หลาย ๆ ท่านที่เคยติดต่อสถาบันการเงินผ่านช่องทางออนไลน์อาจจะเคยพบว่าเว็บไซต์ของสถาบันการเงินบางแห่งมีการขอให้กรอกข้อมูลต่าง ๆ โดยส่วนใหญ่มักแจ้งว่าหรือทำให้เข้าใจว่าเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ที่สนใจสมัครสินเชื่อออนไลน์เพื่อให้สถาบันการเงินติดต่อกลับ โดยข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ได้แก่ ชื่อ สกุล เบอร์โทรศัพท์ อีเมล และหมายเลขบัตรประจำตัวประชาชน เป็นต้น
การเก็บรวบรวมข้อมูลส่วนบุคคลผ่านช่องทางออนไลน์ดังกล่าว องค์กรมีหน้าที่ต้องปฏิบัติให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยเฉพาะในส่วนของขั้นตอนการเก็บรวบรวม มีหน้าที่อย่างน้อย 3 ประการที่องค์กรต้องปฏิบัติ กล่าวคือ (1) การมีวัตถุประสงค์ที่ชอบด้วยกฎหมายและได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบแล้วอย่างโปร่งใสและเป็นธรรม (2) การเก็บรวบรวมเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย และ (3) การแจ้งประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) อย่างถูกต้องและเหมาะสม
ในบางเว็บไซต์ที่ผู้เขียนได้เข้าไปใช้บริการพบว่ามีการเก็บรวบรวมข้อมูลส่วนบุคคลโดยแจ้งวัตถุประสงค์เพื่อใช้ในการติดต่อกลับไปยังผู้ที่สนใจสมัครสินเชื่อ แต่ได้เก็บ ข้อมูลหมายเลขบัตรประจำตัวประชาชน ไปด้วย ซึ่งการเก็บรวบรวมข้อมูลหมายเลขบัตรประจำตัวประชาชนจะทำได้หรือไม่ก็ต้องทบทวนว่าองค์กรได้ปฏิบัติหน้าที่ทั้ง 3 ประการข้างต้นครบถ้วนแล้วหรือไม่ โดยเฉพาะอย่างยิ่งตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 22 ที่กำหนดไว้ว่า การเก็บรวบรวมข้อมูลส่วนบุคคลให้เก็บรวบรวมเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (data minimisation) ซึ่งพิจารณาจากหลักเกณฑ์ ดังนี้
(1) ข้อมูลส่วนบุคคลที่เก็บรวบรวมมีเพียงพอที่จะใช้ในการประมวลผลข้อมูลส่วนบุคคล
(2) ข้อมูลส่วนบุคคลที่เก็บรวบรวมต้องเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามวัตถุประสงค์
(3) ข้อมูลส่วนบุคคลต้องใช้อย่างจำกัดเท่าที่จำเป็นเพื่อให้บรรลุวัตถุประสงค์ของการเก็บรวบรวม
จากข้อพิจารณาดังกล่าว สถาบันการเงินจำต้องพิจารณาว่าการเก็บรวบรวมข้อมูลหมายเลขบัตรประจำตัวประชาชน สถาบันการเงินได้เก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวอย่างจำกัดตามวัตถุประสงค์ที่ได้แจ้งไว้ก่อนหรือขณะเก็บรวบรวมแล้วหรือไม่โดยการเก็บรวบรวมห้ามใช้นอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้ ซึ่งต้องสอดคล้องกับหลักการจำกัดวัตถุประสงค์ (purpose limitation) กล่าวคือ การเก็บรวบรวมข้อมูลส่วนบุคคลจะทำได้เฉพาะเพื่อวัตถุประสงค์ที่เจาะจง ชัดแจ้ง และชอบด้วยกฎหมาย และต้องไม่เก็บรวบรวม ใช้ หรือเผยข้อมูลส่วนบุคคลในลักษณะที่ไม่สอดคล้องกับวัตถุประสงค์ดังกล่าว ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 21
จากหลักเกณฑ์ข้างต้น การเก็บรวบรวมข้อมูลหมายเลขบัตรประจำตัวประชาชนนั้นเป็นการเก็บรวบรวมที่เพียงพอเกี่ยวข้องและจำเป็นเพื่อให้สถาบันการเงินบรรลุวัตถุประสงค์ในการติดต่อกลับแล้วหรือไม่ ในกรณีนี้มีข้อสังเกตว่า เมื่อสถาบันการเงินไม่มีวัตถุประสงค์อื่นใดนอกเหนือจากการติดต่อกลับ การเก็บรวบรวมข้อมูลหมายเลขบัตรประจำตัวประชาชน จึงอาจเป็นข้อมูลส่วนบุคคลที่ไม่มีส่วนในการทำให้สถาบันการเงินบรรลุวัตถุประสงค์ในการติดต่อกลับ และหากสถาบันการเงินไม่เก็บรวบรวมข้อมูลหมายเลขบัตรประจำตัวประชาชนไว้ สถาบันการเงินยังสามารถบรรลุวัตถุประสงค์ในการติดต่อกลับไปยังผู้ที่สนใจสมัครสินเชื่อได้ อีกทั้งสถาบันการเงินมีทางเลือกในการเก็บรวบรวมข้อมูลส่วนบุคคลให้น้อยกว่านี้ได้
อย่างไรก็ตาม ในการเก็บรวบรวมข้อมูลหมายเลขบัตรประจำตัวประชาชนของผู้ที่สนใจสมัครสินเชื่อ สถาบันการเงินอาจมีวัตถุประสงค์อื่นใดนอกเหนือจากวัตถุประสงค์เพื่อดำเนินการติดต่อกลับได้ อาทิ การเก็บรวบรวมข้อมูลหมายเลขบัตรประจำตัวประชาชนเพื่อตรวจสอบว่าผู้ที่สนใจสมัครสินเชื่อมีคุณสมบัติในการขอสินเชื่อหรือไม่ เป็นต้น หากเป็นการเก็บข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังกล่าวด้วย สถาบันการเงินอาจต้องพิจารณาในประเด็นดังต่อไปนี้เพื่อให้สอดคล้องกับกฎหมาย กล่าวคือ
ประการแรก ภายใต้วัตถุประสงค์ของการเก็บรวบรวมเพื่อตรวจสอบว่าผู้ที่สนใจสมัครสินเชื่อมีคุณสมบัติในการขอสินเชื่อหรือไม่ สถาบันการเงินต้องพิจารณาว่าข้อมูลหมายเลขบัตรประจำตัวประชาชน จำเป็นหรือไม่ที่ต้องเก็บรวบรวม และการเก็บรวบรวมดังกล่าวมีความจำเป็นมากน้อยเพียงใดในการดำเนินการประมวลผลข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ ถ้ามีความจำเป็นที่ต้องเก็บรวบรวมข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์เพื่อตรวจสอบว่าผู้ที่สนใจสมัครสินเชื่อว่ามีคุณสมบัติในการขอสินเชื่อหรือไม่นั้น สถาบันการเงินมีหน้าที่ต้องแจ้งประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) ให้ผู้สนใจสมัครสินเชื่อทราบถึงวัตถุประสงค์ดังกล่าว ก่อนหรือในขณะทำการเก็บรวบรวมข้อมูลส่วนบุคคล ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 23
ประการที่สอง หากมีการใช้ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการตรวจสอบหรือการทำ Profiling หรือมีการใช้ฐานข้อมูลอื่น ๆ มาประกอบการตัดสินใจโดยระบบอัตโนมัติในการให้หรือไม่ให้สินเชื่อ (pre screening/background check) กรณีนี้ สถาบันการเงินควรแจ้งอย่างชัดเจน อีกทั้งตามแนวปฏิบัติของสมาคมธนาคารไทยอาจต้องจัดทำรายงานผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลด้วย (DPIA: Data Protection Impact Assessment)
ประการที่สาม นอกจากการแจ้งประกาศการคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) ให้ผู้สมัครสินเชื่อทราบถึงวัตถุประสงค์ในการเก็บรวบรวมข้อมูลดังกล่าวแล้ว สถาบันการเงินยังมีหน้าที่ในการกำหนดฐานทางกฎหมาย (Lawful basis) ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับลักษณะการประมวลผลและความสัมพันธ์ระหว่างสถาบันการเงินกับผู้สมัครสินเชื่อภายใต้วัตถุประสงค์เพื่อตรวจสอบว่าผู้ที่สนใจสมัครสินเชื่อมีคุณสมบัติในการขอสินเชื่อหรือไม่ ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา24
ดังนั้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล องค์กรจำเป็นต้องปฏิบัติให้สอดคล้องกับกฎหมายต่าง ๆ ที่เกี่ยวข้อง การที่ผู้ใช้บริการเป็นผู้ให้ข้อมูลไม่ได้ทำให้องค์กรมีความชอบด้วยกฎหมายที่จะเก็บหรือจะใช้ข้อมูลอย่างไรก็ได้.
โดย
ศุภวัชร์ มาลานนท์
GMI มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
ภัทรวิรินทร์ หมวดมณี
บริษัท ดีพีโอเอเอเอส จำกัด