การจัดการความเป็นส่วนตัวของข้อมูล
ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ประกาศ และมีผลบังคับใช้อย่างเป็นทางการเกี่ยวกับแนวทางการใช้ รวบรวม เปิดเผยและ/หรือโอนไปยังต่างประเทศซึ่งข้อมูลส่วนบุคคลนั้น ธนาคารได้จัดทำนโยบายความเป็นส่วนตัวขึ้นมาเพื่อเป็นแนวทางปฏิบัติให้กับพนักงานเกี่ยวกับความเป็นส่วนตัวของข้อมูลลูกค้าที่ให้บริการ ที่ครอบคลุมแนวทางการเก็บรวบรวมข้อมูล ประเภทข้อมูลที่เก็บ ขอบเขตของวัตถุประสงค์ในการเก็บข้อมูล การเปิดเผยข้อมูล การโอนข้อมูลส่วนบุคคลไปต่างประเทศ ระยะเวลาในการเก็บข้อมูล สิทธิในฐานะเจ้าของข้อมูล และแนวทางการดำเนินการเกี่ยวกับลูกค้านิติบุคคล เพื่อให้การดำเนินงานของธนาคารเป็นไปตาม พ.ร.บ. ปี 2562 นอกจากนี้ ธนาคารยังได้จัดทำนโยบายความเป็นส่วนตัวครอบคลุมไปถึงพันธมิตรทางธุรกิจที่ธนาคารทำงานด้วย และการดำเนินงานภายในองค์กรของพนักงานธนาคาร เพื่อให้เกิดการปฏิบัติตามกฎหมายทั่วทั้งองค์กรอย่างมีประสิทธิภาพ โดยสามารถอ่านรายละเอียดเพิ่มเติมได้บนเว็บไซต์
กรรมการผู้จัดการใหญ่เป็นผู้อนุมัติแผนแม่บทและแผนปฏิบัติการด้านการกำกับดูแลข้อมูลของธนาคาร รวมถึงงบประมาณการกำกับดูแลข้อมูลที่นำเสนอโดยคณะกรรมการข้อมูล (Data Committee) ที่เป็นหน่วยงานที่กำหนดเป้าหมาย ทิศทาง กลยุทธ์ และพิจารณาอนุมัตินโยบาย แนวปฏิบัติเพื่อส่งเสริมและสนับสนุนการกำกับดูแลข้อมูล ธนาคารกำหนดนโยบายความเป็นส่วนตัว เพื่อควบคุมการทำธุรกรรมด้านข้อมูลระหว่างธนาคารกับกลุ่มผู้มีส่วนได้ส่วนเสียในบริบาทต่าง ๆ ได้แก่ ลูกค้า พันธมิตรทางธุรกิจ และพนักงาน
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Committee) จะทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) พิจารณาอนุมัติและกำหนดแนวทางเพื่อให้เป็นไปตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล รายงานต่อกรรมการผู้จัดการใหญ่ รวมถึงกลั่นกรองเรื่องที่เกี่ยวข้องก่อนนำเสนอคณะกรรมการข้อมูล (Data Committee) เพื่อขอความเห็นชอบต่อไป อีกทั้ง มีหน้าที่พิจารณาและติดตามการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เช่น การรับมือเหตุการละเมิดข้อมูลส่วนบุคคล รวมถึงพิจารณาอนุมัติ ให้ความเห็นชอบ แนวทางและกระบวนการต่าง ๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลของธนาคาร โดยมีฝ่าย Data Protection มีหน้าที่สนับสนุนการดำเนินกิจกรรมต่าง ๆ ที่ได้รับมอบหมายจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ของธนาคาร การดำเนินกิจกรรมเกี่ยวกับงานด้านการคุ้มครองข้อมูลส่วนบุคคล และการบริหารจัดการข้อมูลส่วนบุคคล และมีตัวแทนปฏิบัติงานคุ้มครองข้อมูลส่วนบุคคล (Data Privacy Champion) ในระดับกลุ่มงาน มีหน้าที่ให้การสนับสนุนการดำเนินงาน
การบริหารความเสี่ยงด้านความเป็นส่วนตัวของข้อมูล
ธนาคารมีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy Impact Assessment: DPIA) ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยถือเป็นหนึ่งในกระบวนการและเครื่องมือการปฏิบัติในการประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล (Privacy Risk Assessment Methodology) ที่ช่วยธนาคารในการตรวจสอบ และลดความเสี่ยงต่อการประมวลผลข้อมูลส่วนบุคคล รวมถึงส่งเสริมการดำเนินธุรกิจของธนาคาร ดังนี้
- เพื่อให้ธนาคารทราบถึงความเสี่ยงและผลกระทบด้านข้อมูลส่วนบุคคลในการดำเนินโครงการหรือกระบวนการปฏิบัติงานต่าง ๆ
- เพื่อให้ธนาคารมีการกำหนดแผนหรือมาตรการในการแก้ไข จัดการ หรือลดความเสี่ยงด้านข้อมูลส่วนบุคคล หรือกระบวนการปฏิบัติงานต่าง ๆ ของแต่ละฝ่ายงานที่เกี่ยวข้อง ทำให้การดำเนินงานของธนาคารให้เป็นไปอย่างมีประสิทธิภาพ
แนวทางจัดการเรื่องการละเมิดข้อมูลความเป็นส่วนตัว
ธนาคารได้จัดทำแนวทาง ขั้นตอนปฏิบัติและกระบวนการจัดการปัญหาเมื่อเกิดการละเมิดหรือการรั่วไหลของข้อมูลส่วนบุคคล (Personal Data Breach Procedure) ซึ่งครอบคลุมถึงเหตุการณ์ละเมิดหรือการรั่วไหลของข้อมูลส่วนบุคคล ทั้งในรูปแบบอิเล็กทรอนิกส์และรูปแบบเอกสารกระดาษ บทบาทหน้าที่ของผู้ที่เกี่ยวข้องในธนาคาร กระบวนการรับมือและแก้ไขเมื่อเกิดเหตุการณ์การละเมิดหรือการรั่วไหลของข้อมูลส่วนบุคคล แนวทางการสื่อสารและแจ้งให้ผู้ที่เกี่ยวข้องทั้งภายในและภายนอกรับทราบ รวมถึงการเยียวยา ไกล่เกลี่ยการละเมิดหรือการรั่วไหลของข้อมูลส่วนบุคคล เพื่อให้ธนาคารสามารถบริหารจัดการการละเมิดหรือการรั่วไหลของข้อมูลส่วนบุคคลได้อย่างทันท่วงทีและมีประสิทธิภาพ และสอดคล้องกับนโยบายการป้องกันข้อมูลสำคัญรั่วไหลของธนาคาร
การสร้างวัฒนธรรมด้านข้อมูลความเป็นส่วนตัว
ธนาคารได้สร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่พนักงานธนาคารทุกคนทราบและถือปฏิบัติอย่างเคร่งครัด ผ่านการฝึกอบรมแบบออนไลน์ สื่อสารเกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และแนวปฏิบัติที่ถูกต้อง ผ่านการจัดกิจกรรม และจดหมายข่าวทางอีเมลและ แอปพลิเคชัน One Krungthai ทำคลิปสัมภาษณ์ผู้บริหาร เช่น
- กิจกรรมพิชิต PDPA กับ Quiz เพื่อให้ความรู้เกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ผ่านช่องทางแอปพลิเคชัน One Krungthai ซึ่งเป็นช่องทางสื่อสารภายในของธนาคาร มีผู้เข้าร่วมพิชิตภารกิจ 70% จากพนักงานทั้งหมดในธนาคาร
- CEO Talk สารจากกรรมการผู้จัดการใหญ่เรื่องการเตรียมความพร้อมในการปฏิบัติตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
- PDPA Week กิจกรรมสร้างความตระหนักรู้ที่มุ่งเน้นไปยังผู้ปฏิบัติงานสาขา ผ่านช่องทาง YouTube Live อย่างเข้มข้นตลอดสัปดาห์ก่อน พ.ร.บ. มีผลบังคับใช้
- PDPA Chabot ช่องทางปรึกษาเกี่ยวกับ PDPA ตลอด 24 ชั่วโมง โดยมีการอัปเดตข้อมูลเกี่ยวกับ พ.ร.บ. และข้อคำถามในประเด็นชวนสงสัยต่าง ๆ ที่เกี่ยวกับการปฏิบัติงาน
- PDPA Google Site แหล่งรวบรวมช่องทางความรู้เกี่ยวกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ภายในธนาคาร รวมถึงประกาศ และหนังสือเวียนต่าง ๆ ที่เกี่ยวข้อง
ทั้งนี้ พนักงานของธนาคารทุกคนต้องปฏิบัติตามนโยบายความเป็นส่วนตัวของธนาคารอย่างเคร่งครัด โดยการละเมิดความเป็นส่วนตัวของข้อมูลลูกค้า จะได้รับบทลงโทษทางวินัยของธนาคารทั้งการลงทัณฑ์บน การตัดเงินเดือน ไม่ได้ขึ้นเงินเดือน รวมไปถึงการพ้นสภาพการเป็นพนักงานของธนาคาร