ธุรกิจให้กู้ยืมฯ ธุรกิจควบคุมสัญญา อะไรคือปัญหาการปฏิบัติขัด PDPA

14 ม.ค. 2566 - 14:47

  • นักวิเคราะห์ TDRI ตั้งข้อสังเกต ความไม่สอดคล้อง เมื่อธุรกิจให้กู้ยืมฯ เป็นธุรกิจควบคุมสัญญา และกำหนด ‘หลักยินยอม’ สำคัญในสัญญากู้

  • ชี้ อาจต้องทบวนความเข้มงวด หรือหาแนวทางอื่นที่ไม่เป็นอุปสรรคต่อการปฏิบัติตามสัญญากู้

TDRI_contract_control_business_lone_business_PDPA_Consent_SPACEBAR_Thumbnail_fe257c2101.jpeg
หลังคณะกรรมการ ว่าด้วยสัญญาตามพระราชบัญญัติคุ้มครองผู้บริโภค พ.ศ. 2522 ได้ออกประกาศคณะกรรมการว่าด้วยสัญญา เรื่อง ให้ธุรกิจการให้กู้ยืมเงินเพื่อผู้บริโภคเป็นธุรกิจที่ควบคุมสัญญา พ.ศ. 2565 ซึ่งในข้อ 4.1 (7) และ 4.2 (8) ได้กำหนดเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลไว้ 

โดยมีสาระสำคัญว่า “ในกรณีที่ผู้ให้กู้มีการจัดเก็บข้อมูลส่วนบุคคลของผู้กู้ไว้ หากผู้ให้กู้จะนำข้อมูลนั้นไปเปิดเผยให้บุคคลที่สาม ผู้ให้กู้จะกระทำได้ต่อเมื่อได้รับความยินยอมเป็นหนังสือจากผู้กู้ก่อน เป็นกรณีรายครั้งไป โดยผู้กู้มีสิทธิจะให้ความยินยอมหรือไม่ก็ได้ และหากให้ความยินยอมไปแล้วผู้กู้มีสิทธิถอนความยินยอมดังกล่าวเมื่อใดก็ได้ ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด” 

นักวิเคราะห์ TDRI ตั้งข้อสังเกต ความไม่สอดคล้องหลักการ PDPA  

สลิลธร ทองมีนสุข อาจารย์ประจำคณะนิติศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย และนักวิชาการ นโยบายด้านการขนส่งและโลจิสติกส์ ทีดีอาร์ไอ และ ณภัทร ภัทรพิศาล นักวิจัยนโยบายด้านการขนส่งและโลจิสติกส์ ทีดีอาร์ไอ วิเคราะห์การบังคับใช้กฎหมาย PDPA ว่า ประกาศฉบับนี้กำหนดให้นำหลักความยินยอมมาเป็นเงื่อนไขสำคัญของสัญญากู้ยืมเงินเพื่อผู้บริโภค และไม่สอดคล้องกับหลักการของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในหลายประเด็น ประกอบด้วย 

(1) โดยปกติแล้วภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การเปิดเผยข้อมูลให้กับบุคคลที่ 3 กรณีของการกู้เงิน สามารถอ้างฐานการประมวลผลคือการปฏิบัติตามสัญญากู้ได้อยู่แล้ว ในกรณีที่เป็นการปฏิบัติตามพันธกรณีของสัญญา หรือสามารถอ้างฐานการปฏิบัติตามกฎหมายในการส่งหรือเปิดเผยข้อมูลให้หน่วยงานรัฐที่ทำหน้าที่ตรวจสอบดูแลการดำเนินการต่างๆ ของผู้ให้กู้ ได้โดยไม่ต้องขอความยินยอมจากผู้กู้แต่อย่างใด 

(2) การกำหนดให้การขอความยินยอมต้องทำเป็นหนังสือเท่านั้นไม่สอดคล้องกับมาตรา 19 วรรคสอง ที่กำหนดให้การขอความยินยอมสามารถทำในรูปแบบอื่นๆ นอกจากการเป็นหนังสือได้ เช่น การกรอกแบบฟอร์มอิเล็กทรอนิกส์ การส่งเอกสารอิเล็กทรอนิกส์ที่สแกนจากต้นฉบับ การใช้ลายมือชื่ออิเล็กทรอนิกส์ รวมถึงการให้ความยินยอมทางวาจาหรือทางโทรศัพท์ 

(3) การกำหนดให้ต้องขอความยินยอมเป็นกรณีรายครั้งไปนั้นไม่สอดคล้องกับมาตรา 19 วรรคหนึ่ง ซึ่งกำหนดว่า ผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลจะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลนั้น ไม่ได้ให้ความยินยอมก่อนหรือในขณะนั้น  

ซึ่งเห็นได้ว่ากฎหมายข้อมูลส่วนบุคคลเปิดช่องให้สามารถขอรับความยินยอมได้ทั้งก่อนการดำเนินการ หรือในขณะการดำเนินการได้ และไม่ได้บังคับว่าต้องขอความยินยอมเป็นรายครั้งไป 

ผลของประกาศฉบับนี้จะก่อให้เกิดปัญหาในทางปฏิบัติกับผู้ให้กู้ ตัวอย่างเช่น สมมติว่าสถาบันการเงินต้องส่งข้อมูลเกี่ยวกับการกู้เงินของลูกค้าธนาคารให้ ปปง. แต่กลับกลายเป็นว่าต้องมาขอความยินยอมของลูกค้า แทนที่จะสามารถส่งข้อมูลดังกล่าวให้กับ ปปง. ได้เลยตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  หรือหากว่าธนาคารจะไปจ้างบุคคลภายนอกพิมพ์ statement หรือบัตรเครดิตที่มีข้อมูลส่วนบุคคล ธนาคารต้องขอความยินยอมจากลูกค้า แถมต้องขอเป็นรายครั้ง ซึ่งบางกิจกรรมอาจจะต้องกลับไปขอความยินยอมจากลูกค้าทุกเดือนทุกเดือน ซึ่งในทางปฏิบัติมันเป็นไปได้ยากมาก 

นอกจากนี้ เรื่องของประกาศของคณะกรรมการว่าด้วยสัญญาที่ให้ขอความยินยอมเป็นรายครั้ง ต่อให้เป็นการที่กฎหมายบังคับให้ขอความยินยอม เช่น การเปิดเผยข้อมูลให้พันธมิตรทางธุรกิจเพื่อวัตถุประสงค์ทางการตลาด ปกติหากธนาคารได้ความยินยอมของลูกค้าแล้ว จะขอเพียงครั้งเดียวจนกว่าลูกค้าจะมาถอนความยินยอมเมื่อใดก็ได้ ซึ่งตรงกับหลักการแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  ที่ความยินยอมขอเพียงครั้งเดียว เพียงแต่ว่าผู้ให้ความยินยอมคือลูกค้าสามารถถอนเมื่อใดก็ได้ และการถอนความยินยอมต้องสามารถถอนโดยวิธีที่ง่ายเหมือนตอนให้ แต่ประกาศฉบับนี้เข้มงวดกว่าตรงที่ให้ความยินยอมแล้วใช้ได้ครั้งเดียว ต้องขอใหม่เรื่อยๆ ส่งผลให้สถาบันการเงินอาจต้องติดต่อลูกค้าทุกเดือน  

นอกจากนี้ตามประกาศคณะกรรมการกำหนดให้ต้องขอความยิมยอมเป็นลายลักษณ์อักษรทุกกรณี ซึ่งเป็นไปได้ยากในทางปฏิบัติเพราะปกติการขอความยิมยอมจะทำในวันเดียวกับวันที่ลูกค้าที่เซ็นสัญญากู้ ทำให้ยากมากที่จะมีโอกาสมาให้ความยินยอมเป็นลายลักษณ์อักษรอีกหลักจากนั้น 

ด้วยเหตุนี้ ประกาศของคณะกรรมการว่าด้วยสัญญาฯ ฉบับดังกล่าว นอกจากจะไม่สอดคล้องกับหลักการของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งวางหลักการการคุ้มครองข้อมูลส่วนบุคคลที่มีความเป็นสากล ที่นอกจากมุ่งคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลแล้ว ก็ยังให้มีการใช้ประโยชน์จากข้อมูลส่วนบุคคลได้ภายใต้มาตรการรักษาความปลอดภัยของข้อมูลที่เหมาะสม และยังไม่สอดคล้องกับแนวทางปฏิบัติของสถาบันการเงินที่เป็นผู้ให้กู้อีกด้วย  

ประกาศฉบับดังกล่าวจึงต้องมีการทบทวนถึงความจำเป็นว่าเหตุใดต้องมีการกำหนดมาตรการในการเปิดเผยข้อมูลส่วนบุคคลของผู้กู้ที่เข้มงวดกว่าสัญญาอื่นหรือกรณีทั่วไป ทั้งๆ ที่มีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลโดยเฉพาะอยู่แล้ว หรือว่ามีแนวทางอื่นที่มีความเป็นไปได้ในทางปฏิบัติและเหมาะสมกว่าในการคุ้มครองผู้กู้ โดยที่ไม่เป็นอุปสรรคต่อการปฏิบัติตามสัญญากู้ของสถาบันการเงินหรือการส่งข้อมูลให้หน่วยงานของรัฐที่เกี่ยวข้องตามกฎหมายหรือไม่

เรื่องเด่นประจำสัปดาห์