ความปลอดภัยของข้อมูลส่วนบุคคล

ปัจจุบันความก้าวหน้าของเทคโนโลยีดิจิทัลมีการเปลี่ยนแปลงอย่างรวดเร็ว ส่งผลให้เกิดความเสี่ยงด้านการละเมิดสิทธิเสรีภาพส่วนบุคคลในกระบวนการเก็บรวบรวมข้อมูล การใช้หรือการเปิดเผยข้อมูลส่วนบุคคลของผู้มีส่วนได้เสียโดยเฉพาะข้อมูลส่วนบุคคลของลูกค้า ด้วยเหตุนี้ ธนาคารจึงให้ความสำคัญกับการบริหารจัดการข้อมูลส่วนบุคคลอย่างเหมาะสมไม่ว่าจะเป็นข้อมูลส่วนบุคคลทั่วไป ข้อมูลธุรกรรมทางการเงินข้อมูลพฤติกรรมการใช้ผลิตภัณฑ์และบริการ เป็นต้น ด้วยตระหนักเสมอว่าการได้รับความเชื่อมั่นและไว้วางใจจากลูกค้าและผู้มีส่วนได้เสียที่เกี่ยวข้องในการเลือกใช้ผลิตภัณฑ์และบริการของธนาคารเป็นสิ่งที่มีคุณค่ายิ่ง อีกทั้งการเก็บรักษาข้อมูลส่วนตัวของลูกค้าและผู้มีส่วนได้เสียที่เกี่ยวข้องไว้เป็นความลับและปลอดภัย ยังช่วยเสริมสร้างความน่าเชื่อถือชื่อเสียงและภาพลักษณ์ที่ดีให้กับธนาคารมากยิ่งขึ้น

นอกจากนี้ การบริหารจัดการความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้าและผู้มีส่วนได้เสียอื่นๆ ยังถือเป็นการปฏิบัติตามกฎหมาย และ/หรือกฎระเบียบที่เกี่ยวข้อง โดยเฉพาะพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งจะมีผลบังคับใช้เต็มรูปแบบในปี 2563 นี้ กรุงศรีจึงมีการทบทวนนโยบายและมาตรการความปลอดภัยของข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เพื่อคุ้มครองสิทธิของเจ้าของข้อมูลตามที่กฎหมายกำหนด

แนวทางการบริหารจัดการ
การบริหารจัดการคุณภาพข้อมูล

• จัดตั้ง “คณะกรรมการกำกับดูแลบริหารจัดการข้อมูล (Data Governance Committee) ทำหน้าที่สนับสนุนแผนยุทธศาสตร์ธนาคารกรุงศรีอยุธยาในการบริหารจัดการข้อมูลให้มีความถูกต้องแม่นยำ เสริมสร้างความสามารถในการเข้าถึงความต้องการของลูกค้า นำเสนอผลิตภัณฑ์และการบริการที่ตรงกับความต้องการ รวมไปถึงการออกรายงานอย่างถูกต้องให้กับหน่วยงานกำกับดูแลภายนอกการบริหารการเงิน และการบริหารจัดการความเสี่ยงองค์กร
• จัดตั้ง “ฝ่ายกำกับดูแลการบริหารข้อมูล” (Data Governance Department) ทำหน้าที่กำหนดแนวปฏิบัติและมาตรฐานการบริหารจัดการข้อมูลผ่าน “นโยบายกำกับดูแลบริหารจัดการข้อมูล” ในการทำธุรกรรมต่างๆ ของธนาคารแบบครบทั้งกระบวนการ โดยเริ่มตั้งแต่การนำข้อมูลเข้าระบบ การจัดการข้อมูล การนำข้อมูลมาวิเคราะห์ และการออกรายงานให้มีความถูกต้อง สมบูรณ์ครบถ้วน โดยนโยบายฉบับนี้ครอบคลุมธนาคาร กรรมการ ผู้บริหาร และพนักงานรวมถึงบุคคลและนิติบุคคลที่ปฏิบัติหน้าที่ในนามของธนาคาร เช่น การใช้บริการจากภายนอก (Outsource) ต้องปฏิบัติตามนโยบายนี้อย่างเคร่งครัด และต้องมีการทบทวนนโยบายดังกล่าวทุกๆ 2 ปี หรือเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ
• ผลักดันการกำหนด “ข้อมูลหลักของธนาคาร (Key Data Elements: KDEs)” ซึ่งถือเป็นข้อมูลที่มีนัยสำคัญต่อการให้บริการลูกค้า การจัดทำรายงานทางด้านความเสี่ยงและการเงิน รวมถึงการจัดทำรายงานเพื่อนำส่งหน่วยงานกำกับดูแลที่เกี่ยวข้อง
• กำหนด “กระบวนการตรวจสอบและปรับปรุงคุณภาพข้อมูลอย่างยั่งยืน” โดยมุ่งเน้นหลัก 5 ประการคือความถูกต้องแม่นยำ ความสมบูรณ์ครบถ้วน ความสอดคล้องกับมาตรฐานกำหนด ความสอดคล้อง และความไม่ซ้ำซ้อนโดยกำหนดบทบาทหน้าที่ความรับผิดชอบของผู้ที่เกี่ยวข้องในการกำกับดูแลบริหารจัดการข้อมูล ภายใต้แนวคิดเรื่อง “แนวป้องกันสามชั้น (Three Line of Defense)” เพื่อให้มั่นใจว่าธนาคารมีการกำกับดูแลบริหารจัดการข้อมูลอย่างเป็นระบบทั่วทั้งธนาคาร

แนวป้องกันสามชั้น (Three Lines of Defense)

• แนวป้องกันชั้นที่หนึ่ง (First Line of Defense); คือ หน่วยงานทางธุรกิจและหน่วยงานสนับสนุน
• แนวป้องกันชั้นที่สอง (Second Line of Defense); คือ คณะกรรมการกำกับดูแลบริหารจัดการข้อมูลและฝ่ายกำกับดูแลการบริหารข้อมูล
• แนวป้องกันชั้นที่สาม (Third Line of Defense); คือ หน่วยงานตรวจสอบภายใน

การบริหารจัดการความเป็นส่วนตัวของข้อมูลส่วนบุคคล

• กำหนด “นโยบายเกี่ยวกับความเป็นส่วนตัว” โดยมีวัตถุประสงค์ดังนี้
  • เพื่อปกป้องดูแลความเป็นส่วนตัวของบุคคลในส่วนที่เกี่ยวกับ “ข้อมูลส่วนบุคคล” ของลูกค้า คู่ค้า พนักงาน ธนาคาร และกรรมการธนาคาร
  • เพื่อให้พนักงานมีความเข้าใจเกี่ยวกับนโยบายความเป็นส่วนตัว โดยครอบคลุมในเรื่องการได้มา การใช้ การเปิดเผยและการเก็บรักษาข้อมูลส่วนบุคคลอย่างรับผิดชอบและเป็นการป้องกันการปฏิบัติที่ไม่เป็นไปตามกฎหมายป้องกันผลกระทบต่อชื่อเสียง ความน่าเชื่อถือ และภาพลักษณ์ของธนาคาร
  • เพื่อป้องกันความขัดแย้งในผลประโยชน์จากการได้มาการใช้ และการเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ นโยบายดังกล่าวครอบคลุมธนาคารและบริษัทในกลุ่มธุรกิจทางการเงิน และสาขาในต่างประเทศ โดยบริษัทในกลุ่มธุรกิจทางการเงิน และสาขาในต่างประเทศของธนาคารจะต้องนำนโยบายฉบับนี้ไปเป็นแนวทางในการจัดทำนโยบาย หลักเกณฑ์ และขั้นตอนการปฏิบัติงานที่เทียบเท่ากัน เว้นแต่มีนโยบายหรือข้อกำหนดที่เข้มงวดหรือเคร่งครัดและครอบคลุมครบถ้วนกว่า รวมทั้งกำหนดให้มีการทบทวนนโยบายดังกล่าวทุกๆ 2 ปี หรือกรณีมีการเปลี่ยนแปลงที่มีนัยสำคัญ
  • กำหนดขอบเขตการใช้ และการเปิดเผยข้อมูลส่วนบุคคลภายใต้ข้อกำหนดของธนาคารและภายใต้ขอบเขตที่กฎหมายให้กระทำได้ ซึ่งในกรณีที่มีการใช้และการเปิดเผยข้อมูลอันสืบเนื่องจากความยินยอมจะต้องเป็นไปตามวัตถุประสงค์ของเจ้าของข้อมูลเป็นสำคัญ ทั้งนี้นโยบายเกี่ยวกับความเป็นส่วนตัวจะมีการทบทวน เมื่อพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีผลบังคับใช้ในปี 2563