Thu Apr 27 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

ประกาศสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าสำหรับธุรกิจประกันชีวิต พ.ศ. 2564

ประกาศสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าสำหรับธุรกิจประกันชีวิต พ.ศ. 2564

ประกาศสำนักงานคณะกรรมการกำกับ และส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าสำหรับธุรกิจประกันชีวิต พ.ศ. 2564 ตามที่ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง หลักเกณฑ์ วิธีการออก และเสนอขายกรมธรรม์ประกันภัยของบริษัทประกันชีวิต และการดาเนินการของตัวแทน ประกันชีวิต นายหน้าประกันชีวิต และธนาคาร พ.ศ. 2563 ข้อ 37 กาหนดให้บริษัทและผู้เสน อขาย ต้องมีระบบหรือกระบวนการในการบริหารจัดการการได้มาของข้อมูล การเก็บรักษา และการปกป้องข้อมูล ของลูกค้า ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ประกอบกับพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 (5) (จ) กาหนดห้ามมิให้ เก็บรวบรวมข้อมูล ส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเ จ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด โดยไม่ได้รับความยินยอมโดยชัดแจ้ง จากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับประโยชน์สาธารณะที่สาคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐาน และประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ดังนั้น เพื่อให้การทาธุรกรรมที่เกี่ยวกับธุรกิจประกันภัย ซึ่งเป็นธุรกรรมทางการเงินประเภทหนึ่งที่มีผลกระทบโดยตรงต่อระบบเศรษฐกิจและการเงินของประเทศ และต่อลูกค้ำ มีการคุ้มครองข้อมูลส่วนบุคคล ทั้งข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหว ที่จาเป็นต่อการประมวลผลข้อมูลเพื่อการพิจารณารับประกันภัย การปฏิบัติตามสัญญาประกันภัย และการให้บริการแก่ลูกค้าอย่างมีประสิทธิภาพตามเจตนารมณ์กฎหมายดังกล่าว และเป็นไป เ พื่อประโยชน์สาธารณะ อันเป็นการคงไว้ซึ่งความน่าเชื่อถือของธุรกิจประกันภัยและคุ้มครองสิทธิประโยชน์ ของประชาชนนั้น อาศัยอานาจตามความในข้อ 6 แห่งประกาศคณะกรรมการกากับและส่งเสริม การประกอบธุรกิจประกันภัย เรื่อง หลักเกณฑ์ วิธีการออก และเสนอขายกรมธรรม์ประ กันภัย ของบริษัทประกันชีวิตและการดาเนินการของตัวแทนประกันชีวิต นายหน้าประกันชีวิต และธนาคาร พ.ศ. 2563 สานักงานคณะกรรมการกากับและส่งเสริมการประกอบธุรกิจประกันภัยจึงออกแนวปฏิบัติไว้ แนบท้ายประกาศ ดังนี้ ้ หนา 14 ่ เลม 140 ตอนพิเศษ 98 ง ราชกิจจานุเบกษา 27 เมษายน 2566

ทั้งนี้ ตั้งแต่วันที่ 1 มิถุนายน พ.ศ. 2565 เป็นต้นไป ประกาศ ณ วันที่ 28 ธันวาคม พ.ศ. 256 4 สุทธิพล ทวีชัยการ เลขาธิการ คณะกรรมการกากับและส่งเสริมการประกอบธุรกิจประกันภัย ้ หนา 15 ่ เลม 140 ตอนพิเศษ 98 ง ราชกิจจานุเบกษา 27 เมษายน 2566

1 แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าสําหรับธุรกิจประกันชีวิต ข้อ 1 คํานิยาม ในแนวทางปฏิบัตินี้ “ ข้อมูลส่วนบุคคล ” หมายความว่า ข้อมูลส่วนบุคคล ตามกฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคล “ ข้อมูลส่วนบุคคลที่อ่อนไหว ” หมายความว่า ข้อมูลส่วนบุคคลตามมาตรา 26 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 “ ลูกค้า ” หมายความว่า ผู้ที่พนักงานหรือลูกจ้างของบริษัท ตัวแทนประกันชีวิต นายหน้าประกัน ชีวิต เชิญชวน ชักชวน หรือชี้ช่อง ให้ทําประกันภัยกับบริษัท และให้รวมถึงผู้เอาประกันภัย ผู้รับประโยชน์ ผู้มีสิทธิ เรียกร้องตามกรมธรรม์ประกันภัย ซึ่งเป็นบุคคลธรรมดาและเป็นเจ้าของข้อมูลส่วนบุคคล “ ผู้ควบคุมข้อมูลส่วนบุคคล ” หมายความว่า ผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล “ ผู้ประมวลผลข้อมูลส่วนบุคคล ” หมายความว่า ผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล “ การตลาดแบบตรง (direct marketing)” หมายความว่า การติดต่อสื่อสาร ไม่ว่าโดยวิธีการใด ๆ เพื่อการโฆษณาหรือการทําการตลาด โดยส่งตรงถึงบุคคลใดบุคคลหนึ่งโดยเฉพาะเจาะจง “ สํานักงาน ” หมายความว่า สํานักงานคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย “ บริษัท ” หมายความว่า บริษัทที่ได้รับใบอนุญาตประกอบธุรกิจประกันชีวิตตามกฎหมายว่าด้วย การประกันชีวิต และหมายความรวมถึงสาขาของบริษัทประกันชีวิตต่างประเทศที่ได้รับใบอนุญาตประกอบธุรกิจ ประกันชีวิตในราชอาณาจักรตามกฎหมายว่าด้วยการประกันชีวิต “ ผู้เสนอขาย ” หมายความว่า ตัวแทนประกันชีวิต นายหน้าประกันชีวิต “ ตัวแทนประกันชีวิต ” หมายความว่า ตัวแทนประกันชีวิตตามกฎหมายว่าด้วยการประกันชีวิต “ นายหน้าประกันชีวิต ” หมายความว่า นายหน้าประกันชีวิตตามกฎหมายว่าด้วยการประกันชีวิต “ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ” หมายความว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล “ ผู้ถือกรมธรรม์ประกันภัย ” หมายความว่า ผู้ที่ระบุชื่อเป็นผู้ถือกรมธรรม์ประกันภัย ซึ่งเป็นผู้จัด ให้มีการประกันภัยเพื่อประโยชน์ของผู้เอาประกันภัย ข้อ 2 ให้บริษัทและผู้เสนอขายนําแนวปฏิบัตินี้ไปใช้เป็นแนวทางในการบริหารจัดการการได้มา ของข้อมูล การเก็บรักษา และการปกป้องข้อมูลของลูกค้า โดยบริษัทและผู้เสนอขายต้องปฏิบัติตามกฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นที่เกี่ยวข้องเป็นการเพิ่มเติม

2 หมวด 1 บริษัท ข้อ 3 บริษัทต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งลูกค้าไว้ ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล หากบริษัทพบหรือทราบว่ามีวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นการเพิ่มเติมจากวัตถุประสงค์เดิม ซึ่งนอกเหนือจากที่ได้ระบุไว้ในนโยบายการคุ้มครอง ข้อมูลส่วนบุคคล (privacy notice) ในปัจจุบัน หรือในกรณีที่มีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทจะเพิ่มหรือเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลก็ได้ ในกรณีที่วัตถุประสงค์ใหม่นั้นจําเป็นต้องอาศัยฐานความยินยอม บริษัทจะต้องขอความยินยอม จากลูกค้าสําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใหม่เป็นการเพิ่มเติมด้วย ทั้งนี้ บริษัทต้องทําการปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคลให้ครอบคลุมถึงวัตถุประสงค์ ใหม่ดังกล่าวและแจ้งวัตถุประสงค์ใหม่นั้นให้ลูกค้าทราบด้วย โดยอาจแจ้งในช่องทางต่าง ๆ ที่บริษัทสามารถพิสูจน์ ได้ว่าเหมาะสมในการสื่อสารให้ลูกค้ารับทราบ โดยอาจพิจารณาจากช่องทางที่บริษัทมีปฏิสัมพันธ์กับลูกค้าตามปกติ หรือช่องทางที่ลูกค้าสามารถเข้าถึงหรือทราบนโยบายการคุ้มครองข้อมูลส่วนบุคคลได้โดยง่าย เช่น การส่งทาง ไปรษณีย์ อีเมล ข้อความสื่อสารทางโทรศัพท์ (SMS) โดยอาจเป็นช่องทางเดียวกันกับช่องทางที่เคยแจ้งนโยบายการ คุ้มครองข้อมูลส่วนบุคคลไว้ก่อนหน้าก็ได้ และในกรณีที่บริษัทมีการใช้งานเว็บไซต์ในการปฏิสัมพันธ์กับลูกค้า ให้ บริษัทประกาศทางเว็บไซต์ของบริษัทด้วย ข้อ 4 ให้บริษัทแบ่งประเภทข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยตามที่กฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคลกําหนด ดังนี้ ( 1 ) ข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ - นามสกุล ที่อยู่ ตําแหน่ง โทรศัพท์ โทรสาร และ อีเมล เป็นต้น ( 2 ) ข้อมูลส่วนบุคคลที่อ่อนไหว เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนา หรือปรัชญา พฤติกรรมทางการเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อลูกค้า ในทํานองเดียวกันตามที่คณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคลประกาศกําหนด นอกจากแบ่งประเภทการจัดเก็บข้อมูลตาม ( 1 ) และ ( 2 ) แล้ว ในกรณีที่มีการประมวลผลข้อมูลที่ มีความเสี่ยงสูงอันจะส่งผลกระทบต่อสิทธิเสรีภาพของลูกค้าตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กําหนด บริษัทต้องจัดให้มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ข้อ 5 ให้บริษัทขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสําหรับกรณี ที่ไม่อาจอาศัยฐานในการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 24 มาตรา 25 และมาตรา 26 แห่ง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 โดยพิจารณาตามประเภทข้อมูลส่วนบุคคลตามข้อ 4 ทั้งนี้ บริษัทอาจอาศัยฐานในการประมวลผลข้อมูลส่วนบุคคลสําหรับการดําเนินการต่าง ๆ ตามแนวทางดังต่อไปนี้ ( 1 ) ข้อมูลส่วนบุคคลทั่วไป ( ก ) ฐานความยินยอม ในการดําเนินการกิจกรรมทางการตลาดนั้น บริษัทต้องขอความยินยอมเพื่อการตลาดแบบ ตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอพิเศษ ข้อมูลส่งเสริมการขาย และสิทธิ

3 ประโยชน์เกี่ยวกับผลิตภัณฑ์และบริการ ซึ่งอาจเป็นผลิตภัณฑ์และบริการอื่นของบริษัท บริษัทในเครือ หรือ พันธมิตรทางธุรกิจของบริษัท โดยมีลักษณะที่เกินความคาดหมายของลูกค้า เช่น การส่งข้อความการสื่อสารด้าน การตลาดให้กับลูกค้าที่ไม่เคยมีความสัมพันธ์ทางธุรกิจกับบริษัทมาก่อนและไม่อาจคาดหมายว่าจะได้รับข้อมูล ข่าวสารการตลาดจากบริษัท หรือการซื้อข้อมูลลูกค้าจากผู้ประกอบการรายอื่น ( ซื้อ lead) เป็นต้น ทั้งนี้ บริษัทต้อง เปิดโอกาสให้ลูกค้าใช้สิทธิถอนความยินยอมได้เสมอ ( ข ) ฐานทางกฎหมายอื่น ๆ ซึ่งไม่ใช่ฐานความยินยอม บริษัทอาจอาศัยฐานทางกฎหมายอื่นตามมาตรา 24 แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ . ศ . 2562 โดยไม่ต้องขอความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น 1 ) ฐานการจําเป็นเพื่อปฏิบัติตามสัญญาซึ่งลูกค้าเป็นคู่สัญญาหรือเพื่อใช้ในการ ดําเนินการตามคําขอของลูกค้าก่อนเข้าทําสัญญา (contractual basis) ตามมาตรา 24 ( 3 ) แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 สําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการเข้าทํา สัญญาประกันภัย เช่น การให้คําแนะนํา การอํานวยความสะดวกในการกรอกและนําส่งใบคําขอเอาประกันภัย การพิจารณารับประกันภัย การส่งมอบกรมธรรม์ประกันภัย การปฏิบัติตามสิทธิหรือหน้าที่ที่เกิดจากหรือเกี่ยวข้อง กับสัญญาประกันภัย หรือการดําเนินการชดใช้ค่าสินไหมทดแทนและการดําเนินการที่เกี่ยวข้อง เป็นต้น 2 ) ฐานเป็นการจําเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (legitimate interest basis) ตามมาตรา 24 ( 5 ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 สําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการดําเนินการกิจกรรมทางการตลาดแบบตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอพิเศษ ข้อมูลส่งเสริมการขาย และสิทธิ ประโยชน์เกี่ยวกับผลิตภัณฑ์และบริการ ซึ่งอาจเป็นผลิตภัณฑ์และบริการอื่นของบริษัท บริษัทในเครือ หรือ พันธมิตรทางธุรกิจ โดยมีลักษณะที่อยู่ในความคาดหมายของลูกค้า เช่น การส่งข้อมูลข่าวสารเกี่ยวกับผลิตภัณฑ์ ประกันภัยแก่ลูกค้ารายเดิมที่ซื้อผลิตภัณฑ์ประกันภัยนั้น ๆ หรือสินค้าที่คล้ายคลึง หรือสินค้าอื่น ๆ ของบริษัท ในเครือหรือพันธมิตรทางธุรกิจที่น่าจะเป็นประโยชน์ต่อลูกค้าหรือส่งเสริมการใช้บริการของลูกค้า และโดยที่ลูกค้า รายดังกล่าวไม่เคยคัดค้านการส่งข้อมูลเช่นว่านั้น เป็นต้น ทั้งนี้ บริษัทต้องเปิดโอกาสให้ลูกค้าใช้สิทธิคัดค้าน (opt-out) ได้เสมอ 3 ) ฐานการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (legal obligation basis) ตามมาตรา 24 ( 6 ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 เช่น การจัดทําฐานข้อมูลเกี่ยวกับ การฉ้อฉลเพื่อการติดตามการฉ้อฉลและเพิ่มประสิทธิภาพการบริหารจัดการความเสี่ยงด้านการฉ้อฉลของบริษัท ซึ่งเป็นการดําเนินการเพื่อปฏิบัติตามประกาศคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัยว่าด้วย หลักเกณฑ์ วิธีการ และเงื่อนไขในการกําหนดมาตรฐานขั้นต่ําในการบริหารจัดการความเสี่ยงของบริษัทประกันชีวิต ในส่วนที่เกี่ยวข้องกับการฉ้อฉล ประกาศคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัยว่าด้วยการ ให้บริษัทประกันชีวิตยื่นรายงานเกี่ยวกับการฉ้อฉลประกันภัย และกฎหมายอื่นที่เกี่ยวข้อง ( 2 ) ข้อมูลส่วนบุคคลที่อ่อนไหว บริษัทจะต้องพิจารณาฐานทางกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่อ่อนไหวสําหรับแต่ละวัตถุประสงค์ซึ่งเข้มงวดยิ่งกว่าการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไป ( ก ) ฐานความยินยอมโดยชัดแจ้ง (explicit consent basis) โดยทั่วไป บริษัทอาจเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหวได้ต่อเมื่อ ได้รับความยินยอมโดยชัดแจ้งจากลูกค้าเท่านั้น โดยต้องขอความยินยอมสําหรับการเก็บรวบรวม ใช้ หรือเปิดเผย

4 ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ เช่น เพื่อการระบุและยืนยันตัวตนนอกเหนือจากที่กฎหมายกําหนดไว้ หรือเพื่อ การดําเนินกิจกรรมทางการตลาดแบบตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอ พิเศษ ข้อมูลส่งเสริมการขาย และสิทธิประโยชน์เกี่ยวกับผลิตภัณฑ์และบริการจากบริษัท บริษัทในเครือ และ พันธมิตรทางธุรกิจทุกกรณี โดยไม่คํานึงว่าเกินความคาดหมายของลูกค้าหรือไม่ ดังนั้น บริษัทจึงต้องพิจารณาว่า ข้อมูลส่วนบุคคลที่อ่อนไหวที่เก็บรวบรวมนั้นมีความสัมพันธ์กับประกันภัยประเภทนั้น ๆ อย่างไร หากไม่จําเป็นต้อง ใช้พิจารณาเพื่อให้บริการหรือทําสัญญาประกันภัย บริษัทอาจพิจารณาไม่เก็บรวบรวมข้อมูลส่วนบุคคลที่อ่อนไหว ตั้งแต่แรก หรือดําเนินการขอความยินยอมให้ถูกต้องตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ( ข ) ฐานทางกฎหมายอื่นซึ่งไม่ใช่ฐานความยินยอม บริษัทอาจอาศัยฐานทางกฎหมายอื่นตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ . ศ . 2562 ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ต้องขอความยินยอม เช่น ฐานเป็นการจําเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์อันเกี่ยวข้องกับประโยชน์สาธารณะที่สําคัญ ตามมาตรา 26 ( 5 ) ( จ ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 โดยได้จัดให้มีมาตรการที่ เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล สําหรับกรณีหนึ่งกรณีใดดังต่อไปนี้ 1 ) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหวของลูกค้า คู่สมรส บุคคล ในครอบครัว หรือบุคคลอื่นที่จําเป็นในการพิจารณารับประกันภัย การเอาประกันภัยต่อ พิจารณารับประกันภัยต่อ คํานวณเบี้ยประกันภัย ปฏิเสธการรับประกันภัยแต่ละประเภท หรือชดใช้ค่าสินไหมทดแทนตามสัญญาประกันภัย เช่น ข้อมูลสุขภาพหรือข้อมูลความพิการที่เป็นข้อมูลที่สําคัญที่ผู้เอาประกันภัยมีหน้าที่ต้องแถลงเพื่อให้บริษัท มีข้อมูลเพียงพอเพื่อใช้ในการพิจารณารับประกันชีวิต สุขภาพ หรืออุบัติเหตุ แล้วแต่กรณี 2 ) การเก็บรวบรวมข้อมูลส่วนบุคคลที่อ่อนไหวที่จําเป็นเพื่อเปิดเผยให้สํานักงานตาม ประกาศคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัยว่าด้วยการให้บริษัทประกันชีวิตยื่นรายงาน เกี่ยวกับการฉ้อฉลประกันภัย และกฎหมายอื่นที่เกี่ยวข้อง เพื่อใช้ในการจัดทําฐานข้อมูลเกี่ยวกับการฉ้อฉล ประกันภัย (watch-list) โดยสํานักงานจะเป็นศูนย์กลางในการบริหารจัดการข้อมูลเกี่ยวกับการฉ้อฉลประกันภัย เพื่อการติดตามการฉ้อฉลประกันภัยและเพิ่มประสิทธิภาพการบริหารจัดการความเสี่ยงด้านการฉ้อฉลของบริษัท 3 ) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหวที่จําเป็นเพื่อเปิดเผยให้ สํานักงานเพื่อใช้ประโยชน์ในการกํากับดูแลและส่งเสริมการประกอบธุรกิจประกันภัยตามกฎหมายว่าด้วย คณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย และกฎหมายว่าด้วยการประกันชีวิต ข้อ 6 ในกรณีที่บริษัทต้องขอความยินยอม ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล ให้บริษัทพิจารณากําหนดวิธีการขอความยินยอมให้เหมาะสมกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลของตน โดยสอดคล้องกับหลักเกณฑ์ในการขอความยินยอมตามกฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคล ทั้งนี้ บริษัทอาจดําเนินการตามแนวทางดังต่อไปนี้ก็ได้ ( 1 ) การขอความยินยอม ให้ทําโดยชัดแจ้งเป็นหนังสือหรือทําโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่ โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวก็อาจขอความยินยอมด้วยวิธีการอื่นได้ เช่น การขอความ ยินยอมผ่านทางโทรศัพท์ในบริบทของการเสนอขายและแนะนําผลิตภัณฑ์ทางโทรศัพท์ (telesales) หรือ การให้บริการหลังการขาย ทั้งนี้ บริษัทควรบันทึกเสียงที่ลูกค้าให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลไว้เพื่อเป็นหลักฐานการให้ความยินยอมด้วย โดยควรเก็บรักษาไว้ตลอดระยะเวลาที่มีการอาศัย ความยินยอมนั้นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และอาจเก็บรักษาไว้เป็นระยะเวลานานกว่านั้น

5 ภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และกฎหมายอื่นที่เกี่ยวข้อง เช่น ตลอดระยะเวลาอายุความ ตามกฎหมายเกี่ยวกับข้อพิพาทที่เกี่ยวเนื่องกับการให้ความยินยอม ( 2 ) การขอความยินยอมจากผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ ให้บริษัท ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ( 3 ) ในกรณีลูกค้าเป็นผู้เอาประกันภัยซึ่งมีกรมธรรม์ประกันภัยหลายฉบับ ให้บริษัทพิจารณาว่าควรขอ ความยินยอมแยกเป็นรายกรมธรรม์ประกันภัยหรือไม่ โดยพิจารณาจากวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลว่ามีความเกี่ยวเนื่องกับกรมธรรม์ประกันภัยฉบับอื่นหรือไม่ เช่น ในกรณีที่ ผู้เอาประกันภัยมีกรมธรรม์ประกันภัยหลายฉบับ โดยอาจมีทั้งกรมธรรม์ประกันชีวิต กรมธรรม์ประกันภัยสุขภาพ และกรมธรรม์ประกันภัยอุบัติเหตุ และบริษัทมีวัตถุประสงค์ที่ต้องการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เกี่ยวเนื่องกับทุกกรมธรรม์ประกันภัย เช่น วัตถุประสงค์ในการดําเนินกิจกรรมทางการตลาดแบบตรงของบริษัท ในกรณีดังกล่าว บริษัทอาจขอความยินยอมสําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อดําเนิน กิจกรรมทางการตลาดแบบตรงของบริษัทไปได้ในการเสนอขายกรมธรรม์ประกันภัยฉบับแรกครั้งเดียว โดยไม่จําเป็นต้องขอความยินยอมสําหรับวัตถุประสงค์ดังกล่าวในการเสนอขายกรมธรรม์ประกันภัยฉบับอื่น ๆ อีก เนื่องจากความยินยอมที่ได้ขอไว้นั้นครอบคลุมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทแล้ว เป็นต้น ( 4 ) การขอความยินยอมในกรณีที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจากแหล่งอื่น หรือบุคคลอื่นที่ไม่ใช่ลูกค้าโดยตรง ซึ่งบริษัทไม่ได้มีความสัมพันธ์โดยตรงกับลูกค้า ในขั้นตอนแรกของการเก็บรวบรวม ข้อมูลส่วนบุคคล บริษัทอาจดําเนินการตามแนวทางดังต่อไปนี้ก็ได้ ( ก ) ในการทําสัญญาประกันภัยแบบกลุ่ม บริษัทอาจกําหนดเงื่อนไขในใบคําขอเอาประกันภัย กรมธรรม์ประกันภัย หรือเอกสารอื่นใดให้ผู้ถือกรมธรรม์ประกันภัยให้คํารับรอง (representation and warranty) ว่า ได้แจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทตามหลักเกณฑ์ที่กําหนดในข้อ 8 และหากบริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ที่ต้องอาศัยความยินยอม บริษัทอาจจัดให้ผู้ถือกรมธรรม์ ประกันภัยจัดทําเอกสารขอความยินยอมจากสมาชิกผู้เอาประกันภัยเพื่อให้บริษัทสามารถเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ต้องอาศัยความยินยอมได้ ทั้งนี้ บริษัทอาจพิจารณาแนบนโยบายการคุ้มครอง ข้อมูลส่วนบุคคลของบริษัท พร้อมทั้งเอกสารขอความยินยอมให้แก่ผู้ถือกรมธรรม์ประกันภัย เพื่ออํานวยความสะดวกแก่ ผู้ถือกรมธรรม์ประกันภัยในการไปแจ้งนโยบายดังกล่าวและขอความยินยอมแทนบริษัท โดยให้ผู้ถือกรมธรรม์ ประกันภัยเก็บรักษาเอกสารขอความยินยอมนั้นไว้เป็นหลักฐาน ซึ่งบริษัทสามารถร้องขอได้หากเกิดข้อร้องเรียนขึ้น ในอนาคต ( ข ) การที่บริษัทได้รับข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) จากบุคคลอื่นที่บริษัทไม่มี นิติสัมพันธ์ด้วยมาก่อนเพื่อเสนอขายกรมธรรม์ประกันภัยของบริษัท ในการนี้ บริษัทต้องขอความยินยอมอีกครั้งหรือ ให้บุคคลอื่นที่เปิดเผยข้อมูลส่วนบุคคลต่อบริษัทนั้น ขอความยินยอมให้บริษัทตั้งแต่ต้น โดยให้บริษัทอื่นที่เปิดเผย ข้อมูลส่วนบุคคลเก็บรักษาเอกสารขอความยินยอมนั้นไว้เป็นหลักฐาน ซึ่งบริษัทสามารถร้องขอได้หากเกิด ข้อร้องเรียนขึ้นในอนาคต ( ค ) ในกรณีที่ลูกค้าเป็นผู้เอาประกันภัยที่ได้ให้ข้อมูลส่วนบุคคลของบุคคลอื่นที่เกี่ยวข้องแก่ บริษัท เช่น คู่สมรส ผู้ชําระเบี้ยประกันภัย ผู้รับประโยชน์ตามกรมธรรม์ประกันภัย หรือบุคคลในครอบครัว บริษัท อาจกําหนดเงื่อนไขในใบคําขอเอาประกันภัย กรมธรรม์ประกันภัย หรือเอกสารอื่นใดให้ผู้เอาประกันให้คํารับรอง (representation and warranty) ว่าได้แจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทตามหลักเกณฑ์ที่ กําหนดในข้อ 8 และหากบริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลดังกล่าวเพื่อวัตถุประสงค์ที่ต้อง

6 อาศัยความยินยอม อาจจัดให้ผู้เอาประกันภัยให้คํารับรอง (representation and warranty) ว่าได้รับความยินยอม จากบุคคลอื่นที่เกี่ยวข้องเหล่านั้นแล้วเพื่อให้บริษัทสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ที่ต้องอาศัยความยินยอมได้ ข้อ 7 บริษัทต้องจัดให้ลูกค้าสามารถขอถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด โดยลูกค้าจะถอนความยินยอมเมื่อใด ก็ได้ และจะต้องกระทําได้โดยง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจํากัดสิทธิในการถอนความยินยอม โดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่ลูกค้า ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด เช่น ลูกค้าจะต้องสามารถขอถอนความยินยอมได้ผ่านช่องทางเดียวกันกับที่ใช้ในการให้ความยินยอม โดยไม่ได้มีขั้นตอน เพิ่มเติมที่กําหนดขึ้นเป็นอุปสรรคแก่การขอถอนความยินยอมเช่นว่านั้น และบริษัทต้องจัดให้มีระบบการบันทึกการ ถอนความยินยอมดังกล่าวไว้เป็นหลักฐานด้วย ข้อ 8 ในการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคล บริษัทอาจดําเนินการตามหลักเกณฑ์ ดังต่อไปนี้ ( 1 ) แจ้งรายละเอียดต่างๆ ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทแก่ลูกค้าก่อนหรือ ขณะเก็บรวบรวมข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด โดยบริษัทอาจ ดําเนินการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทในรูปแบบใดก็ได้ เช่น การแนบลิงก์ (link) หรือ แสดง QR Code ไปยังนโยบายการคุ้มครองข้อมูลส่วนบุคคลบนหน้าเว็บไซต์หรือช่องทางการติดต่อสื่อสารอื่น ๆ เป็นต้น ในกรณีที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นเพื่อวัตถุประสงค์ในการติดต่อลูกค้า บริษัท อาจแจ้งรายละเอียดต่างๆ ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทแก่ลูกค้าภายหลังจากการเก็บรวบรวม ข้อมูลส่วนบุคคลได้ภายในสามสิบวัน โดยควรแจ้งอย่างช้าที่สุดในการติดต่อสื่อสารกับลูกค้าในครั้งแรก เว้นแต่ เข้าข้อยกเว้นที่ไม่ต้องแจ้งตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทต้องมีการระบุวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าต่อสํานักงาน เพื่อประโยชน์ในการกํากับดูแลและส่งเสริมธุรกิจ ประกันภัยตามกฎหมายว่าด้วยคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย และกฎหมายว่าด้วย การประกันชีวิต ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของสํานักงาน และระบุเชื่อมโยงไปยังเว็บไซต์ของสํานักงาน (https://www.oic.or.th) ซึ่งมีการเผยแพร่นโยบายคุ้มครองข้อมูลส่วนบุคคลของสํานักงานไว้ ทั้งนี้ บริษัทอาจใช้ แบบแนบท้ายแนวปฏิบัตินี้เป็นแนวทางในการจัดทํานโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ( 2 ) จัดให้มีการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลไปก่อนหรือพร้อมกับใบคําขอ เอาประกันภัยหรือแบบขอความยินยอมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือผ่านช่องทางการ ติดต่อสื่อสารอื่น ๆ ระหว่างบริษัทกับลูกค้า เช่น การติดต่อสื่อสารซึ่งหน้าทางอิเล็กทรอนิกส์ หรือทางโทรศัพท์ ตามที่เหมาะสม เป็นต้น และในกรณีที่บริษัทมีการใช้งานเว็บไซต์ในการปฏิสัมพันธ์กับลูกค้า ให้บริษัทประกาศทาง เว็บไซต์ของบริษัทด้วย ข้อ 9 ในกรณีที่บริษัทโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลซึ่งอยู่ต่างประเทศ ให้ปฏิบัติตาม หลักเกณฑ์การโอนข้อมูลส่วนบุคคลไปต่างประเทศตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

7 ข้อ 10 สถานะของบริษัท บริษัทที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการประกอบธุรกิจประกันภัย ในฐานะผู้รับประกันภัยหรือผู้รับประกันภัยต่อ มีอํานาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลเพื่อวัตถุประสงค์ต่าง ๆ ตลอดจนระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลได้เอง เช่น เก็บรวบรวมข้อมูล ส่วนบุคคลของลูกค้าและบุคคลที่เกี่ยวข้องเพื่อพิจารณารับประกันภัย การเอาประกันภัยต่อ พิจารณารับประกันภัย ต่อ ปฏิบัติตามสัญญาประกันภัย พิจารณาและดําเนินการที่เกี่ยวข้องกับการจ่ายค่าสินไหมทดแทน จัดทําสมุด ทะเบียนตามกฎหมาย เพื่อเป็นหลักฐานในการต่อสู้คดีตามกฎหมาย หรือเพื่อเสนอขายหรือการดําเนินกิจกรรมทาง การตลาดแบบตรง (direct marketing) เป็นต้น มีลักษณะเป็นผู้ควบคุมข้อมูลส่วนบุคคล อย่างไรก็ดี บริษัทในฐานะผู้รับประกันภัยหรือผู้รับประกันภัยต่ออาจมีลักษณะเป็นผู้ประมวลผล ข้อมูลส่วนบุคคลได้ หากได้ดําเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในนามหรือตามคําสั่งของ ผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยเฉพาะ ข้อ 11 ในกรณีที่บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคล บริษัทยังมีหน้าที่อื่น ๆ เพิ่มเติมดังต่อไปนี้ ( 1 ) ดําเนินการให้ข้อมูลส่วนบุคคลของลูกค้าถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิด ความเข้าใจผิด ( 2 ) จัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ รวมทั้งต้องทบทวนมาตรการ ดังกล่าวเมื่อมีความจําเป็นหรือเมื่อเทคโนโลยีและธุรกิจเปลี่ยนแปลงไป เพื่อให้ประสิทธิภาพในการรักษาความ มั่นคงปลอดภัยที่เหมาะสม ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ประกาศคณะกรรมการกํากับและ ส่งเสริมการประกอบธุรกิจประกันภัยว่าด้วยหลักเกณฑ์การกํากับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยี สารสนเทศของบริษัทประกันชีวิต และกฎหมายอื่นที่เกี่ยวข้องกําหนด อย่างไรก็ดี บริษัทอาจคํานึงถึงประเด็น ดังต่อไปนี้ ร่วมด้วย เช่น ( ก ) อํานาจหน้าที่ของพนักงานแต่ละระดับที่เอื้อต่อการดูแลรักษาความปลอดภัยของข้อมูล ส่วนบุคคล โดยสอดคล้องกับหลักการควบคุม การกํากับและตรวจสอบ (3 lines of defense) ( ข ) การรักษาความมั่นคงปลอดภัยของข้อมูล โดยควรมีมาตรการเชิงเทคนิคและเชิงบริหาร จัดการเพื่อรักษาความมั่นคงปลอดภัยในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น มีการกําหนด ชั้นความลับของข้อมูล เก็บรักษา และทําลายข้อมูลให้เหมาะสมกับชั้นความลับ มีการบริหารจัดการการเข้าถึงรหัส ข้อมูลที่เชื่อถือได้และเป็นมาตรฐานสากลในการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสมตามชั้นความลับและ ความสําคัญของข้อมูล จัดทํานโยบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย และรวมถึงจัดฝึกอบรมหรือ สร้างความตระหนักรู้และการมีส่วนร่วมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความปลอดภัยของข้อมูล แก่พนักงานและบุคลากร เช่น แนวทางการกํากับดูแลการเตรียมความพร้อมรับมือภัยคุกคามทางไซเบอร์ เหตุการ ละเมิดข้อมูลส่วนบุคคล แนวปฏิบัติด้านการเข้ารหัสข้อมูล (cryptography) มาตรการสําหรับการทํางานนอกบริษัท (Remote Working Policy) เช่น หากพนักงานนําเอกสารที่มีข้อมูลเกี่ยวกับลูกค้าไปทํางานนอกสถานที่จะต้อง มั่นใจว่าจะไม่ทําเอกสารดังกล่าวสูญหายหรือลืมทิ้งไว้นอกสถานที่แต่อย่างใด เป็นต้น ( ค ) กําหนดสิทธิและข้อจํากัดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของบุคลากร พนักงาน หรือ ลูกจ้างของตนในแต่ละลําดับชั้นให้ชัดเจนและเป็นปัจจุบัน โดยเฉพาะเมื่อมีการเปลี่ยนแปลงตําแหน่งหรือการจ้างงาน จัดหาพื้นที่ปิดสําหรับการจัดเก็บเอกสารที่มีข้อมูลส่วนบุคคลโดยสามารถปิดล็อคได้ ตลอดจนมีการติดตามตรวจสอบ การเข้าถึงระบบงานอย่างจริงจังสม่ําเสมอเพื่อตรวจจับความผิดปกติของการเข้าถึงข้อมูลและสามารถแก้ไขปัญหา

8 ได้ทันท่วงที โดยมีการบันทึกข้อมูลและรายละเอียดที่สําคัญของบุคคลที่เข้าถึงระบบงานทุกครั้ง เช่น ช่วงเวลา ที่เข้าถึง ชื่อและตําแหน่งหน้าที่ของบุคคลที่เข้าถึง เป็นต้น รวมถึงรายงานผลการตรวจจับต่อผู้บริหาร เช่น กําหนด มาตรการเพื่อควบคุมและป้องกันการรั่วไหลของข้อมูลโดยแบ่งแยกหน่วยงานเป็นสัดส่วนตามหลักแบ่งแยก หน่วยงานและบุคลากรที่มีโอกาสได้รับข้อมูลจากการปฏิบัติงานออกจากหน่วยงานอื่นอย่างชัดเจน เพื่อป้องกันการ รั่วไหลของข้อมูลดังกล่าว (Chinese wall) รวมถึงข้อมูลส่วนบุคคลระหว่างหน่วยงาน ซึ่งอาจส่งผลกระทบต่อ เจ้าของข้อมูลส่วนบุคคลได้ และจัดเก็บและกําหนดการเข้าถึงข้อมูลเท่าที่จําเป็น (need to know basis) กําหนด แนวทางในการกํากับดูแลและตรวจสอบพนักงานที่มีหน้าที่ที่เกี่ยวข้องกับข้อมูลภายในซึ่งอาจถูกนําไปใช้อย่าง ไม่เหมาะสม รวมทั้งจัดให้มีการบันทึก การทําสํารองข้อมูลของการเข้าถึงหรือการเข้าใช้งานข้อมูลส่วนบุคคลไว้ใน ระยะเวลาที่เหมาะสมหรือตามระยะเวลาที่กฎหมายกําหนด ( ง ) ควบคุมและบริหารจัดการความเสี่ยงเกี่ยวกับผู้ให้บริการภายนอกหรือพันธมิตรทางธุรกิจ อย่างมีประสิทธิภาพและรัดกุมในการเข้าถึง การใช้ และการดูแลรักษาข้อมูลลูกค้า เช่น การจัดทําสัญญาระหว่าง บริษัทกับบุคคลดังกล่าวเพื่อกําหนดหน้าที่ในการดูแลรักษาความปลอดภัยของการใช้ข้อมูลส่วนบุคคล โดยอาจ อ้างอิงจากมาตรฐานของประเทศที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ( จ ) มีการบริหารจัดการความเสี่ยง ตรวจสอบและประเมินความเสี่ยงด้านความมั่นคงปลอดภัย ของเว็บไซต์หรือของระบบสารสนเทศโดยครอบคลุมความเสี่ยงที่อาจกระทบกับความมั่นคงปลอดภัยของข้อมูล ส่วนบุคคลที่เกี่ยวข้องอย่างน้อยปีละ 1 ครั้ง หรือทุกครั้งที่มีการเปลี่ยนแปลงอย่างมีนัยสําคัญ ( ฉ ) มีการติดตามดูแลระบบและการเฝ้าระวังภัยคุกคาม (security monitoring) โดยมี กระบวนการหรือเครื่องมือในการตรวจจับเหตุการละเมิดข้อมูลส่วนบุคคล เหตุการณ์ผิดปกติ หรือภัยคุกคามที่มี ผลกระทบต่อความมั่นคงปลอดภัยของระบบที่สําคัญ รวมถึง มีการบริหารจัดการช่องโหว่ (vulnerability management) ของระบบที่เหมาะสมตามระดับความเสี่ยง และจัดให้มีผู้เชี่ยวชาญจากภายนอกทําหน้าที่ทดสอบ เจาะระบบ โดยเฉพาะระบบงาน (application) และระบบเครือข่าย (network) ที่มีการเชื่อมต่อกับระบบเครือข่าย สื่อสารสาธารณะ (internet facing) อย่างสม่ําเสมอ หรือทุกครั้งที่มีการเปลี่ยนแปลงระบบอย่างมีนัยสําคัญ และ ดําเนินการให้มั่นใจว่ามีการแก้ไขข้อบกพร่องอย่างมีประสิทธิภาพ ( ช ) กําหนดให้มีการใช้มาตรการที่เหมาะสมและเป็นการเฉพาะสําหรับการรักษาความมั่นคง ปลอดภัยของข้อมูลส่วนบุคคลที่อ่อนไหวตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( ซ ) ควรจัดให้มีมาตรการที่รอบคอบในการรักษาความมั่นคงปลอดภัยสําหรับข้อมูลส่วนบุคคล ของบุคคลซึ่งเป็นผู้เยาว์โดยใช้วิธีการโดยเฉพาะและเหมาะสมตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กําหนด ( 3 ) ในกรณีที่บริษัทต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูล ส่วนบุคคลต้องดําเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ ( 4 ) จัดให้มีระบบการตรวจสอบเพื่อให้สามารถดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลเมื่อพ้น กําหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจําเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูล ส่วนบุคคลหรือตามที่ลูกค้าร้องขอ หรือที่ลูกค้าได้ถอนความยินยอมแล้ว เว้นแต่เข้าข้อยกเว้นตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล ( 5 ) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและ สํานักงานตามหลักเกณฑ์และระยะเวลาที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด

9 ( 6 ) จัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลอย่างน้อย ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด เพื่อให้ลูกค้า สํานักงาน และสํานักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ ( 7 ) ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าในความครอบครองของบริษัทแก่ผู้ประมวลผล ข้อมูลส่วนบุคคลของบริษัท เช่น ตัวแทนประกันชีวิต ผู้ให้บริการภายนอกหรือบุคคลที่สามอื่นใด ให้จัดให้มีสัญญา หรือข้อตกลงระหว่างกันเกี่ยวกับกิจกรรมการประมวลผลนั้น ๆ (Data Processing Agreement) ตามที่กฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ทั้งนี้ ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลภายนอกที่เป็น ผู้ควบคุมข้อมูลส่วนบุคคล เช่น นายหน้าประกันชีวิต บริษัทอาจพิจารณาเข้าทําสัญญาที่เป็นลายลักษณ์อักษรกับ บุคคลภายนอกดังกล่าว (Data Sharing Agreement) เพื่อตกลงหน้าที่เกี่ยวกับกิจกรรมการประมวลผลข้อมูล ส่วนบุคคลระหว่างกันก็ได้ ( 8 ) ในกรณีที่บริษัทซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้การแต่งตั้ง คุณสมบัติและหน้าที่ของ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมทั้งหน้าที่ของบริษัทที่มีต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นไปตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ข้อ 12 ในกรณีที่บริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ดังต่อไปนี้ ( 1 ) ดําเนินการเกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งที่ได้รับจาก ผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คําสั่งของผู้ควบคุมข้อมูลส่วนบุคคลขัดต่อกฎหมาย ( 2 ) จัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ โดยเป็นไปตามที่กฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 3 ) แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลตามที่กฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 4 ) จัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามที่ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด เพื่อให้ลูกค้า ผู้ควบคุมข้อมูลส่วนบุคคล สํานักงาน และ สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ ( 5 ) เข้าทําสัญญาหรือข้อตกลงเกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลระหว่างตนกับ ผู้ควบคุมข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 6 ) ในกรณีที่บริษัทซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลของตนตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้การแต่งตั้ง คุณสมบัติและหน้าที่ ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมทั้งหน้าที่ของบริษัทที่มีต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล อย่างไรก็ดี หากบริษัทมีหน้าที่จัดให้มีเจ้าหน้าที่คุ้มครอง ข้อมูลส่วนบุคคลของตนในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลอยู่แล้ว บริษัทสามารถให้เจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลปฏิบัติหน้าที่ในส่วนที่เกี่ยวข้องกับการดําเนินกิจกรรมในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้ ( 7 ) ต้องเก็บรักษาข้อมูลส่วนบุคคลตามคําสั่งและนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของ ผู้ควบคุมข้อมูลส่วนบุคคล

10 ข้อ 13 กรณีบริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคล ให้จัดทํานโยบายการเก็บรักษาข้อมูลส่วนบุคคล ภายในองค์กรเพื่อกําหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล ซึ่งต้องกําหนดระยะเวลาที่เหมาะสมและจําเป็น สําหรับข้อมูลส่วนบุคคลแต่ละประเภทและวัตถุประสงค์ที่ได้แจ้งลูกค้า ทั้งนี้ บริษัทอาจกําหนดระยะเวลา ขั้นต่ําในการเก็บรักษาข้อมูลส่วนบุคคลตามอายุความของสัญญาประกันภัย หรือจนกว่าจะสิ้นสุดความสัมพันธ์กับ บริษัท เช่น กรณีที่บริษัทปฏิเสธการรับประกันภัย หรือผู้เอาประกันภัยขอยกเลิกหรือเวนคืนกรมธรรม์ประกันภัย อย่างไรก็ดี หากบริษัทมีความจําเป็นในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นต่อไป บริษัทก็อาจเก็บรวบรวมข้อมูล ส่วนบุคคลนั้นไว้ได้ เช่น เก็บรวบรวมข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) ที่ถูกปฏิเสธการรับประกันภัย เพื่อประโยชน์ในการป้องกันการฉ้อฉล หรือเพื่อปฏิบัติตามกฎหมายอื่นที่เกี่ยวข้อง กรณีที่ข้อมูลส่วนบุคคลหมดความจําเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือบริษัทไม่มีอํานาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้บริษัทยุติการประมวลผลข้อมูลส่วนบุคคล และดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลนั้น หรือทําให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล ที่เป็นลูกค้าได้ ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคล บริษัทต้องจัดให้มี มาตรการให้ผู้ให้บริการภายนอกลบหรือทําลายข้อมูลส่วนบุคคลตามระยะเวลาดังกล่าวด้วยเช่นกัน เช่น กําหนด เป็นหน้าที่ในสัญญาหรือข้อตกลงระหว่างกันเกี่ยวกับกิจกรรมการประมวลผลนั้น ๆ ตามที่กฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคลกําหนด ในกรณีที่ลูกค้าเป็นผู้เอาประกันภัยที่มีหลายกรมธรรม์ประกันภัย ให้บริษัทพิจารณาลบหรือ ทําลายข้อมูลส่วนบุคคลเป็นรายกรมธรรม์ประกันภัย อย่างไรก็ดี แม้กรมธรรม์ประกันภัยใดกรมธรรม์ประกันภัยหนึ่ง จะสิ้นระยะเวลาเอาประกันภัย ทําให้บริษัทไม่สามารถเก็บรวบรวมข้อมูลส่วนบุคคลบางอย่างได้อีกต่อไปเนื่องจาก หมดความจําเป็น หากกรมธรรม์ประกันภัยอื่นยังมีผลบังคับอยู่ และบริษัทยังจําเป็นต้องเก็บรักษาข้อมูลส่วนบุคคล ที่จําเป็นและเกี่ยวข้องที่บริษัทได้มาจากกรมธรรม์ประกันภัยที่สิ้นระยะเวลาเอาประกันภัยแล้ว บริษัทยังคงเก็บ รวบรวมได้ต่อไป เช่น ข้อมูลชื่อ นามสกุล รายละเอียดตามกรมธรรม์ประกันภัยเดิมเฉพาะที่เกี่ยวข้องกับกรมธรรม์ ประกันภัยอื่นยังมีผลบังคับอยู่ ข้อ 14 กรณีบริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่บริษัทได้เก็บรวบรวมไว้ก่อน วันที่ 1 มิถุนายน พ . ศ . 2565 บริษัทสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม โดยต้องกําหนดวิธีการยกเลิกความยินยอมและเผยแพร่ประชาสัมพันธ์ให้ลูกค้าที่ไม่ประสงค์ให้บริษัทเก็บรวมรวม และใช้ข้อมูลส่วนบุคคลดังกล่าวต่อไปสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย ทั้งนี้ การเผยแพร่ประชาสัมพันธ์ตามวรรคหนึ่ง ให้บริษัทแจ้งให้ลูกค้าทราบผ่านช่องทางที่บริษัท มีปฏิสัมพันธ์กับลูกค้าตามปกติ หรือช่องทางที่ลูกค้าสามารถทราบถึงการเผยแพร่ประชาสัมพันธ์ดังกล่าวได้โดยง่าย เช่น การส่งไปรษณีย์ อีเมล หรือข้อความสื่อสารทางโทรศัพท์ (SMS) และในกรณีที่บริษัทมีการใช้งานเว็บไซต์ ในการปฏิสัมพันธ์กับลูกค้า ให้บริษัทประกาศทางเว็บไซต์ของบริษัทด้วย ทั้งนี้ บริษัทต้องระบุช่องทางในการยกเลิก ความยินยอมด้วย หากบริษัทต้องการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลตามวรรคหนึ่งเพื่อวัตถุประสงค์อื่นเพิ่มเติม จากวัตถุประสงค์เดิม หรือต้องการเปิดเผยหรือดําเนินการประการอื่นที่ไม่ใช่การเก็บรวบรวมและการใช้ข้อมูล ส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น บริษัทต้องดําเนินการให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กรณีบริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ให้จัดการข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือ เปิดเผยไว้ก่อนวันที่ 1 มิถุนายน พ . ศ . 2565 ตามแนวทางที่ผู้ควบคุมข้อมูลส่วนบุคคลของบริษัทกําหนด

11 หมวด 2 ตัวแทนประกันชีวิต ข้อ 15 ในกรณีที่ตัวแทนประกันชีวิตเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัทใด ตัวแทน ประกันชีวิตต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไปหรือข้อมูลส่วนบุคคลที่อ่อนไหวตามคําสั่งหรือ ข้อตกลงที่มีอยู่กับบริษัทนั้นเท่านั้น จึงถือเป็นการประมวลผลข้อมูลโดยอาศัยฐานทางกฎหมายเดียวกันกับ บริษัทนั้นได้ อย่างไรก็ดี ในกรณีที่ตัวแทนประกันชีวิตเป็นผู้ควบคุมข้อมูลส่วนบุคคล ต้องพิจารณาฐานทางกฎหมาย สําหรับแต่ละวัตถุประสงค์นั้นเป็นรายกรณีตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ข้อ 16 ในกรณีที่บริษัทไม่อาจอาศัยฐานในการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 24 มาตรา 25 และมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 และจําเป็นต้องขอความยินยอม ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ให้ตัวแทนประกันชีวิตซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ของบริษัทขอความยินยอมจากลูกค้าตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลแทนบริษัท ซึ่งรวมถึง การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถด้วย โดยตัวแทนประกันชีวิตอาจดําเนินการตามแนวทางดังต่อไปนี้ ( 1 ) การขอความยินยอมจากลูกค้าต้องทําโดยชัดแจ้งเป็นหนังสือหรือทําโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวก็สามารถขอความยินยอมด้วยวิธีการอื่นได้ เช่น การขอ ความยินยอมผ่านทางโทรศัพท์ในบริบทของบริการขายและแนะนําผลิตภัณฑ์ทางโทรศัพท์ (telesales) หรือการ ให้บริการหลังการขาย ทั้งนี้ ตัวแทนประกันชีวิตควรบันทึกเสียงที่ลูกค้าให้ความยินยอมในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลไว้เพื่อเป็นหลักฐานการให้ความยินยอมด้วย โดยปฏิบัติตามแนวทางที่บริษัทกําหนด ( 2 ) ในกรณีที่ตัวแทนประกันชีวิตเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจากแหล่งอื่นหรือบุคคลอื่น ที่ไม่ใช่ลูกค้าโดยตรง ซึ่งตัวแทนประกันชีวิตไม่ได้มีความสัมพันธ์โดยตรงกับลูกค้าในขั้นตอนแรกของการเก็บ รวบรวมข้อมูลส่วนบุคคล ตัวแทนประกันชีวิตอาจเก็บรวบรวมข้อมูลส่วนบุคคลโดยปฏิบัติตามแนวทางที่บริษัท กําหนด เช่น ในกรณีที่ตัวแทนประกันชีวิตได้รับข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) จากลูกค้าปัจจุบันหรือ บุคคลอ้างอิงที่แนะนําต่อกันมา บริษัทอาจกําหนดให้ตัวแทนประกันชีวิตจัดให้บุคคลผู้ให้ข้อมูลเหล่านั้นต้องให้ คํารับรอง (representation and warranty) ว่าได้รับความยินยอมจากผู้มุ่งหวังเพื่อให้ข้อมูลส่วนบุคคลของบุคคลนั้น แก่ตัวแทนประกันชีวิตเพื่อการเสนอขายกรมธรรม์ประกันภัยในนามบริษัทแล้ว โดยเมื่อตัวแทนประกันชีวิตติดต่อ กับผู้มุ่งหวังรายนั้นเป็นครั้งแรก บริษัทอาจกําหนดให้แจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคล (privacy notice) ของบริษัท และขอความยินยอมจากผู้มุ่งหวังอีกครั้งเพื่อให้ตัวแทนประกันชีวิตสามารถเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลในนามของบริษัทเพื่อวัตถุประสงค์ที่ต้องอาศัยความยินยอม ข้อ 17 ในกรณีที่ตัวแทนประกันชีวิตได้รับมอบหมายจากบริษัทให้รับคําขอถอนความยินยอม ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากลูกค้า ให้ตัวแทนประกันชีวิตดําเนินการตามแนวทางการ ถอนความยินยอมที่บริษัทกําหนดตามข้อ 7 ข้อ 18 ให้ตัวแทนประกันชีวิตซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลแจ้งนโยบายการคุ้มครอง ข้อมูลส่วนบุคคลของบริษัท แก่ลูกค้าตามช่องทางและแนวทางที่บริษัทกําหนดตามข้อ 8

12 ข้อ 19 ในกรณีที่ตัวแทนประกันชีวิตซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลได้รับมอบหมายจาก บริษัทให้โอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลซึ่งอยู่ต่างประเทศ ให้ปฏิบัติตามหลักเกณฑ์การโอนข้อมูลส่วนบุคคล ไปต่างประเทศตามแนวทางที่บริษัทกําหนด ข้อ 20 สถานะของตัวแทนประกันชีวิต ( 1 ) กรณีตัวแทนประกันชีวิตเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า เพื่อทําการ ชักชวนให้บุคคลทําสัญญาประกันภัยกับบริษัทตามที่ได้รับมอบหมาย จึงเป็นการทําตามคําสั่งหรือในนามของบริษัท ดังนั้น ตัวแทนประกันชีวิตจึงมีลักษณะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท และต้องเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทซึ่งระบุ ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทหรือในสัญญาระหว่างตัวแทนประกันชีวิตกับบริษัท ( 2 ) กรณีที่ตัวแทนประกันชีวิตไม่ปฏิบัติตามคําสั่งหรือกระทําการนอกเหนือจากวัตถุประสงค์ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของของบริษัท ตัวแทนประกันชีวิตจะถือเป็นผู้ควบคุมข้อมูล ส่วนบุคคลสําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสําหรับวัตถุประสงค์เหล่านั้น เช่น เพื่อการทํา การตลาดแบบตรง (direct marketing) ของตัวแทนประกันชีวิตเอง หรือเพื่อกิจการอื่นใดของตัวแทนประกันชีวิต เป็นการส่วนตัวที่ไม่เกี่ยวข้องกับการทําหน้าที่เป็นตัวแทนประกันชีวิตของบริษัทใดบริษัทหนึ่ง เป็นต้น กรณีดังกล่าว จึงถือได้ว่าตัวแทนประกันชีวิตเป็นผู้มีอํานาจตัดสินใจในการประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงเพื่อการ พิจารณาเลือกเสนอขายผลิตภัณฑ์ประกันภัยและบริการของบริษัทอื่นในกรณีที่เป็นตัวแทนประกันชีวิตของบริษัท มากกว่าหนึ่งแห่ง เนื่องจากตัวแทนประกันชีวิตมีสิทธิจะพิจารณาก่อนได้ว่าจะเสนอขายผลิตภัณฑ์ประกันภัยและ บริการของบริษัทใดให้แก่ลูกค้าแต่ละราย อย่างไรก็ดี เมื่อตัวแทนประกันชีวิตทําการชักชวนให้ลูกค้าเข้าทําสัญญา ประกันภัยกับบริษัทใดเป็นการเฉพาะแล้ว ตัวแทนประกันชีวิตจะมีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของ บริษัทนั้นตาม ( 1 ) ข้อ 21 ในกรณีที่ตัวแทนประกันชีวิตเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ตัวแทนประกันชีวิตยังมี หน้าที่อื่น ๆ เพิ่มเติมตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ดังต่อไปนี้ ( 1 ) ดําเนินการเกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งที่ได้รับจาก บริษัทเท่านั้น เว้นแต่คําสั่งของบริษัทขัดต่อกฎหมาย ( 2 ) จัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ โดยเป็นไปตามที่กฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 3 ) แจ้งให้บริษัททราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคลกําหนด ( 4 ) จัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามที่ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด เพื่อให้ลูกค้า บริษัท สํานักงาน และสํานักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ ( 5 ) ตัวแทนประกันชีวิตที่ดําเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งไม่ใช่พนักงาน หรือลูกจ้างของบริษัทต้องเข้าทําสัญญาหรือข้อตกลงเกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลระหว่างตน กับบริษัทตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด

13 ( 6 ) ในกรณีที่ตัวแทนประกันชีวิตซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคลของตนตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้การแต่งตั้ง คุณสมบัติและหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมทั้งหน้าที่ของตัวแทนประกันชีวิตที่มีต่อเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคล เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล อย่างไรก็ดี หากตัวแทนประกัน ชีวิตมีหน้าที่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตนในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลอยู่แล้ว ตัวแทนประกันชีวิตสามารถให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ในส่วนที่เกี่ยวข้องกับการดําเนิน กิจกรรมในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้ ( 7 ) ต้องเก็บรักษาข้อมูลส่วนบุคคลตามคําสั่งและนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของบริษัท ข้อ 22 ในกรณีที่ตัวแทนประกันชีวิตเป็นผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ดังต่อไปนี้ ( 1 ) ตัวแทนประกันชีวิตต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้ แจ้งลูกค้าไว้ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล หากตัวแทนประกันชีวิตพบหรือทราบว่า มีวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นการเพิ่มเติมจากวัตถุประสงค์เดิม ซึ่งนอกเหนือจากที่ได้ระบุไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของตัวแทนประกันชีวิตเอง หรือในกรณีที่มี การเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตัวแทนประกันชีวิตจะเพิ่มหรือ เปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก็ได้ ในกรณีที่วัตถุประสงค์ใหม่นั้นจําเป็นต้องอาศัยฐานความยินยอม ตัวแทนประกันชีวิตจะต้องขอ ความยินยอมจากลูกค้าสําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใหม่เป็นการ เพิ่มเติมด้วย ทั้งนี้ ตัวแทนประกันชีวิตจะต้องทําการปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคลของตัวแทน ประกันชีวิตให้ครอบคลุมถึงวัตถุประสงค์ใหม่ดังกล่าวและแจ้งวัตถุประสงค์ใหม่นั้นให้ลูกค้าทราบด้วย โดยอาจแจ้ง ในช่องทางต่าง ๆ ที่ตัวแทนประกันชีวิตสามารถพิสูจน์ได้ว่าเหมาะสมในการสื่อสารให้ลูกค้ารับทราบ โดยอาจ พิจารณาจากช่องทางที่ตัวแทนประกันชีวิตมีปฏิสัมพันธ์กับลูกค้าตามปกติ หรือช่องทางลูกค้าสามารถเข้าถึงหรือ ทราบนโยบายการคุ้มครองข้อมูลส่วนบุคคลได้โดยง่าย เช่น การส่งทางไปรษณีย์ อีเมลหรือข้อความสื่อสารทาง โทรศัพท์ (SMS) โดยอาจเป็นช่องทางเดียวกันกับช่องทางที่เคยแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลไว้ก่อน หน้าก็ได้ และในกรณีที่ตัวแทนประกันชีวิตมีการใช้งานเว็บไซต์ในการมีปฏิสัมพันธ์กับลูกค้า ให้ตัวแทนประกันชีวิต ประกาศทางเว็บไซต์ของตัวแทนประกันชีวิตด้วย ( 2 ) ให้ตัวแทนประกันชีวิตแบ่งประเภทข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยตามที่ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ตามแนวทางที่กําหนดไว้ข้อ 4 ( 3 ) ให้ตัวแทนประกันชีวิตขอความยินยอมจากลูกค้า ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลของลูกค้าสําหรับกรณีที่ไม่อาจอาศัยฐานในการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 24 มาตรา 25 และมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 โดยพิจารณาตามประเภทข้อมูล ส่วนบุคคลตามข้อ 4 ทั้งนี้ ตัวแทนประกันชีวิตอาจพิจารณาอาศัยฐานในการประมวลผลข้อมูลส่วนบุคคลสําหรับ การดําเนินการต่าง ๆ ตามแนวทางดังต่อไปนี้ ( ก ) ข้อมูลส่วนบุคคลทั่วไป 1 ) ฐานความยินยอม ในการดําเนินการกิจกรรมทางการตลาดนั้น ตัวแทนประกันชีวิตต้องขอความยินยอม เพื่อการตลาดแบบตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอพิเศษ ข้อมูลส่งเสริม

14 การขาย และสิทธิประโยชน์เกี่ยวกับผลิตภัณฑ์และบริการ ซึ่งอาจเป็นผลิตภัณฑ์และบริการอื่นของตัวแทนประกันชีวิต บริษัทในเครือ หรือพันธมิตรทางธุรกิจของตัวแทนประกันชีวิต โดยมีลักษณะที่เกินความคาดหมายของลูกค้า เช่น การส่งข้อความการสื่อสารด้านการตลาดให้กับลูกค้าที่ไม่เคยมีความสัมพันธ์ทางธุรกิจกับตัวแทนประกันชีวิตมาก่อน และไม่อาจคาดหมายว่าจะได้รับข้อมูลข่าวสารการตลาดจากตัวแทนประกันชีวิต หรือการซื้อข้อมูลลูกค้าจาก ผู้ประกอบการรายอื่น ( ซื้อ lead) เป็นต้น ทั้งนี้ ตัวแทนประกันชีวิตต้องเปิดโอกาสให้ลูกค้าใช้สิทธิถอนความยินยอม ได้เสมอ 2 ) ฐานทางกฎหมายอื่น ๆ ซึ่งไม่ใช่ฐานความยินยอม ตัวแทนประกันชีวิตอาจอาศัยฐานทางกฎหมายอื่นตามมาตรา 24 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 โดยไม่ต้องขอความยินยอมจากลูกค้าเพื่อเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น ฐานเป็นการจําเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของ ผู้ควบคุมข้อมูลส่วนบุคคล (legitimate interest basis) ตามมาตรา 24 ( 5 ) แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ . ศ . 2562 สําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการดําเนินการกิจกรรมทาง การตลาดเพื่อการตลาดแบบตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอพิเศษ ข้อมูล ส่งเสริมการขาย และสิทธิประโยชน์เกี่ยวกับผลิตภัณฑ์และบริการ ซึ่งอาจเป็นผลิตภัณฑ์และบริการอื่นของตัวแทน ประกันชีวิต บริษัท บริษัทในเครือ หรือพันธมิตรทางธุรกิจของของตัวแทนประกันชีวิต โดยมีลักษณะที่อยู่ในความ คาดหมายของลูกค้า เช่น การส่งข้อมูลข่าวสารเกี่ยวกับผลิตภัณฑ์อื่น ๆ แก่ลูกค้ารายเดิมที่ซื้อผลิตภัณฑ์ประกันภัย นั้น ๆ ผ่านทางตัวแทนประกันชีวิต และเป็นผลิตภัณฑ์ที่เกี่ยวเนื่องหรือคล้ายคลึงซึ่งอยู่ในความคาดหมายของลูกค้า และน่าจะเป็นประโยชน์ต่อลูกค้าหรือส่งเสริมการใช้บริการของลูกค้า และโดยที่ลูกค้ารายดังกล่าวไม่เคยคัดค้าน การส่งข้อมูลเช่นว่านั้น เป็นต้น ทั้งนี้ ตัวแทนประกันชีวิตต้องเปิดโอกาสให้ลูกค้าใช้สิทธิคัดค้าน (opt-out) ได้เสมอ ( ข ) ข้อมูลส่วนบุคคลที่อ่อนไหว ตัวแทนประกันชีวิตจะต้องพิจารณาฐานทางกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลที่อ่อนไหวสําหรับแต่ละวัตถุประสงค์ซึ่งเข้มงวดยิ่งกว่าการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไป โดยทั่วไป ตัวแทนประกันชีวิตสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่อ่อนไหวได้ต่อเมื่อได้รับความยินยอมโดยชัดแจ้งจากลูกค้าเท่านั้น โดยต้องขอความยินยอมสําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ เช่น เพื่อการระบุและยันตัวตนนอกเหนือจากที่กฎหมายกําหนดไว้ หรือเพื่อการดําเนินกิจกรรมทางการตลาดแบบตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอพิเศษ ข้อมูลส่งเสริมการขายทุกกรณี โดยไม่คํานึงว่าเกินความคาดหมายของลูกค้าหรือไม่ ทั้งนี้ ในกรณีที่เป็นตัวแทนประกันชีวิตของบริษัทมากกว่าหนึ่งแห่งและสามารถพิจารณา เลือกเสนอขายผลิตภัณฑ์ประกันภัยและบริการของบริษัทอื่นที่ไม่เกี่ยวข้องกับการทําหน้าที่เป็นตัวแทนประกันชีวิตของ บริษัทใดบริษัทหนึ่ง ตัวแทนประกันชีวิตไม่ควรเก็บข้อมูลส่วนบุคคลที่อ่อนไหวที่อาจได้รับมาจากการทําหน้าที่ของ ตัวแทนประกันชีวิต เว้นแต่จะดําเนินการขอความยินยอมให้ถูกต้องตามกฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลในนามของตัวแทนประกันชีวิตเอง นอกจากนี้ ตัวแทนประกันชีวิตสามารถอาศัยฐานทางกฎหมายอื่นโดยไม่ต้องขอความ ยินยอมจากลูกค้าเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ เช่น ฐานเป็นการจําเป็น ในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์อันเกี่ยวข้องกับประโยชน์สาธารณะที่สําคัญตามมาตรา 26 ( 5 ) ( จ ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 สําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลที่อ่อนไหวที่จําเป็นเพื่อเปิดเผยให้สํานักงานเพื่อใช้ประโยชน์ในการกํากับดูแลและส่งเสริมการประกอบ

15 ธุรกิจประกันภัยตามกฎหมายว่าด้วยคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย และกฎหมาย ว่าด้วยการประกันชีวิต ทั้งนี้ ตัวแทนประกันชีวิตต้องจัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและ ประโยชน์ของเจ้าของข้อมูลส่วนบุคคลร่วมด้วยตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 4 ) ในกรณีที่ตัวแทนประกันชีวิตต้องขอความยินยอม ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล ให้ตัวแทนประกันชีวิตพิจารณากําหนดวิธีการขอความยินยอมให้เหมาะสมกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลของตน โดยสอดคล้องกับหลักเกณฑ์ในการขอความยินยอมตามกฎหมายว่าด้วยการ คุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ ตัวแทนประกันชีวิตอาจดําเนินการตามแนวทางดังต่อไปนี้ก็ได้ ( ก ) การขอความยินยอม ให้ทําโดยชัดแจ้งเป็นหนังสือหรือทําโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวก็อาจขอความยินยอมด้วยวิธีการอื่นได้ เช่น การขอ ความยินยอมผ่านทางโทรศัพท์ในบริบทของการเสนอขายและแนะนําผลิตภัณฑ์ทางโทรศัพท์ (telesales) หรือการ ให้บริการหลังการขาย ทั้งนี้ ตัวแทนประกันชีวิตควรบันทึกเสียงที่ลูกค้าให้ความยินยอมในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลไว้เพื่อเป็นหลักฐานการให้ความยินยอมด้วย โดยควรเก็บรักษาไว้ตลอดระยะเวลาที่มีการ อาศัยความยินยอมนั้นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และอาจเก็บรักษาไว้เป็นระยะเวลานาน กว่านั้น ภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และกฎหมายอื่นที่เกี่ยวข้อง เช่น ตลอดระยะเวลาอายุ ความตามกฎหมายเกี่ยวกับข้อพิพาทที่เกี่ยวเนื่องกับการให้ความยินยอม ( ข ) การขอความยินยอมผู้เยาว์ คนไร้ความสามารถ หรือ คนเสมือนไร้ความสามารถ ให้ตัวแทน ประกันชีวิตปฏิบัติตามมาตรา 20 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 ( ค ) การขอความยินยอมในกรณีที่ตัวแทนประกันชีวิตเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้า จากแหล่งอื่นหรือบุคคลอื่นที่ไม่ใช่ลูกค้าโดยตรง ซึ่งตัวแทนประกันชีวิตไม่ได้มีความสัมพันธ์โดยตรงกับลูกค้า ในขั้นตอนแรกของการเก็บรวบรวมข้อมูลส่วนบุคคล ตัวแทนประกันชีวิตอาจดําเนินการตามแนวทางดังต่อไปนี้ 1 ) การที่ตัวแทนประกันชีวิตได้รับข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) ซึ่งเป็น ลูกค้าของพันธมิตรทางธุรกิจเพื่อประโยชน์ในการพิจารณาว่าจะเสนอขายกรมธรรม์ประกันภัยของบริษัทใดแก่ ผู้มุ่งหวังดังกล่าว ในการนี้ ตัวแทนประกันชีวิตอาจกําหนดเงื่อนไขในสัญญาระหว่างตัวแทนประกันชีวิตกับพันธมิตร ทางธุรกิจว่าบุคคลผู้ให้ข้อมูลเหล่านั้นต้องให้คํารับรอง (representation and warranty) ว่าได้แจ้งนโยบายการ คุ้มครองข้อมูลส่วนบุคคลของตัวแทนประกันชีวิต และได้รับความยินยอมจากผู้มุ่งหวังแล้วเพื่อให้ตัวแทนประกัน ชีวิตสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหวเพื่อวัตถุประสงค์ที่ ต้องอาศัยความยินยอม 2 ) ในกรณีที่ตัวแทนประกันชีวิตได้รับข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) จาก ลูกค้าปัจจุบันหรือบุคคลอ้างอิงที่แนะนําต่อกันมา ตัวแทนประกันชีวิตอาจจัดให้บุคคลผู้ให้ข้อมูลเหล่านั้นต้องให้ คํารับรอง (representation and warranty) ว่าได้รับความยินยอมจากผู้มุ่งหวังเพื่อให้ข้อมูลส่วนบุคคลของบุคคล นั้นแก่ตัวแทนประกันชีวิตเพื่อการเสนอขายกรมธรรม์ประกันภัยแล้ว โดยเมื่อตัวแทนประกันชีวิตติดต่อกับผู้มุ่งหวังรายนั้นเป็นครั้งแรก ตัวแทนประกันชีวิตอาจแจ้ง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (privacy notice) ของตัวแทนประกันชีวิต และขอความยินยอมจากผู้มุ่งหวัง อีกครั้งเพื่อให้ตัวแทนประกันชีวิตสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคล ที่อ่อนไหวเพื่อวัตถุประสงค์ที่ต้องอาศัยความยินยอม ( 5 ) ตัวแทนประกันชีวิตจะต้องจัดให้ลูกค้าสามารถขอถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด โดยลูกค้าจะถอนความ ยินยอมเมื่อใดก็ได้ และจะต้องกระทําได้โดยง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจํากัดสิทธิในการถอน

16 ความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่ลูกค้า ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกําหนด เช่น ลูกค้าจะต้องสามารถขอถอนความยินยอมได้ผ่านช่องทางเดียวกันกับที่ใช้ในการให้ ความยินยอม โดยไม่ได้มีขั้นตอนเพิ่มเติมที่กําหนดขึ้นเป็นอุปสรรคแก่การขอถอนความยินยอมเช่นว่านั้น และ ตัวแทนประกันชีวิตต้องจัดให้มีระบบการบันทึกการถอนความยินยอมดังกล่าวไว้เป็นหลักฐานด้วย ( 6 ) ในการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคล (privacy notice) ตัวแทนประกันชีวิตอาจ ดําเนินการตามหลักเกณฑ์ดังต่อไปนี้ ( ก ) แจ้งรายละเอียดต่างๆ ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของตัวแทนประกันชีวิต แก่ลูกค้าก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด โดยตัวแทนประกันชีวิตอาจดําเนินการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของตัวแทนประกันชีวิต ในรูปแบบใดก็ได้ เช่น การแนบลิงก์ (link) หรือแสดง QR Code ไปยังนโยบายการคุ้มครองข้อมูลส่วนบุคคลบน หน้าเว็บไซต์หรือช่องทางการติดต่อสื่อสารอื่น ๆ เป็นต้น ในกรณีที่ตัวแทนประกันชีวิตเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นเพื่อวัตถุประสงค์ในการ ติดต่อลูกค้า ตัวแทนประกันชีวิตอาจแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของตัวแทนประกันชีวิตแก่ลูกค้า ภายหลังจากการเก็บรวบรวมข้อมูลส่วนบุคคลได้ภายในสามสิบวัน โดยควรแจ้งอย่างช้าที่สุดในการติดต่อสื่อสารกับ ลูกค้าในครั้งแรก เว้นแต่เข้าข้อยกเว้นที่ไม่ต้องแจ้งตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคลของตัวแทนประกันชีวิตต้องมีการระบุวัตถุประสงค์ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตัวแทนประกันชีวิต เกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลต่อสํานักงาน เพื่อประโยชน์ในการกํากับดูแลและส่งเสริมธุรกิจประกันภัยตามกฎหมาย ว่าด้วยคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย และกฎหมายว่าด้วยการประกันชีวิต ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของสํานักงาน และระบุเชื่อมโยงไปยังเว็บไซต์ของสํานักงาน (https://www.oic.or.th) ซึ่งมีการเผยแพร่นโยบายคุ้มครองข้อมูลส่วนบุคคลของสํานักงานไว้ ทั้งนี้ ตัวแทน ประกันชีวิตอาจใช้แบบแนบท้ายแนวปฏิบัตินี้เป็นแนวทางในการจัดทํานโยบายการคุ้มครองข้อมูลส่วนบุคคลของ ตัวแทนประกันชีวิต ( ข ) จัดให้มีการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลไปก่อนหรือพร้อมกับเอกสารที่ใช้ ในการเก็บรวบรวมข้อมูลส่วนบุคคลหรือแบบขอความยินยอมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือผ่านช่องทางการติดต่อสื่อสารอื่น ๆ ระหว่างตัวแทนประกันชีวิตกับลูกค้า เช่น การติดต่อสื่อสารซึ่งหน้า ทางอิเล็กทรอนิกส์ หรือทางโทรศัพท์ ตามที่เหมาะสม เป็นต้น และในกรณีที่ตัวแทนประกันชีวิตมีการใช้งานเว็บไซต์ ในการปฏิสัมพันธ์กับลูกค้า ให้ตัวแทนประกันชีวิตประกาศทางเว็บไซต์ของตัวแทนประกันชีวิตด้วย ( 7 ) ในกรณีที่ตัวแทนประกันชีวิตโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลซึ่งอยู่ต่างประเทศ ให้ปฏิบัติ ตามหลักเกณฑ์การโอนข้อมูลส่วนบุคคลไปต่างประเทศตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ( 8 ) ดําเนินการให้ข้อมูลส่วนบุคคลของลูกค้าถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความ เข้าใจผิด ( 9 ) จัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ รวมทั้งต้องทบทวนมาตรการ ดังกล่าวเมื่อมีความจําเป็นหรือเมื่อเทคโนโลยีและธุรกิจเปลี่ยนแปลงไป เพื่อให้ประสิทธิภาพในการรักษาความ มั่นคงปลอดภัยที่เหมาะสมตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด

17 ( 10 ) ในกรณีที่ตัวแทนประกันชีวิตต้องเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ ผู้ควบคุมข้อมูลส่วนบุคคลต้องดําเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจ หรือโดยมิชอบ ( 11 ) จัดให้มีระบบการตรวจสอบเพื่อให้สามารถดําเนินการลบหรือทําลายข้อมูลส่วนบุคคล เมื่อพ้นกําหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจําเป็นตามวัตถุประสงค์ในการเก็บรวบรวม ข้อมูลส่วนบุคคลหรือตามที่ลูกค้าร้องขอ หรือที่ลูกค้าได้ถอนความยินยอมแล้ว เว้นแต่เข้าข้อยกเว้นตามกฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ( 12 ) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และสํานักงานตามหลักเกณฑ์และระยะเวลาที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 13 ) จัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลอย่างน้อย ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ) เพื่อให้ลูกค้า สํานักงาน และสํานักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ ( 14 ) ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าในความครอบครองของตัวแทนประกัน ชีวิตแก่ผู้ประมวลผลข้อมูลส่วนบุคคลของตัวแทนประกันชีวิต ให้จัดให้มีสัญญาหรือข้อตกลงระหว่างกันเกี่ยวกับ กิจกรรมการประมวลผลนั้น ๆ ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ทั้งนี้ ในกรณีที่มีการ เปิดเผยข้อมูลส่วนบุคคลแก่บุคคลภายนอกที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ตัวแทนประกันชีวิตอาจพิจารณาเข้าทํา สัญญาที่เป็นลายลักษณ์อักษรกับบุคคลภายนอกดังกล่าวเพื่อให้ตัวแทนประกันชีวิตสามารถปฏิบัติหน้าที่ได้ สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลก็ได้ ( 15 ) ในกรณีที่ตัวแทนประกันชีวิตซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครอง ข้อมูลส่วนบุคคลของตนตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้การแต่งตั้ง คุณสมบัติและ หน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมทั้งหน้าที่ของตัวแทนประกันชีวิตที่มีต่อเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคล เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ( 16 ) ให้ตัวแทนประกันชีวิตซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลจัดทํานโยบายการเก็บรักษาข้อมูล ส่วนบุคคลภายในองค์กรเพื่อกําหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล ซึ่งต้องกําหนดระยะเวลาที่เหมาะสม และจําเป็นสําหรับข้อมูลส่วนบุคคลแต่ละประเภทและวัตถุประสงค์ที่ได้แจ้งลูกค้า กรณีที่ข้อมูลส่วนบุคคลหมดความจําเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือตัวแทนประกันชีวิตไม่มีอํานาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้ตัวแทนประกันชีวิตยุติการ ประมวลผลข้อมูลส่วนบุคคลและดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลนั้น หรือทําให้ข้อมูลส่วนบุคคลเป็น ข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นลูกค้าได้ ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคล ตัวแทนประกันชีวิต ต้องจัดให้มีมาตรการให้ผู้ให้บริการภายนอกลบหรือทําลายข้อมูลส่วนบุคคลตามระยะเวลาดังกล่าวด้วยเช่นกัน เช่น กําหนดเป็นหน้าที่ในสัญญาหรือข้อตกลงระหว่างกันเกี่ยวกับกิจกรรมการประมวลผลนั้น ๆ ตามที่กฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคลกําหนด ข้อ 23 กรณีที่ตัวแทนประกันชีวิตเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ให้จัดการข้อมูลส่วนบุคคล ที่เก็บรวบรวม ใช้ หรือเปิดเผยไว้ก่อนวันที่ 1 มิถุนายน พ . ศ . 2565 ตามแนวทางที่บริษัทกําหนด

18 กรณีที่ตัวแทนประกันชีวิตเป็นผู้ควบคุมข้อมูลส่วนบุคคล ตัวแทนประกันชีวิตสามารถเก็บรวมรวม และใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม โดยต้องกําหนดวิธีการยกเลิกความยินยอมและเผยแพร่ ประชาสัมพันธ์ให้ลูกค้าที่ไม่ประสงค์ให้ตัวแทนประกันชีวิตเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวต่อไป สามารถแจ้งยกเลิกความยินยอมได้โดยง่าย ทั้งนี้ การเผยแพร่ประชาสัมพันธ์ตามวรรคหนึ่ง ให้ตัวแทนประกันชีวิตแจ้งให้ลูกค้าทราบผ่าน ช่องทางที่ตัวแทนประกันชีวิตมีปฏิสัมพันธ์กับลูกค้าตามปกติ หรือช่องทางที่ลูกค้าสามารถทราบถึงการเผยแพร่ ประชาสัมพันธ์ดังกล่าวได้โดยง่าย เช่น การส่งไปรษณีย์ อีเมล ข้อความสื่อสารทางโทรศัพท์ (SMS) และในกรณีที่ ตัวแทนประกันชีวิตมีการใช้งานเว็บไซต์ในการปฏิสัมพันธ์กับลูกค้า ให้ตัวแทนประกันชีวิตประกาศทางเว็บไซต์ของ ตัวแทนประกันชีวิตด้วย ทั้งนี้ ตัวแทนประกันชีวิตต้องระบุช่องทางในการยกเลิกความยินยอมด้วย หากตัวแทนประกันชีวิตต้องการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลตามวรรคสอง เพื่อวัตถุประสงค์อื่นเพิ่มเติมจากวัตถุประสงค์เดิม หรือต้องการเปิดเผยหรือดําเนินการประการอื่นที่ไม่ใช่การ เก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น ตัวแทนประกันชีวิตต้องดําเนินการให้เป็นไปตาม กฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคล หมวด 3 นายหน้าประกันชีวิต ข้อ 24 นายหน้าประกันชีวิตต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้ แจ้งลูกค้าไว้ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล หากนายหน้าประกันชีวิตพบหรือทราบว่ามีวัตถุประสงค์ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นการเพิ่มเติมจากวัตถุประสงค์เดิม ซึ่งนอกเหนือจากที่ได้ ระบุไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคล (privacy notice) ในปัจจุบัน หรือในกรณีที่มีการเปลี่ยนแปลง วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล นายหน้าประกันชีวิตจะเพิ่มหรือเปลี่ยนแปลง วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก็ได้ ในกรณีที่วัตถุประสงค์ใหม่นั้นจําเป็นต้องอาศัยฐานความยินยอม นายหน้าประกันชีวิตจะต้องขอ ความยินยอมจากลูกค้าสําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใหม่เป็นการ เพิ่มเติมด้วย ทั้งนี้ นายหน้าประกันชีวิตต้องทําการปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคลให้ครอบคลุมถึง วัตถุประสงค์ใหม่ดังกล่าวและแจ้งวัตถุประสงค์ใหม่นั้นให้ลูกค้าทราบด้วย โดยอาจแจ้งในช่องทางต่าง ๆ ที่นายหน้า ประกันชีวิตสามารถพิสูจน์ได้ว่าเหมาะสมในการสื่อสารให้ลูกค้ารับทราบ โดยอาจพิจารณาจากช่องทางที่นายหน้า ประกันชีวิตมีปฏิสัมพันธ์กับลูกค้าตามปกติ หรือช่องทางที่ลูกค้าสามารถเข้าถึงหรือทราบนโยบายการคุ้มครอง ข้อมูลส่วนบุคคลได้โดยง่าย เช่น การส่งทางไปรษณีย์ อีเมล ข้อความสื่อสารทางโทรศัพท์ (SMS) โดยอาจเป็น ช่องทางเดียวกันกับช่องทางที่เคยแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลไว้ก่อนหน้าก็ได้ และในกรณีที่นายหน้า ประกันชีวิตมีการใช้งานเว็บไซต์ในการมีปฏิสัมพันธ์กับลูกค้า ให้นายหน้าประกันชีวิตประกาศทางเว็บไซต์ของ นายหน้าประกันชีวิตด้วย ข้อ 25 ให้นายหน้าประกันชีวิตแบ่งประเภทข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผย ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ตามแนวทางที่กําหนดไว้ข้อ 4

19 ข้อ 26 ให้นายหน้าประกันชีวิตขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลของลูกค้าสําหรับกรณีที่ไม่อาจอาศัยฐานในการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 24 มาตรา 25 และมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 โดยพิจารณาตามประเภทข้อมูล ส่วนบุคคลตามข้อ 4 ทั้งนี้ นายหน้าประกันชีวิตอาจอาศัยฐานในการประมวลผลข้อมูลส่วนบุคคลสําหรับการ ดําเนินการต่าง ๆ ตามแนวทางดังต่อไปนี้ ( 1 ) ข้อมูลส่วนบุคคลทั่วไป ( ก ) ฐานความยินยอม ในการดําเนินการกิจกรรมทางการตลาดนั้น นายหน้าประกันชีวิตอาจต้องขอความยินยอม เพื่อการตลาดแบบตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอพิเศษ ข้อมูลส่งเสริม การขาย และสิทธิประโยชน์เกี่ยวกับผลิตภัณฑ์และบริการ ซึ่งอาจเป็นผลิตภัณฑ์และบริการอื่นของนายหน้าประกัน ชีวิต บริษัท บริษัทในเครือ หรือพันธมิตรทางธุรกิจของนายหน้าประกันชีวิต โดยมีลักษณะที่เกินความคาดหมาย ของลูกค้า เช่น การส่งข้อความการสื่อสารด้านการตลาดให้กับลูกค้าที่ไม่เคยมีความสัมพันธ์ทางธุรกิจกับนายหน้า ประกันชีวิตมาก่อนหรือการซื้อข้อมูลลูกค้าจากผู้ประกอบการรายอื่น ( ซื้อ lead) และลูกค้าไม่อาจคาดหมายว่าจะ ได้รับข้อมูลข่าวสารการตลาดจากนายหน้าประกันชีวิต การส่งข้อความการสื่อสารด้านการตลาดเกี่ยวกับผลิตภัณฑ์ อื่น ๆ ซึ่งไม่เกี่ยวข้องกับผลิตภัณฑ์ประกันภัยที่ลูกค้าซื้อผ่านทางนายหน้าประกันชีวิต เช่น การที่ธนาคารที่ได้รับ ใบอนุญาตเป็นนายหน้าประกันชีวิตประสงค์ส่งข้อความการสื่อสารด้านการตลาดเกี่ยวกับผลิตภัณฑ์ทางการเงินอื่น ๆ ของธนาคารให้แก่ลูกค้า เป็นต้น ทั้งนี้ นายหน้าประกันชีวิตต้องเปิดโอกาสให้ลูกค้าใช้สิทธิถอนความยินยอมได้เสมอ ( ข ) ฐานทางกฎหมายอื่น ๆ ซึ่งไม่ใช่ฐานความยินยอม นายหน้าประกันชีวิตอาจอาศัยฐานทางกฎหมายอื่นตามมาตรา 24 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 โดยไม่ต้องขอความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น 1 ) ฐานเป็นการจําเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (legitimate interest basis) ตามมาตรา 24 ( 5 ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 สําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการดําเนินการกิจกรรมทางการตลาดแบบตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอพิเศษ ข้อมูลส่งเสริมการขาย และสิทธิ ประโยชน์เกี่ยวกับผลิตภัณฑ์และบริการ ซึ่งอาจเป็นผลิตภัณฑ์และบริการอื่นของนายหน้าประกันชีวิต บริษัท บริษัทในเครือ หรือพันธมิตรทางธุรกิจของนายหน้าประกันชีวิต โดยมีลักษณะที่อยู่ในความคาดหมายของลูกค้า เช่น การส่งข้อมูลข่าวสารเกี่ยวกับผลิตภัณฑ์ประกันภัยแก่ลูกค้ารายเดิมที่ซื้อผลิตภัณฑ์ประกันภัยนั้น ๆ หรือสินค้า ที่คล้ายคลึง หรือสินค้าอื่น ๆ ของบริษัทในเครือหรือพันธมิตรทางธุรกิจของนายหน้าประกันชีวิตที่น่าจะเป็น ประโยชน์ต่อลูกค้าหรือส่งเสริมการใช้บริการของลูกค้า และโดยที่ลูกค้ารายดังกล่าวไม่เคยคัดค้านการส่งข้อมูลเช่น ว่านั้น เป็นต้น ทั้งนี้ นายหน้าประกันชีวิตต้องเปิดโอกาสให้ลูกค้าใช้สิทธิคัดค้าน (opt-out) ได้เสมอ ( 2 ) ข้อมูลส่วนบุคคลที่อ่อนไหว นายหน้าประกันชีวิตจะต้องพิจารณาฐานทางกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลที่อ่อนไหวสําหรับแต่ละวัตถุประสงค์ซึ่งเข้มงวดยิ่งกว่าการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทั่วไป นายหน้าประกันชีวิตอาจอาศัยฐานทางกฎหมายอื่นตามมาตรา 26 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ต้องขอความ ยินยอม เช่น ฐานเป็นการจําเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์อันเกี่ยวข้องกับประโยชน์

20 สาธารณะที่สําคัญตามมาตรา 26 ( 5 ) ( จ ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 โดยได้จัดให้มี มาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล สําหรับกรณีหนึ่งกรณีใด ดังต่อไปนี้ ( ก ) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหวของลูกค้า คู่สมรส และบุคคล ในครอบครัว หรือบุคคลอื่น ที่จําเป็นเพื่อส่งต่อให้แก่บริษัทเพื่อนําไปพิจารณารับประกันภัย การเอาประกันภัยต่อ พิจารณารับประกันภัยต่อ คํานวณเบี้ยประกันภัย ปฏิเสธการรับประกันภัยแต่ละประเภท หรือชดใช้ค่าสินไหมทดแทน ตามสัญญาประกันภัย เช่น ข้อมูลสุขภาพหรือข้อมูลความพิการที่เป็นข้อมูลที่สําคัญที่ผู้เอาประกันภัยมีหน้าที่ต้อง แถลงเพื่อให้บริษัทมีข้อมูลเพียงพอเพื่อใช้ในการพิจารณารับประกันภัยประเภทชีวิต สุขภาพ หรืออุบัติเหตุ แล้วแต่กรณี หรือเพื่ออํานวยความสะดวกในการส่งมอบกรมธรรม์ให้แก่ผู้เอาประกันภัยตามที่ได้รับมอบหมายจาก บริษัทหรือผู้เอาประกันภัย หรือเพื่อดําเนินการใดที่เกี่ยวข้องกับการเรียกร้องค่าสินไหมทดแทนตามที่ ผู้เอาประกันภัยร้องขอ หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหวของลูกค้า เช่น ผู้เอาประกันภัย ผู้เสียหาย ผู้กระทําละเมิด ผู้รับประโยชน์ หรือบุคคลที่เกี่ยวข้องอื่นใด ไปยังบุคคลที่สามหรือพันธมิตรทางธุรกิจ เช่น โรงพยาบาล หรือบริษัท ( ข ) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหวที่จําเป็นเพื่อเปิดเผยให้ สํานักงานเพื่อใช้ประโยชน์ในการกํากับดูแลและส่งเสริมการประกอบธุรกิจประกันภัยตามกฎหมายว่าด้วย คณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย และกฎหมายว่าด้วยการประกันชีวิต ข้อ 27 ในกรณีที่นายหน้าประกันชีวิตต้องขอความยินยอม ในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ให้นายหน้าประกันชีวิตพิจารณากําหนดวิธีการขอความยินยอมให้เหมาะสมกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน โดยสอดคล้องกับหลักเกณฑ์ในการขอความยินยอมตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ นายหน้าประกันชีวิตอาจดําเนินการตามแนวทางดังต่อไปนี้ ( 1 ) การขอความยินยอม ให้ทําโดยชัดแจ้งเป็นหนังสือหรือทําโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่ โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวก็อาจขอความยินยอมด้วยวิธีการอื่นได้ เช่น การขอความ ยินยอมผ่านทางโทรศัพท์ในบริบทของบริการขายและแนะนําผลิตภัณฑ์ทางโทรศัพท์ (telesales) หรือการ ให้บริการหลังการขาย ทั้งนี้ นายหน้าประกันชีวิตควรบันทึกเสียงที่ลูกค้าให้ความยินยอมในการเก็บรวบรวม ใช้หรือ เปิดเผยข้อมูลส่วนบุคคลไว้เพื่อเป็นหลักฐานการให้ความยินยอมด้วย โดยควรเก็บรักษาไว้ตลอดระยะเวลาที่มีการ อาศัยความยินยอมนั้นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และอาจเก็บรักษาไว้เป็นระยะเวลา นานกว่านั้น ภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และกฎหมายอื่นที่เกี่ยวข้อง เช่น ตลอดระยะเวลาอายุ ความตามกฎหมายเกี่ยวกับข้อพิพาทที่เกี่ยวเนื่องกับการให้ความยินยอม ( 2 ) การขอความยินยอมจากผู้เยาว์ คนไร้ความสามารถ หรือ คนเสมือนไร้ความสามารถ ให้นายหน้า ประกันชีวิตปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ( 3 ) ในกรณีลูกค้าเป็นผู้เอาประกันภัยซึ่งมีกรมธรรม์ประกันภัยหลายฉบับ ให้นายหน้าประกันชีวิต พิจารณาว่าควรขอความยินยอมแยกเป็นรายกรมธรรม์ประกันภัยหรือไม่ โดยพิจารณาจากวัตถุประสงค์ของการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลว่ามีความเกี่ยวเนื่องกับกรมธรรม์ประกันภัยฉบับอื่นหรือไม่ ในกรณีที่ผู้เอาประกันมีกรมธรรม์ประกันภัยหลายฉบับ โดยอาจมีทั้งกรมธรรม์ประกันชีวิต กรมธรรม์ประกันภัย สุขภาพ และกรมธรรม์ประกันอุบัติเหตุ โดยนายหน้าประกันชีวิตมีวัตถุประสงค์ที่ต้องการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลเกี่ยวเนื่องกับทุกกรมธรรม์ประกันภัย เช่น วัตถุประสงค์ในการดําเนินกิจกรรมทาง การตลาดแบบตรงของนายหน้าประกันชีวิต ในกรณีดังกล่าว นายหน้าประกันชีวิตอาจขอความยินยอมสําหรับการ

21 เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อดําเนินกิจกรรมทางการตลาดแบบตรงของนายหน้าประกันชีวิตไปได้ ในครั้งเดียวในการเสนอขายกรมธรรม์ประกันภัยฉบับแรก โดยไม่จําขอความยินยอมสําหรับวัตถุประสงค์ดังกล่าว ในการเสนอขายกรมธรรม์ประกันภัยฉบับอื่น ๆ อีกเนื่องจากความยินยอมที่ได้ขอไว้นั้นครอบคลุมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของนายหน้าประกันชีวิตแล้ว เป็นต้น ( 4 ) การขอความยินยอมในกรณีที่นายหน้าประกันชีวิตเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้า จากแหล่งอื่นหรือบุคคลอื่นที่ไม่ใช่ลูกค้าโดยตรง ซึ่งนายหน้าประกันชีวิตไม่ได้มีความสัมพันธ์โดยตรงกับลูกค้า ในขั้นตอนแรกของการเก็บรวบรวมข้อมูลส่วนบุคคล นายหน้าประกันชีวิตอาจดําเนินการตามแนวทางดังต่อไปนี้ก็ได้ ( ก ) ในการทําสัญญาประกันภัยแบบกลุ่ม นายหน้าประกันชีวิตอาจกําหนดให้ผู้ถือกรมธรรม์ ประกันภัยให้คํารับรอง (representation and warranty) ว่าได้แจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ นายหน้าประกันชีวิต ตามหลักเกณฑ์ที่กําหนดในข้อ 29 และหากนายหน้าประกันชีวิตเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ที่ต้องอาศัยความยินยอม นายหน้าประกันชีวิตอาจจัดให้ผู้ถือกรมธรรม์ ประกันภัยจัดทําเอกสารขอความยินยอมจากสมาชิกผู้เอาประกันภัยเพื่อให้นายหน้าประกันชีวิตสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ต้องอาศัยความยินยอมได้ ทั้งนี้ นายหน้าประกันชีวิตอาจ พิจารณาแนบนโยบายการคุ้มครองข้อมูลส่วนบุคคลของนายหน้าประกันชีวิต พร้อมทั้งเอกสารขอความยินยอม ให้แก่ผู้ถือกรมธรรม์ประกันภัย เพื่ออํานวยความสะดวกแก่ผู้ถือกรมธรรม์ประกันภัยในการไปแจ้งนโยบายดังกล่าว และขอความยินยอมแทนนายหน้าประกันชีวิต โดยให้ผู้ถือกรมธรรม์ประกันภัยเก็บรักษาเอกสารขอความยินยอม นั้นไว้เป็นหลักฐาน ซึ่งนายหน้าประกันชีวิตสามารถร้องขอได้หากเกิดข้อร้องเรียนขึ้นในอนาคต ( ข ) การที่นายหน้าประกันชีวิตได้รับข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) ซึ่งเป็น ลูกค้าของพันธมิตรทางธุรกิจเพื่อประโยชน์ในการเสนอขายกรมธรรม์ประกันภัยของนายหน้าประกันชีวิต ในการนี้ นายหน้าประกันชีวิตอาจกําหนดเงื่อนไขในสัญญาระหว่างนายหน้าประกันชีวิตกับพันธมิตรทางธุรกิจว่าบุคคล ผู้ให้ข้อมูลเหล่านั้นต้องให้คํารับรอง (representation and warranty) ว่าได้แจ้งนโยบายการคุ้มครองข้อมูล ส่วนบุคคลของนายหน้าประกันชีวิต และได้รับความยินยอมจากผู้มุ่งหวังแล้วเพื่อให้นายหน้าประกันชีวิตสามารถ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหวเพื่อวัตถุประสงค์ที่ต้องอาศัย ความยินยอม ( ค ) ในกรณีที่นายหน้าประกันชีวิตได้รับข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) จาก ลูกค้าปัจจุบันหรือบุคคลอ้างอิงที่แนะนําต่อกันมา นายหน้าประกันชีวิตอาจจัดให้บุคคลผู้ให้ข้อมูลเหล่านั้นต้องให้ คํารับรอง (representation and warranty) ว่าได้รับความยินยอมจากผู้มุ่งหวังเพื่อให้ข้อมูลส่วนบุคคลของบุคคลนั้น แก่นายหน้าประกันชีวิตเพื่อการเสนอขายกรมธรรม์ประกันภัยแล้ว เมื่อนายหน้าประกันชีวิตติดต่อกับลูกค้ารายนั้นเป็นครั้งแรก ให้แจ้งนโยบายการคุ้มครองข้อมูล ส่วนบุคคลของนายหน้าประกันชีวิต และขอความยินยอมจากลูกค้าอีกครั้งเพื่อให้นายหน้าประกันชีวิตสามารถ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหวเพื่อวัตถุประสงค์ที่ต้องอาศัย ความยินยอม ข้อ 28 นายหน้าประกันชีวิตจะต้องจัดให้ลูกค้าสามารถขอถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด โดยลูกค้าจะถอนความ ยินยอมเมื่อใดก็ได้ โดยจะต้องกระทําได้โดยง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจํากัดสิทธิในการถอน ความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่ลูกค้า ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กําหนด เช่น ลูกค้าจะต้องสามารถขอถอนความยินยอมได้ผ่านช่องทางเดียวกันกับที่ใช้ในการให้ความยินยอม

22 โดยไม่ได้มีขั้นตอนเพิ่มเติมที่กําหนดขึ้นเป็นอุปสรรคแก่การขอถอนความยินยอมเช่นว่านั้น และนายหน้าประกัน ชีวิตต้องจัดให้มีระบบการบันทึกการถอนความยินยอมดังกล่าวไว้เป็นหลักฐานด้วย ทั้งนี้ ให้เป็นไปตามกฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ข้อ 29 ในการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคล (privacy notice) นายหน้าประกันชีวิต อาจดําเนินการตามหลักเกณฑ์ดังต่อไปนี้ ( 1 ) แจ้งรายละเอียดต่าง ๆ ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของนายหน้าประกันชีวิตแก่ ลูกค้าก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด โดยนายหน้าประกันชีวิตอาจดําเนินการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของนายหน้าประกันชีวิต ในรูปแบบใดก็ได้ เช่น การแนบลิงก์ (link) หรือแสดง QR Code ไปยังนโยบายการคุ้มครองข้อมูลส่วนบุคคลบน หน้าเว็บไซต์หรือช่องทางการติดต่อสื่อสารอื่น ๆ เป็นต้น ในกรณีที่นายหน้าประกันชีวิตเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นเพื่อวัตถุประสงค์ในการ ติดต่อลูกค้า นายหน้าประกันชีวิตอาจแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของนายหน้าประกันชีวิตแก่ลูกค้า ภายหลังจากการเก็บรวบรวมข้อมูลส่วนบุคคลได้ภายในสามสิบวัน โดยควรแจ้งอย่างช้าที่สุดในการติดต่อสื่อสารกับ ลูกค้าในครั้งแรก เว้นแต่เข้าข้อยกเว้นที่ไม่ต้องแจ้งตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคลของนายหน้าประกันชีวิตต้องมีการระบุวัตถุประสงค์ในการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าต่อสํานักงาน เพื่อประโยชน์ในการกํากับดูแลและส่งเสริม ธุรกิจประกันภัยตามกฎหมายว่าด้วยคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย และกฎหมาย ว่าด้วยการประกันชีวิต ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของสํานักงาน และระบุเชื่อมโยงไปยังเว็บไซต์ของ สํานักงาน (https://www.oic.or.th) ซึ่งมีการเผยแพร่นโยบายคุ้มครองข้อมูลส่วนบุคคลของสํานักงานไว้ ทั้งนี้ นายหน้าประกันชีวิตอาจใช้แบบแนบท้ายแนวปฏิบัตินี้เป็นแนวทางในการจัดทํานโยบายการคุ้มครองข้อมูล ส่วนบุคคลของนายหน้าประกันชีวิต ในกรณีที่นายหน้าประกันชีวิตเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นเพื่อวัตถุประสงค์ในการ ติดต่อลูกค้า นายหน้าประกันชีวิตอาจแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของนายหน้าประกันชีวิตแก่ลูกค้า ภายหลังจากการเก็บรวบรวมข้อมูลส่วนบุคคลได้ภายใน 30 วัน โดยควรแจ้งอย่างช้าที่สุดในการติดต่อสื่อสารกับ ลูกค้าในครั้งแรก เว้นแต่เข้าข้อยกเว้นที่ไม่ต้องแจ้งตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ นายหน้า ประกันชีวิตอาจใช้แบบแนบท้ายแนวปฏิบัตินี้เป็นแนวทางในการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลดังกล่าว ( 2 ) จัดให้มีการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของนายหน้าประกันชีวิตไปก่อนหรือ พร้อมกับเอกสารที่ใช้ในการเก็บรวบรวมข้อมูลส่วนบุคคลหรือแบบขอความยินยอมการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล หรือผ่านช่องทางการติดต่อสื่อสารอื่น ๆ ระหว่างนายหน้าประกันชีวิตกับลูกค้า เช่น การติดต่อสื่อสารซึ่งหน้า ทางอิเล็กทรอนิกส์ หรือทางโทรศัพท์ ตามที่เหมาะสม เป็นต้น และในกรณีที่นายหน้าประกัน ชีวิตมีการใช้งานเว็บไซต์ในการมีปฏิสัมพันธ์กับลูกค้า ให้นายหน้าประกันชีวิตประกาศทางเว็บไซต์ของนายหน้า ประกันชีวิตด้วย ข้อ 30 ในกรณีที่นายหน้าประกันชีวิตโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลซึ่งอยู่ต่างประเทศ ให้ปฏิบัติตามหลักเกณฑ์การโอนข้อมูลส่วนบุคคลไปต่างประเทศตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

23 ข้อ 31 สถานะของนายหน้าประกันชีวิต ( 1 ) นายหน้าประกันชีวิต ไม่ว่าเป็นบุคคลธรรมดาหรือนิติบุคคล สามารถประกอบกิจการนายหน้า ประกันชีวิตได้อย่างอิสระ ไม่ขึ้นตรงกับบริษัทใดเป็นการเฉพาะ เป็นผลให้นายหน้าประกันชีวิตมีอํานาจตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการดําเนินกิจการของตนเพื่อวัตถุประสงค์ต่าง ๆ ตลอดจนระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลได้เอง เช่น การเปิดเผยข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) หรือลูกค้าไปยังบริษัทเพื่อขอใบเสนอราคากรมธรรม์ประกันภัย เพื่อวิเคราะห์และเลือกสรรกรมธรรม์ ของบริษัทที่ตรงกับความต้องการของลูกค้า เพื่อนําเสนอข้อมูลกรมธรรม์ประกันภัยของบริษัทต่าง ๆ แก่ผู้มุ่งหวัง (prospect) หรือลูกค้าพร้อมแนะนําผลิตภัณฑ์ประกันภัยหรือบริการที่เหมาะสม เพื่อดําเนินการในฐานะตัวแทน ของผู้เอาประกันภัยในการประสานงานกับบริษัทเพื่อพิจารณารับประกันภัยของบริษัทและนําส่งกรมธรรม์ ประกันภัย การจ่ายเบี้ยประกันภัย หรือการเรียกร้องค่าสินไหมทดแทน เพื่อเก็บรักษาข้อมูลส่วนบุคคล เป็นฐานข้อมูลของนายหน้าประกันชีวิตเอง หรือเพื่อเสนอขายหรือการดําเนินกิจกรรมทางการตลาดแบบตรง (direct marketing) เป็นต้น ดังนั้น นายหน้าประกันชีวิตจึงถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล ( 2 ) นายหน้าประกันชีวิตอาจถือเป็นผู้ประมวลผลข้อมูลส่วนบุคคลได้ในบางกรณี เช่น กรณีที่ นายหน้าประกันชีวิตได้รับคําสั่งให้ดําเนินกิจกรรมการประมวลผลข้อมูลส่วนบุคคลจากบริษัทเป็นการเฉพาะ เช่น นําส่งเอกสารที่เกี่ยวข้องต่าง ๆ นอกเหนือจากการดําเนินการในฐานะตัวแทนของผู้เอาประกันภัยในการ ประสานงานกับบริษัท เช่น เมื่อนายหน้าประกันภัยได้รับมอบหมายจากบริษัทให้นําส่งสื่อโฆษณาผลิตภัณฑ์ ประกันภัยแก่ลูกค้ากลุ่มหนึ่งกลุ่มใด โดยที่นายหน้าประกันภัยไม่ได้มีส่วนเกี่ยวข้องกับการริเริ่ม หรือได้รับประโยชน์ ร่วมนอกจากค่าดําเนินการ ในการส่งเอกสารจากดําเนินการเช่นว่านั้น ข้อ 32 ในกรณีที่นายหน้าประกันชีวิตเป็นผู้ควบคุมข้อมูลส่วนบุคคล นายหน้าประกันชีวิตยังมี หน้าที่อื่น ๆ เพิ่มเติมตามกฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคล ดังต่อไปนี้ ( 1 ) ดําเนินการให้ข้อมูลส่วนบุคคลของลูกค้าถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความ เข้าใจผิด ( 2 ) จัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ รวมทั้งต้องทบทวนมาตรการ ดังกล่าวเมื่อมีความจําเป็นหรือเมื่อเทคโนโลยีและธุรกิจเปลี่ยนแปลงไป เพื่อให้ประสิทธิภาพในการรักษาความมั่นคง ปลอดภัยที่เหมาะสมตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 3 ) ในกรณีที่นายหน้าประกันชีวิตต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ ผู้ควบคุมข้อมูลส่วนบุคคลต้องดําเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจ หรือโดยมิชอบ ( 4 ) จัดให้มีระบบการตรวจสอบเพื่อให้สามารถดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลเมื่อพ้น กําหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจําเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูล ส่วนบุคคลหรือตามที่ลูกค้าร้องขอ หรือที่ลูกค้าได้ถอนความยินยอมแล้ว เว้นแต่เข้าข้อยกเว้นตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล ( 5 ) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและ สํานักงานตามหลักเกณฑ์และระยะเวลาที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด

24 ( 6 ) จัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลอย่างน้อย ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กําหนดเพื่อให้ลูกค้า สํานักงาน และสํานักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ ( 7 ) ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าในความครอบครองของนายหน้าประกัน ชีวิตแก่ผู้ประมวลผลข้อมูลส่วนบุคคลของนายหน้าประกันชีวิต ให้จัดให้มีสัญญาหรือข้อตกลงระหว่างกันเกี่ยวกับ กิจกรรมการประมวลผลนั้น ๆ (Data Processing Agreement) ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกําหนด ทั้งนี้ ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลภายนอกที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล นายหน้าประกันชีวิตอาจพิจารณาเข้าทําสัญญาที่เป็นลายลักษณ์อักษรกับบุคคลภายนอกดังกล่าว (Data Sharing Agreement) เพื่อตกลงหน้าที่เกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลระหว่างกันก็ได้ ( 8 ) ในกรณีที่นายหน้าประกันชีวิตซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครอง ข้อมูลส่วนบุคคลของตนตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้การแต่งตั้ง คุณสมบัติและ หน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมทั้งหน้าที่ของนายหน้าประกันชีวิตที่มีต่อเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคล เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ข้อ 33 ในกรณีที่นายหน้าประกันชีวิตเป็นผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ดังต่อไปนี้ ( 1 ) ดําเนินการเกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งที่ได้รับจาก ผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คําสั่งของผู้ควบคุมข้อมูลส่วนบุคคลขัดต่อกฎหมาย ( 2 ) จัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ โดยเป็นไปตามที่กฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 3 ) แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลตามที่กฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 4 ) จัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามที่ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด เพื่อให้ลูกค้า ผู้ควบคุมข้อมูลส่วนบุคคล สํานักงาน และ สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ ( 5 ) เข้าทําสัญญาหรือข้อตกลงเกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลระหว่างตนกับ ผู้ควบคุมข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 6 ) ในกรณีที่นายหน้าประกันชีวิตซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคลของตนตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้การแต่งตั้ง คุณสมบัติและหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมทั้งหน้าที่ของนายหน้าประกันชีวิตที่มีต่อเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคล เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล อย่างไรก็ดี หากนายหน้าประกัน ชีวิตมีหน้าที่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตนในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลอยู่แล้ว นายหน้าประกันชีวิตสามารถให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ในส่วนที่เกี่ยวข้องกับการดําเนิน กิจกรรมในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้ ( 7 ) ต้องเก็บรักษาข้อมูลส่วนบุคคลตามคําสั่งและนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของ ผู้ควบคุมข้อมูลส่วนบุคคล

25 ข้อ 34 กรณีนายหน้าประกันชีวิตเป็นผู้ควบคุมข้อมูลส่วนบุคคล ให้จัดทํานโยบายการเก็บรักษา ข้อมูลส่วนบุคคลภายในองค์กรเพื่อกําหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล ซึ่งต้องกําหนดระยะเวลา ที่เหมาะสมและจําเป็นสําหรับข้อมูลส่วนบุคคลแต่ละประเภทและวัตถุประสงค์ที่ได้แจ้งลูกค้า อย่างไรก็ดี หากนายหน้า ประกันชีวิตมีความจําเป็นในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นต่อไป นายหน้าประกันชีวิตก็อาจเก็บรวบรวม ข้อมูลส่วนบุคคลนั้นไว้ได้ เช่น เพื่อปฏิบัติตามกฎหมายอื่นที่เกี่ยวข้อง กรณีที่ข้อมูลส่วนบุคคลหมดความจําเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือนายหน้าประกันชีวิตไม่มีอํานาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้นายหน้าประกันชีวิตยุติ การประมวลผลข้อมูลส่วนบุคคลและดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลนั้น หรือทําให้ข้อมูลส่วนบุคคลเป็น ข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นลูกค้าได้ ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคล นายหน้าประกันชีวิต ต้องจัดมีมาตรการให้ผู้ให้บริการภายนอกลบหรือทําลายข้อมูลส่วนบุคคลตามระยะเวลาดังกล่าวด้วยเช่นกัน เช่น กําหนดเป็นหน้าที่ในสัญญาหรือข้อตกลงระหว่างกันเกี่ยวกับกิจกรรมการประมวลผลนั้น ๆ ตามที่กฎหมายว่าด้วย คุ้มครองข้อมูลส่วนบุคคลกําหนด ข้อ 35 กรณีนายหน้าประกันชีวิตเป็นผู้ควบคุมข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่นายหน้า ประกันชีวิตได้เก็บรวบรวมไว้ก่อนวันที่ 1 มิถุนายน พ . ศ . 2565 นายหน้าประกันชีวิตสามารถเก็บรวบรวมและใช้ ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม โดยต้องกําหนดวิธีการยกเลิกความยินยอมและเผยแพร่ ประชาสัมพันธ์ให้ลูกค้าที่ไม่ประสงค์ให้นายหน้าประกันชีวิตเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลดังกล่าวต่อไป สามารถแจ้งยกเลิกความยินยอมได้โดยง่าย ทั้งนี้ การเผยแพร่ประชาสัมพันธ์ตามวรรคหนึ่ง ให้นายหน้าประกันชีวิตแจ้งให้ลูกค้าทราบผ่าน ช่องทางที่นายหน้าประกันชีวิตมีปฏิสัมพันธ์กับลูกค้าตามปกติ หรือช่องทางที่ลูกค้าสามารถทราบถึงการเผยแพร่ ประชาสัมพันธ์ดังกล่าวได้โดยง่าย เช่น การส่งไปรษณีย์ อีเมล ข้อความสื่อสารทางโทรศัพท์ (SMS) และในกรณีที่ นายหน้าประกันชีวิตมีการใช้งานเว็บไซต์ในการปฏิสัมพันธ์กับลูกค้า ให้นายหน้าประกันชีวิตประกาศทางเว็บไซต์ ของนายหน้าประกันชีวิตด้วย ทั้งนี้ นายหน้าประกันชีวิตต้องระบุช่องทางในการยกเลิกความยินยอมด้วย หากนายหน้าประกันชีวิตต้องการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลตามวรรคหนึ่ง เพื่อวัตถุประสงค์อื่นเพิ่มเติมจากวัตถุประสงค์เดิม หรือต้องการเปิดเผยหรือดําเนินการประการอื่นที่ไม่ใช่การเก็บ รวบรวมและการใช้ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น นายหน้าประกันชีวิตต้องดําเนินการให้เป็นไปตาม กฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคล กรณีนายหน้าประกันชีวิตเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ให้จัดการข้อมูลส่วนบุคคลที่ เก็บรวบรวม ใช้ หรือเปิดเผยไว้ก่อนวันที่ 1 มิถุนายน พ . ศ . 2565 ตามแนวทางที่ผู้ควบคุมข้อมูลส่วนบุคคลของ นายหน้าประกันชีวิตกําหนด

26 เอกสารแนบท้าย ให้บริษัทและผู้เสนอขายที่มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลดําเนินการจัดทํานโยบายการคุ้มครอง ข้อมูลส่วนบุคคล ให้เหมาะสมและสะท้อนการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของแต่ละบุคคลหรือ นิติบุคคล โดยอาจใช้เอกสารแนบท้ายนี้เป็นแนวทางในการจัดทํานโยบายการคุ้มครองข้อมูลส่วนบุคคล แนวทางการกําหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ (” นโยบายฉบับนี้ ”) จัดทําขึ้นโดย [ โปรดระบุชื่อ เจ้าของนโยบายฉบับนี้ ] (” บริษัทฯ ”/” ผู้เสนอขาย ”) [ หมายเหตุถึงบริษัทฯ และผู้เสนอขาย : โปรดพิจารณากําหนด นิยามตามที่เหมาะสมกับรูปแบบในการประกอบธุรกิจ โดยบริษัทฯ และผู้เสนอขายที่เป็นนิติบุคคลอาจพิจารณาใช้ คําว่า ” บริษัทฯ ” ส่วนผู้เสนอขายที่เป็นบุคคลธรรมดาอาจพิจารณาใช้คําว่า ” ผู้เสนอขาย ”] โดยนโยบายฉบับนี้มี วัตถุประสงค์เพื่อแจ้งให้ลูกค้า (” ลูกค้า ” หรือ ” ท่าน ”) ทราบเกี่ยวกับการเก็บรวบรวม ใช้ และ / หรือเปิดเผยข้อมูล ส่วนบุคคลของท่าน ตลอดจนถึงสิทธิตามกฎหมายที่เกี่ยวกับข้อมูลส่วนบุคคลของท่าน ข้อ 1 คํานิยาม ในนโยบายฉบับนี้ “ ข้อมูลส่วนบุคคล ” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทําให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่า ทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ “ สํานักงาน ” หมายความว่า สํานักงานคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจ ประกันภัย [ โปรดระบุคํานิยามอื่น ๆ ] ข้อ 2 ข้อมูลส่วนบุคคลที่ [ บริษัทฯ / ผู้เสนอขาย ] เก็บรวบรวม ข้อมูลส่วนบุคคลของท่านที่ [ บริษัทฯ / ผู้เสนอขาย ] เก็บรวบรวมมีดังนี้ [ โปรดระบุประเภทข้อมูลส่วนบุคคลที่บริษัทฯ / ผู้เสนอขาย เก็บรวบรวม ] ในกรณีที่ [ บริษัทฯ / ผู้เสนอขาย ] มีความจําเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน เพื่อปฏิบัติหน้าที่ตามกฎหมาย หรือการเข้าทําสัญญากับท่าน หากท่านไม่ให้ข้อมูลส่วนบุคคลบางอย่างที่จําเป็นต่อ การดําเนินงานของ [ บริษัทฯ / ผู้เสนอขาย ] [ บริษัทฯ / ผู้เสนอขาย ] อาจไม่สามารถดําเนินการตามวัตถุประสงค์ ด้านล่างหรือให้บริการแก่ท่านได้อย่างเต็มรูปแบบ หรือท่านอาจจะไม่สามารถใช้บริการของ [ บริษัทฯ / ผู้เสนอขาย ] ได้ อย่างเหมาะสม และอาจส่งผลกระทบต่อการปฏิบัติตามกฎหมายใด ๆ ที่ [ บริษัทฯ / ผู้เสนอขาย ] หรือท่านมีหน้าที่ ต้องปฏิบัติตาม หากท่านให้ข้อมูลส่วนบุคคลของบุคคลที่สามแก่ [ บริษัทฯ / ผู้เสนอขาย ] ท่านต้องปฏิบัติตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการขอความยินยอม หรือแจ้งนโยบายฉบับนี้แก่ บุคคลที่สามในนามของ [ บริษัทฯ / ผู้เสนอขาย ] เพื่อให้ [ บริษัทฯ / ผู้เสนอขาย ] สามารถปฏิบัติงานต่อไปได้ตาม วัตถุประสงค์ที่กําหนดในนโยบายฉบับนี้และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสํานักงาน

27 ข้อ 3 แหล่งที่มาของข้อมูลส่วนบุคคล [ บริษัทฯ / ผู้เสนอขาย ] เก็บรวบรวมข้อมูลส่วนบุคคลของท่านผ่านทางช่องทางต่าง ๆ ดังนี้ ( 1 ) [ บริษัทฯ / ผู้เสนอขาย ] ได้รับข้อมูลส่วนบุคคลจากท่านโดยตรง โดยบริษัทฯ จะเก็บรวบรวม ข้อมูลส่วนบุคคลของท่านในขั้นตอนต่าง ๆ ดังต่อไปนี้ [ โปรดระบุขั้นตอนที่เกี่ยวข้อง หรือช่องทางที่ใช้ในการ เก็บรวบรวมข้อมูลส่วนบุคคล ] ( 2 ) [ บริษัทฯ / ผู้เสนอขาย ] ได้รับข้อมูลส่วนบุคคลของท่านผ่านทางช่องทางอื่น ๆ ดังต่อไปนี้ [ โปรด ระบุบุคคลที่สามที่เปิดเผยข้อมูลหรือช่องทางอื่น ๆ ที่ใช้เก็บรวบรวมข้อมูลนั้น ] ข้อ 4 วัตถุประสงค์ในการเก็บรวบรวม ใช้ และ / หรือเปิดเผยข้อมูลส่วนบุคคลของ [ บริษัทฯ / ผู้เสนอขาย ] ( 1 ) เพื่อการเก็บรวบรวม ใช้ และ / หรือเปิดเผยข้อมูลส่วนบุคคลต่อสํานักงาน เพื่อประโยชน์ในการ กํากับดูแลและส่งเสริมธุรกิจประกันภัยตามกฎหมายว่าด้วยคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจ ประกันภัย และกฎหมายว่าด้วยการประกันชีวิต ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของสํานักงานซึ่งสามารถ ตรวจดูได้ที่เว็บไซต์ของสํานักงาน (https://www.oic.or.th) [ โปรดระบุวัตถุประสงค์ในการเก็บรวบรวม ใช้ และ / หรือเปิดเผยข้อมูลส่วนบุคคลเพิ่มเติม ] หาก [ บริษัทฯ / ผู้เสนอขาย ] อาศัยความยินยอมจากท่านในการเก็บรวบรวม ใช้ และ / หรือเปิดเผย ข้อมูลส่วนบุคคล ท่านมีสิทธิถอนความยินยอมเมื่อใดก็ได้ ทั้งนี้ การถอนความยินยอมของท่านย่อมไม่กระทบถึง กิจกรรมที่เกี่ยวกับการเก็บรวบรวม ใช้ และ / หรือเปิดเผยข้อมูลส่วนบุคคลที่ลูกค้าได้ให้ความยินยอมไปแล้วก่อน การถอนความยินยอม ข้อ 5 การเปิดเผยข้อมูลส่วนบุคคลของท่าน [ บริษัทฯ / ผู้เสนอขาย ] อาจเปิดเผยข้อมูลส่วนบุคคลของท่านแก่บุคคลภายนอก ดังนี้ ( 1 ) หน่วยงานของรัฐหรือหน่วยงานอื่นตามภารกิจ อํานาจหน้าที่ กฎหมาย และข้อผูกพันในการ ดําเนินงานของสํานักงานทั้งในและต่างประเทศ เช่น สํานักงานคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจ ประกันภัย สํานักงานป้องกันและปราบปรามการฟอกเงิน ธนาคารแห่งประเทศไทยคณะกรรมการป้องกันและ ปราบปรามการทุจริตแห่งชาติ สํานักงานคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์ สํานักงานตํารวจแห่งชาติ ( 2 ) บุคคลภายนอกอื่น ๆ ที่เกี่ยวข้อง ได้แก่ บริษัทประกันภัย นายหน้าประกันชีวิต ตัวแทน ประกันชีวิต นักคณิตศาสตร์ประกันภัย บริษัทประกันภัยต่อ สํานักงานสาขาในไทยของบริษัทประกันภัย ต่างประเทศ โรงพยาบาล ศูนย์กู้ชีพ แพทยสภา ธนาคารหรือสถาบันการเงิน ศูนย์บริหารจัดการกล้องโทรทัศน์วงจรปิด ผู้ให้บริการด้านการบริหารจัดการค่าสินไหมทดแทน (TPA) ผู้เอาประกันภัย ผู้ถือกรมธรรม์ประกันภัย ผู้ชําระเบี้ย ประกันภัย พยาน ผู้รับผลประโยน์ ทายาทโดยธรรม ผู้มีส่วนได้เสีย คู่พิพาท คู่กรณี ผู้เสียหาย ผู้รับมอบอํานาจ เจ้าหนี้หรือลูกหนี้ของบริษัทฯ บุคคลอื่นใดที่มีความสัมพันธ์ ธุรกรรม หรือติดต่อกับทางบริษัทฯ เป็นต้น [ โปรดระบุประเภทของบุคคลภายนอกผู้รับข้อมูลส่วนบุคคลเพิ่มเติม ] ข้อ 6 การส่ง หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ [ แล้วแต่การดําเนินการของผู้ควบคุมข้อมูลส่วนบุคคล ]

28 ข้อ 7 ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล [ แล้วแต่การดําเนินการของผู้ควบคุมข้อมูลส่วนบุคคล ] ข้อ 8 สิทธิของท่านในฐานะลูกค้า [ โปรดแจ้งสิทธิ ภายใต้ข้อจํากัดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ลูกค้ามีสิทธิดังต่อไปนี้ ( 1 ) สิทธิในการเข้าถึง ( 2 ) สิทธิในการแก้ไขข้อมูลส่วนบุคคล ( 3 ) สิทธิในการโอนย้ายข้อมูลส่วนบุคคล ( 4 ) สิทธิ ในการคัดค้าน ( 5 ) สิทธิในการจํากัดการใช้งานข้อมูลส่วนบุคคล ( 6 ) สิทธิในการถอนความยินยอม ( 7 ) สิทธิในการ ขอลบข้อมูลส่วนบุคคล และ ( 8 ) สิทธิในการร้องเรียน ] ข้อ 9 วิธีติดต่อ [ บริษัทฯ / ผู้เสนอขาย ] ในกรณีที่ท่านมีข้อสงสัยเกี่ยวกับการเก็บรวบรวม ใช้ และ / หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน หรือต้องการใช้สิทธิในฐานะลูกค้า ท่านสามารถติดต่อ [ บริษัทฯ / ผู้เสนอขาย ] ได้ที่ [ โปรดระบุช่องทางการติดต่อ ตัวอย่างเช่น ชื่อ [ บริษัทฯ / ผู้เสนอขาย ]  ที่อยู่ : [ โปรดระบุ ]  เบอร์โทร : [ โปรดระบุ ]  อีเมล : [ โปรดระบุ ] เจ้าหน้าที่คุ้มครองข้อมูล (DPO)  ที่อยู่ : [ โปรดระบุ ]  เบอร์โทร : [ โปรดระบุ ]  อีเมล : [ โปรดระบุ ]]