเนนงานการแกไขปญหาการรวไหลของขอมล



ตวอยาง แบบฟอรมการบนทกการรวไหลของขอมลสวนบคคล

โปรดระบรายละเอยดเหตการณการรวไหลของขอมลสวนบคคล

วนและเวลาทคณพบการรวไหล : ………………………………………………………………………….

โปรดอธบายอยางละเอยดถงเหตการณทเกดขน : ……………………………………………………………………………………………………………………………………………………………………………………………………………………………………

คณพบการรวไหลไดอยางไร : …………………………………………………………………………………………………………………

วนและเวลาทการรวไหลเกดขน : …………………………………………………………………………...

ประเภทของเจาของขอมลสวนบคคล (เลอกทกขอทมความเกยวของ)

❒ ลกคา ❒ พนกงาน

❒ ผเยาว ❒ ไมทราบแนชด

❒ อน ๆ (โปรดระบ) ……………………………….

ประเภทของขอมลทเกดการรวไหล (เลอกทกขอทมความเกยวของ)

❒ ขอมลทวไป เชน ชอ ขอมลตดตอ ❒ เอกสารทางการ เชน บตรประชาชน

❒ Usernames, Passwords ❒ ขอมลดานการเงน เชน เลขบตรเครดต

❒ ขอมล GPS locations ❒ ขอมลเกยวกบเชอชาต หรอ สญชาต

❒ ขอมลดานความคดเหนทางการเมอง ❒ ขอมลเกยวกบศาสนา

❒ ขอมลเกยวกบเพศ ❒ ขอมลเรองสขภาพ

❒ ขอมลทางชวภาพ ❒ ประวตอาชญากรรม

❒ ยงไมทราบ ❒ อน ๆ (โปรดระบ) …………………………..

ปรมาณโดยสงเขปของขอมลทร วไหล : ……………………………………………………………………….

ปรมาณโดยสงเขปของเจาของขอมลสวนบคคลทไดรบผลกระทบ : ………………………………………………………………………............................................................

โปรดอธบายอยางละเอยดถงผลกระทบทนาจะเกดจากการรวไหล : ………………………………………………………………………...………..............................................



ความนาจะเปนทการรวไหลของขอมลสวนบคคลจะสงผลกระทบทเปนการคกคามตอเจาของขอมลสวนบคคล :

❒ เปนไปไดสง

❒ เปนไปได

❒ เปนกลาง

❒ เปนไปไดต า

❒ เปนไปไมได

❒ ไมทราบแนชด

โปรดอธบายอยางละเอยดถงผลกระทบทอาจจะเกด หรอ เกดไปแลวตอเจาของขอมลสวนบคคล ……………………………………………………………………………………………………………………………………………………………………………………………………………………………………..หากมการลาชาในการแจงเหตการณการรวไหลเกดขนโปรดชแจงเหตผล

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………..

จงอธบายมาตรการทไดบงคบใชในการควบคมการรวไหลทเกดขน

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………..

ไดมการแจงเจาของขอมลสวนบคคลถงเหตการณการรวไหลหรอไม

❒ มการแจงเจาของขอมลสวนบคคลเรยบรอยแลว

❒ อยในระหวางการด าเนนการแจงเจาของขอมลสวนบคคล

❒ มการตดสนใจทจะไมแจงเจาของขอมลสวนบคคล

❒ อยในระหวางการตดสนใจขององคกร

❒ อน ๆ (โปรดระบ) …………………………..



ไดมการแจงคณะกรรมการหรอองคกรทเกยวของถงเหตการณการรวไหลหรอไม

❒ มการแจง

❒ ไมมการแจง

❒ ยงไมทราบแนชด

หากตอบวามการแจง โปรดชแจงรายละเอยด

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………..…………………………………………………………………………………………………………………..



16. ค าถามทพบบอย

ค าถาม ค าตอบ

16.1 กรณทธนาคารใหบรการลกคานตบคคล เชน ปลอยก หรอท า Syndicate Loan ธนาคารมความจ าเปนตองเกบรวบรวม ใชหรอเปดเผยขอมลของบคลากร (เชน กรรมการ ตวแทน พนกงานทมสวนเกยวของกบธรกรรม ฯลฯ) ของลกคานตบคคลเพอใหธรกรรมของนตบคคลเสรจสมบรณและธนาคารไมไดเกบรวบรวม ใชหรอเปดเผยขอมลเพอวตถประสงคอน ธนาคารสามารถเกบรวบรวม ใชหรอเปดเผยขอมลของบคลากรของลกคานตบคคลดงกลาวภายใตฐาน Contractual Basis และไมตองปฏบตมาตรา 25 รวมทงไมตองขอความยนยอมในการเปดเผยขอมลเพอท าใหธรกรรมเสรจสมบรณ

ประเดนดงกลาวขางตนสามารถน าหลกการประโยชนโดยชอบธรรม Legitimate Interest มาปรบใชได โดยธนาคารตองมการพจารณา 3 Part Test กอนทจะน าหลกการประโยชนโดยชอบธรรมมาปรบใช

16.2 ค าถาม กรณทธนาคารใหบรการซอขายอตราแลกเปลยนใหแกลกคานตบคคล ธนาคารมความจ าเปนตองเกบรวบรวม ใชหรอเปดเผยขอมลของบคลากรของลกคาดงกลาวเพอใหธรกรรมซอขายอตราแลกเปลยนเสรจสมบรณ (ธนาคารไมไดเกบรวบรวม ใชหรอเปดเผยขอมลเพอวตถประสงคอน) ในบางกรณ ทลกคาตองการซอขายผาน Trading Platform ธนาคารตองเปดเผยขอมลของบคลากรเหลานไปนตบคคลตางประเทศทไมอยในกลมธรกจเดยวกบธนาคารเพอ Sign Up เขาใชระบบซอขายอตราแลกเปลยนแทนลกคานตบคคล ธนาคารสามารถเกบรวบรวม ใชหรอเปดเผยขอมลของบคลากรของลกคานตบคคลดงกลาวภายใตฐาน Contractual Basis


16.3 ค าถาม กรณทธนาคารแนะน าใหลกคานตบคคลใหแกบรษท A เพอใหท าธรกรรมทนอกเหนอจากธรกจของธนาคาร (Referral Scheme) ซงธนาคารตองเกบรวบรวม ใชและเปดเผยขอมลของบคลากรของลกคาดงกลาว ใหแกบรษท A เพอใหบรษท A ตดตอกบบคลากรของลกคาของธนาคารประเดนทจะเสนอใหเพมใน TBA PDPA Guideline: สามารถใหธนาคารเกบรวบรวม ใชและเปดเผยขอมลของบคลากรของลกคานตบคคลดงกลาวภายใตฐาน Legitimate Interest

ประเดนดงกลาวขางตนสามารถน าหลกการประโยชนโดยชอบธรรม Legitimate Interest มาปรบใชการเปดเผยขอมลบคลากรของลกคานตบคคลได โดยธนาคารตองมการพจารณา 3 past test กอนทจะในหลกประโยชนโดยชอบธรรม Legitimate Interest ปรบใช แตทงนลกคานตบคคลจะตองใหความยนยอมแกธนาคารในการเปดเผยขอมลตามเกณฑ Market Conduct ดวย



16.4 ค าถาม บรษท Leasing ในเครอของธนาคารไดน าสงขอมลลกคาของบรษทดงกลาวเพอใหธนาคารประเมนความเสยงตอกลมธรกจของธนาคาร ซงธนาคารไดใชขอมลของลกคา (ของบรษทในเครอดงกลาว) ทมอยกบธนาคารดวย มาใชเพอประเมนและบรหารความเสยงไดแมนย าขน แลวธนาคารจะน าสงผลลพธกลบไปใหแกบรษทในเครอเพอบรหารความเสยงใหเหมาะสมตอไป เชน ธนาคารอาจจะน าสงวงเงนของลกคาดงกลาวใหแกบรษทในเครอเพอใหบรษทในเครอปรบเพม/ลด exposure ทมตอลกคาใหเหมาะสมตอไป ธนาคารสามารถด าเนนการดงกลาวไดโดยใช Legitimate Interest ไดหรอไม


16.5 ค าถาม ธนาคารท าการประมวลผลขอมลสวนบคคลเพอการปองกน รบมอ ลดความเสยงทอาจเกดการกระท าผดกฎหมายตางๆ ซงรวมถงการแบงปนขอมลสวนบคคลเพอยกระดบมาตรฐานการท างานของอตสาหกรรมธนาคารพาณชย ในการปองกน รบมอความเสยงขางตน เชน การตรวจสอบการทจรต (Fraud Prevention) ธนาคารอาจมการเปดเผยขอมลของบคคลทมความเสยงในการทจรตหรอมประวตการทจรตใหกบธนาคารพาณชยอนๆ ในอตสาหกรรมธนาคารพาณชย ภายใตขอตกลงในการรกษาขอมลความลบ ธนาคารสามารถด าเนนการดงกลาวไดโดยไมตองขอความยนยอมไดหรอไม


16.6 ค าถาม ธนาคารจะท าการประเมนราคาทรพยสนทลกคาจะน ามาใชเปนหลกประกน เพอน าผลประเมนราคา มาพจารณาประกอบการใหสนเชอและเพอการจดชนและการกนเงนส ารองของสถาบนการเงน ในการประเมนราคาดงกลาวธนาคารอาจมอบหมายใหบรษทภายนอก ไปด าเนนการประเมนราคาแทนธนาคาร โดยบรษทประเมนราคาภายนอกจะตองมคณสมบตตามหลกเกณฑท ธปท.ก าหนด ธนาคารสามารถด าเนนการดงกลาวไดโดยใช Legitimate Interest ไดหรอไม


16.7 ค าถาม ธนาคารอาจเกบรวบรวมขอมลสวนบคคลจากแหลงสาธารณะ เพอด าเนนการเรอง AMLธนาคารสามารถด าเนนการดงกลาวไดโดยไมตองขอความยนยอม (ตามมาตรา 25) ไดหรอไม

ค าตอบ ประเดนดงกลาวขางตนสามารถน าหลกการประโยชนโดยชอบธรรม Legitimate Interest มาปรบใชได โดยธนาคารตองมการพจารณา 3 Part Test กอนทจะน าหลกการประโยชนโดยชอบธรรมมาปรบใช



16.8 ค าถาม เนองจากธนาคารตองประเมนราคาทดนทเปนหลกประกน โดยธนาคารตองประเมนและรวบรวมทดนโดยรอบเพอความแมนย าในการประเมนราคา อยางไรกตาม การเกบขอมลทดนโดยรอบนน ธนาคารมความจ าเปนตองเกบขอมลสวนบคคลทเกยวของจากแหลงตางๆ เชน การประกาศขายในสอสาธารณะ ตวแทนและนายหนาขายทดน หรอบรษทประเมนราคาทดน ธนาคารสามารถด าเนนการดงกลาวไดโดยไมตองขอความยนยอม (ตามมาตรา 25) ไดหรอไม


16.9 ค าถาม ค าถามนยามลกษณะจากขอความใน Guidline ""สามารถแสดงใหเหนถงความเหมาะสมในการใชขอมล และมผลกระทบเพยงเลกนอยตอความเปนสวนตวของบคคล และบคคลสามารถคาดหมายตอกจกรรมเหลานนของธนาคารได หรอบคคลไมมแนวโนมทจะคดคานกจกรรมการประมวลผลเหลานนได"" อยางไรเพอใหธนาคารสามารถใชฐานประโยชนอนชอบธรรมเพอใหสามารถประมวลผลขอมลสวนบคคลเพอวตถประสงคทางการตลาดได การทธนาคารแจงลกคาวาจะน าขอมลทลกคากรอกในใบสมครหรอบอกทางวาจาหรอใหกบธนาคารดวยวธอนๆวาจะน าขอมลไปประมวลผลขอมลสวนบคคลเพอวตถประสงคทางการตลาดไดใหลกคาทราบ และลกคาไมไดมทาทคดคานใดๆ ถอวาธนาคารสามารถใชประโยชนอนชอบธรรมโดยไมตองขอความยนยอม(consent) ไดใชหรอไม

ค าตอบ ประเดนดงกลาวขางตนสามารถน าหลกการประโยชนโดยชอบธรรม Legitimate Interest มาปรบใชได โดยธนาคารตองมการพจารณา 3 Part Test กอนทจะน าหลกการประโยชนโดยชอบธรรมมาปรบใช

16.10 การเกบรวบรวมใชและเปดเผยขอมลสวนบคคลออนไหวกอน พ.ร.บ.คมครองขอมลสวนบคคลมผลบงคบใชธนาคารตองท าอยางไร

ขอมลออนไหวทไดรบมากอนพระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 ใชบงคบทานตองพจารณาวาทานสามารถอาศยฐานใดในการจดเกบและใชขอมลเหลานนตอไป โดยหลกแลว ทานสามารถด าเนนการเกบรวบรวมและใชขอมลสวนบคคลนนตอไปไดตามวตถประสงคเดม อยางไรกด หากเปนกรณทขอมลดงกลาวจะตองอาศยความยนยอมโดยชดแจง ทานในฐานะผควบคมขอมลสวนบคคลตองก าหนดวธการยกเลกความยนยอมและเผยแพรประชาสมพนธใหเจาของขอมลสวนบคคลทไมประสงคใหผควบคมขอมลสวนบคคลเกบรวบรวมและใชขอมลสวนบคคลดงกลาวสามารถแจงยกเลกความยนยอมไดโดยงาย ตามมาตรา 95



16.11 Transfer and Transit แตกตางกนอยางไร Transfer กรณเปนการสงหรอโอนขอมลบคคลไปยงตางประเทศหรอองคการระหวาง ประเทศ ในทางทฤษฎ ขอมลทถกสงหรอโอนผานทางอนเทอรเนตไปยงตางประเทศนนจะ เกดขนในลกษณะของการสงหนวยยอยของขอมล (data packets) ไปยงประเทศปลายทางโดยผานเครอขายอนเทอรเนต การสงขอมลผานทางเครอขายอนเทอรเนตนนจะเรมตนจาก การทขอมลในประเทศผสงนนถกแปลงใหกลายเปนหนวยยอย (packets) (ในลกษณะของการบรรจสนคาลงกลองโดยระบหมายเลขทใชส าหรบระบตวตนของเครองคอมพวเตอร (IPaddress) ของผสง) เพอกระบวนการดงกลาวเสรจสน หนวยยอยของขอมลดงกลาวจะถกสงจากเครองคอมพวเตอรไปยงเครองคอมพวเตอรของผรบโดยผานเครอขายตาง ๆ ซงจะแสดงผลโดยประกอบ (assemble) หนวยยอยของขอมลในรปแบบทถกจดเรยงเอาไวกอนหนาน (pre-specified sequence) Transit การสงหรอโอนขอมลสวนบคคลไปยงตางประเทศในกรณของการสงอเมลหรอวธการเขาถงทางไกลแบบอนนนจะเปนกรณทขอมลสวนบคคลทถกเกบรวบรวมในประเทศไทยนนถกแปลงเปนหนวยยอยและถกสงไปเพอแสดงผลบนอปกรณ (เชนเครองคอมพวเตอร) ของผรบขอมล จากลกษณะของการสงหรอโอนขอมลขางตน การสงหรอโอนขอมลสวนบคคลโดยผควบคมขอมลทอยในประเทศไทยโดยทางอเมลไปยงผรบโอนขอมลซงอยในประเทศไทยนนยอมไมมลกษณะเปนการสงหรอโอนขอมลบคคลไปยงตางประเทศตามกฎหมาย แมวาขอมลสวนบคคลจากเดนทางผานเครองคอมพวเตอรแมขาย (Server) ซงตงอยตางประเทศ เนองจากไมได มการแสดงผลหรอเขาถงขอมลสวนบคคลในประเทศทเครองคอมพวเตอรแมขาย (Server) ตงอย

16.12 Binding Corporate Rule มหลกการอยางไร ในกรณทกฎหมาย องคกร หรอพนธกรณในระดบนานาชาตของประเทศปลายทางยงไมม ความพรอมในการคมครองขอมลสวนบคคล ผควบคมขอมลสวนบคคล (ผโอน) อาจท า “นโยบายในการคมครองขอมลสวนบคคลเพอการสงหรอโอนขอมลสวนบคคลไปยงผควบคมขอมลสวนบคคลหรอผประมวลผลขอมลสวนบคคลซงอยตางประเทศและอยในเครอกจการหรอเครอธรกจเดยวกนเพอการประกอบกจการหรอธรกจรวมกน”



หากนโยบายดงกลาวไดรบการตรวจสอบและรบรองจากส านกงานคณะกรรมการ คมครองขอมลสวนบคคลแลว ผควบคมขอมลสวนบคคลสามารถโอนขอมลสวนบคคลได “บคคลผอยในเครอกจการหรอเครอธรกจเดยวกนเพอการประกอบกจการหรอธรกจ รวมกน” นนอาจอางองเกณฑ “บรษทในเครอ” ตามแนวทางของส านกงานคณะกรรมการก ากบหลกทรพยและตลาดหลกทรพยกได แตสาระส าคญของเรองนกคอเครอกจการหรอเครอธรกจนนไดท าความตกลงกนทจะผกพนตามนโยบายคมครองขอมลสวนบคคลของเครอกจการ หรอทเรยกวา BCR (Binding Corporate Rules) หลกการพนฐานส าหรบการจดท านโยบายคมครองขอมลสวนบคคลของเครอกจการ 1. มสภาพบงคบตามกฎหมายและก าหนดหนาททชดเจนของสมาชกในกลมทจะตองปฏบต รวมถงลกจางและพนกงานของสมาชก 2.รบรองสทธของเจาของขอมลสวนบคคลและการบงคบใชสทธในฐานะผรบประโยชน ภายนอก รวมถงการใชสทธรองเรยนตอส านกงานคมครองขอมลสวนบคคลและศาล 3.เครอกจการจะตองแสดงวาตนสามารถรบผดชอบตอความเสยหายทอาจเกดขนจากสมาชกของเครอกจการ 4. เจาของขอมลสวนบคคลในฐานะผรบประโยชนภายนอกสามารถเขาถงขอมลทงหลายทเกยวกบการใชสทธของตน 5. แสดงมาตรการอบรมและใหความรแกลกจางและพนกงานของกจการ 6. มมาตรการรบเรองรองเรยนทเหมาะสมเพยงพอ 7.มการตรวจสอบและประเมนการปฏบตตาม BCR 8. ก าหนดหนาทในการใหความรวมมอกบส านกงานคณะกรรมการคมครองขอมลสวนบคคล 9. อธบายขอบเขตของการ BCR รวมถง สภาพของการสงหรอโอนขอมล, ประเภทเจาของขอมลสวนบคคล และประเทศทอยในขอบเขต 10. มาตรการคมครองขอมลสวนบคคล รวมถงความรบผดชอบ และความสมพนธ เกยวของกบกฎหมายภายในประเทศ



16.13 กรณ1. ตวแทนจ าหนายรถยนต สงขอมลตอไปนใหธนาคาร เพอพจารณาผซอรถทประสงคจะขอสนเชอในเบองตน (ยงไมพจารณาเครดต) • ชอ - นามสกล เลขบตรประจ าตวประชาชน หมายเลขโทรศพท และรายละเอยดเกยวกบรถยนต พรอมใบสงจองรถ ธนาคารจะแจงผลผานเจาหนาทธนาคาร เพอแจงพนกงานขายของตวแทนจ าหนายดงกลาวดวยวาจา 2. ธนาคารจะแจงผลการพจารณาสนเชอ (หลงพจารณาเครดต) โดยแจงขอมลชอ - นามสกล และ/หรอเงอนไขการเชาซอทอนมตใหตวแทนจ าหนายรถยนตทราบ (กรณอนมตสนเชอ) เพอแจงลกคาและนดมอบรถยนตหรอหาผใหสนเชอรายใหมตอไป


16.14 การโทรไปยงนายจางของลกคาทมาขอสนเชอหรอการโทรไปยงนายจางของผทมาสมครงานกบสถาบนการเงน เพอท าการยนยนสถานภาพการเปนพนกงานปจจบน และในทางกลบกนกรณสถาบนการเงนตองตอบค าถามดงกลาวใหแกสถาบนการเงนทลกคาไปขอสนเชอหรอบรษททพนกงานไปสมครงาน สถาบนการเงนสามารถด าเนนการไดภายใตฐานทางกฎหมายใดและภายในขอบเขตใด สามารถอางฐาน Legitimate Interest ไดหรอไม


16.15 การด าเนนการเพอรองรองรบการขอใชสทธของเจาของขอมลสวนบคคล

โปรดพจารณาเอกสารแนบ Appendix B

16.16 การท า Data Encryption and Anonymization

โปรดพจารณาเอกสารแนบ Appendix C



ภาคผนวก ง. เอกสารอางอง

• พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. ๒๕๖๒

• พระราชกฤษฎกาก าหนดหนวยงานและกจการทผควบคมขอมลสวนบคคลไมอยภายใตบงคบแหงพระราชบญญตคมครองขอมลสวนบคคล พ.ศ. ๒๕๖๒ 2563

• Thailand Data Protection Guidelines 1.0 แนวปฏบตเกยวกบการคมครองขอมลสวนบคคล กนยายน 2561 ศนยวจยกฎหมายและการพฒนา คณะนตศาสตร จฬาลงกรณมหาวทยาลย

• Thailand Data Protection Guidelines 2.0 แนวปฏบตเกยวกบการคมครองขอมลสวนบคคล ตลาคม 2562 ศนยวจยกฎหมายและการพฒนา คณะนตศาสตร จฬาลงกรณมหาวทยาลย

• Thailand Data Protection Guidelines 3.0 แนวปฏบตเกยวกบการคมครองขอมลสวนบคคล ธนวาคม 2563 ศนยวจยกฎหมายและการพฒนา คณะนตศาสตร จฬาลงกรณมหาวทยาลย

• กรอบในการประเมนระดบความพรอมรบมอภยคกคามไซเบอรส าหรบผประกอบธรกจ (Cyber Resilience Assessment Framework- "CRAF") เวอรชน 1.1 และค าอธบาย โดยส านกงานคณะกรรมการก ากบหลกทรพยและตลาดหลกทรพย (ก.ล.ต.)

• กรอบการประเมนความพรอมดาน Cyber Resilience ภายใตหลกเกณฑการก ากบดแลการบรหารความเสยงดานเทคโนโลยสารสนเทศ (Information Technology Risk Management) ของสถาบนการเงน โดยธนาคารแหงประเทศไทย (ธ.ป.ท.)

• Data Governance for Government ธรรมาภบาลขอมลภาครฐ เวอรชน 1.0 โดยส านกงานพฒนารฐบาลดจทล (องคการมหาชน) (สพร.)

• The General Data Protection Regulation (Regulation (EU) 2016/679) (‘GDPR’)

• Data Protection Directive 95/46/EC of the European Parliament and of the Council (General Data Protection Regulation)

• Information Commissioner’s Office (ICO) Guidance available at https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/

• NIST Federal Information Processing Standards Publication (FIPS PUB 199) : Standards for Security Categorization of Federal Information and Information Systems available at https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.199.pdf

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/

https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.199.pdf



• NIST Special Publication 800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)

• NISTIR 8053 De-Identification of Personal Information available at http://dx.doi.org/10.6028/NIST.IR.8053

• Malta Bankers’ Association Data Protection Guidelines for Banks May 2018

• Malaysia Personal Data Protection Code Of Practice For The Banking And Financial Sector

• ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems – Requirements

• ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls

• ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines

• The Guide to the General Data Protection Regulation (GDPR) by Information Commissioner’s Office (ICO)

• GDPR for marketers: Consent and Legitimate Interests Published by The Direct Marketing Association (UK) Ltd Copyright © Direct Marketing Association

• Hong Kong Guidance on the Proper Handling of Customers’ Personal Data for the Banking Industry by Office of the Privacy Commissioner for Personal Data

• Guidelines on Data Protection Officers (‘DPOs’) - ARTICLE 29 DATA PROTECTION WORKING PARTY 16/EN WP 243 rev.01

• Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 - ARTICLE 29 DATA PROTECTION WORKING PARTY 17/EN WP 248

• Guidelines on Personal data breach notification under Regulation 2016/679 - ARTICLE 29 DATA PROTECTION WORKING PARTY 18/EN WP250rev.01

• FERMA’s Views on the Guidelines on Data Protection Officers Adopted on 13 December 2016 by the Article 29 Data Protection Working Party, 15 February 2017 by The Federation of European Risk Management Associations (FERMA)

• Guidelines on personal data breach notification For the European Union Institutions and Bodies by European Data Protection Supervisor (EDPS)

http://dx.doi.org/10.6028/NIST.IR.8053



• Advisory Guideline on the Personal Data Protection Act for Selected Topics, Issued 24 September 2013, Revised 9 October 2019 by Personal Data Protection Commission of Singapore

• Sample Clauses for Obtaining and Withdrawing Consent, 25 May 2015 by Personal Data Protection Commission of Singapore

• Singapore Code of Banking Practices – The Personal Data Protection Act (“PDPA”) by The Association of Banks in Singapore (ABS)

• Guide to Developing a Data Protection Management Programme, Published 1 November 2017, Revised 15 July 2019 by Personal Data Protection Commission of Singapore

• Data Classification Secure Cloud Adoption, June 2018 by Amazon Web Services (AWS)


17. Appendix A

1. Product: Saving Accounts

Product: Saving Account Process Flows

Process 1: กระบวนการพฒนาผลตภณฑ (Marketing and Product Development) การเกบรวบรวมขอมล (Collection)

• Front office ของธนาคารท าการเกบรวบรวมขอมลสวนบคคลจากลกคาทแจงความประสงคในการเปดบญชกบธนาคารทสาขา • แผนกการตลาดหรอแผนกพฒนาผลตภณฑของธนาคารท าการเกบรวบรวมขอมลจากการใหลกคาท าการกรอกแบบฟอรมการส ารวจความพงพอใจ ทง

แบบออนไลน เชน ผานทางเวบไซต หรอ แบบออฟไลน เชน การเกบขอมลจากสาขาของธนาคาร


การใชขอมล (Use)

• แผนกการตลาดหรอแผนกพฒนาผลตภณฑ ใชขอมลสวนบคคลเพอใชในการท าวจยและพฒนาผลตภณฑ รวมถงวเคราะหพฤตกรรมของลกคาเพอการสราง Product Program และสงไปท คณะกรรมการบรหารสนทรพยและหนสน (Asset and Liability Management Committee : ALCO) เพอตรวจทานและอนมตการออก Product Program

• Front office น าสงขอมลไปยงแผนกการตลาดหรอแผนกพฒนาผลตภณฑ เพอใชขอมลทไดจากแบบส ารวจในการวเคราะหความพงพอใจของลกคา เพอน าไปปรบปรงการใหบรการแกลกคาหรอเพอน าไปพฒนาผลตภณฑหรอบรการใหมใหตรงกบความตองการของลกคามากขน

การเปดเผยขอมล (Disclosure) – ภายในธนาคาร

• แผนกการตลาดหรอแผนกพฒนาผลตภณฑ มการสงขอมล ความพงพอใจของลกคาไปใหแผนกการขายเพอใชในการน าเสนอผลตภณฑหรอบรการประเภทเดยวกนหรอผลตภณฑอนของธนาคาร เพอใหตรงกบความตองการของลกคามากขน

การจดเกบขอมล (Storage) • แผนกการตลาดมการเกบเอกสารทไดรบจากการกรอกแบบส ารวจความพงพอใจของลกคา (Hard Copy) และมการสแกนเกบไวในระบบของธนาคาร

(Soft file) เชน เกบในระบบหลกของธนาคาร (Core Banking System : CBS) • มการเกบเอกสารในรปแบบขอหนงสอหรอส าเนา (Hard Copy) ทไดรบจากลกคาไวในคลงเอกสาร ตามระยะเวลาทก าหนดในนโยบายของธนาคาร เชน

10 ป หลงจากทลกคาสนสดความสมพนธทางธรกจกบธนาคาร • มการเกบขอมลในรปแบบของไฟลอเลกทรอนกส (Soft file) ในระบบหลกของธนาคารหรอระบบทเกยวของ (Relational Database) เปนเวลาทก าหนด

ในนโยบายของธนาคาร เชน 10 ป หลงจากทลกคาสนสดความสมพนธทางธรกจกบธนาคาร Process 2: การขอเปดบญชออมทรพย (Request for Open Saving Account) การเกบรวบรวมขอมล (Collection)

• มการเกบรวบรวมขอมลสวนบคคลของลกคาทสาขาของธนาคาร เพอการเปดบญชออมทรพย เชน ส าเนาบตรประชาชน, ชอ นามสกล, เลขบตรประจ าตวประชาชน, ทอย, ทะเบยนบาน, รปถาย, และ ลายเซน เปนตน



• Front office ท าการใชขอมลเพอยนยนตวตนของลกคากบฐานขอมลของธนาคาร เพอตรวจสอบวาลกคาคนดงกลาวเคยเปนลกคาของธนาคารหรอไม • Front office ท าการใชขอมลเพอยนยนตวตนและตรวจสอบเพอทราบขอเทจจรงเกยวกบลกคา (KYC, CDD) ตามกฎหมายวาดวยการปองกนและ

ปราบปรามการฟอกเงน • Front office ท าการเทยบขอมลยนยนตวตนของลกคากบรายชอของบคคลทตองเฝาระวง

Process 3: การอนมตการขอเปดบญชออมทรพย (Open Saving Account Approval /Saving Transaction Approval)


• Front office ท าการสงขอมลสวนบคคลของลกคาทผานการตรวจสอบตามขอก าหนดของกฎหมาย ไปยงผไดรบอนญาต (Authorized person) เชน หวหนาแผนกเงนฝาก เพอท าการขออนมตการเปดบญชออมทรพย


• Front office ท าการสงตอขอมลสวนบคคลของลกคาภายในแผนก และสงไปยงหวหนาแผนกเพอท าการขออนมตการเปดบญชออมทรพย

Process 4: การจดเตรยมเพอยนยนการฝากเงนของลกคา Prepare Deposit Confirmation for the Customer

• ไมมกจกรรมการประมวลผลขอมลสวนตวของลกคาในกจกรรมน

Process 5: การเกบเอกสาร (Document Keeping) การเกบรกษาขอมล (Retention)

• มการเกบเอกสารในรปแบบขอหนงสอหรอส าเนา (Hard Copy) ทไดรบจากลกคาไวในคลงเอกสารของธนาคาร หรอจดจางบรษทจดเกบภายนอก ตามระยะเวลาทก าหนดในนโยบายของธนาคาร เชน 10 ป หลงจากทลกคาสนสดความสมพนธทางธรกจกบธนาคาร


• มการเกบขอมลในรปแบบของไฟลอเลกทรอนกส (Soft file) ในระบบหลกของธนาคารหรอระบบทเกยวของ (Relational Database) เปนเวลาทก าหนดในนโยบายของธนาคาร เชน 10 ป หลงจากทลกคาสนสดความสมพนธทางธรกจกบธนาคาร

Process 6: การลงบนทกประวตของการท าธรกรรม (Record the Transaction)


• ขอมลทางการเงนของลกคา เชน หมายเลขบญช รายงานขอมลการเบก/ถอนเงนในบญช ยอดเงนฝากทมกบธนาคาร ถกบนทกในระบบโดยอตโนมต การเปดเผยขอมล (Disclosure) – ภายในธนาคาร

• ขอมลทอยในระบบ CBS พนกงานธนาคารสามารถเขาถงได ตามสทธและหนาทในการปฏบตงาน ซงเปนไปตามนโยบายของธนาคาร ผทมอ านาจในการก าหนดสทธดงกลาว จะตองค านงถงความจ าเปนในการใชขอมลเพอใหการเขาถงขอมลนนเปนไปตามหลก Confidentiality

• ส าหรบขอมลในการบนทกบญชจะถกเปดเผยใหกบแผนกบญชเพอบนทกขอมลลงในระบบ สทธในการเขาถงและแกไขขอมลในระบบบญชใหเปนไปตามนโยบายของธนาคาร

Process 7: การค านวณคาใชจายดอกเบย (Interest Expense Calculation) การเกบรวบรวมขอมล (Collection)

• Sales & Marketing/Front Office ท าการเกบรวบรวมผลตภณฑทลกคาเลอก การใชขอมล (Use)

• ขอมลเงอนไขของผลตภณฑทลกคาเลอกจะถก Configure ระบบบญชเพอท าการค านวณคาใชจายดอกเบยรายวนโดยอตโนมต การเปดเผยขอมล (Disclosure) – ภายในธนาคาร

• แผนกบญชไดรบขอมลเพอบนทกคาใชจายดอกเบยลงในระบบของธนาคาร การจดเกบขอมล (Storage)

• แผนกบญชท าการจดเกบขอมลทางธรกรรมในสวนของดอกเบยลงในระบบของธนาคาร


Process 8: การถอนเงน/ปดบญชกบธนาคาร (Request for Withdrawal/Closing Account)

การเกบรวบรวมขอมล (Collection)

• บนชองทางออนไลน มการเกบรวบรวมขอมล เชน หมายเลขรหสประจ าตว (PIN), ลายนวมอ, และ ขอมลการยนยนตวตนดวยการสแกนใบหนา • ในชองทางของสาขาธนาคาร มการเกบรวบรวมขอมล เชน สมดเงนฝาก และ บตรประจ าตวประชาชนของลกคา

การใชขอมล (Use) • ขอมลสวนบคคลทท าการเกบรวบรวมจากชองทางออนไลนน ามาใชในการยนยนตวตนของลกคา และอนมตการถอนเงนจากบญช หรอท าการปดบญช • ขอมลสวนบคคลทท าการเกบรวบรวมจากชองทางสาขาน ามาใชในการยนยนตวตนของลกคา และอนมตการถอนเงนจากบญช หรอท าการปดบญช


• แผนกบญชไดรบขอมลจากแผนก Front Office หรอจากชองทางออนไลน เพอท าการบนทกรายการถอนเงนหรอ รายการปดบญชลงในระบบของธนาคาร

การจดเกบขอมล (Storage)

• แผนกบญชมการเกบบนทกรายการการท าธรกรรมรายการการฝาก ถอนเงนหรอปดบญช ไวในระบบของธนาคารเปนเวลา 10 ปนบจากสนสดความสมพนธทางธรกจกบลกคาหรอตามทนโยบายของธนาคารก าหนด


2. Product: Loan Process

Product: Loan Process

Process 1: ลกคายนความประสงคในการขอสนเชอ (Client Request for a Loan) การเกบรวบรวมขอมล (Collection)

• มการเกบรวบรวมขอมลสวนบคคลจากลกคาทแจงความประสงคในการขอสนเชอกบธนาคารทสาขา ขอมลทธนาคารท าการเกบรวบรวม เชน ชอ นามสกล ขอมลอาชพ ขอมลรายได ประวตครอบครว ขอมลคสมรส เปนตน

การใชขอมล (Use) • ธนาคารใชขอมลสวนบคคล เพอวตถประสงคในการขอสนเชอกบธนาคาร



• สาขามการสงขอมลลกคาและแบบฟอรมการยนขอสนเชอตอไปยง back office operation เพอเขาสกระบวนการวเคราะหสนเชอ การจดเกบขอมล (Storage)

• สาขามการเกบเอกสารประกอบการขอสนเชอทไดรบจากลกคาทงในรปแบบส าเนาเอกสาร (Hard Copy) และในรปแบบของอเลกทรอนกสไฟล (Soft file) จากการสแกนเกบไวในระบบของธนาคาร

Process 2: ธนาคารตรวจสอบค ารองขอสนเชอ (Review Loan Request Application)


• Back Office Operation น าขอมลสวนบคคลของลกคาทแจงความประสงคในการขอสนเชอ เพอยนยนตวตนของลกคา (Identity Verification) และ เพอตรวจสอบความถกตองและครบถวนของแบบฟอรมการขอสนเชอ


• มการสงขอมลสวนบคคลทอยในรปแบบส าเนาเอกสาร (Hard Copy) และในรปแบบของอเลกทรอนกสไฟล (Soft file) เพอแจงความประสงคในการขอสนเชอ ตอไปใหทมบรหารความเสยง (Risk Management) เพอท าการวเคราะหสนเชอและพจารณาการอนมตสนเชอตอไป

Process 3: ธนาคารอนมต/ปฏเสธ ค ารองขอสนเชอ (Loan Approval Decision) และ Process 3.5: แจงตอลกคา ในกรณทธนาคารปฏเสธค ารองขอ

สนเชอ (Notify Client Regarding Loan Rejection)


• ทม Risk Management น าขอมลสวนบคคลมาเพอประเมนความเสยงของผก ความสามารถในการจายช าระ เพอประกอบการพจารณาการอนมตสนเชอ การเปดเผยขอมล (Disclosure) – ภายในธนาคาร

• มการสงขอมลสวนบคคลรวมทงผลการวเคราะหขอมลเครดตของลกคาไปยง Underwriter เพอท าการเซนตอนมตหรอปฏเสธการใหสนเชอ และแชรขอมลกลบไปยง Relationship manager ของสาขาทท าการรบลกคาเพอท าการแจงผลการขอสนเชอกบลกคา และเพอการด าเนนการในขนตอไป


• แผนก Risk Management มการเกบบนทกค าขอสนเชอ ผลการวเคราะหขอมลเครดต รวมทงผลการอนมตหรอปฏเสธการใหสนเชอในระบบของธนาคาร


Process 4: แจงตอผจดการสาขาและลกคา ในกรณทธนาคารอนมตค ารองขอสนเชอ (Notify Branch Manager and Client of Loan Approval) การเปดเผยขอมล (Disclosure) – ภายในหรอภายนอกธนาคาร

• สาขาธนาคารสงเอกสารทเกยวกบการขอสนเชอ ซงมขอมลสวนบคคลและเปนเอกสารทมผลทางกฎหมายใหฝายงานทท าหนาทในการเกบเอกสารหรอจดจางหนวยงานภายนอก เพอท าการเกบรกษาตามขนตอนการด าเนนงานของธนาคาร

การจดเกบขอมล (Storage) • Relationship manager ของสาขาและแผนกทเกยวของในการด าเนนการขอสนเชอ ท าการจดเกบขอมลสวนบคคลของลกคา เชน ค ารองขอสนเชอ ผล

การอนมตสนเชอและเอกสารประกอบการขอสนเชอ • สาขาธนาคารสงเอกสารทเกยวกบการขอสนเชอ ซงมขอมลสวนบคคลและเปนเอกสารทมผลทางกฎหมายใหแผนกทรบผดชอบ หรอจดจางหนวยงาน

ภายนอก เพอท าการจดเกบตามขนตอนการด าเนนงานของธนาคาร

Process 5: การเกบเอกสาร (Document keeping, Custodian) การจดเกบขอมล (Storage)

• ผทท าหนาท าหนาทในการจดเกบเอกสาร ของสาขามการจดเกบขอมลแบงตามประเภท ในสวนของเอกสารตนฉบบทไดรบมามการจดเกบไวในหองเกบมนคง หากเปนเอกสารประเภทส าเนาอเลกทรอนกสทางแผนก Risk Management จะมการบนทกและจดเกบไวในระบบของธนาคารตงแตขนตอนการอนมตสนเชอ

การเกบรกษาขอมล (Retention)

• ขอมลสวนตวของลกคาทงในรปแบบของเอกสารตนฉบบหรอส าเนา (Hard Copy) และในรปแบบของไฟลอเลกทรอนกส (Soft file) มระยะเวลาในการเกบรกษา 10 ปนบตงแตลกคาสนสดความสมพนธทางธรกจกบธนาคารหรอตามทนโยบายของธนาคารก าหนด

Process 6: การลงบนทกประวตของการท าธรกรรม (Enter Information into Bank System)



• ขอมลสวนบคคลของลกคาถกบนทกในระบบของธนาคาร การจดเกบขอมล (Storage)

• ขอมลการท าธรกรรมของลกคาถกจดเกบในระบบของธนาคาร

Process 7: การโอนสนเชอเขาบญชลกคา (Disperse Loan Funds)


• ขอมลสวนบคคลของลกคาถกใชเพอใหธนาคารโอนเงนใหกยมแกลกคา 3. Product: Mobile Banking (Registration Process)


Product: Mobile Banking

Process 1: การขอสมครใชงานแอปพลเคชน (Register for Mobile Banking)

การเกบรวบรวมขอมล (Collection) มการเกบรวบรวมขอมลสวนบคคลจากลกคา เชน ชอ นามสกล หมายเลขเลขบตรประจ าตวประชาชน การใชขอมล (Usage)

• ขอมลสวนบคคลของลกคาจะถกใชเพอแจงความประสงคในการขอสมครใชงาน Mobile Banking Application ของธนาคาร • ขอมลสวนบคคลของลกคาทใชในการสมครถกบนทกเขาระบบของ Mobile Banking


• ขอมลสวนบคคลของลกคาทใชในการสมครถกบนทกเขาระบบของ Mobile Banking Application และถกจดเกบในฐานขอมลของธนาคาร

Process 2: ธนาคารยนยนตวตนลกคา (Identity Verification)


• มการเกบรวบรวมขอมลสวนบคคลของลกคาทสมครใช Mobile Banking จากฐานขอมลของธนาคาร การใชขอมล (Use)

• ระบบน าขอมลสวนบคคลของลกคาทสมครใช Mobile Banking เพอยนยนตวตนของลกคา (Identity Verification) การจดเกบขอมล (Storage)

• มการบนทกประวตการสมครเขาใชงาน Mobile Banking ลงไวในระบบฐานขอมลของธนาคาร Process 3: ลกคายนยนตวตนโดยหมายเลขโทรศพทมอถอ (Phone Number Verification)



• ระบบใชหมายเลขโทรศพทของลกคาทลงทะเบยนไวกบหมายเลขบญชเพอการด าเนนการยนยนตวตนโดยหมายเลขโทรศพทมอถอ Process 4: ประวตการลงทะเบยนถกจดบนทกลงในระบบ (Registration is Recorded)


• ใชขอมลเพอเปดการใชงาน Mobile Banking Application การจดเกบขอมล (Storage)

• ระบบ Mobile Banking Application ท าการจดเกบขอมลสวนบคคลจากการขอใชงานระบบ และขอมลสวนบคคลจะถกจดเกบในฐานขอมลของธนาคารตอไป

Process 5: แจงลกคาวาการลงทะเบยนเสรจสมบรณ (Registration Completion Notification) การใชขอมล (Use)

• ระบบแจงวาขนตอนการลงทะเบยนเสรจสมบรณแกลกคาบนหนาของแอปพลเคชน


4. Service: Internet Banking (Purchase Product Process)

Product: Internet Banking Process 1: ลกคาเลอกวธช าระเงน (Select Payment Method)

• ไมมกจกรรมการประมวลผลขอมลสวนตวของลกคาในกจกรรมน


Process 2: ลกคาลอกอนเขาระบบ Internet Banking (Login with Existing Username and Password)


• มการเกบรวบรวมขอมลสวนบคคลจากลกคาทลงทะเบยนเขาสระบบ Internet Banking การเปดเผยขอมล (Disclosure) – ไปยงบคคลทสาม

• ขอมลสวนบคคลของลกคารวมถงยอดทตองช าระ ถกสงมาจากระบบเวบไซตของรานคา หรอ ผใหบรการ การจดเกบขอมล (Storage)

• ระบบ Internet Banking ท าการเกบประวตการลงทะเบยนเขาสระบบของลกคา

Process 3: ธนาคารยนยนตวตนลกคา (Identity Verification)


• มการเกบรวบรวมขอมลสวนบคคลของลกคาทลงทะเบยนเขาสระบบ Internet Banking และ ขอมลสวนบคคลของลกคาจากระบบของธนาคาร การใชขอมล (Use)

• ระบบน าขอมลสวนบคคลของลกคาทลงทะเบยนเขาสระบบ Internet Banking และ ขอมลสวนบคคลของลกคาจากระบบของธนาคาร เพอยนยนตวตนของลกคา (Identity Verification)

การเปดเผยขอมล (Disclosure) – ภายในธนาคาร • ขอมลสวนบคคลของลกคาทลงทะเบยนเขาสระบบ Internet Banking ถกสงตอไปยงระบบของธนาคาร

Process 4: ลกคายนยนการสงซอ และยนยนตวตนโดยหมายเลขโทรศพทมอถอ (Purchase Confirmation and Identity Validation)


• ระบบใชหมายเลขโทรศพทมอถอของลกคาทลงทะเบยนไวกบหมายเลขบญชเพอการด าเนนการยนยนตวตนโดยหมายเลขโทรศพทมอถอ การจดเกบขอมล (Storage)


• ระบบบนทกประวตการยนยนตวตนดวยหมายเลขโทรศพทมอถอของลกคา

Process 4.5: แจงตอลกคา ในกรณทยนยนตวตนไมส าเรจ (Notification of Unsuccessful Attempt)


• ระบบแจงแกลกคาในกรณทยนยนตวตนไมส าเรจ รวมถงเหตผล เชน ลกคาใส Username หรอ Password ผด เปนตน

Process 5: การลงบนทกประวตของการท าธรกรรม (Transaction is Made and Recorded)


• ระบบใชขอมลสวนบคคลของลกคาเพอบนทกประวตการท าธรกรรม • ระบบใชขอมลสวนบคคลของลกคาเพอด าเนนการหกยอดทช าระจากบญชของลกคา และโอนยอดทถกช าระเขาบญชของรานคาหรอผใหบรการ


• ประวตการท าธรกรรมถกบนทกลงในระบบของธนาคาร

Process 6: แจงตอลกคาวาค าสงซอส าเรจครบถวน (Purchase Successful Notification)


• ระบบใชขอมลสวนบคคลของลกคาเพอแจงแกลกคาถงยอดทช าระเสรจสน การเปดเผยขอมล (Disclosure) – ไปยงบคคลทสาม

• ขอมลสวนบคคลของลกคารวมถงยอดทช าระเสรจสน ถกสงไปยงระบบเวบไซตของรานคาหรอผใหบรการ


5. Product: Payment

Process 1: ลกคายนความจ านงในการขอช าระคาสนคาหรอบรการ (Payment Request is Made) การเกบรวบรวมขอมล (Collection)

• มการเกบรวบรวมขอมลสวนบคคลจากลกคาทแจงความประสงคในการขอช าระคาสนคาหรอบรการ การเปดเผยขอมล (Disclosure) – ภายในธนาคาร

• สาขาหรอ Internet/Mobile Banking มการสงขอมลลกคาและยอดบลทลกคาตองการช าระไปยง back office operation • สาขา/หรอ ระบบ Internet/Mobile Banking มการสงขอมลสวนบคคลของลกคาเพอเกบลงในระบบของธนาคาร

Process 2: ธนาคารยนยนตวตนของลกคา (Identity Verification) การเกบรวบรวมขอมล (Collection)


• มการเกบรวบรวมขอมลสวนบคคลของลกคาทในการขอช าระคาสนคาหรอบรการ จากระบบของธนาคาร เชน ชอ สกล หมายเลขบตรประชาชน เปนตน การใชขอมล (Use)

• ระบบของธนาคาร น าขอมลสวนบคคลของลกคาทแจงความจ านงในการขอช าระคาสนคาหรอบรการ เพอยนยนตวตนของลกคา (Identity Verification)

Process 3: การลงบนทกประวตของการท าธรกรรม (Transaction is Made and Recorded) การใชขอมล (Use)

• ระบบใชขอมลสวนบคคลของลกคาเพอบนทกประวตการท าธรกรรม • ระบบใชขอมลสวนบคคลของลกคาเพอด าเนนการหกยอดทช าระจากบญชของลกคา และโอนยอดทถกช าระเขาบญชของรานคาหรอผใหบรการ

การจดเกบขอมล (Storage) • ประวตการท าธรกรรมถกบนทกลงในระบบของธนาคาร

Process 4: แจงตอลกคาวาการท าธรกรรมเสรจสน (Notify Client) การใชขอมล (Use)

• ระบบหรอ สาขา ใชขอมลสวนบคคลของลกคาเพอแจงแกลกคาถงยอดทช าระเสรจสน


6. Product: Credit Card

Process 1: รานคารบบตรเครดตของลกคาเพอช าระคาสนคาหรอบรการ (Merchant Received Customer’s Credit Card)


• มการเกบรวบรวมขอมลสวนบคคลจากบตรเครดตของลกคา การเปดเผยขอมล (Disclosure) – ไปยงบคคลทสาม

• ระบบเครองรดบตรเครดตสงขอมลสวนบคคลของลกคาตอไปยง Credit Card Network


Process 2: ธนาคารยนยนตวตนของลกคา (Credit Card Information is shared between Credit Card Network and Issuing Bank) การเปดเผยขอมล (Disclosure) – ไปยงบคคลทสาม

• ระบบของ Credit Card Network สงตอขอมลบตรเครดตและขอมลสวนบคคลของลกคาไปยงธนาคารผออกบตร

Process 3: ธนาคารยนยนธรกรรม และ อนมตยอดช าระ (Verify Transaction and Authorized Available Fund)


• มการเกบรวบรวมขอมลสวนบคคลของลกคาจาก Credit Card Network • มการเกบรวบรวมขอมลสวนบคคลของลกคาจากระบบของธนาคาร


• ระบบน าขอมลสวนบคคลของลกคาจาก Credit Card Network เพอน ามายนยนตวตนกบ ขอมลสวนบคคลของลกคาจากระบบของธนาคาร • ใชขอมลเพออนมตยอดช าระ จากวงเงนทมอยของบตรเครดตลกคา

Process 3.5: แจงตอลกคา ในกรณทธรกรรมไมไดรบการอนมต (Notification of Transaction Denial)


• ระบบแจงแกลกคาในกรณทธรกรรมไมไดรบการอนมต รวมถงเหตผล เชน วงเงนบตรเครดตเตมเปนตน การแชรขอมล (Share)

• สงขอมลของลกคารวมถงขอมลวาธรกรรมไมไดรบการอนมตไปยงระบบช าระเงนของรานคา การจดเกบขอมล (Storage)

• มการบนทกธรกรรมทไมไดรบการอนมตลงในระบบของธนาคาร


Process 4: แจงตอลกคาวาท าธรกรรมเสรจสน (Notification of Successful Transaction)


• ระบบแจงแกลกคาถงการท าธรกรรมส าเรจ และยอดเงนทถกช าระ การแชรขอมล (Share)

• สงขอมลของลกคารวมถงขอมลวาธรกรรมไดรบการอนมตไปยงระบบช าระเงนของรานคา Process 5: การลงบนทกประวตของการท าธรกรรม (Transaction is Made and Recorded)


• ระบบใชขอมลสวนบคคลของลกคาเพอบนทกประวตการท าธรกรรม • ระบบใชขอมลสวนบคคลของลกคาเพอด าเนนการหกยอดทช าระจากวงเงนบตรเครดตของลกคา และโอนยอดทถกช าระเขาบญชของรานคาหรอผ

ใหบรการ การจดเกบขอมล (Storage)

• ประวตการท าธรกรรมถกบนทกลงในระบบของธนาคาร


18. Appendix B

18.1 ตวอยางกระบวนการปฏบตเกยวกบการด าเนนการตามสทธของเจาของขอมลสวนบคคล

19. Appendix C

ตวอยางแนวทางปฏบตการท าใหขอมลสวนบคคลอยในลกษณะทไมสามารถระบตวบคคลของเจาของขอมลสวนบคคลได

19.1 การจดท าขอมลนรนาม (Data Anonymization) การจดท าขอมลนรนาม หมายถง กระบวนการในการท าใหขอมลสวนบคคลไมสามารถระบตวบคคลได โดยทวไปค าศพททใชในแตละแหลงอางองอาจแตกตางกนไป ตวอยางเชน บางใชค าวา การท าขอมลนรนาม (Anonymization) และการขจดตวตน (De-Identification) ตวอยางการจดท าขอมลนรนาม

การจดท าขอมลนรนามสามารถท าไดโดยการเปลยนแปลงขอมลตนฉบบใหเปนขอมลทไมสามารถน าไประบตวบคคลของเจาของขอมลสวนบคคลได กอนทจะมการน าขอมลไปประมวลผลตามวตถประสงคตางๆของธนาคาร

ชอ อเมล แผนก รายได-ยอดขาย

สมชาย [email protected] ฝายขาย 500,000 กวน [email protected] ฝายขาย 970,000

สมปอง [email protected] ฝายขาย 600,000 ปราณ [email protected] ฝายขาย 1,000,000 วเชยร [email protected] ฝายขาย 1,500,000 สมาน [email protected] ฝายขาย 320,000

ขอมลตนฉบบ (1)

ชอ แผนก รายได-ยอดขาย

A ฝายขาย 500,000 B ฝายขาย 970,000

C ฝายขาย 600,000 D ฝายขาย 1,000,000 E ฝายขาย 1,500,000 F ฝายขาย 320,000

ขอมลทมการท าขอมลนรนาม (2)







ผลลพธของการประมวลผลขอมล (1), (2)

การจดท าขอมลนรนามนนธนาคารจะตองค านงถงความเสยงในการชกลบอตลกษณบคคล (Re-identification) ทสามารถท าไดดวยวธการอยางเชน

• การน าขอมลสวนบคคลตงตนซงอาจไดมาจากแหลงอนน ามาคนหา จบค หรอประมวลผลรวมกบขอมลนรนามเพอใหสามารถชกลบอตลกษณบคคล

• การน าขอมลสวนบคคลตงตนมาจากแหลงขอมลสาธารณะน ามาคนหา จบค หรอประมวลผลรวมกบขอมลนรนามเพอใหสามารถชกลบอตลกษณบคคล

ดงนนการจดท าขอมลนรนามควรยดหลก Data Minimization เพอใชขอมลเทาทจ าเปนและลดความเสยงในการชกลบอตลกษณบคคล

19.2 การแฝงขอมล (Data Pseudonymisation)

การแฝงขอมล คอการแทนทสงทระบตวบคคลของเจาของขอมลสวนบคคล ดวยการอางองอน ๆ ตวอยางเชน การแทนทชอบคคล ดวย รหสหรอหมายเลขอางองทสรางขนแบบสม ซงขอมลทงสองชดจะตองถกลดความสามารถในการเชอมโยงกน เพอลดความเสยงในการชกลบอตลกษณบคคล (Re-identification) และผลกระทบจากเหตการณถกละเมดขอมล ในความหมายของ GDPR หมายถง กระบวนการประมวลผลขอมลในลกษณะทขอมลไมสามารถระบตวบคคลไดหากปราศจากการใชขอมลเพมเตมประกอบ ทงนขอมลเพมเตมอกชดควรท าการเกบรกษาไวแยกออกจากกน ไมใหเขาถงขอมลไดทงสองชดเพอลดความสามารถในการเชอมโยงขอมลดงกลาวในการกลบไประบตวเจาของขอมลสวนบคคลได

ชอ แผนก รายได-ยอดขาย

CTM-001 ฝายขาย 500,000 CTM-002 ฝายขาย 970,000 CTM-003 ฝายขาย 600,000 CTM-004 ฝายขาย 1,000,000

CTM-005 ฝายขาย 1,500,000 CTM-006 ฝายขาย 320,000

ขอมลทมการท าการแฝงขอมล

ชอ คยการชกลบอตลกษณ

สมชาย CTM-001

กวน CTM-002

สมปอง CTM-003

ปราณ CTM-004

วเชยร CTM-005

สมาน CTM-006

ขอมลประกอบส าหรบการชกลบอตลกษณบคคล

19.3 การเขารหสขอมล (Data Encryption)

การเขารหสขอมล คอการใชหลกการการทางคณตศาสตรหรอรหสการเขาถง(คย)ในการเขาถงขอมลสวนบคคลทถกเขารหส โดยการเขารหสขอมลเปนหนงในวธการรกษาความปลอดภยของขอมล เพอปองกนอาชญากรไซเบอร ผประสงคราย หรอผทไมไดรบอนญาตไมใหเขาถงขอมลสวนบคคลของธนาคาร โดยหลกการการเขารหสขอมลนนขนอยกบนโยบายการรกษาความปลอดภยขอมลของธนาคารในการก าหนดแบบแผนแนวทางการเขารหสเพอลดคความเสยงในการถกละเมดขอมลสวนบคคล โดยการการเขารหสขอมลควรบงคบใชกบขอมลสวนบคคลทมความเสยงสงทถกเกบไวในอปกรณจดเกบขอมล (Encryption for Data Stroage) และขอมลสวนบคคลทอยในขณะสง (Encryption for Data in transit)

Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited (“DTTL”), its global network of member firms, and their related entities. DTTL (also referred to as “Deloitte Global”) and each of its member firms and

their affiliated entities are legally separate and independent entities. DTTL does not provide services to clients. Please see www.deloitte.com/about to learn more. Deloitte is a leading global provider of audit and assurance, consulting, financial advisory, risk advisory, tax and related services. Our network of member firms in more than 150 countries and territories serves four out of five Fortune Global 500® companies. Learn how Deloitte’s approximately 286,000 people make an impact that matters at www.deloitte.com.

Deloitte Asia Pacific Limited is a company limited by guarantee and a member firm of DTTL. Members of Deloitte Asia Pacific Limited and their related entities provide services in Australia, Brunei Darussalam, Cambodia, East Timor, Federated States of Micronesia, Guam, Indonesia, Japan, Laos, Malaysia, Mongolia, Myanmar, New Zealand, Palau, Papua New Guinea, Singapore, Thailand, The Marshall Islands, The Northern Mariana Islands, The People’s Republic of China (incl. Hong Kong SAR and Macau SAR), The Philippines and Vietnam. In each of these, operations are conducted by separate and independent legal entities.

About Deloitte Thailand In Thailand, services are provided by Deloitte Touche Tohmatsu Jaiyos Co., Ltd. and its subsidiaries and affiliates. This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the “Deloitte Network”) is, by means of this communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall be responsible for any loss whatsoever sustained by any person who relies on this communication. © 2021 Deloitte Touche Tohmatsu Jaiyos Advisory Co., Ltd.

http://www.deloitte.com/about

http://www.deloitte.com/

Guideline on Personal Data Protection for Thai Banks

Documents

Transcript of Guideline on Personal Data Protection for Thai Banks