หน้าหลัก

ข้อหารือที่ 13/2566 — กรมส่งเสริมสหกรณ์ (รายงานข้อมูลทางการเงิน)

7 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 16 (3), มาตรา 21, มาตรา 22, มาตรา 23, มาตรา 24 (6), มาตรา 27 และ มาตรา 37 (1)
  2. พระราชบัญญัติสหกรณ์ พ.ศ. 2542 ซึ่งแก้ไขเพิ่มเติมโดยพระราชบัญญัติสหกรณ์ (ฉบับที่ 3) พ.ศ. 2562 — มาตรา 89/2 (12)
  3. แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตาม PDPA

ข้อหารือ

กรมส่งเสริมสหกรณ์ได้ออกประกาศนายทะเบียนสหกรณ์ เรื่อง การจัดเก็บและรายงานข้อมูลทางการเงินของสหกรณ์ออมทรัพย์และสหกรณ์เครดิตยูเนี่ยน พ.ศ. 2564 ลงวันที่ 22 กันยายน 2564 ตามข้อ 25 ของกฎกระทรวงการดำเนินงานและการกำกับดูแลสหกรณ์ออมทรัพย์และสหกรณ์เครดิตยูเนี่ยน พ.ศ. 2564 ซึ่งออกตามความในมาตรา 89/2 แห่งพระราชบัญญัติสหกรณ์ พ.ศ. 2542 ซึ่งแก้ไขเพิ่มเติมโดยพระราชบัญญัติสหกรณ์ (ฉบับที่ 3) พ.ศ. 2562

จึงขอหารือว่าการจัดเก็บและการรายงานข้อมูลทางการเงินของสหกรณ์ตามประกาศนายทะเบียนสหกรณ์ฯ ตามแบบรายงานที่ 5.3 ลูกหนี้เงินให้กู้ยืมรายใหญ่ (รายบุคคล) และแบบรายงานที่ 6.3 เจ้าหนี้เงินกู้และผู้ฝากเงินรายใหญ่ (รายบุคคล) รวมทั้งแบบรายงานอื่นที่มีข้อมูลส่วนบุคคล ซึ่งสหกรณ์จะต้องจัดส่งข้อมูลเกี่ยวกับชื่อ-นามสกุล เลขประจำตัวประชาชน และธุรกรรมทางการเงินของสมาชิกสหกรณ์ให้แก่นายทะเบียนสหกรณ์เป็นรายเดือน สามารถดำเนินการได้โดยไม่ต้องได้รับความยินยอมจากสมาชิกก่อนได้หรือไม่ และเข้าลักษณะตามข้อยกเว้นตาม มาตรา 24 (4) หรือ (6) ประกอบ มาตรา 27 แห่ง PDPA หรือไม่ อย่างไร

ความเห็น

คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้พิจารณาข้อหารือแล้ว ขอเรียนว่า แม้สหกรณ์ฯ ได้เก็บรวบรวมข้อมูลส่วนบุคคลจากสมาชิกของสหกรณ์ เช่น ชื่อ-นามสกุล เลขประจำตัวประชาชน ธุรกรรมทางการเงิน สถานะทางการเงินและข้อมูลเกี่ยวกับการเป็นลูกหนี้หรือเจ้าหนี้ เนื่องมาจากการทำสัญญาทางการเงินก็ตาม แต่เมื่อกฎกระทรวงฯ และประกาศนายทะเบียนสหกรณ์ฯ ดังกล่าว ซึ่งออกตามความในมาตรา 89/2 (12) แห่งพระราชบัญญัติสหกรณ์ฯ กำหนดให้ต้องจัดเก็บและรายงานข้อมูลต่ออธิบดีกรมส่งเสริมสหกรณ์ในฐานะนายทะเบียนสหกรณ์ ซึ่งเป็นผู้มีหน้าที่และอำนาจตาม พ.ร.บ. สหกรณ์ฯ

ดังนั้น สหกรณ์ฯ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลของสมาชิกมีหน้าที่ดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของสมาชิกต่อนายทะเบียนสหกรณ์และกรมส่งเสริมสหกรณ์ได้ ตาม มาตรา 24 (6) ประกอบ มาตรา 27 แห่ง PDPA โดยไม่ต้องได้รับความยินยอมจากสมาชิกในฐานะเจ้าของข้อมูลส่วนบุคคลแต่อย่างใด

อย่างไรก็ตาม นายทะเบียนสหกรณ์และกรมส่งเสริมสหกรณ์มีหน้าที่อื่นๆ ที่จะต้องปฏิบัติตาม PDPA ด้วย กล่าวคือ

  1. การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลตาม มาตรา 22 · นายทะเบียนสหกรณ์และกรมส่งเสริมสหกรณ์มีหน้าที่ต้องพิจารณาด้วยว่า ข้อมูลดังกล่าวมีความจำเป็นที่ต้องเก็บรวบรวมเพื่อให้บรรลุวัตถุประสงค์ในการปฏิบัติหน้าที่ตามกฎหมายหรือไม่
  2. ผู้ควบคุมข้อมูลส่วนบุคคลต้องทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวมตาม มาตรา 21
  3. ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล (สหกรณ์ฯ) จะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคล (สมาชิก) ทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียดตามที่กำหนดใน มาตรา 23 โดยพึงดำเนินการให้สอดคล้องกับแนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลที่ คคส. กำหนดตาม มาตรา 16 (3)
  4. ผู้ควบคุมข้อมูลส่วนบุคคล (สหกรณ์และกรมส่งเสริมสหกรณ์) มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมตาม มาตรา 37 (1) และมีหน้าที่อื่นๆ ตามที่ PDPA กำหนด

เอกสารต้นฉบับ