หน้าหลัก

ข้อหารือที่ 3/2568 — สำนักงาน คปภ. (6 issues ระบบฐานข้อมูลประกันภัย+ทายาท+หน่วยงานรัฐอื่น)

10 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

(ไม่ปรากฏหัวข้อข้อกฎหมายในเอกสารต้นฉบับ — ฐานทางกฎหมายที่อ้างถึงใน "ความเห็น" ประกอบด้วย มาตรา 3 (1), มาตรา 4 (2) และ (5), มาตรา 6, มาตรา 21 วรรคหนึ่งและวรรคสอง, มาตรา 22, มาตรา 23 (2), มาตรา 24 (3) (4) (5) (6), มาตรา 26 (4) (5) (จ), มาตรา 27 วรรคหนึ่งและวรรคสอง, มาตรา 37 (1) (2) แห่ง PDPA + พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 ม.4/25 + พ.ร.บ. คปภ. ม.17/20 (2) + ประกาศนายทะเบียนฯ ฉ้อฉล 2564 + ประกาศมาตรการรักษาความมั่นคงปลอดภัยฯ 2565 ข้อ 4)

ข้อหารือ

(ไม่ปรากฏหัวข้อข้อหารือในเอกสารต้นฉบับ — แต่ในความเห็นได้สรุปประเด็นข้อหารือ 6 ประเด็น: ฐานข้อมูลฉ้อฉลประกันภัย, แลกเปลี่ยนข้อมูลกรมธรรม์ระหว่างบริษัท, ข้อมูล sensitive ตาม ม.26, แนวทางสำหรับธุรกิจประกันชีวิต/วินาศภัยที่แตกต่าง, หน่วยงานรัฐอื่นขอเชื่อมโยง, ทายาท/ผู้รับประโยชน์ขอข้อมูลกรมธรรม์)

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการ คุ้มครองข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้พิจารณาเรื่องหารือดังกล่าวแล้ว เห็นว่า การดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของสำนักงาน คปภ. ต้องพิจารณาหลักเกณฑ์การคุ้มครอง ข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยในขณะเดียวกัน สำนักงาน คปภ. มีฐานะเป็นหน่วยงานของรัฐตามมาตรา 17 วรรคหนึ่ง แห่งพระราชบัญญัติคณะกรรมการ กำกับและส่งเสริมการประกอบธุรกิจประกันภัย พ.ศ. 2550 การบริหารจัดการข้อมูลข่าวสารที่อยู่ใน ความครอบครองหรือควบคุมดูแลของสำนักงาน คปภ. จะต้องถือปฏิบัติตามพระราชบัญญัติข้อมูลข่าวสาร ของราชการ พ.ศ. 2540 ด้วย ซึ่งเป็นไปตาม มาตรา 3 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่กำหนดว่า "ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการนั้น เว้นแต่ (1) บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับสิทธิ ของเจ้าของข้อมูลส่วนบุคคล รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่งพระราชบัญญัตินี้ เป็นการเพิ่มเติม ไม่ว่าจะซ้ำกับบทบัญญัติแห่งกฎหมายว่าด้วยการนั้นหรือไม่ก็ตาม" ดังนั้น ในข้อหารือ บางประเด็นที่เกี่ยวข้องกับพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 สำนักงาน คปภ. อาจพิจารณาหารือไปยังคณะกรรมการข้อมูลข่าวสารของราชการ ซึ่งมีอำนาจหน้าที่ตามพระราชบัญญัตินี้ เพื่อตอบข้อหารือในประเด็นดังกล่าวโดยตรงต่อไป สำหรับประเด็นข้อหารือของสำนักงาน คปภ. ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คณะอนุกรรมการตอบข้อหารือฯ พิจารณาแล้วมีความเห็นในแต่ละประเด็น ดังนี้

ประเด็นข้อหารือที่ 1 (ฐานข้อมูลฉ้อฉลประกันภัย)

สำนักงาน คปภ. เป็นหน่วยงานที่มีอำนาจหน้าที่ในการกำกับ ส่งเสริม และพัฒนา การประกอบธุรกิจประกันภัยตามนโยบายและมติของคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจ ประกันภัย (คปภ.) ตลอดจนหลักเกณฑ์ วิธีการ เงื่อนไข และแนวปฏิบัติที่ คปภ. กำหนด ซึ่งปรากฏ ตามมาตรา 20 (2) แห่งพระราชบัญญัติคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย พ.ศ. 2550 และมีฐานะเป็นนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล เพื่อให้บรรลุวัตถุประสงค์ตามอำนาจหน้าที่ที่กฎหมายกำหนด จึงมีฐานะเป็นผู้ควบคุมข้อมูล ส่วนบุคคลตาม มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การจะจัดทำ ระบบฐานข้อมูลเกี่ยวกับการฉ้อฉลประกันภัย และขอให้สำนักงาน คปภ. เปิดเผยข้อมูลในฐานข้อมูลดังกล่าว ให้แก่บริษัทประกันภัยจะสามารถดำเนินการได้หรือไม่ เพียงใด นั้น สำนักงาน คปภ. ต้องพิจารณาจากกฎหมาย ที่เกี่ยวข้องกับการประกันวินาศภัยหรือการประกันชีวิต รวมถึงกฎหมายว่าด้วยคณะกรรมการกำกับและส่งเสริม การประกอบธุรกิจประกันภัยว่า การจัดทำฐานข้อมูลดังกล่าวมีวัตถุประสงค์อย่างไร ข้อมูลที่เก็บรวบรวมใน ระบบฐานข้อมูลจะเปิดเผยให้ผู้ใดได้บ้าง และเป็นการดำเนินการตามอำนาจหน้าที่ของสำนักงาน คปภ. เพื่อให้ บรรลุวัตถุประสงค์ในการกำกับ ส่งเสริม และพัฒนาการประกอบธุรกิจประกันภัยตามนโยบายและมติของ คปภ. ตลอดจนหลักเกณฑ์ วิธีการ เงื่อนไข และแนวปฏิบัติที่ คปภ. กำหนดหรือไม่ หากเป็นกรณีดังกล่าว สำนักงาน คปภ. ก็สามารถเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับการฉ้อฉลประกันภัยโดยได้รับยกเว้นไม่ต้องขอความยินยอมได้ เนื่องจากเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล ส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล ตาม มาตรา 24 (4) หรือเป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล ตาม มาตรา 24 (6) หรือเป็นการจำเป็น ในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะที่สำคัญ โดยได้จัดให้มี มาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ตาม มาตรา 26 (5) (จ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แล้วแต่กรณี ทั้งนี้ เนื่องจากการตรวจสอบ ป้องกัน และแก้ไขปัญหาการฉ้อฉลประกันภัย เป็นมาตรการหนึ่งในการกำกับดูแลการประกอบธุรกิจประกันภัย อันมีลักษณะเป็นธุรกรรมทางการเงินประเภทหนึ่งซึ่งมีผลกระทบโดยตรงต่อระบบเศรษฐกิจและการเงิน ของประเทศและต่อผู้เอาประกันภัยซึ่งเป็นผู้บริโภค การกำกับดูแลการประกอบธุรกิจประกันภัยและ การคุ้มครองสิทธิของผู้เอาประกันภัยโดยรวมที่เป็นไปอย่างมีประสิทธิภาพ จึงเป็นวัตถุประสงค์เกี่ยวกับ ประโยชน์สาธารณะที่สำคัญ นอกจากนี้ หากสำนักงาน คปภ. พิจารณาแล้วเห็นว่า มีความจำเป็นต้องใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวให้แก่บริษัทประกันภัย ในฐานะที่สำนักงาน คปภ. เป็นหน่วยงาน กำกับดูแลและบริหารจัดการข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ดังกล่าว การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลระหว่างสำนักงาน คปภ. กับบริษัทประกันภัยต่าง ๆ เพื่อประโยชน์ ในการตรวจสอบ ป้องกัน และแก้ไขปัญหาการฉ้อฉลประกันภัย ก็สามารถดำเนินการได้ โดยได้รับยกเว้นไม่ต้อง ขอความยินยอมตาม มาตรา 24 หรือ มาตรา 26 แล้วแต่กรณี ประกอบ มาตรา 27 วรรคหนึ่ง

อย่างไรก็ตาม ตามประเด็นที่หารือ หากบริษัทประกันภัยประสงค์จะแลกเปลี่ยนข้อมูล ส่วนบุคคลของผู้เอาประกันภัยระหว่างกัน โดยการจัดทำและบริหารจัดการศูนย์ข้อมูลกลางด้านการประกันภัย ร่วมกันเองโดยลำพังโดยสำนักงาน คปภ. ไม่ได้เป็นผู้ดำเนินการ บริษัทประกันภัยไม่อาจอาศัยบทบัญญัติ ตาม มาตรา 24 (4) หรือ (6) หรือ มาตรา 26 (5) (จ) แล้วแต่กรณี ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล ส่วนบุคคลเพื่อวัตถุประสงค์ดังกล่าวได้เองโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ถ้าไม่ได้มี บทบัญญัติตามกฎหมายที่เกี่ยวข้องกำหนดไว้ซึ่งบริษัทประกันภัยจำเป็นต้องปฏิบัติตาม และไม่ได้เป็น การปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่บริษัทประกันภัย

อนึ่ง คณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตเพิ่มเติมว่า ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลในฐานข้อมูลกลางเกี่ยวกับการฉ้อฉลประกันภัยให้แก่บริษัทประกันภัยนั้น สำนักงาน คปภ. ควรดำเนินการเท่าที่จำเป็น เพื่อให้เป็นไปตาม มาตรา 22 แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 โดยอาจพิจารณาดำเนินการในลักษณะระบบตรวจสอบ เช่น เมื่อบริษัทประกันภัยได้ สอบถามข้อมูลมายังระบบฐานข้อมูลกลางเกี่ยวกับการฉ้อฉลประกันภัยของสำนักงาน คปภ. ว่า ลูกค้าหรือ ผู้เอาประกันภัยมีการฉ้อฉลประกันภัยหรือไม่ ระบบดังกล่าวจะทำหน้าที่ในการส่งต่อคำร้องขอดังกล่าว ไปยังผู้เกี่ยวข้องภายในสำนักงาน คปภ. เพื่อตรวจสอบประวัติการฉ้อฉล แล้วจึงแจ้งผลการตรวจสอบดังกล่าว ผ่านทางระบบว่า พบประวัติการฉ้อฉลหรือไม่ พร้อมระบุรายละเอียดที่เกี่ยวข้องเท่าที่จำเป็น โดยควรจำกัดสิทธิ ของบุคคลที่จะเข้าถึงข้อมูลดังกล่าวให้น้อยที่สุด และจัดให้มีมาตรการรักษาความมั่นคงปลอดภัย ซึ่งจะต้อง ประกอบด้วยมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย เพื่อให้ ข้อมูลดังกล่าวที่อยู่ในความครอบครองหรือควบคุมดูแลของสำนักงาน คปภ. ยังคงธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูล ส่วนบุคคล ตาม มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบกับ ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูล ส่วนบุคคล พ.ศ. 2565

สำหรับประเด็นว่า พฤติกรรมการฉ้อฉลตามประกาศนายทะเบียน 2564 จะเข้าข่ายเป็นข้อมูลประวัติอาชญากรรมตาม มาตรา 26 หรือไม่ คณะอนุกรรมการตอบข้อหารือฯ เห็นว่า ต้องพิจารณาตามบทนิยามในข้อ 3 ของประกาศ คกก. 2566 — พฤติกรรมที่มีเหตุอันควรสงสัย จะเป็นข้อมูลประวัติอาชญากรรมต่อเมื่อเป็นข้อมูลในเชิงพฤติกรรมที่เชื่อมโยงกับการสืบสวน/ดำเนินคดี/รับโทษทางอาญา และเป็นข้อมูลที่เป็นทางการหรือรับรองโดยหน่วยงานรัฐที่มีอำนาจ (เช่น กองทะเบียนประวัติอาชญากร สตช. หรือกรมราชทัณฑ์) เท่านั้น · หากยังไม่ได้นำไปดำเนินการอาญา ก็ยังไม่ถือเป็นประวัติอาชญากรรม · ต้องพิจารณาเป็นรายกรณี · ไม่ว่าจะเป็นประวัติอาชญากรรมหรือไม่ก็ตาม การเก็บข้อมูลดังกล่าวยังต้องเก็บเท่าที่จำเป็นตาม มาตรา 22 + มาตรการ security ตาม มาตรา 37 (1)

ประเด็นข้อหารือที่ 2 (แลกเปลี่ยนข้อมูลกรมธรรม์ระหว่างบริษัทประกันภัย)

การเปิดเผยข้อมูลส่วนบุคคลเกี่ยวกับกรมธรรม์ประกันภัยจากฐานข้อมูลกลางประกันภัย แก่ภาคธุรกิจประกันภัยเพื่อประโยชน์ต่อการประกอบธุรกิจประกันภัย กรณีที่เป็นข้อมูลส่วนบุคคลที่มิใช่ข้อมูล ส่วนบุคคลตาม มาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หากไม่มีกฎหมายใด กำหนดไว้เป็นการเฉพาะให้ต้องเปิดเผยข้อมูลส่วนบุคคลอันเป็นการปฏิบัติตาม มาตรา 24 (6) ประกอบ มาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติดังกล่าว และเป็นกรณีที่มีความจำเป็นในการกำกับดูแลหรือส่งเสริม การประกอบธุรกิจประกันภัยโดยรวม ตามนโยบายและมติของ คปภ. ตลอดจนหลักเกณฑ์ วิธีการ เงื่อนไข และแนวปฏิบัติที่ คปภ. กำหนด ซึ่งเป็นอำนาจหน้าที่ประการหนึ่งของสำนักงาน คปภ. ก็อาจพิจารณา เก็บรวบรวมข้อมูลส่วนบุคคลโดยได้รับยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้ เนื่องจาก เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล ตาม มาตรา 24 (4) แต่ใน การพิจารณาใช้ฐานทางกฎหมายดังกล่าว สำนักงาน คปภ. จะต้องพิจารณาตามหลักความจำเป็นและ หลักความได้สัดส่วนว่าการดำเนินการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวจำเป็นต้องมีขึ้นเพื่อให้การปฏิบัติหน้าที่ ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของสำนักงาน คปภ. หรือการปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้ มอบให้แก่สำนักงาน คปภ. สามารถสัมฤทธิ์ผลได้ใช่หรือไม่ นอกจากนี้ หากมีการเปิดเผยข้อมูลส่วนบุคคล ตาม มาตรา 26 เช่น ข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรมหรือข้อมูลสุขภาพ สำนักงาน คปภ. ก็อาจ พิจารณาดำเนินการโดยได้รับยกเว้นไม่ต้องขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลได้ โดยถือเป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะที่สำคัญ ตาม มาตรา 26 (5) (จ) โดยจะต้องจัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ ของผู้เอาประกันภัยที่เป็นเจ้าของข้อมูลส่วนบุคคล ซึ่งควรประกอบด้วยมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสมกับระดับความเสี่ยง โดยเฉพาะ อย่างยิ่ง สำนักงาน คปภ. ในฐานะหน่วยงานกำกับดูแลควรพิจารณากำหนดนโยบายหรือหลักเกณฑ์ให้ บริษัทประกันภัยกำหนดเงื่อนไขในแบบคำขอเอาประกันภัย และระบุข้อมูลในการแจ้งวัตถุประสงค์และ รายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลตาม มาตรา 23 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ว่าผู้รับประกันภัยจำเป็นจะต้องตรวจสอบข้อมูลเกี่ยวกับกรมธรรม์ประกันภัยของผู้เอาประกันภัย เพื่อการเข้าทำสัญญากรมธรรม์ประกันภัยหรือการให้บริการตามสัญญากรมธรรม์ประกันภัย เนื่องจาก ผู้เอาประกันภัยมีหน้าที่ต้องเปิดเผยหรือให้ข้อมูลที่เป็นความจริง ไม่ปกปิด หรือให้ข้อมูลอันเป็นเท็จ แก่ผู้รับประกันภัย ตามหลักการที่สำคัญประการหนึ่งของการทำสัญญาประกันภัย คือ หลักสุจริตอย่างยิ่ง (Principle of Utmost Good Faith) จึงถือเป็นกรณีที่ผู้เอาประกันภัยในฐานะเจ้าของข้อมูลส่วนบุคคล ต้องให้ข้อมูลส่วนบุคคลเพื่อปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจำเป็นต้องให้ข้อมูลส่วนบุคคล เพื่อเข้าทำสัญญา ตาม มาตรา 23 (2) แห่งพระราชบัญญัตินี้ โดยผู้รับประกันภัยมีหน้าที่ต้องแจ้งถึงผลกระทบ ที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล ตามเงื่อนไขในมาตราดังกล่าวด้วย

อย่างไรก็ตาม หากบริษัทประกันภัยประสงค์จะแลกเปลี่ยนข้อมูลส่วนบุคคลของผู้เอาประกันภัยระหว่างกัน โดยจัดทำศูนย์ข้อมูลกลางร่วมกันเองโดยลำพัง โดยสำนักงาน คปภ. ไม่ได้เป็นผู้ดำเนินการ บริษัทประกันภัยไม่อาจอาศัย มาตรา 24 (4)/(6) หรือ มาตรา 26 (5) (จ) ได้เอง ถ้าไม่มีกฎหมายเฉพาะกำหนด

ประเด็นข้อหารือที่ 3 (ข้อมูลอ่อนไหวเพื่อ underwriting + นิยาม "ประโยชน์สาธารณะที่สำคัญ")

สำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทประกันภัย ไม่ว่าเป็น ข้อมูลส่วนบุคคลตาม มาตรา 26 หรือไม่ก็ตาม จะต้องเป็นไปตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคล ไว้ก่อนหรือในขณะที่เก็บรวบรวม ตามที่บัญญัติไว้ใน มาตรา 21 วรรคหนึ่ง · การใช้/เปิดเผยตาม มาตรา 27 วรรคหนึ่ง ต้องสอดคล้องกับวัตถุประสงค์เดิม เว้นแต่จะแจ้งใหม่+ได้รับความยินยอม หรือมีกฎหมายให้กระทำ ตาม มาตรา 21 วรรคสอง · การพิจารณารับประกันภัย/คำนวณเบี้ย/ชดใช้ค่าสินไหม = ปฏิบัติตามสัญญา ตาม มาตรา 24 (3) ไม่ใช่การก่อตั้งสิทธิเรียกร้องตาม มาตรา 26 (4) · ดังนั้นข้อมูล sensitive ที่ใช้สำหรับ underwriting/contract ต้องขอความยินยอมโดยชัดแจ้งตาม มาตรา 26 ประกอบ มาตรา 27 วรรคหนึ่ง เว้นแต่เข้าข้อยกเว้นอื่น · มาตรา 26 (4) เหมาะสำหรับสถานพยาบาลเปิดเผยข้อมูลผู้ป่วยเพื่อเรียกเก็บค่ารักษา ตามกรมธรรม์.

สำหรับ มาตรา 26 (5) (จ) "ประโยชน์สาธารณะที่สำคัญ" — PDPA ไม่ได้กำหนดนิยามไว้ชัดแจ้ง ดังเช่น UK Data Protection Act 2018 · อย่างไรก็ตาม คปภ. หรือสำนักงาน คปภ. มีอำนาจกำหนดหลักเกณฑ์ เกี่ยวกับการประกอบธุรกิจประกันภัยที่บังคับให้บริษัทประกันภัยต้องเก็บ/ใช้/เปิดเผยข้อมูลเพื่อประโยชน์ สาธารณะได้ · เมื่อ คปภ. กำหนดหลักเกณฑ์แล้ว บริษัทประกันภัยที่ปฏิบัติตามย่อมใช้ฐาน มาตรา 26 (5) (จ) ประกอบ มาตรา 27 วรรคหนึ่งได้

ประเด็นข้อหารือที่ 4 (แนวทางเฉพาะธุรกิจประกันชีวิต vs วินาศภัย)

การประกอบธุรกิจประกันภัย ไม่ว่าจะเป็นธุรกิจประกันชีวิตหรือธุรกิจประกันวินาศภัย ล้วนมีลักษณะการดำเนินงานที่จำเพาะและอาจมีบริบทและรายละเอียดในการดำเนินงานที่แตกต่างกัน การกำหนดแนวปฏิบัติที่จะมีผลกระทบต่อผู้ประกอบธุรกิจหรือบุคคลอื่นที่เกี่ยวข้องโดยตรง จึงควรเป็น การดำเนินการของหน่วยงานที่เกี่ยวข้องซึ่งทราบบริบทของการดำเนินการในภาคธุรกิจดังกล่าวเป็นอย่างดี ดังนั้น สำนักงาน คปภ. ในฐานะหน่วยงานของรัฐที่มีอำนาจหน้าที่ในการกำกับ ส่งเสริมและพัฒนาการประกอบ ธุรกิจประกันภัย จึงสามารถกำหนดหลักเกณฑ์ มาตรฐาน หรือแนวปฏิบัติที่เหมาะสมสำหรับการดำเนินงาน ทั้งปวงที่เกี่ยวข้องกับภาคธุรกิจประกันภัยได้ ซึ่งอาจรวมถึงแนวปฏิบัติหรือข้อกำหนดสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ประกอบธุรกิจประกันภัย เพื่อให้การดำเนินงานในแต่ละประเภท ของธุรกิจดังกล่าวมีความเหมาะสมและสามารถบรรลุวัตถุประสงค์ของกิจการนั้น ๆ ได้ แต่จะต้องไม่ขัด กับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นที่เกี่ยวข้อง · อาจหารือกับ สคส. ก่อนได้

ประเด็นข้อหารือที่ 5 (หน่วยงานรัฐอื่นขอเชื่อมโยงข้อมูล)

การดำเนินการของหน่วยงานของรัฐที่ประสงค์จะขอเชื่อมโยงข้อมูลส่วนบุคคลเกี่ยวกับข้อมูล กรมธรรม์ประกันภัยจากระบบฐานข้อมูลของสำนักงาน คปภ. จะต้องดำเนินการโดยเป็นไปตามหลักเกณฑ์ ที่กฎหมายกำหนดหน้าที่และอำนาจไว้สำหรับแต่ละหน่วยงานดังกล่าว ดังนั้น ในการเปิดเผยข้อมูลส่วนบุคคล ให้กับหน่วยงานของรัฐดังกล่าว สำนักงาน คปภ. จะต้องพิจารณาว่าเป็นกรณีที่จะเปิดเผยให้หน่วยงานดังกล่าว เพื่อวัตถุประสงค์ใด สำหรับกรณีที่เป็นการเปิดเผยเนื่องจากเป็นหน้าที่ที่ต้องปฏิบัติตามกฎหมาย ย่อมถือได้ว่า เป็นการปฏิบัติตามกฎหมายตาม มาตรา 24 (6) หรือ มาตรา 26 (5) แล้วแต่กรณี ประกอบ มาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่ในกรณีที่ไม่ใช่การปฏิบัติ ตามกฎหมายแต่เป็นเพียงการขอความร่วมมือ ซึ่งไม่มีสภาพบังคับให้สำนักงาน คปภ. ต้องปฏิบัติตาม หากสำนักงาน คปภ. พิจารณาแล้วเห็นว่าการเปิดเผยข้อมูลส่วนบุคคลให้แก่หน่วยงานของรัฐที่ร้องขอดังกล่าว มีความจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของหน่วยงานนั้น หรือปฏิบัติ หน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่หน่วยงานนั้น ซึ่งเป็นไปตามหน้าที่และอำนาจของหน่วยงานดังกล่าว ก็สามารถอาศัยข้อยกเว้นตาม มาตรา 24 (4) หรือ มาตรา 26 (5) แล้วแต่กรณี ประกอบ มาตรา 27 วรรคหนึ่ง ได้ โดยหน่วยงานของรัฐผู้ขอข้อมูลต้องเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลนั้นเท่าที่จำเป็นภายใต้ หน้าที่และอำนาจของตนตามกฎหมายที่เกี่ยวข้องเท่านั้น ตามนัย มาตรา 22 และจะต้องไม่ใช้หรือเปิดเผย ข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับสำนักงาน คปภ. ในการขอรับข้อมูลส่วนบุคคลนั้นตาม มาตรา 27 วรรคสอง รวมทั้งมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคง ปลอดภัยที่เหมาะสมตาม มาตรา 37 (1) ซึ่งต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูล ส่วนบุคคลประกาศกำหนดในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษา ความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 นอกจากนี้ ในการเปิดเผยข้อมูลส่วนบุคคล ดังกล่าวให้กับหน่วยงานอื่น สำนักงาน คปภ. ต้องดำเนินการเพื่อป้องกันมิให้หน่วยงานนั้นใช้หรือเปิดเผยข้อมูล ส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ตาม มาตรา 37 (2) ในส่วนที่สามารถกระทำได้ด้วย

ทั้งนี้ ในกรณีที่หน่วยงานของรัฐอื่นร้องขอให้สำนักงาน คปภ. จัดทำระบบเชื่อมโยงข้อมูล ส่วนบุคคลระหว่างกัน เพื่อเปิดเผยข้อมูลเกี่ยวกับกรมธรรม์ประกันภัยของผู้เอาประกันภัยเป็นจำนวนมาก จากระบบฐานข้อมูลกลางด้านการประกันภัย โดยกล่าวอ้างวัตถุประสงค์อย่างกว้าง ๆ เพื่อประโยชน์ใน การป้องกันการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย หรือตรวจสอบการปฏิบัติตามกฎหมายที่หน่วยงานดังกล่าว กำกับดูแล แต่ไม่มีการระบุหรือชี้แจงบทบัญญัติแห่งกฎหมายที่ให้อำนาจในการขอข้อมูลส่วนบุคคลดังกล่าวไว้ อย่างชัดเจน ควรเป็นหนึ่งในปัจจัยที่สำนักงาน คปภ. คำนึงถึงอย่างรอบคอบเพื่อประกอบการพิจารณาใช้ ดุลพินิจในการเปิดเผยข้อมูลกรมธรรม์ประกันภัยของสำนักงาน คปภ. ตามคำขอของหน่วยงานดังกล่าว

อนึ่ง ในกรณีที่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของหน่วยงานของรัฐที่ร้องขอ ข้อมูลส่วนบุคคลดังกล่าวจากสำนักงาน คปภ. เป็นการดำเนินงานตามกระบวนการยุติธรรมทางอาญา ซึ่งครอบคลุมตั้งแต่กระบวนการเพื่อให้รู้ถึงการกระทำความผิดอาญา ผู้กระทำความผิดอาญา ข้อเท็จจริงและ รายละเอียดแห่งความผิดอาญา การติดตามหาตัวผู้กระทำความผิดอาญา การพิจารณาความผิดอาญา และการลงโทษผู้กระทำความผิดอาญา หรือเป็นการดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษา ความมั่นคงของรัฐ ซึ่งรวมถึงการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกัน และปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์ การดำเนินการ ของหน่วยงานของรัฐดังกล่าวที่เป็นไปตามหน้าที่และอำนาจตามกฎหมาย ย่อมได้รับยกเว้นไม่ให้นำบทบัญญัติ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาใช้บังคับ ตาม มาตรา 4 (2) หรือ (5) แล้วแต่กรณี แต่การเปิดเผยข้อมูลส่วนบุคคลให้กับหน่วยงานของรัฐดังกล่าวโดยสำนักงาน คปภ. ยังคงต้อง นำพระราชบัญญัตินี้มาใช้บังคับ สำนักงาน คปภ. จึงยังคงต้องปฏิบัติตามพระราชบัญญัติดังกล่าว ตามที่ได้ให้ความเห็นไว้ข้างต้น

ประเด็นข้อหารือที่ 6 (ทายาท/ผู้รับประโยชน์ขอข้อมูลกรมธรรม์)

การที่สำนักงาน คปภ. จะเปิดเผยข้อมูลเกี่ยวกับกรมธรรม์ประกันภัยของผู้เอาประกันภัย จากระบบฐานข้อมูลกลางด้านการประกันภัยให้แก่ทายาท ผู้รับประโยชน์ หรือผู้มีสิทธิเรียกร้องตามกรมธรรม์ ประกันภัย เพื่อตรวจสอบว่าผู้เอาประกันภัยมีการจัดทำประกันภัยไว้หรือไม่ หรือกับบริษัทใด ก่อนดำเนินการ ใช้สิทธิเรียกร้องค่าสินไหมทดแทน ทั้งนี้ เพื่อประโยชน์ในการให้บริการแก่ประชาชน คุ้มครองสิทธิประโยชน์ ของประชาชน และสร้างความเป็นธรรมด้านการประกันภัย นั้น จะต้องพิจารณาก่อนว่าข้อมูลเกี่ยวกับ กรมธรรม์ประกันภัยของผู้เอาประกันภัยดังกล่าวเป็นข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 หรือไม่ โดยอาจแยกพิจารณาได้ ดังนี้

1) กรณีที่ผู้เอาประกันภัยได้ถึงแก่กรรมแล้ว ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัยดังกล่าว จะไม่เป็นข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เนื่องจาก มาตรา 6 แห่งพระราชบัญญัติดังกล่าว กำหนดว่า "ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถ ระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ดังนั้น การเปิดเผยข้อมูลเกี่ยวกับกรมธรรม์ประกันภัยของผู้เอาประกันภัยที่ถึงแก่กรรมแล้วให้กับทายาท ผู้รับประโยชน์ หรือผู้มีสิทธิเรียกร้องตามกรมธรรม์ประกันภัย จึงไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างไรก็ตาม ข้อมูลดังกล่าวยังเป็น "ข้อมูลข่าวสารส่วนบุคคล" ตามบทนิยามในมาตรา 4 แห่งพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 ดังนั้น สำนักงาน คปภ. จึงต้องพิจารณาดำเนินการให้เป็นไปตามกฎหมายดังกล่าว หรือกฎหมายอื่นที่เกี่ยวข้องต่อไปด้วย นอกจากนี้ มีข้อสังเกตว่า ในกรณีที่ผู้เอาประกันภัยซึ่งเป็นเจ้าของข้อมูลถึงแก่กรรม และมิได้ทำพินัยกรรมกำหนดไว้ เป็นอย่างอื่น ทายาทหรือบุคคลตามที่กำหนดในกฎกระทรวงย่อมมีสิทธิดำเนินการแทนเจ้าของข้อมูลที่ ถึงแก่กรรมแล้วได้ ตามมาตรา 25 วรรคห้า แห่งพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540

2) กรณีที่ผู้เอาประกันภัยยังมีชีวิตอยู่ ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัยของผู้นั้น เป็นข้อมูล ส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สำนักงาน คปภ. จึงต้องพิจารณาว่า การเปิดเผยข้อมูลส่วนบุคคลดังกล่าวมีบทบัญญัติแห่งกฎหมายใดกำหนดให้สำนักงาน คปภ. ต้องเปิดเผยข้อมูล ส่วนบุคคลเพื่อวัตถุประสงค์ดังกล่าวหรือไม่ หากมีกฎหมายเช่นว่านั้น สำนักงาน คปภ. ก็สามารถเปิดเผยข้อมูล ส่วนบุคคลดังกล่าวโดยได้รับยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้ เนื่องจากเป็น การปฏิบัติตามกฎหมายของสำนักงาน คปภ. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตาม มาตรา 24 (6) หรือ มาตรา 26 (5) แล้วแต่กรณี ประกอบ มาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างไรก็ตาม ในกรณีที่ไม่มีบทบัญญัติแห่งกฎหมายใดกำหนดหน้าที่ในการเปิดเผยข้อมูล ตามข้างต้น สำนักงาน คปภ. อาจพิจารณาเปิดเผยข้อมูลส่วนบุคคลดังกล่าวโดยได้รับยกเว้นไม่ต้อง ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้ หากพิจารณาแล้วเห็นว่าการเปิดเผยนั้นเป็นการจำเป็นเพื่อ การกำกับ ส่งเสริม และพัฒนาการประกอบธุรกิจประกันภัยตามนโยบายและมติของ คปภ. ตลอดจน หลักเกณฑ์ วิธีการ เงื่อนไข และแนวปฏิบัติที่ คปภ. กำหนด ตามมาตรา 20 (2) แห่งพระราชบัญญัติ คณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย พ.ศ. 2550 หรืออำนาจหน้าที่อื่นใด ของสำนักงาน คปภ. อันจะถือเป็นการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของ สำนักงาน คปภ. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ ผู้ควบคุมข้อมูลส่วนบุคคล ตาม มาตรา 24 (4) หรือ มาตรา 26 (5) แล้วแต่กรณี ประกอบ มาตรา 27 วรรคหนึ่ง

ในกรณีที่ไม่มีบทบัญญัติแห่งกฎหมายใดกำหนดให้สำนักงาน คปภ. เปิดเผยข้อมูลเกี่ยวกับ กรมธรรม์ประกันภัยของผู้เอาประกันภัยที่ยังมีชีวิตอยู่ และสำนักงาน คปภ. พิจารณาแล้วเห็นว่า การเปิดเผย ข้อมูลส่วนบุคคลดังกล่าวไม่ได้เป็นการปฏิบัติหน้าที่ของสำนักงาน คปภ. ตามอำนาจหน้าที่ที่กฎหมายกำหนด แต่สำนักงาน คปภ. พิจารณาเห็นว่า การเปิดเผยข้อมูลส่วนบุคคลดังกล่าวโดยไม่ได้รับความยินยอม จากผู้เอาประกันภัยที่เป็นเจ้าของข้อมูลส่วนบุคคล เป็นกรณีที่เป็นการจำเป็นเพื่อคุ้มครองประโยชน์โดยชอบ ด้วยกฎหมายของทายาท ผู้รับประโยชน์ หรือผู้มีสิทธิเรียกร้องตามกรมธรรม์ประกันภัย และประโยชน์ ของบุคคลดังกล่าวมีความสำคัญไม่น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของผู้เอาประกันภัย สำนักงาน คปภ. ก็อาจอาศัยข้อยกเว้นตาม มาตรา 24 (5) ประกอบ มาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลดังกล่าวได้ แต่จะต้องกระทำเท่าที่ จำเป็น และต้องพิจารณาดำเนินการให้เป็นไปตามพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 ด้วย

เอกสารต้นฉบับ