หน้าหลัก

ข้อหารือที่ 12/2567 — สมาคมธนาคารไทย (บัตรคนพิการเพื่อยืนยันตัวตน AML)

5 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 22 มาตรา 23 มาตรา 26 (5) (จ) มาตรา 27 วรรคหนึ่ง และ มาตรา 37 (1)
  2. พระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 และที่แก้ไขเพิ่มเติม มาตรา 20 มาตรา 20/1 วรรคหนึ่งและวรรคสอง มาตรา 22 วรรคหนึ่ง มาตรา 40 (3/1)
  3. กฎกระทรวงกำหนดธุรกรรมที่สถาบันการเงินและผู้ประกอบอาชีพตามมาตรา 16 ต้องจัดให้ลูกค้าแสดงตน พ.ศ. 2562 ข้อ 6
  4. กฎกระทรวงการตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า พ.ศ. 2563 ข้อ 17
  5. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุม ข้อมูลส่วนบุคคล พ.ศ. 2565

ข้อหารือ

สมาคมธนาคารไทยขอหารือกรณีการจัดทำแนวปฏิบัติของสมาคมธนาคารไทยและธนาคารสมาชิก เพื่อสนับสนุนให้เกิดการให้บริการทางการเงินแก่ลูกค้าผู้พิการอย่างเป็นธรรม เพื่อเป็นมาตรฐานแนวปฏิบัติขั้นต่ำ สำหรับธนาคารในการให้บริการทางการเงินแก่ผู้พิการ ซึ่งจากการประชุมหารือของคณะทำงาน รวมถึงผู้ที่เกี่ยวข้อง ได้มีข้อซักถามเกี่ยวกับแนวปฏิบัติในการเก็บรวบรวมและใช้เอกสารแสดงตนสำหรับการใช้บริการทางการเงิน ของผู้พิการว่า การเก็บรวบรวมและใช้บัตรประจำตัวคนพิการหรือสมุดประจำตัวคนพิการ เป็นเอกสารแสดงตน ของผู้พิการ ถือได้ว่าธนาคารมีการประมวลผลข้อมูลส่วนบุคคลที่อ่อนไหว (sensitive data) ตาม มาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 ธนาคารต้องได้รับความยินยอมในการประมวลผลข้อมูล ส่วนบุคคลดังกล่าวโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล แต่ในขณะเดียวกันธนาคารมีหน้าที่ต้องปฏิบัติตามกฎหมาย ว่าด้วยการป้องกันและปราบปรามการฟอกเงิน ในการจัดเก็บข้อมูลและเอกสารของลูกค้าเกี่ยวกับการแสดงตน การทำธุรกรรม และการตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า รวมถึงรายงานการทำธุรกรรม ซึ่งมีข้อกำหนดให้ ธนาคารต้องมีการจัดเก็บรักษาเอกสารตามหลักเกณฑ์และระยะเวลาที่กฎหมายกำหนด ตามมาตรา 22 แห่งพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 และที่แก้ไขเพิ่มเติม หากการเก็บรวบรวม และการใช้เอกสารแสดงตนของผู้พิการดังกล่าวต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล อาจเป็น เหตุให้ธนาคารไม่สามารถปฏิบัติตามข้อกำหนดตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงินได้ สมาคมธนาคาร ไทยจึงขอหารือเกี่ยวกับการเก็บรวบรวมและใช้เอกสารบัตรประจำตัวคนพิการ/สมุดประจำตัวคนพิการ ในการยืนยันตัวตน สำหรับการใช้บริการทางการเงินของผู้พิการ ดังนี้

  1. ธนาคารสามารถอาศัยฐานทางกฎหมายที่เป็นข้อยกเว้นตาม มาตรา 26 (4) หรือ มาตรา 26 (5) (จ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยไม่ต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล ส่วนบุคคลได้หรือไม่ และขอความเห็นเพิ่มเติม
  2. ขอข้อเสนอแนะเพิ่มเติมเกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลดังกล่าว (ถ้ามี) ความละเอียดแจ้งแล้ว นั้น

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้พิจารณาข้อกฎหมายที่เกี่ยวข้องแล้ว เห็นว่า มาตรา 20 แห่งพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 และที่แก้ไขเพิ่มเติม โดยพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน (ฉบับที่ 3) พ.ศ. 2552 ได้บัญญัติให้สถาบันการเงิน และผู้ประกอบอาชีพตามมาตรา 16 จัดให้ลูกค้าแสดงตนทุกครั้งก่อนการทำธุรกรรมตามที่กำหนดในกฎกระทรวง ซึ่งต้องกำหนดมาตรการเพื่อขจัดอุปสรรคในการแสดงตนของคนพิการหรือทุพพลภาพด้วย เว้นแต่ลูกค้าได้แสดง ตนไว้ก่อนแล้ว โดยการแสดงตนดังกล่าวให้เป็นไปตามวิธีการที่รัฐมนตรีประกาศกำหนด ซึ่งข้อ 6 ของกฎกระทรวง กำหนดธุรกรรมที่สถาบันการเงินและผู้ประกอบอาชีพตามมาตรา 16 ต้องจัดให้ลูกค้าแสดงตน พ.ศ. 2562 ได้ กำหนดให้สถาบันการเงินและผู้ประกอบอาชีพตามมาตรา 16 ต้องกำหนดมาตรการและควบคุมดูแล การทำธุรกรรมอย่างเคร่งครัด เพื่อมิให้มีการปฏิบัติอันเป็นอุปสรรคต่อการแสดงตนของลูกค้าที่เป็นคนพิการ หรือคนทุพพลภาพ นอกจากนี้ มาตรา 20/1 วรรคหนึ่งและวรรคสอง แห่งพระราชบัญญัติป้องกันและปราบปราม การฟอกเงิน พ.ศ. 2542 ซึ่งแก้ไขเพิ่มเติมโดยพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน (ฉบับที่ 3) พ.ศ. 2552 กำหนดให้สถาบันการเงินต้องดำเนินการตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้าเมื่อเริ่มทำ ธุรกรรมครั้งแรกโดยต้องตรวจสอบเป็นระยะจนสิ้นสุดดำเนินการเมื่อมีการปิดบัญชีหรือยุติความสัมพันธ์กับลูกค้า โดยขอบเขตการตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้าดังกล่าว ให้เป็นไปตามหลักเกณฑ์และวิธีการ ที่กำหนดในกฎกระทรวง โดยข้อ 17 ของกฎกระทรวงการตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า พ.ศ. 2563 กำหนดให้สถาบันการเงินตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้าโดยให้ดำเนินการระบุตัวตน และพิสูจน์ทราบตัวตนของลูกค้า แล้วจึงตรวจสอบข้อมูลของลูกค้ากับข้อมูลรายชื่อบุคคลที่ถูกกำหนด ตามกฎหมายที่เกี่ยวข้องก่อนดำเนินการต่อไป ประกอบกับสำนักงานป้องกันและปราบปรามการฟอกเงิน (สำนักงาน ปปง.) ซึ่งมีอำนาจหน้าที่ในการกำหนดแนวทางปฏิบัติ กำกับ ตรวจสอบ และประเมินผลการปฏิบัติตามพระราชบัญญัติ ดังกล่าวของผู้มีหน้าที่รายงานการทำธุรกรรมต่อสำนักงาน ปปง. ตามหลักเกณฑ์ วิธีการ และแนวปฏิบัติตามระเบียบที่ คณะกรรมการป้องกันและปราบปรามการฟอกเงินกำหนด ตามมาตรา 40 (3/1) แห่งพระราชบัญญัติป้องกัน และปราบปรามการฟอกเงิน พ.ศ. 2542 ซึ่งแก้ไขเพิ่มเติมโดยพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน (ฉบับที่ 4) พ.ศ. 2556 ได้กำหนดแนวทางปฏิบัติ เรื่อง การตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า สำหรับสถาบัน การเงิน ประเภทธนาคาร โดยกำหนดว่า ในการแสดงตนและการพิสูจน์ตัวตนลูกค้าบุคคลธรรมดา กรณีผู้พิการ หรือผู้ทุพพลภาพที่ไม่มีบัตรประจำตัวประชาชน ให้ดำเนินการขอบัตรประจำตัวคนพิการ และเอกสารที่ออกจาก หน่วยงานของรัฐอย่างน้อย 1 รายการ นอกจากนี้ มาตรา 22 วรรคหนึ่ง (1) แห่งพระราชบัญญัติป้องกันและปราบปราม การฟอกเงิน พ.ศ. 2542 ซึ่งแก้ไขเพิ่มเติมโดยพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน (ฉบับที่ 2) พ.ศ. 2551 กำหนดให้สถาบันการเงินเก็บรักษารายละเอียดเกี่ยวกับการแสดงตนตามมาตรา 20 เป็นเวลาห้าปี นับแต่วันที่มีการปิดบัญชีหรือยุติความสัมพันธ์กับลูกค้า ซึ่งบัตรประจำตัวคนพิการหรือสมุดประจำตัวคนพิการ เป็นเอกสารที่มีข้อมูลส่วนบุคคลเกี่ยวกับความพิการรวมอยู่ด้วย จึงเป็นข้อมูลส่วนบุคคลตาม มาตรา 26 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หากลูกค้าที่ทำธุรกรรมเป็นคนพิการหรือทุพพลภาพ และเข้าเงื่อนไขที่ต้องแสดงตน ก่อนการทำธุรกรรมที่กำหนด แต่ไม่มีบัตรประจำตัวประชาชน ย่อมเป็นเหตุให้ธนาคารหรือสถาบันการเงิน มีความจำเป็นต้องขอบัตรประจำตัวคนพิการหรือสมุดประจำตัวคนพิการ และเอกสารที่ออกจากหน่วยงานของรัฐ อย่างน้อย 1 รายการ เพื่อวัตถุประสงค์ในการแสดงตนและการพิสูจน์ตัวตนของลูกค้าสำหรับการทำธุรกรรม ตามมาตรา 20 แห่งพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 ซึ่งแก้ไขเพิ่มเติม โดยพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน (ฉบับที่ 3) พ.ศ. 2552 ทั้งยังเป็นขั้นตอนแรก ของการตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า ตามมาตรา 20/1 แห่งพระราชบัญญัติป้องกัน และปราบปรามการฟอกเงิน พ.ศ. 2542 ซึ่งแก้ไขเพิ่มเติมโดยพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน (ฉบับที่ 3) พ.ศ. 2552 ประกอบกฎกระทรวงและแนวทางปฏิบัติของสำนักงาน ปปง. ที่เกี่ยวข้อง นอกจากนี้ ธนาคารหรือสถาบันการเงิน ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล จะต้องเก็บรักษารายละเอียดเกี่ยวกับการแสดงตนดังกล่าวไว้ ตามระยะเวลาที่กฎหมายกำหนด ตามมาตรา 22 วรรคหนึ่ง (1) แห่งพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 ซึ่งแก้ไขเพิ่มเติมโดยพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน (ฉบับที่ 2) พ.ศ. 2551 อีกด้วย การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับความพิการของธนาคารหรือสถาบันการเงิน เพื่อวัตถุประสงค์ดังกล่าว สำหรับลูกค้าซึ่งเป็นคนพิการหรือทุพพลภาพ ที่ใช้บัตรประจำตัวคนพิการหรือสมุดประจำตัวคน พิการเพื่อการแสดงตนและการพิสูจน์ตัวตน หากธนาคารพิจารณาแล้วเห็นว่าเป็นกรณีที่เป็นการจำเป็นในการปฏิบัติ ตามกฎหมายของธนาคารหรือสถาบันการเงิน และบทบัญญัติแห่งกฎหมายดังกล่าวมีขึ้นเพื่อให้การตัดวงจรการประกอบ อาชญากรรมเกี่ยวกับการกระทำความผิดมูลฐานตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงินเป็นไปอย่าง มีประสิทธิภาพ จึงอาจถือได้ว่าเป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์ สาธารณะที่สำคัญ ก็จะได้รับยกเว้นไม่ต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ตามนัย มาตรา 26 (5) (จ) ประกอบ มาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่ธนาคารหรือสถาบัน การเงินจะต้องจัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล อย่างไรก็ดี ธนาคารจะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าได้เพียงเท่าที่จำเป็นภายใต้ วัตถุประสงค์อันชอบด้วยกฎหมายเท่านั้น ตาม มาตรา 22 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด ในการเก็บรวบรวมข้อมูลส่วนบุคคล ตาม มาตรา 23 ซึ่งรวมถึง (1) วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำ ข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย และ (4) ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวม อาจจะถูกเปิดเผย โดยควรแจ้งรายละเอียดดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบด้วยวิธีการและรูปแบบ ที่เป็นธรรม โปร่งใส และเหมาะสมสำหรับเจ้าของข้อมูลส่วนบุคคลที่เป็นคนพิการหรือทุพพลภาพดังกล่าว และจะต้องปฏิบัติให้เป็นไปตามบทบัญญัติอื่น ๆ ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นที่เกี่ยวข้องอย่างครบถ้วนด้วย โดยเฉพาะการคุ้มครองสิทธิและเสรีภาพของคนพิการที่อาจขาด ความสามารถในการปกป้องสิทธิและประโยชน์ของตนเนื่องจากข้อจำกัดต่าง ๆ โดยธนาคารหรือสถาบันการเงินในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ โดยคำนึงถึงระดับความเสี่ยง ตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบ จากเหตุการละเมิดข้อมูลส่วนบุคคล ซึ่งจะต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ประกาศกำหนดตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัย ของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 ซึ่งออกตามความใน มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 รวมถึงอาจพิจารณาทำการแฝงข้อมูล (pseudonymization) เพื่อลดความเสี่ยงในการระบุตัวบุคคล ที่เป็นเจ้าของข้อมูลส่วนบุคคล หรือทำการเข้ารหัสข้อมูล (encryption) หรือใช้มาตรการอื่นในลักษณะเดียวกัน อย่างเหมาะสมตามระดับความเสี่ยง โดยคำนึงถึงปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับ สำหรับหน่วยงานหรือกิจการในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกัน ลักษณะและวัตถุประสงค์ของการเก็บ รวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการประกอบกัน หากการ ดำเนินการดังกล่าว ยังคงสามารถทำให้บรรลุวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้

เอกสารต้นฉบับ