หน้าหลัก

ข้อหารือที่ 19/2566 — บริษัท ก. (ลงนามคำรับรองให้บริษัทประกัน)

7 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 19, มาตรา 20, มาตรา 23, มาตรา 24, มาตรา 26, มาตรา 27 และ มาตรา 95
  2. ประมวลกฎหมายแพ่งและพาณิชย์ — ลักษณะ 4 นิติกรรม และมาตรา 149
  3. แนวทางการดำเนินการในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตาม PDPA

ข้อหารือ

บริษัท ก. โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ แจ้งว่า บริษัทประกันภัย ฮ. ("ฮ.") ได้ดำเนินการร้องขอบริษัท ก. โดยแนวทางของสมาคมประกันภัย ให้บริษัท ก. ลงนามในคำรับรองการได้รับความยินยอมจากสมาชิกผู้เอาประกันภัย/ผู้อยู่ในอุปการะ ("หนังสือคำรับรอง") โดยเนื้อหาหลักโดยรวม เป็นกรณีให้บริษัท ก. รับรองว่าพนักงานผู้เอาประกันกลุ่มยินยอมและรับรองความถูกต้องให้ประมวลผล (processing) ข้อมูลส่วนบุคคลของพนักงานแก่ ฮ. · หากบริษัท ก. ไม่ลงนาม จะเสียสิทธิการต่อประกันหรือการเพิ่มสมาชิกเอาประกันกับ ฮ.

บริษัท ก. เห็นว่า:

  1. โดยหลักการของ PDPA การยินยอมเปิดเผยข้อมูลต้องมาจากตัวเจ้าของข้อมูลโดยแท้ มิใช่ใครจะให้ความยินยอมแทนได้
  2. บริษัท ก. กับ ฮ. มีการจำกัดความรับผิดค่ารักษาพยาบาลโดยตัวกรมธรรม์
  3. การที่ ฮ. ปฏิเสธการให้บริการโดยอ้างการไม่ให้ความยินยอม ผิดหลัก มาตรา 19
  4. ฮ. สามารถใช้วัตถุประสงค์เดิมจากการทำกรมธรรม์กลุ่มที่มีอยู่โดยไม่ต้องมีเอกสารความยินยอมเพิ่มเติมตาม มาตรา 95

จึงขอหารือ 4 ประเด็น:

  1. หนังสือคำรับรองของ ฮ. เป็นเอกสารที่ผิดวัตถุประสงค์ของ PDPA หรือไม่ (ยินยอมแทนพนักงานเพื่อ Processing Sensitive Data)
  2. การที่ ฮ. บังคับให้ลงนามหนังสือคำรับรอง โดยหากไม่ลงนามจะไม่ให้บริการ ผิด มาตรา 19 หรือไม่
  3. ลักษณะการผลักภาระความรับผิดชอบในการขอความยินยอมมาที่บริษัท ก. เป็นลักษณะที่มีวัตถุประสงค์ที่ไม่ชอบด้วยกฎหมายหรือไม่
  4. หนังสือคำรับรองสามารถแก้ไขได้หรือไม่ มีข้อกฎหมายใดบังคับให้บริษัท ก. ต้องลงนาม

ความเห็น

คณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พิจารณาเรื่องหารือดังกล่าวแล้ว เห็นว่า

ประเด็นหารือที่ 1 ถึง 3 ในการขอความยินยอม มาตรา 19 วรรคหนึ่ง วรรคสอง และวรรคสาม แห่ง PDPA บัญญัติให้ผู้ควบคุมข้อมูลส่วนบุคคลที่จะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้ และการขอความยินยอมต้องทำโดยชัดแจ้ง

อย่างไรก็ดี ผู้ควบคุมข้อมูลส่วนบุคคลอาจมอบหมายให้ตัวแทนหรือผู้อื่นกระทำการแทนในเรื่องการขอความยินยอมดังกล่าวได้ เนื่องจากในบางกรณีอาจมีข้อจำกัดในทางปฏิบัติ ตามประมวลกฎหมายแพ่งและพาณิชย์ การให้ความยินยอมเป็นนิติกรรมฝ่ายเดียวที่บุคคลหนึ่งทำลงโดยชอบด้วยกฎหมายและด้วยใจสมัคร

การขอความยินยอมและการให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จึงไม่จำเป็นต้องกระทำโดยผู้ควบคุมข้อมูลส่วนบุคคลต่อเจ้าของข้อมูลส่วนบุคคลโดยตรง แต่จะต้องมีเนื้อหาที่ครอบคลุมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคล (หรือบุคคลอื่น) ในวัตถุประสงค์ที่เกี่ยวข้อง และจะต้องเป็นการขอความยินยอมโดยชอบด้วยกฎหมาย โดยเป็นไปตาม มาตรา 19 และ มาตรา 20 แห่ง PDPA · การมอบหมายให้ตัวแทนหรือผู้อื่นทำการขอความยินยอมแทนผู้ควบคุมข้อมูล อาจมีการกำหนดหน้าที่ความรับผิดชอบและสิทธิในรูปแบบนิติกรรมหรือสัญญา (ตราบเท่าที่ไม่ได้เป็นการมอบหมายให้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของตน ที่จะทำให้ฝ่ายที่ได้รับมอบหมายมีฐานะเปลี่ยนไปเป็นผู้ประมวลผลข้อมูลส่วนบุคคล)

สำหรับประเด็นที่บริษัท ก. หารือมา เมื่อพิจารณาข้อความในหนังสือคำรับรองของบริษัทประกันภัยที่ได้กำหนดให้บริษัท ก. ในฐานะผู้ถือกรมธรรม์ ต้องลงนามในคำรับรองสำหรับผู้ถือกรมธรรม์ พบว่า เป็นเพียงการรับรองต่อบริษัทประกันภัยที่เป็นผู้รับประกันภัย ในลักษณะที่เป็นการยืนยันว่า บริษัท ก. ได้ทำหน้าที่ในการแจ้งนโยบายคุ้มครองข้อมูลส่วนบุคคลของผู้รับประกันภัยให้กับสมาชิกผู้เอาประกันภัยรับทราบแล้ว (เพื่อให้เป็นไปตาม มาตรา 23 ในเรื่อง privacy notice) และได้รับรองว่าข้อมูลของสมาชิกผู้เอาประกันภัยที่ส่งให้ผู้รับประกันภัยและ/หรือนายหน้าประกันชีวิตเป็นข้อมูลที่ถูกต้อง และได้นำ "หนังสือให้ความยินยอม" ไปขอความยินยอมจากพนักงานของบริษัท ก. แทนบริษัทประกันชีวิตที่เป็นผู้รับประกันภัย และได้รับความยินยอมจากพนักงานแล้ว

การที่บริษัท ก. ทำหน้าที่ประสานงานเพื่อขอความยินยอมจากพนักงานของบริษัท ก. แทนผู้รับประกันภัย จึงไม่ใช่การที่บริษัท ก. ให้ความยินยอมแทนพนักงาน · คำรับรองและหนังสือรับรองดังกล่าว จึงไม่ใช่การขอความยินยอมและการให้ความยินยอมตามนัย มาตรา 19 · เนื้อหาในคำรับรองที่มีลักษณะเป็นการมอบหมายหน้าที่หรือ "ผลักภาระ" ความรับผิดชอบในการขอความยินยอมมายังบริษัท ก. สามารถกระทำได้โดยชอบด้วยกฎหมาย หากผู้ที่ได้รับมอบหมายได้ดำเนินการขอความยินยอมจากเจ้าของข้อมูลและเจ้าของข้อมูลได้ให้ความยินยอมโดยชอบด้วยกฎหมายและเป็นไปตาม มาตรา 19 และ มาตรา 20

บริษัท ก. สามารถลงนามให้คำรับรองดังกล่าวได้ หากพิจารณาแล้วเห็นว่าสามารถปฏิบัติตามเงื่อนไข หน้าที่ และยอมรับความรับผิดได้ หรือหากไม่สามารถยอมรับเงื่อนไข ก็อาจพิจารณาเจรจากับผู้รับประกันภัยที่เป็นคู่สัญญา หรือพิจารณาเงื่อนไขการให้บริการของบริษัทประกันชีวิตรายอื่น

ข้อสังเกต การที่บริษัทประกันชีวิตกำหนดเงื่อนไขในลักษณะบังคับให้บริษัทฯ ลงนาม โดยหากไม่ลงนามจะไม่ให้บริการ — อาจเป็นความพยายามในการดำเนินการของบริษัทประกันชีวิตเพื่อให้มีการขอความยินยอมและการให้ความยินยอมโดยชอบด้วยกฎหมายภายใต้ข้อจำกัดในทางปฏิบัติ · เป็นการพิจารณาทำนิติกรรมหรือสัญญาระหว่างเอกชนด้วยกัน หากคู่สัญญาฝ่ายใดไม่ยอมรับเงื่อนไข ก็สามารถปฏิเสธการทำสัญญาร่วมกันได้

ประเด็นหารือที่ 4 คำรับรองตามที่กำหนดในหนังสือรับรองเป็นนิติกรรมตามประมวลกฎหมายแพ่งและพาณิชย์ และไม่ใช่การขอความยินยอมหรือการให้ความยินยอมตาม PDPA · ผู้เกี่ยวข้องจึงสามารถพิจารณาแก้ไขได้โดยเป็นไปตาม ป.พ.พ. และไม่มีบทบัญญัติใดใน PDPA บัญญัติห้ามหรือบังคับว่าบริษัท ก. จะต้องลงนามหรือไม่ · แต่ มาตรา 19 ประกอบ มาตรา 24, มาตรา 26 และ มาตรา 27 วรรคหนึ่ง บัญญัติให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลที่เกี่ยวข้องตามกรณีที่หารือนี้ ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวม ใช้ หรือเปิดเผย · ผู้เกี่ยวข้องจึงควรพิจารณาหารือร่วมกันเพื่อให้การดำเนินการเป็นไปตามพระราชบัญญัตินี้

เอกสารต้นฉบับ