การกำกับดูแลข้อมูลและความปลอดภัยของข้อมูลส่วนบุคคล

ปัจจุบันความก้าวหน้าของเทคโนโลยีดิจิทัลมีการเปลี่ยนแปลงอย่างรวดเร็ว ส่งผลให้เกิดความเสี่ยงด้านการละเมิดสิทธิเสรีภาพส่วนบุคคลในกระบวนการเก็บรวบรวมข้อมูล การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลของผู้มีส่วนได้เสียโดยเฉพาะข้อมูลส่วนบุคคลของลูกค้า ด้วยเหตุนี้ ธนาคารจึงให้ความสำคัญกับการบริหารจัดการข้อมูลส่วนบุคคลอย่างเหมาะสมไม่ว่าจะเป็นข้อมูลส่วนบุคคลทั่วไป ข้อมูลธุรกรรมทางการเงินข้อมูลพฤติกรรมการใช้ผลิตภัณฑ์และบริการ เป็นต้น ด้วยตระหนักเสมอว่าการได้รับความเชื่อมั่นและไว้วางใจจากลูกค้าและผู้มีส่วนได้เสียที่เกี่ยวข้องในการเลือกใช้ผลิตภัณฑ์และบริการของธนาคารเป็นสิ่งที่มีคุณค่ายิ่ง อีกทั้งการเก็บรักษาข้อมูลส่วนตัวของลูกค้าและผู้มีส่วนได้เสียที่เกี่ยวข้องไว้เป็นความลับและปลอดภัย ยังช่วยเสริมสร้างความน่าเชื่อถือชื่อเสียงและภาพลักษณ์ที่ดีให้กับธนาคารมากยิ่งขึ้น

นอกจากนี้ การบริหารจัดการความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้าและผู้มีส่วนได้เสียอื่นๆ ยังถือเป็นการปฏิบัติตามกฎหมาย และ/หรือกฎระเบียบที่เกี่ยวข้อง โดยเฉพาะพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งจะมีผลบังคับใช้เต็มรูปแบบในปี 2563 นี้ กรุงศรีจึงมีการทบทวนนโยบายและมาตรการความปลอดภัยของข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เพื่อคุ้มครองสิทธิของเจ้าของข้อมูลตามที่กฎหมายกำหนด

แนวทางการบริหารจัดการ

• กำหนด “นโยบายเกี่ยวกับการกำกับดูแลข้อมูล” (Policy for Data Governance) เพื่อเป็นแนวปฎิบัติในการบริหารจัดการข้อมูลที่สำคัญ (รวมถึงข้อมูลส่วนบุคคล) โดยเริ่มตั้งแต่การนำข้อมูลเข้าระบบ การจัดเก็บข้อมูลตามความจำเป็น การนำข้อมูลมามาใช้วิเคราะห์และจัดทำรายงาน การนำส่งข้อมูลตามกฎเกณฑ์ของหน่วยงานกำกับดูแลธุรกิจธนาคารพาณิชย์ รวมไปถึงการทำลายข้อมูลเมื่อหมดความจำเป็น โดยนโยบายฉบับนี้ครอบคลุมธนาคาร กรรมการ ผู้บริหาร และ พนักงาน รวมถึงบุคคลและนิติบุคคลที่ปฎิบัติหน้าที่ในนามของธนาคาร และต้องมีการทบทวนนโยบายดังกล่าวทุกปี หรือเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ
• กำหนด “นโยบายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล” (Policy for Personal Data Protection) และ “ระเบียบปฏิบัติงานเรื่องการคุ้มครองข้อมูลส่วนบุคคล” (Personal Data Protection Common Procedure) และ “การขอความยินยอมสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล” (Procedure for Requesting the Consent for Collection, Usage or Disclosure of Data) ของธนาคารเพื่อวัตถุประสงค์ดังต่อไปนี้
  • เพื่อกำหนดกรอบแนวทางและ/หรือแนวปฏิบัติให้แก่หน่วยงานที่เกี่ยวข้องต่างๆ ภายในธนาคาร และจัดให้มีมาตรการกำกับดูแลเกี่ยวกับการให้ความคุ้มครอง “ข้อมูลส่วนบุคคล” ของเจ้าของข้อมูลส่วนบุคคล รวมถึงลูกค้ารายย่อย คู่ค้าที่เป็นบุคคลธรรมดา บุคลากรของลูกค้า และคู่ค้าที่เป็นนิติบุคคลของธนาคาร พนักงาน ลูกจ้าง และกรรมการธนาคาร ตามที่กฎหมายกำหนด
  • เพื่อประโยชน์ในการศึกษา อ้างอิง และใช้ในการปฏิบัติงานของหน่วยงานที่เกี่ยวข้องต่างๆ ภายในธนาคาร อันเกี่ยวเนื่องกับการเก็บรวบรวม ใช้ เปิดเผย ส่งหรือโอนข้อมูลส่วนบุคคล รวมถึงการเก็บรักษาและทำลายข้อมูลส่วนบุคคลเมื่อหมดความจำเป็นตามที่กฎหมายกำหนด
• จัดตั้ง “คณะกรรมการข้อมูล” (Data Committee) ทำหน้าที่กำหนดนโยบายและมาตรการในการกำกับดูแลบริหารจัดการข้อมูลต่างๆ ของธนาคารและบริษัทในกลุ่มธุรกิจทางการเงิน (กรุงศรี กรุ๊ป)
• จัดตั้ง “คณะทำงานผู้เชี่ยวชาญด้านข้อมูล” (Data Stewardship Working Group) ทำหน้าที่ขับเคลื่อนนโยบายไปสู่การปฏิบัติอย่างมีประสิทธิภาพ โดยส่งเสริมความเข้าใจในบทบาทและความรับผิดชอบของผู้ที่เกี่ยวข้อง และพัฒนาการบริหารจัดการข้อมูลของธนาคารให้มีประสิทธิภาพ ทั้งด้านการเข้าถึง การใช้ประโยชน์ และคุณภาพของข้อมูล
• จัดตั้ง “ฝ่ายกำกับดูแลการบริหารข้อมูล” (Data Governance Department) ทำหน้าที่ในการสื่อสารนโยบายและมาตรการที่เกี่ยวข้องกับการบริหารจัดการข้อมูลให้ผู้บริหาร พนักงาน และผู้มีส่วนได้เสียที่เกี่ยวข้องรับทราบ ตลอดจนควบคุมและดูแลให้มีการปฏิบัติตามนโยบายเกี่ยวกับกำกับดูแลบริหารจัดการข้อมูลอย่างเคร่งครัด
• กำหนดประเภทของข้อมูลอย่างชัดเจน เพื่อให้การบริการจัดการข้อมูลมีประสิทธิภาพสูงสุด โดยเฉพาะ “ข้อมูลหลักของธนาคาร” (Key Data Elements: KDEs) ซึ่งถือเป็นข้อมูลที่มีนัยสำคัญต่อการให้บริการลูกค้า การจัดทำรายงานทางด้านความเสี่ยงและการเงิน รวมถึงการจัดทำรายงานเพื่อนำส่งหน่วยงานกำกับดูแลที่เกี่ยวข้อง
• กำหนดบทบาทหน้าที่ความรับผิดชอบของผู้ที่เกี่ยวข้องในการกำกับดูแลบริหารจัดการข้อมูล ภายใต้แนวคิดเรื่อง "แนวป้องกันสามชั้น” (Three Lines of Defense) เพื่อให้มั่นใจว่าธนาคารมีการกำกับดูแลบริหารจัดการข้อมูลอย่างเป็นระบบทั่วทั้งธนาคาร
  

  1. แนวป้องกันชั้นที่หนึ่ง: หน่วยงานทางธุรกิจและหน่วยงานสนับสนุน
  2. แนวป้องกันชั้นที่สอง: คณะกรรมการกำกับดูแลบริหารจัดการข้อมูลและฝ่ายกำกับดูแลการบริหารข้อมูล
  3. แนวป้องกันชั้นที่สาม: หน่วยงานตรวจสอบภายใน
• กําหนดและทบทวนมาตรการรักษาความมั่นคงปลอดภัยให้มีความเหมาะสม ผ่านการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment) ในกิจกรรมประมวลผลข้อมูลส่วนบุคคลในมิติต่างๆ โดยมีการระบุความเสี่ยงและผลกระทบที่อาจเกิดขึ้น รวมถึงแนวทางการลดความเสี่ยงที่อาจเกิดขึ้นจากกิจกรรมการประมวลผลนั้นๆ เพื่อป้องกันการสูญหาย เข้าถึง เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ
• จัดทำ “ประกาศการคุ้มครองข้อมูลส่วนบุคคล” (Privacy Notice) เพื่ออธิบายรายละเอียดการประมวลผลข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคล รวมทั้งสร้างความเชื่อมั่นต่อลูกค้า รวมถึงผู้บริหารและพนักงานว่าธนาคารมีความโปร่งใสและรับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามพระราช บัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยเนื้อหาในประกาศการคุ้มครองข้อมูลส่วนบุคคลจะถูกทบทวนปีละ 2 ครั้ง เพื่อให้สอดคล้องกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่เปลี่ยนแปลงไปตามสภาพการดำเนินธุรกิจ เศรษฐกิจ และสังคม รวมทั้งมีการสื่อสารประกาศการคุ้มครองข้อมูลส่วนบุคคลผ่านช่องทางต่างๆ ทั้งในรูปแบบเอกสารและสื่ออิเล็กทรอนิกส์
  ประกาศการคุ้มครองข้อมูลส่วนบุคคล (ฉบับย่อ)