ประกาศคุ้มครองข้อมูลเครดิตส่วนบุคคลฉบับใหม่มีผลบังคับใช้แล้ว

ประกาศคุ้มครองข้อมูลเครดิตส่วนบุคคลฉบับใหม่ เข้มบริษัทข้อมูลเครดิต จัดระบบข้อมูลลูกค้า ทั้งประวัติสินเชื่อ การใช้จ่ายผ่านบัตรเครดิต ระบบรักษาความลับ ป้องกันไม่ให้มีการนำข้อมูลไปใช้ผิดวัตถุประสงค์ พร้อมเก็บข้อมูลไม่น้อยกว่า 2 ปีให้เจ้าของบัญชีตรวจสอบย้อนหลัง

เมื่อวันที่ 30 กรกฎาคม 2562 ที่ผ่านมาเว็บไชต์ราชกิจจานุเบกษา เผยแพร่ประกาศคณะกรรมการคุ้มครองข้อมูลเครดิต เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการจัดระบบและข้อกำหนดเพื่อประมวลผลข้อมูล ซึ่งลงนามโดย นายวิรไท สันติประภพ ผู้ว่าการธนาคารแห่งประเทศไทย ในฐานะประธานคณะกรรมการคุ้มครองข้อมูลเครดิต ฐานเศรษฐกิจจึงขอนำรายละเอียดมานำเสนอดังนี้

โดยที่เทคโนโลยีสารสนเทศมีการเปลี่ยนแปลงอย่างรวดเร็ว การนำเทคโนโลยีมาใช้ในการประมวลผลข้อมูลของบริษัทข้อมูลเครดิต ควรมุ่งเน้นการรักษาและเสริมสร้างความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ การบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ การปฏิบัติตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ การตรวจสอบด้านเทคโนโลยีสารสนเทศ ตลอดจนการบริหารจัดการด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพและรัดกุม เพื่อให้การประมวลผลข้อมูลของบริษัทข้อมูลเครดิตมีความน่าเชื่อถือสามารถให้บริการแก่สมาชิก ผู้ใช้บริการ และเจ้าของข้อมูลได้อย่างต่อเนื่อง รวมถึงคุ้มครองข้อมูลของเจ้าของข้อมูลไม่ให้ถูกนำไปใช้ผิดวัตถุประสงค์ของการประกอบธุรกิจข้อมูลเครดิต ซึ่งอาจสร้างความเสียหายต่อเจ้าของข้อมูล สมาชิก ผู้ใช้บริการ หรือระบบให้บริการและฐานข้อมูลได้

อาศัยอำนาจตามความในมาตรา 17 แห่งพระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิตพ.ศ. 2545 คณะกรรมการคุ้มครองข้อมูลเครดิตกำหนดหลักเกณฑ์ วิธีการ และเงื่อนไข สำหรับบริษัทข้อมูลเครดิตในการประมวลผลข้อมูลเครดิต ดังนี้

ข้อ 1 ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป

ข้อ 2 ให้ยกเลิกประกาศคณะกรรมการคุ้มครองข้อมูลเครดิต เรื่อง หลักเกณฑ์ วิธีการและเงื่อนไขในการจัดระบบและข้อกำหนดเพื่อประมวลผลข้อมูล ลงวันที่ 26 ธันวาคม 2546

ข้อ 3 การจัดระบบและข้อกำหนดเพื่อการประมวลผลข้อมูลเครดิต

(1) บริษัทข้อมูลเครดิตต้องจัดให้มีระบบจำแนกข้อมูล คือ

(ก) ข้อเท็จจริงที่บ่งชี้ถึงตัวลูกค้าที่ขอสินเชื่อ

(ข) ประวัติการได้รับอนุมัติสินเชื่อ

(ค) ประวัติการชำระสินเชื่อและการชำระราคาสินค้าหรือบริการโดยบัตรเครดิต

(ง) ข้อมูลที่บ่งชี้ถึงตัวสมาชิกผู้ให้ข้อมูลหรือเจ้าของข้อมูล

(2) เพื่อให้ข้อมูลมีความทันสมัยอยู่เสมอ บริษัทข้อมูลเครดิตต้องจัดให้มีระเบียบปฏิบัติเพื่อให้สมาชิกแจ้งข้อมูลที่มีการเปลี่ยนแปลงให้บริษัทข้อมูลเครดิตทราบ โดยเมื่อบริษัทข้อมูลเครดิตตรวจพบความไม่ทันสมัย ต้องแจ้งต่อสมาชิกผู้ส่งข้อมูลดังกล่าวเพื่อดำเนินการแก้ไขโดยทันที

(3) บริษัทข้อมูลเครดิตต้องจัดให้มีระบบและกระบวนการในการแก้ไขข้อมูลให้มีความถูกต้องสมบูรณ์ โดยเมื่อบริษัทข้อมูลเครดิตตรวจพบความไม่ถูกต้อง ต้องแจ้งต่อสมาชิกผู้ส่งข้อมูลดังกล่าว เพื่อดำเนินการตรวจสอบและแก้ไขข้อมูลให้ถูกต้องโดยทันที

(4) บริษัทข้อมูลเครดิตต้องจัดให้มีนโยบาย กระบวนการ และระบบรักษาความลับและความปลอดภัยของข้อมูล เพื่อป้องกันไม่ให้มีการนำข้อมูลไปใช้ผิดวัตถุประสงค์ของการประกอบธุรกิจข้อมูลเครดิต และไม่ให้ผู้ไม่มีสิทธิได้รับรู้ข้อมูลได้ล่วงรู้ข้อมูลดังกล่าว รวมทั้งต้องจัดให้มีระบบป้องกัน ไม่ให้ข้อมูลถูกแก้ไข ทาให้เสียหาย หรือถูกทาลายโดยไม่ชอบหรือโดยไม่ได้รับอนุญาตอย่างน้อย ดังนี้

(ก) กำหนดให้สมาชิกหรือผู้ใช้บริการต้องมีการระบุและพิสูจน์ตัวตนด้วยวิธีการที่รัดกุม เพื่อป้องกันการเรียกดูข้อมูลโดยไม่ได้รับอนุญาต หรือโดยบุคคลที่ไม่เกี่ยวข้อง

(ข) การเข้าถึง และ/หรือ แก้ไขข้อมูลของสมาชิกหรือผู้ใช้บริการทุกครั้ง ต้องมีระบบจัดเก็บบันทึกเหตุการณ์ (Logging) เพื่อไว้เป็นหลักฐานอ้างอิง และเป็นไปตามกฎหมายที่เกี่ยวข้อง

(ค) การรักษาความมั่นคงปลอดภัยในการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ(IT Operation Security) ต้องเป็นไปตามมาตรฐานสากล เช่น การรักษาความมั่นคงปลอดภัยของเครื่องแม่ข่าย (Server) และอุปกรณ์ที่ใช้ปฏิบัติงานของผู้ใช้เทคโนโลยีสารสนเทศ (Endpoint)รวมถึงการติดตามดูแลและเฝ้าระวังภัยคุกคาม (Security Monitoring)

(5) บริษัทข้อมูลเครดิตต้องจัดให้มีระบบการขอใช้ข้อมูลและระบบการรายงานข้อมูลตามปกติ โดยอย่างน้อยต้องประกอบด้วยคู่มือการใช้งาน เพื่ออานวยความสะดวกให้กับสมาชิกหรือผู้ใช้บริการ

(6) บริษัทข้อมูลเครดิตต้องจัดให้มีระบบในการอำนวยความสะดวกให้กับเจ้าของข้อมูลในการตรวจสอบข้อมูลเครดิต โดยบริษัทข้อมูลเครดิตต้องประกาศกาหนดวัน เวลา และช่องทางที่เจ้าของข้อมูลจะสามารถขอตรวจสอบข้อมูลเครดิตได้ตามความเหมาะสม มีระเบียบ วิธีปฏิบัติที่ชัดเจนสำหรับเจ้าของข้อมูลที่ต้องการจะตรวจสอบและแก้ไขข้อมูลที่มีอยู่

ในกรณีที่เกิดข้อโต้แย้งที่ไม่อาจหาข้อยุติได้หรือมีการแก้ไขข้อมูลระหว่างบริษัทข้อมูลเครดิตกับเจ้าของข้อมูล บริษัทข้อมูลเครดิตต้องบันทึกข้อโต้แย้งพร้อมหลักฐานประกอบของเจ้าของข้อมูลไว้ในระบบข้อมูลของเจ้าของข้อมูลเพื่อใช้ในการตรวจสอบและเป็นหลักฐานอ้างอิงต่อไป และหากมีการแก้ไขข้อมูลระหว่างบริษัทข้อมูลเครดิตกับเจ้าของข้อมูล บริษัทข้อมูลเครดิตต้องแจ้งข้อมูลที่แก้ไขให้แก่แหล่งข้อมูลสมาชิก หรือผู้ใช้บริการที่เกี่ยวข้องเพื่อนาไปแก้ไขข้อมูลให้ถูกต้อง หรือเพื่อให้ผู้ใช้บริการได้รับข้อมูลที่ถูกต้องในการใช้บริการของบริษัทข้อมูลเครดิต

(7) กรณีที่เกิดข้อโต้แย้งระหว่างสมาชิก หรือผู้ใช้บริการกับบริษัทข้อมูลเครดิต หรือกับเจ้าของข้อมูลที่ไม่อาจหาข้อยุติได้ บริษัทข้อมูลเครดิตต้องบันทึกข้อโต้แย้งพร้อมหลักฐานประกอบข้อโต้แย้งดังกล่าวไว้ในระบบข้อมูลของเจ้าของข้อมูลเพี่อใช้ในการตรวจสอบและเป็นหลักฐานอ้างอิงต่อไป พร้อมทั้งแจ้งให้บุคคลที่เกี่ยวข้องทราบด้วย

(8) บริษัทข้อมูลเครดิตต้องจัดให้มีระบบบันทึกการขอใช้ข้อมูลและการรายงานผลทุกครั้ง เมื่อมีผู้เข้าถึงข้อมูล โดยระบบและการรายงานต้องสามารถนำมาตรวจสอบตัวตนผู้ใช้งาน พร้อมทั้งวันที่เข้าถึงข้อมูลได้ ทั้งนี้ ให้เก็บข้อมูลดังกล่าวมีกำหนดระยะเวลาไม่น้อยกว่าสองปีนับแต่วันที่มีการบันทึกของการเข้าถึงและออกจากข้อมูลเพื่อให้เจ้าของข้อมูลตรวจสอบได้

(9) บริษัทข้อมูลเครดิตต้องจัดให้มีระบบฐานข้อมูลของทะเบียนหนังสือคายินยอมให้เปิดเผยข้อมูลจากเจ้าของข้อมูลไว้ในรูปแบบอิเล็กทรอนิกส์ หรือเอกสารต้นฉบับเพื่อประโยชน์ในการตรวจสอบคำยินยอมดังกล่าวกรณีมีการร้องขอจากเจ้าของข้อมูล หรือสมาชิก หรือผู้ใช้บริการ หรือศาลหรือพนักงานสอบสวน โดยระบบฐานข้อมูลดังกล่าวต้องสามารถเข้าถึงได้อย่างรวดเร็วและถูกต้อง

(10) บริษัทข้อมูลเครดิตต้องจัดให้มีระบบสารองข้อมูลและระบบประมวลผลสารองเตรียมพร้อม หากเกิดปัญหาขึ้นกับระบบข้อมูลหลัก

(11) บริษัทข้อมูลเครดิตต้องจัดให้มีระบบ หรือโปรแกรม รวมทั้งวิธีการอื่นใดในการทำลายข้อมูลที่มีอายุเกินกว่าที่คณะกรรมการกำหนด เพื่อให้ข้อมูลนั้นไม่สามารถนำกลับมาใช้ได้อีกไม่ว่าด้วยกรณีใด ๆ ทั้งนี้ บริษัทข้อมูลเครดิตต้องมีคู่มือที่บ่งบอกถึงขั้นตอนและระเบียบวิธีปฏิบัติในการทาลายข้อมูลให้ชัดเจน

ข้อ 4 บริษัทข้อมูลเครดิตต้องจัดให้มีผู้เชี่ยวชาญภายนอก ซึ่งควรมีความรู้ความสามารถและประสบการณ์เพียงพอเพื่อตรวจสอบความถูกต้องครบถ้วนของการประมวลผลของระบบสำคัญอย่างน้อยตามที่กาหนดในมาตรา 17 แห่งพระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ. 2545 และประเมินการบริหารจัดการความเสี่ยงและความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ พร้อมทั้งออกรายงานและรับรองผลการตรวจสอบอย่างน้อยปีละหนึ่งครั้งให้บริษัทข้อมูลเครดิตนำส่งสาเนารายงานดังกล่าวต่อธนาคารแห่งประเทศไทย โดยให้ธนาคารแห่งประเทศไทยสามารถสอบถามข้อมูลเพิ่มเติมจากผู้เชี่ยวชาญภายนอกดังกล่าวได้

ข้อ 5 บริษัทข้อมูลเครดิตต้องจัดให้มีการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศให้สอดรับกับความเสี่ยงที่มี โดยให้ครอบคลุมถึง

(1) การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศและความเสี่ยงจากภัยไซเบอร์

(2) บทบาทหน้าที่และความรับผิดชอบของคณะกรรมการและผู้บริหารระดับสูง

(3) การจัดโครงสร้างองค์กรตามหลักการของ Three lines of defense

(4) การมีนโยบายที่เกี่ยวข้องกับการกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศและการส่งเสริมให้บุคลากรมีความรู้และตระหนักถึงความเสี่ยงด้านเทคโนโลยีสารสนเทศ

(5) การบริหารจัดการโครงการด้านเทคโนโลยีสารสนเทศ และการดูแลความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT security) ตามมาตรฐานสากล

(6) การปฏิบัติที่เป็นไปตามกฎหมายและหลักเกณฑ์ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ(IT Compliance)