ประกาศสำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าสำหรับธุรกิจประกันวินาศภัย พ.ศ. 2564

ประกาศสำนักงานคณะกรรมการกำกับ และส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าสำหรับธุรกิจประกันวินาศภัย พ.ศ. 2564 ตามที่ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง หลักเกณฑ์ วิธีการออก และเสนอขายกรมธรรม์ประกันภัยของบริษัทประกันวินาศภัย และการดำเนินการ ของตัวแทนประกันวินาศภัย นายหน้าประกันวินาศภัย และธนาคาร พ.ศ. 2563 ข้อ 35 กาหนดให้บริษั ทและผู้เสนอขายต้องมีระบบหรือกระบวนการในการบริหารจัดการการได้มาของข้อมูล การเก็บรักษา และการปกป้องข้อมูลของลูกค้า ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคล ประกอบกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 (5) (จ) กาหนด ห้ามมิให้เก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งก ระทบต่อ เจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นการจาเป็นในการปฏิบัติ ตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะที่สาคัญ โดยได้จัดให้มีมาตรการ ที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ดังนั้น เพื่อให้ การทาธุรกรรมที่เกี่ยวกับธุรกิจประกันภัย ซึ่งเป็นธุรกรรมทางการเงินประเภทหนึ่งที่มีผลกระทบโดยตรง ต่อระบบเศรษฐกิจและการเงินของประเทศและต่อลูกค้ำ มีการคุ้มครองข้อมูลส่วนบุคคล ทั้งข้อมูล ส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหวที่จาเป็นต่อการประมวลผลข้อมูลเพื่อการพิจารณารับ ประกันภัย การปฏิบัติตามสัญญาประกันภัย และการให้บริการแก่ลูกค้าอย่างมีประสิทธิภาพตามเจตนารมณ์ กฎหมายดังกล่าว และเป็นไปเ พื่อประโยชน์สาธารณะ อันเป็นการคงไว้ซึ่งความน่าเชื่อถือของธุรกิจประกันภัย และคุ้มครองสิทธิประโยชน์ของประชาชนนั้น อาศัยอานาจตามความในข้อ 6 แห่งประกาศคณะกรรมการกากับ และส่งเสริมการประกอบ ธุรกิจประกันภัย เรื่อง หลักเกณฑ์ วิธีการออก และเสนอขายกรมธรรม์ประกันภัย ของบริษัทประกันวินาศภัย และการดาเนินการของตัวแทนประกันวินาศภัย นายหน้าประกันวินาศภัย และธนาคาร พ.ศ. 2563 สานักงานคณะกรรมการกากับและส่งเสริมการประกอบธุรกิจประกันภัย จึงออกแนวปฏิบัติไว้แนบท้ายประกาศ ดังนี้ ้ หนา 16 ่ เลม 140 ตอนพิเศษ 98 ง ราชกิจจานุเบกษา 27 เมษายน 2566

ทั้งนี้ ตั้งแต่วั นที่ 1 มิถุนายน พ.ศ. 2565 เป็นต้นไป ประกาศ ณ วันที่ 28 ธันวาคม พ.ศ. 256 4 สุทธิพล ทวีชัยการ เลขาธิการ คณะกรรมการกากับและส่งเสริมการประกอบธุรกิจประกันภัย ้ หนา 17 ่ เลม 140 ตอนพิเศษ 98 ง ราชกิจจานุเบกษา 27 เมษายน 2566

( สําเ 1 ำ ) แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าสําหรับธุรกิจประกันวินาศภัย ข้อ 1 คํานิยาม ในแนวทางปฏิบัตินี้ “ ข้อมูลส่วนบุคคล ” หมายความว่า ข้อมูลส่วนบุคคล ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วน บุคคล “ ข้อมูลส่วนบุคคลที่อ่อนไหว ” หมายความว่า ข้อมูลส่วนบุคคลตามมาตรา 26 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 “ ลูกค้า ” หมายความว่า ผู้ที่พนักงานหรือลูกจ้างของบริษัท ตัวแทนประกันชีวิต นายหน้าประกัน ชีวิต เชิญชวน ชักชวน หรือชี้ช่อง ให้ทําประกันภัยกับบริษัท และให้รวมถึงผู้เอาประกันภัย ผู้รับประโยชน์ ผู้มีสิทธิ เรียกร้องตามกรมธรรม์ประกันภัย ซึ่งเป็นบุคคลธรรมดาและเป็นเจ้าของข้อมูลส่วนบุคคล “ ผู้ควบคุมข้อมูลส่วนบุคคล ” หมายความว่า ผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการ คุ้มครองข้อมูลส่วนบุคคล “ ผู้ประมวลผลข้อมูลส่วนบุคคล ” หมายความว่า ผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมายว่า ด้วยการคุ้มครองข้อมูลส่วนบุคคล “ การตลาดแบบตรง (direct marketing)” หมายความว่า การติดต่อสื่อสาร ไม่ว่าโดยวิธีการใด ๆ เพื่อการโฆษณาหรือการทําการตลาด โดยส่งตรงถึงบุคคลใดบุคคลหนึ่งโดยเฉพาะเจาะจง “ สํานักงาน ” หมายความว่า สํานักงานคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจ ประกันภัย “ บริษัท ” หมายความว่า บริษัทที่ได้รับใบอนุญาตประกอบธุรกิจประกันวินาศภัยตามกฎหมาย ว่าด้วยการประกันวินาศภัย และหมายความรวมถึง สาขาของบริษัทประกันวินาศภัยต่างประเทศที่ได้รับใบอนุญาต ประกอบธุรกิจประกันวินาศภัยในราชอาณาจักรตามกฎหมายว่าด้วยการประกันวินาศภัย “ ผู้เสนอขาย ” หมายความว่า ตัวแทนประกันวินาศภัย นายหน้าประกันวินาศภัย “ ตัวแทนประกันวินาศภัย ” หมายความว่า ตัวแทนประกันวินาศภัยตามกฎหมายว่าด้วย การประกันวินาศภัย “ นายหน้าประกันวินาศภัย ” หมายความว่า นายหน้าประกันวินาศภัยตามกฎหมายว่าด้วยการ ประกันวินาศภัย “ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ” หมายความว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล “ ผู้ถือกรมธรรม์ประกันภัย ” หมายความว่า ผู้ที่ระบุชื่อเป็นผู้ถือกรมธรรม์ประกันภัย ซึ่งเป็นผู้จัด ให้มีการประกันภัยเพื่อประโยชน์ของผู้เอาประกันภัย ข้อ 2 ให้บริษัทและผู้เสนอขายนําแนวปฏิบัตินี้ไปใช้เป็นแนวทางในการบริหารจัดการการได้มา ของข้อมูล การเก็บรักษา และการปกป้องข้อมูลของลูกค้า โดยบริษัทและผู้เสนอขายต้องปฏิบัติตามกฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นที่เกี่ยวข้องเป็นการเพิ่มเติม

2 หมวด 1 บริษัท ข้อ 3 บริษัทต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งลูกค้า ไว้ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล หากบริษัทพบหรือทราบว่ามีวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นการเพิ่มเติมจากวัตถุประสงค์เดิม ซึ่งนอกเหนือจากที่ได้ระบุไว้ในนโยบายการ คุ้มครองข้อมูลส่วนบุคคล (privacy notice) ในปัจจุบัน หรือในกรณีที่มีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล บริษัทจะเพิ่มหรือเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลก็ได้ ในกรณีที่วัตถุประสงค์ใหม่นั้นจําเป็นต้องอาศัยฐานความยินยอม บริษัทจะต้องขอความยินยอม จากลูกค้าสําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใหม่เป็นการเพิ่มเติมด้วย ทั้งนี้ บริษัทต้องทําการปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคลให้ครอบคลุม ถึงวัตถุประสงค์ใหม่ดังกล่าวและแจ้งวัตถุประสงค์ใหม่นั้นให้ลูกค้าทราบด้วย โดยอาจแจ้งในช่องทางต่าง ๆ ที่บริษัท สามารถพิสูจน์ได้ว่าเหมาะสมในการสื่อสารให้ลูกค้ารับทราบ โดยอาจพิจารณาจากช่องทางที่บริษัทมีปฏิสัมพันธ์กับ ลูกค้าตามปกติ หรือช่องทางที่ลูกค้าสามารถเข้าถึงหรือทราบนโยบายการคุ้มครองข้อมูลส่วนบุคคลได้โดยง่าย เช่น การส่งทางไปรษณีย์ อีเมล ข้อความสื่อสารทางโทรศัพท์ (SMS) โดยอาจเป็นช่องทางเดียวกันกับช่องทางที่เคยแจ้ง นโยบายการคุ้มครองข้อมูลส่วนบุคคลไว้ก่อนหน้าก็ได้ และในกรณีที่บริษัทมีการใช้งานเว็บไซต์ในการปฏิสัมพันธ์กับ ลูกค้า ให้บริษัทประกาศทางเว็บไซต์ของบริษัทด้วย ข้อ 4 ให้บริษัทแบ่งประเภทข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยตามที่กฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ดังนี้ ( 1 ) ข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อ - นามสกุล ที่อยู่ ตําแหน่ง โทรศัพท์ โทรสาร และ อีเมล เป็นต้น ( 2 ) ข้อมูลส่วนบุคคลที่อ่อนไหว เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อใน ลัทธิ ศาสนา หรือปรัชญา พฤติกรรมทางการเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพ แรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อลูกค้า ในทํานองเดียวกันตามที่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกําหนด นอกจากแบ่งประเภทการจัดเก็บข้อมูลตาม ( 1 ) และ ( 2 ) แล้ว ในกรณีที่มีการประมวลผลข้อมูลที่ มีความเสี่ยงสูงอันจะส่งผลกระทบต่อสิทธิเสรีภาพของลูกค้าตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กําหนด บริษัทต้องจัดให้มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล ข้อ 5 ให้บริษัทขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสําหรับกรณี ที่ไม่อาจอาศัยฐานในการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 24 มาตรา 25 และมาตรา 26 แห่ง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 โดยพิจารณาตามประเภทข้อมูลส่วนบุคคลตามข้อ 4 ทั้งนี้ บริษัทอาจอาศัยฐานในการประมวลผลข้อมูลส่วนบุคคลสําหรับการดําเนินการต่าง ๆ ตามแนวทางดังต่อไปนี้ ( 1 ) ข้อมูลส่วนบุคคลทั่วไป ( ก ) ฐานความยินยอม ในการดําเนินการกิจกรรมทางการตลาดนั้น บริษัทต้องขอความยินยอมเพื่อการตลาดแบบ ตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอพิเศษ ข้อมูลส่งเสริมการขาย และสิทธิ

3 ประโยชน์เกี่ยวกับผลิตภัณฑ์และบริการ ซึ่งอาจเป็นผลิตภัณฑ์และบริการอื่นของบริษัท บริษัทในเครือ หรือ พันธมิตรทางธุรกิจของบริษัท โดยมีลักษณะที่เกินความคาดหมายของลูกค้า เช่น การส่งข้อความการสื่อสารด้าน การตลาดให้กับลูกค้าที่ไม่เคยมีความสัมพันธ์ทางธุรกิจกับบริษัทมาก่อนและไม่อาจคาดหมายว่าจะได้รับข้อมูล ข่าวสารการตลาดจากบริษัท หรือการซื้อข้อมูลลูกค้าจากผู้ประกอบการรายอื่น ( ซื้อ lead) เป็นต้น ทั้งนี้ บริษัทต้อง เปิดโอกาสให้ลูกค้าใช้สิทธิถอนความยินยอมได้เสมอ ( ข ) ฐานทางกฎหมายอื่น ๆ ซึ่งไม่ใช่ฐานความยินยอม บริษัทอาจอาศัยฐานทางกฎหมายอื่นตามมาตรา 24 แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ . ศ . 2562 โดยไม่ต้องขอความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อ วัตถุประสงค์ดังต่อไปนี้ เช่น 1 ) ฐานการจําเป็นเพื่อปฏิบัติตามสัญญาซึ่งลูกค้าเป็นคู่สัญญาหรือเพื่อใช้ในการ ดําเนินการตามคําขอของลูกค้าก่อนเข้าทําสัญญา (contractual basis) ตามมาตรา 24 ( 3 ) แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 สําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการเข้าทํา สัญญาประกันภัย เช่น การให้คําแนะนํา การอํานวยความสะดวกในการกรอกและนําส่งใบคําขอ เอาประกันภัย การพิจารณารับประกันภัย และการส่งมอบกรมธรรม์ประกันภัย การปฏิบัติตามสิทธิหรือหน้าที่ ที่เกิดจากหรือเกี่ยวข้องกับสัญญาประกันภัย หรือการดําเนินการชดใช้ค่าสินไหมทดแทนและการดําเนินการที่ เกี่ยวข้อง เป็นต้น 2 ) ฐานเป็นการจําเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (legitimate interest basis) ตามมาตรา 24 ( 5 ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 สําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการดําเนินการกิจกรรมทางการตลาดแบบตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอพิเศษ ข้อมูลส่งเสริมการขาย และสิทธิ ประโยชน์เกี่ยวกับผลิตภัณฑ์และบริการ ซึ่งอาจเป็นผลิตภัณฑ์และบริการอื่นของบริษัท บริษัทในเครือ หรือ พันธมิตรทางธุรกิจ โดยมีลักษณะที่อยู่ในความคาดหมายของลูกค้า เช่น การส่งข้อมูลข่าวสารเกี่ยวกับผลิตภัณฑ์ ประกันภัยแก่ลูกค้ารายเดิมที่ซื้อผลิตภัณฑ์ประกันภัยนั้น ๆ หรือสินค้าที่คล้ายคลึง หรือสินค้าอื่น ๆ ของบริษัท ในเครือหรือพันธมิตรทางธุรกิจที่น่าจะเป็นประโยชน์ต่อลูกค้าหรือส่งเสริมการใช้บริการของลูกค้า และโดยที่ลูกค้า รายดังกล่าวไม่เคยคัดค้านการส่งข้อมูลเช่นว่านั้น เป็นต้น ทั้งนี้ บริษัทต้องเปิดโอกาสให้ลูกค้าใช้สิทธิคัดค้าน (opt-out) ได้เสมอ 3 ) ฐานการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (legal obligation basis) ตามมาตรา 24 ( 6 ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 เช่น การจัดทําฐานข้อมูลเกี่ยวกับ การฉ้อฉลเพื่อการติดตามการฉ้อฉลและเพิ่มประสิทธิภาพการบริหารจัดการความเสี่ยงด้านการฉ้อฉลของบริษัท ซึ่งเป็นการดําเนินการเพื่อปฏิบัติตามประกาศคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัยว่าด้วย หลักเกณฑ์ วิธีการ และเงื่อนไขในการกําหนดมาตรฐานขั้นต่ําในการบริหารจัดการความเสี่ยงของบริษัทประกัน วินาศภัย ในส่วนที่เกี่ยวข้องกับการฉ้อฉล ประกาศคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย ว่าด้วยการให้บริษัทประกันวินาศภัยยื่นรายงานเกี่ยวกับการฉ้อฉลประกันภัย และกฎหมายอื่นที่เกี่ยวข้อง ( 2 ) ข้อมูลส่วนบุคคลที่อ่อนไหว บริษัทจะต้องพิจารณาฐานทางกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่อ่อนไหวสําหรับแต่ละวัตถุประสงค์ซึ่งเข้มงวดยิ่งกว่าการเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไป ( ก ) ฐานความยินยอมโดยชัดแจ้ง (explicit consent basis)

4 โดยทั่วไป บริษัทอาจเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหว ได้ต่อเมื่อได้รับความยินยอมโดยชัดแจ้งจากลูกค้าเท่านั้น โดยต้องขอความยินยอมสําหรับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ เช่น เพื่อการระบุและยืนยันตัวตนนอกเหนือจากที่กฎหมายกําหนดไว้ หรือ เพื่อการดําเนินกิจกรรมทางการตลาดแบบตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอ พิเศษ ข้อมูลส่งเสริมการขาย และสิทธิประโยชน์เกี่ยวกับผลิตภัณฑ์และบริการจากบริษัท บริษัทในเครือ และ พันธมิตรทางธุรกิจทุกกรณี โดยไม่คํานึงว่าเกินความคาดหมายของลูกค้าหรือไม่ ดังนั้น บริษัทจึงต้องพิจารณาว่า ข้อมูลส่วนบุคคลที่อ่อนไหวที่เก็บรวบรวมนั้นมีความสัมพันธ์กับประกันภัยประเภทนั้น ๆ อย่างไร หากไม่จําเป็นต้อง ใช้พิจารณาเพื่อให้บริการหรือทําสัญญาประกันภัย บริษัทอาจพิจารณาไม่เก็บรวบรวมข้อมูลส่วนบุคคลที่อ่อนไหว ตั้งแต่แรก หรือดําเนินการขอความยินยอมให้ถูกต้องตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ( ข ) ฐานทางกฎหมายอื่นซึ่งไม่ใช่ฐานความยินยอม บริษัทอาจอาศัยฐานทางกฎหมายอื่นตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ . ศ . 2562 ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ต้องขอความยินยอม เช่น ฐานเป็นการจําเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์อันเกี่ยวข้องกับประโยชน์สาธารณะที่สําคัญ ตามมาตรา 26 ( 5 ) ( จ ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 โดยได้จัดให้มีมาตรการที่ เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล สําหรับกรณีหนึ่งกรณีใด ดังต่อไปนี้ 1 ) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหวของลูกค้า คู่สมรส บุคคล ในครอบครัว หรือบุคคลอื่นที่จําเป็นในการพิจารณารับประกันภัย การเอาประกันภัยต่อ พิจารณารับประกันภัยต่อ คํานวณเบี้ยประกันภัย ปฏิเสธการรับประกันภัยแต่ละประเภท หรือชดใช้ค่าสินไหมทดแทนตามสัญญาประกันภัย เช่น ข้อมูลสุขภาพหรือข้อมูลความพิการที่เป็นข้อมูลที่สําคัญที่ผู้เอาประกันภัยมีหน้าที่ต้องแถลงเพื่อให้บริษัทมี ข้อมูลเพียงพอเพื่อใช้ในการพิจารณารับประกันภัยประเภท สุขภาพ หรืออุบัติเหตุ แล้วแต่กรณี 2 ) การเก็บรวบรวมข้อมูลส่วนบุคคลที่อ่อนไหวที่จําเป็นเพื่อเปิดเผยให้สํานักงานตาม ประกาศคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัยว่าด้วยการให้บริษัทประกันวินาศภัยยื่น รายงานเกี่ยวกับการฉ้อฉลประกันภัย และกฎหมายอื่นที่เกี่ยวข้อง เพื่อใช้ในการจัดทําฐานข้อมูลเกี่ยวกับการฉ้อฉล ประกันภัย (watch-list) โดยสํานักงานจะเป็นศูนย์กลางในการบริหารจัดการข้อมูลเกี่ยวกับการฉ้อฉลประกันภัย เพื่อการติดตามการฉ้อฉลประกันภัยและเพิ่มประสิทธิภาพการบริหารจัดการความเสี่ยงด้านการฉ้อฉลของบริษัท 3 ) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหวที่จําเป็นเพื่อเปิดเผยให้ สํานักงานเพื่อใช้ประโยชน์ในการกํากับดูแลและส่งเสริมการประกอบธุรกิจประกันภัยตามกฎหมายว่าด้วย คณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย และกฎหมายว่าด้วยการประกันวินาศภัย ข้อ 6 ในกรณีที่บริษัทต้องขอความยินยอม ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล ให้บริษัทพิจารณากําหนดวิธีการขอความยินยอมให้เหมาะสมกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลของตน โดยสอดคล้องกับหลักเกณฑ์ในการขอความยินยอมตามกฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคล ทั้งนี้ บริษัทอาจดําเนินการตามแนวทางดังต่อไปนี้ก็ได้ ( 1 ) การขอความยินยอม ให้ทําโดยชัดแจ้งเป็นหนังสือหรือทําโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวก็อาจขอความยินยอมด้วยวิธีการอื่นได้ เช่น การขอ ความยินยอมผ่านทางโทรศัพท์ในบริบทของการเสนอขายและแนะนําผลิตภัณฑ์ทางโทรศัพท์ (telesales) หรือการ ให้บริการหลังการขาย ทั้งนี้ บริษัทควรบันทึกเสียงที่ลูกค้าให้ความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูล ส่วนบุคคลไว้เพื่อเป็นหลักฐานการให้ความยินยอมด้วย โดยควรเก็บรักษาไว้ตลอดระยะเวลาที่มีการอาศัยความ

5 ยินยอมนั้นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และอาจเก็บรักษาไว้เป็นระยะเวลานานกว่านั้น ภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และกฎหมายอื่นที่เกี่ยวข้อง เช่น ตลอดระยะเวลาอายุความ ตามกฎหมายเกี่ยวกับข้อพิพาทที่เกี่ยวเนื่องกับการให้ความยินยอม ( 2 ) การขอความยินยอมจากผู้เยาว์ คนไร้ความสามารถ หรือ คนเสมือนไร้ความสามารถ ให้บริษัท ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ( 3 ) ในกรณีลูกค้าเป็นผู้เอาประกันภัย ซึ่งมีกรมธรรม์ประกันภัยหลายฉบับ ให้บริษัทพิจารณา ว่าควรขอความยินยอมแยกเป็นรายกรมธรรม์ประกันภัยหรือไม่ โดยพิจารณาจากวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลว่ามีความเกี่ยวเนื่องกับกรมธรรม์ประกันภัยฉบับอื่นหรือไม่ เช่น ในกรณีที่ ผู้เอาประกันภัยมีกรมธรรม์ประกันภัยหลายฉบับ โดยอาจมีทั้งกรมธรรม์ประกันภัยสุขภาพ กรมธรรม์ประกันภัย อุบัติเหตุ และกรมธรรม์ประกันภัยอุบัติเหตุการเดินทาง และบริษัทมีวัตถุประสงค์ที่ต้องการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลเกี่ยวเนื่องกับทุกกรมธรรม์ประกันภัย เช่น วัตถุประสงค์ในการดําเนินกิจกรรมทาง การตลาดแบบตรงของบริษัท ในกรณีดังกล่าว บริษัทอาจขอความยินยอมสําหรับการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลเพื่อดําเนินกิจกรรมทางการตลาดแบบตรงของบริษัทไปได้ในการเสนอขายกรมธรรม์ประกันภัย ฉบับแรกครั้งเดียว โดยไม่จําเป็นต้องขอความยินยอมสําหรับวัตถุประสงค์ดังกล่าวในการเสนอขายกรมธรรม์ ประกันภัยฉบับอื่น ๆ อีก เนื่องจากความยินยอมที่ได้ขอไว้นั้นครอบคลุมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลของบริษัทแล้ว เป็นต้น ( 4 ) การขอความยินยอมในกรณีที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจากแหล่งอื่น หรือบุคคลอื่นที่ไม่ใช่ลูกค้าโดยตรง ซึ่งบริษัทไม่ได้มีความสัมพันธ์โดยตรงกับลูกค้าในขั้นตอนแรกของการ เก็บรวบรวมข้อมูลส่วนบุคคล บริษัทอาจดําเนินการตามแนวทางดังต่อไปนี้ก็ได้ ( ก ) ในการทําสัญญาประกันภัยแบบกลุ่ม บริษัทอาจกําหนดเงื่อนไขในใบคําขอ เอาประกันภัย กรมธรรม์ประกันภัย หรือเอกสารอื่นใดให้ผู้ถือกรมธรรม์ประกันภัยให้คํารับรอง (representation and warranty) ว่าได้แจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทตามหลักเกณฑ์ที่กําหนดในข้อ 8 และหากบริษัท เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ที่ต้องอาศัยความยินยอม บริษัทอาจจัดให้ ผู้ถือกรมธรรม์ประกันภัยจัดทําเอกสารขอความยินยอมจากสมาชิกผู้เอาประกันภัยเพื่อให้บริษัทสามารถเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ต้องอาศัยความยินยอมได้ ทั้งนี้ บริษัทอาจพิจารณา แนบนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท พร้อมทั้งเอกสารขอความยินยอมให้แก่ผู้ถือกรมธรรม์ ประกันภัย เพื่ออํานวยความสะดวกแก่ผู้ถือกรมธรรม์ประกันภัยในการไปแจ้งนโยบายดังกล่าวและขอความยินยอม แทนบริษัท โดยให้ผู้ถือกรมธรรม์ประกันภัยเก็บรักษาเอกสารขอความยินยอมนั้นไว้เป็นหลักฐาน ซึ่งบริษัทสามารถ ร้องขอได้หากเกิดข้อร้องเรียนขึ้นในอนาคต ( ข ) การที่บริษัทได้รับข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) จากบุคคลอื่นที่บริษัทไม่มี นิติสัมพันธ์ด้วยมาก่อนเพื่อเสนอขายกรมธรรม์ประกันภัยของบริษัท ในการนี้ บริษัทต้องขอความยินยอมอีกครั้ง หรือให้บุคคลอื่นที่เปิดเผยข้อมูลส่วนบุคคลต่อบริษัทนั้น ขอความยินยอมให้บริษัทตั้งแต่ต้น โดยให้บริษัทอื่นที่ เปิดเผยข้อมูลส่วนบุคคลเก็บรักษาเอกสารขอความยินยอมนั้นไว้เป็นหลักฐานซึ่งบริษัทสามารถร้องขอได้หากเกิด ข้อร้องเรียนขึ้นในอนาคต ( ค ) ในกรณีที่ลูกค้าเป็นผู้เอาประกันภัยที่ได้ให้ข้อมูลส่วนบุคคลของบุคคลอื่นที่เกี่ยวข้องแก่บริษัท เช่น คู่สมรส ผู้ชําระเบี้ยประกันภัย ผู้รับประโยชน์ตามกรมธรรม์ประกันภัย หรือบุคคลในครอบครัว บริษัทอาจ กําหนดเงื่อนไขในใบคําขอเอาประกันภัย กรมธรรม์ประกันภัย หรือเอกสารอื่นใดให้ผู้เอาประกันให้คํารับรอง (representation and warranty) ว่าได้แจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ตามหลักเกณฑ์ที่

6 กําหนดในข้อ 8 และหากบริษัทเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลดังกล่าวเพื่อวัตถุประสงค์ที่ ต้องอาศัยความยินยอม อาจจัดให้ผู้เอาประกันภัยให้คํารับรอง (representation and warranty) ว่าได้รับความ ยินยอมจากบุคคลอื่นที่เกี่ยวข้องเหล่านั้นแล้วเพื่อให้บริษัทสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ที่ต้องอาศัยความยินยอมได้ ข้อ 7 บริษัทต้องจัดให้ลูกค้าสามารถขอถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด โดยลูกค้าจะถอนความยินยอมเมื่อใด ก็ได้ และจะต้องกระทําได้โดยง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจํากัดสิทธิในการถอนความยินยอม โดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่ลูกค้า ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด เช่น ลูกค้าจะต้องสามารถขอถอนความยินยอมได้ผ่านช่องทางเดียวกันกับที่ใช้ในการให้ความยินยอม โดยไม่ได้มีขั้นตอน เพิ่มเติมที่กําหนดขึ้นเป็นอุปสรรคแก่การขอถอนความยินยอมเช่นว่านั้น และบริษัทต้องจัดให้มีระบบการบันทึกการ ถอนความยินยอมดังกล่าวไว้เป็นหลักฐานด้วย ข้อ 8 ในการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคล บริษัทอาจดําเนินการตามหลักเกณฑ์ ดังต่อไปนี้ ( 1 ) แจ้งรายละเอียดต่าง ๆ ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทแก่ลูกค้าก่อนหรือ ขณะเก็บรวบรวมข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด โดยบริษัทอาจ ดําเนินการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทในรูปแบบใดก็ได้ เช่น การแนบลิงก์ (link) หรือ แสดง QR Code ไปยังนโยบายการคุ้มครองข้อมูลส่วนบุคคลบนหน้าเว็บไซต์หรือช่องทางการติดต่อสื่อสารอื่น ๆ เป็นต้น ในกรณีที่บริษัทเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นเพื่อวัตถุประสงค์ในการติดต่อลูกค้า บริษัทอาจแจ้งรายละเอียดต่างๆ ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทแก่ลูกค้าภายหลังจากการ เก็บรวบรวมข้อมูลส่วนบุคคลได้ภายในสามสิบวัน โดยควรแจ้งอย่างช้าที่สุดในการติดต่อสื่อสารกับลูกค้าในครั้งแรก เว้นแต่เข้าข้อยกเว้นที่ไม่ต้องแจ้งตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทต้องมีการระบุวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าต่อสํานักงาน เพื่อประโยชน์ในการกํากับดูแลและส่งเสริมธุรกิจ ประกันภัยตามกฎหมายว่าด้วยคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย และกฎหมายว่าด้วย การประกันวินาศภัย ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของสํานักงาน และระบุเชื่อมโยงไปยังเว็บไซต์ของ สํานักงาน (https://www.oic.or.th) ซึ่งมีการเผยแพร่นโยบายคุ้มครองข้อมูลส่วนบุคคลของสํานักงานไว้ ทั้งนี้ บริษัทอาจใช้แบบแนบท้ายแนวปฏิบัตินี้เป็นแนวทางในการจัดทํานโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัท ( 2 ) จัดให้มีการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลไปก่อนหรือพร้อมกับใบคําขอ เอาประกันภัยหรือแบบขอความยินยอมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือผ่านช่องทางการ ติดต่อสื่อสารอื่น ๆ ระหว่างบริษัทกับลูกค้า เช่น การติดต่อสื่อสารซึ่งหน้าทางอิเล็กทรอนิกส์ หรือทางโทรศัพท์ ตามที่เหมาะสม เป็นต้น และในกรณีที่บริษัทมีการใช้งานเว็บไซต์ในการปฏิสัมพันธ์กับลูกค้า ให้บริษัทประกาศทาง เว็บไซต์ของบริษัทด้วย ข้อ 9 ในกรณีที่บริษัทโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลซึ่งอยู่ต่างประเทศ ให้ปฏิบัติตาม หลักเกณฑ์การโอนข้อมูลส่วนบุคคลไปต่างประเทศตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

7 ข้อ 10 สถานะของบริษัท บริษัทที่เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการประกอบธุรกิจประกันภัย ในฐานะผู้รับประกันภัยหรือผู้รับประกันภัยต่อ มีอํานาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลเพื่อวัตถุประสงค์ต่าง ๆ ตลอดจนระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลได้เอง เช่น เก็บรวบรวมข้อมูล ส่วนบุคคลของลูกค้าและบุคคลที่เกี่ยวข้องเพื่อพิจารณารับประกันภัย การเอาประกันภัยต่อ พิจารณารับประกันภัย ต่อ ปฏิบัติตามสัญญาประกันภัย พิจารณาและดําเนินการที่เกี่ยวข้องกับการจ่ายค่าสินไหมทดแทน จัดทําสมุด ทะเบียนตามกฎหมาย เพื่อเป็นหลักฐานในการต่อสู้คดีตามกฎหมาย หรือเพื่อเสนอขายหรือการดําเนินกิจกรรมทาง การตลาดแบบตรง (direct marketing) เป็นต้น มีลักษณะเป็นผู้ควบคุมข้อมูลส่วนบุคคล อย่างไรก็ดี บริษัทในฐานะผู้รับประกันภัยหรือผู้รับประกันภัยต่ออาจมีลักษณะเป็นผู้ประมวลผล ข้อมูลส่วนบุคคลได้ หากได้ดําเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในนามหรือตามคําสั่งของ ผู้ควบคุมข้อมูลส่วนบุคคลรายอื่นโดยเฉพาะ ข้อ 11 ในกรณีที่บริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคล บริษัทยังมีหน้าที่อื่น ๆ เพิ่มเติมดังต่อไปนี้ ( 1 ) ดําเนินการให้ข้อมูลส่วนบุคคลของลูกค้าถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความ เข้าใจผิด ( 2 ) จัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ รวมทั้งต้องทบทวนมาตรการ ดังกล่าวเมื่อมีความจําเป็นหรือเมื่อเทคโนโลยีและธุรกิจเปลี่ยนแปลงไป เพื่อให้ประสิทธิภาพในการรักษาความ มั่นคงปลอดภัยที่เหมาะสม ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ประกาศคณะกรรมการกํากับและ ส่งเสริมการประกอบธุรกิจประกันภัยว่าด้วยหลักเกณฑ์การกํากับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยี สารสนเทศของบริษัทประกันวินาศภัย และกฎหมายอื่นที่เกี่ยวข้องกําหนด อย่างไรก็ดี บริษัทอาจคํานึงถึงประเด็น ดังต่อไปนี้ ร่วมด้วย เช่น ( ก ) อํานาจหน้าที่ของพนักงานแต่ละระดับที่เอื้อต่อการดูแลรักษาความปลอดภัยของข้อมูล ส่วนบุคคล โดยสอดคล้องกับหลักการควบคุม การกํากับและตรวจสอบ ( 3 lines of defense) ( ข ) การรักษาความมั่นคงปลอดภัยของข้อมูล โดยควรมีมาตรการเชิงเทคนิคและเชิงบริหาร จัดการเพื่อรักษาความมั่นคงปลอดภัยในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น มีการกําหนด ชั้นความลับของข้อมูล เก็บรักษา และทําลายข้อมูลให้เหมาะสมกับชั้นความลับ มีการบริหารจัดการการเข้าถึงรหัส ข้อมูลที่เชื่อถือได้และเป็นมาตรฐานสากล ในการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสมตามชั้นความลับและ ความสําคัญของข้อมูล จัดทํานโยบายเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย และรวมถึงจัดฝึกอบรมหรือสร้าง ความตระหนักรู้และการมีส่วนร่วมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความปลอดภัยของแก่ พนักงานและบุคลากร เช่น แนวทางการกํากับดูแลการเตรียมความพร้อมรับมือภัยคุกคามทางไซเบอร์ เหตุการละเมิด ข้อมูลส่วนบุคคล แนวปฏิบัติด้านการเข้ารหัสข้อมูล (cryptography) มาตรการสําหรับการทํางานนอกบริษัท (Remote Working Policy) เช่น หากพนักงานนําเอกสารที่มีข้อมูลเกี่ยวกับลูกค้าไปทํางานนอกสถานที่จะต้องมั่นใจว่าจะไม่ ทําเอกสารดังกล่าวสูญหายหรือลืมทิ้งไว้นอกสถานที่แต่อย่างใด เป็นต้น ( ค ) กําหนดสิทธิและข้อจํากัดสิทธิในการเข้าถึงข้อมูลส่วนบุคคลของบุคลากร พนักงาน หรือ ลูกจ้างของตนในแต่ละลําดับชั้นให้ชัดเจนและเป็นปัจจุบัน โดยเฉพาะเมื่อมีการเปลี่ยนแปลงตําแหน่งหรือการจ้างงาน จัดหาพื้นที่ปิดสําหรับการจัดเก็บเอกสารที่มีข้อมูลส่วนบุคคลโดยสามารถปิดล็อคได้ ตลอดจนมีการติดตาม ตรวจสอบการเข้าถึงระบบงานอย่างจริงจังสม่ําเสมอเพื่อตรวจจับความผิดปกติของการเข้าถึงข้อมูลและสามารถ

8 แก้ไขปัญหาได้ทันท่วงที โดยมีการบันทึกข้อมูลและรายละเอียดที่สําคัญของบุคคลที่เข้าถึงระบบงานทุกครั้ง เช่น ช่วงเวลาที่เข้าถึง ชื่อและตําแหน่งหน้าที่ของบุคคลที่เข้าถึง เป็นต้น รวมถึงรายงานผลการตรวจจับต่อผู้บริหาร เช่น กําหนดมาตรการเพื่อควบคุมและป้องกันการรั่วไหลของข้อมูลโดยแบ่งแยกหน่วยงานเป็นสัดส่วนตามหลัก แบ่งแยกหน่วยงานและบุคลากรที่มีโอกาสได้รับข้อมูลจากการปฏิบัติงานออกจากหน่วยงานอื่นอย่างชัดเจน เพื่อ ป้องกันการรั่วไหลของข้อมูลดังกล่าว (Chinese wall) รวมถึงข้อมูลส่วนบุคคลระหว่างหน่วยงาน ซึ่งอาจส่งผล กระทบต่อเจ้าของข้อมูลส่วนบุคคลได้ และจัดเก็บและกําหนดการเข้าถึงข้อมูลเท่าที่จําเป็น (need to know basis) กําหนดแนวทางในการกํากับดูแลและตรวจสอบพนักงานที่มีหน้าที่ที่เกี่ยวข้องกับข้อมูลภายในซึ่งอาจถูก นําไปใช้อย่างไม่เหมาะสม รวมทั้งจัดให้มีการบันทึก การทําสํารองข้อมูลของการเข้าถึงหรือการเข้าใช้งานข้อมูล ส่วนบุคคลไว้ในระยะเวลาที่เหมาะสมหรือตามระยะเวลาที่กฎหมายกําหนด ( ง ) ควบคุมและบริหารจัดการความเสี่ยงเกี่ยวกับผู้ให้บริการภายนอกหรือพันธมิตรทางธุรกิจ อย่างมีประสิทธิภาพและรัดกุมในการเข้าถึง การใช้ และการดูแลรักษาข้อมูลลูกค้า เช่น การจัดทําสัญญาระหว่าง บริษัทกับบุคคลดังกล่าวเพื่อกําหนดหน้าที่ในการดูแลรักษาความปลอดภัยของการใช้ข้อมูลส่วนบุคคล โดยอาจ อ้างอิงจากมาตรฐานของประเทศที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ( จ ) มีการบริหารจัดการความเสี่ยง ตรวจสอบและประเมินความเสี่ยงด้านความมั่นคง ปลอดภัยของเว็บไซต์หรือของระบบสารสนเทศโดยครอบคลุมความเสี่ยงที่อาจกระทบกับความมั่นคงปลอดภัยของ ข้อมูลส่วนบุคคลที่เกี่ยวข้องอย่างน้อยปีละ 1 ครั้ง หรือทุกครั้งที่มีการเปลี่ยนแปลงอย่างมีนัยสําคัญ ( ฉ ) มีการติดตามดูแลระบบและการเฝ้าระวังภัยคุกคาม (security monitoring) โดยมี กระบวนการหรือเครื่องมือในการตรวจจับเหตุการละเมิดข้อมูลส่วนบุคคล เหตุการณ์ผิดปกติ หรือภัยคุกคามที่มี ผลกระทบต่อความมั่นคงปลอดภัยของระบบที่สําคัญ รวมถึง มีการบริหารจัดการช่องโหว่ (vulnerability management) ของระบบที่เหมาะสมตามระดับความเสี่ยง และจัดให้มีผู้เชี่ยวชาญจากภายนอกทําหน้าที่ทดสอบ เจาะระบบ โดยเฉพาะระบบงาน (application) และระบบเครือข่าย (network) ที่มีการเชื่อมต่อกับระบบเครือข่าย สื่อสารสาธารณะ (internet facing) อย่างสม่ําเสมอ หรือทุกครั้งที่มีการเปลี่ยนแปลงระบบอย่างมีนัยสําคัญ และ ดําเนินการให้มั่นใจว่ามีการแก้ไขข้อบกพร่องอย่างมีประสิทธิภาพ ( ช ) กําหนดให้มีการใช้มาตรการที่เหมาะสมและเป็นการเฉพาะสําหรับการรักษาความมั่นคง ปลอดภัยของข้อมูลส่วนบุคคลที่อ่อนไหวตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( ซ ) ควรจัดให้มีมาตรการที่รอบคอบในการรักษาความมั่นคงปลอดภัยสําหรับข้อมูล ส่วนบุคคลของบุคคลซึ่งเป็นผู้เยาว์โดยใช้วิธีการโดยเฉพาะและเหมาะสมตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกําหนด ( 3 ) ในกรณีที่บริษัทต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูล ส่วนบุคคลต้องดําเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ ( 4 ) จัดให้มีระบบการตรวจสอบเพื่อให้สามารถดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลเมื่อ พ้นกําหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจําเป็นตามวัตถุประสงค์ในการเก็บรวบรวม ข้อมูลส่วนบุคคลหรือตามที่ลูกค้าร้องขอ หรือที่ลูกค้าได้ถอนความยินยอมแล้ว เว้นแต่เข้าข้อยกเว้นตามกฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ( 5 ) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและ สํานักงานตามหลักเกณฑ์และระยะเวลาที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด

9 ( 6 ) จัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลอย่างน้อยตามที่ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด เพื่อให้ลูกค้า สํานักงาน และสํานักงานคณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคลสามารถตรวจสอบได้ ( 7 ) ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าในความครอบครองของบริษัท แก่ผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท เช่น ตัวแทนประกันวินาศภัย ผู้ให้บริการภายนอกหรือบุคคลที่สามอื่น ใด ให้จัดให้มีสัญญาหรือข้อตกลงระหว่างกันเกี่ยวกับกิจกรรมการประมวลผลนั้น ๆ (Data Processing Agreement) ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ทั้งนี้ ในกรณีที่มีการเปิดเผยข้อมูล ส่วนบุคคลแก่บุคคลภายนอกที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล เช่น นายหน้าประกันวินาศภัย บริษัทอาจพิจารณา เข้าทําสัญญาที่เป็นลายลักษณ์อักษรกับบุคคลภายนอกดังกล่าว (Data Sharing Agreement) เพื่อตกลงหน้าที่ เกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลระหว่างกันก็ได้ ( 8 ) ในกรณีที่บริษัทซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้การแต่งตั้ง คุณสมบัติและหน้าที่ของ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมทั้งหน้าที่ของบริษัทที่มีต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นไปตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ข้อ 12 ในกรณีที่บริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ดังต่อไปนี้ ( 1 ) ดําเนินการเกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งที่ได้รับจาก ผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คําสั่งของผู้ควบคุมข้อมูลส่วนบุคคลขัดต่อกฎหมาย ( 2 ) จัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ โดยเป็นไปตามที่กฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 3 ) แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการณ์ละเมิดข้อมูลส่วนบุคคลตามที่กฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 4 ) จัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามที่ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด เพื่อให้ลูกค้า ผู้ควบคุมข้อมูลส่วนบุคคล สํานักงาน และ สํานักงาน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ ( 5 ) เข้าทําสัญญาหรือข้อตกลงเกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลระหว่างตนกับ ผู้ควบคุมข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 6 ) ในกรณีที่บริษัทซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลของตนตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้การแต่งตั้ง คุณสมบัติและหน้าที่ ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมทั้งหน้าที่ของบริษัทที่มีต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล อย่างไรก็ดี หากบริษัทมีหน้าที่จัดให้มีเจ้าหน้าที่คุ้มครอง ข้อมูลส่วนบุคคลของตนในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลอยู่แล้ว บริษัทสามารถให้เจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลปฏิบัติหน้าที่ในส่วนที่เกี่ยวข้องกับการดําเนินกิจกรรมในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้ ( 7 ) ต้องเก็บรักษาข้อมูลส่วนบุคคลตามคําสั่งและนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของ ผู้ควบคุมข้อมูลส่วนบุคคล

10 ข้อ 13 กรณีบริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคล ให้จัดทํานโยบายการเก็บรักษาข้อมูล ส่วนบุคคลภายในองค์กรเพื่อกําหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล ซึ่งต้องกําหนดระยะเวลาที่เหมาะสม และจําเป็นสําหรับข้อมูลส่วนบุคคลแต่ละประเภทและวัตถุประสงค์ที่ได้แจ้งลูกค้า ทั้งนี้ บริษัทอาจกําหนด ระยะเวลาขั้นต่ําในการเก็บรักษาข้อมูลส่วนบุคคลตามอายุความของสัญญาประกันภัย หรือจนกว่าจะสิ้นสุด ความสัมพันธ์กับบริษัท เช่น กรณีที่บริษัทปฏิเสธการรับประกันภัย หรือผู้เอาประกันภัยขอยกเลิกหรือเวนคืน กรมธรรม์ประกันภัย อย่างไรก็ดี หากบริษัทมีความจําเป็นในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นต่อไป บริษัทก็อาจ เก็บรวบรวมข้อมูลส่วนบุคคลนั้นไว้ได้ เช่น เก็บรวบรวมข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) ที่ถูกปฏิเสธ การรับประกันภัยเพื่อประโยชน์ในการป้องกันการฉ้อฉล หรือเพื่อปฏิบัติตามกฎหมายอื่นที่เกี่ยวข้อง กรณีที่ข้อมูลส่วนบุคคลหมดความจําเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือบริษัทไม่มีอํานาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้บริษัทยุติการประมวลผลข้อมูลส่วนบุคคล และดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลนั้น หรือทําให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล ที่เป็นลูกค้าได้ ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคล บริษัทต้องจัดให้ มีมาตรการให้ผู้ให้บริการภายนอกลบหรือทําลายข้อมูลส่วนบุคคลตามระยะเวลาดังกล่าวด้วยเช่นกัน เช่น กําหนด เป็นหน้าที่ในสัญญาหรือข้อตกลงระหว่างกันเกี่ยวกับกิจกรรมการประมวลผลนั้น ๆ ตามที่กฎหมายว่าด้วยการ คุ้มครองข้อมูลส่วนบุคคลกําหนด ในกรณีที่ลูกค้าเป็นผู้เอาประกันภัยที่มีหลายกรมธรรม์ประกันภัย ให้บริษัทพิจารณาลบหรือ ทําลายข้อมูลส่วนบุคคลเป็นรายกรมธรรม์ประกันภัย อย่างไรก็ดี แม้กรมธรรม์ประกันภัยใดกรมธรรม์ประกันภัย หนึ่งจะสิ้นระยะเวลาเอาประกันภัย ทําให้บริษัทไม่สามารถเก็บรวบรวมข้อมูลส่วนบุคคลบางอย่างได้อีกต่อไป เนื่องจากหมดความจําเป็น หากกรมธรรม์ประกันภัยอื่นยังมีผลบังคับอยู่ และบริษัทยังจําเป็นต้องเก็บรักษาข้อมูล ส่วนบุคคลที่จําเป็นและเกี่ยวข้องที่บริษัทได้มาจากกรมธรรม์ประกันภัยที่สิ้นระยะเวลาเอาประกันภัยแล้ว บริษัท ยังคงเก็บรวบรวมได้ต่อไป เช่น ข้อมูลชื่อ นามสกุล รายละเอียดตามกรมธรรม์ประกันภัยเดิมเฉพาะที่เกี่ยวข้องกับ กรมธรรม์ประกันภัยอื่นยังมีผลบังคับอยู่ ข้อ 14 กรณีบริษัทเป็นผู้ควบคุมข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่บริษัทได้เก็บรวบรวมไว้ก่อน วันที่ 1 มิถุนายน พ . ศ . 2565 บริษัทสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม โดยต้องกําหนดวิธีการยกเลิกความยินยอมและเผยแพร่ประชาสัมพันธ์ให้ลูกค้าที่ไม่ประสงค์ให้บริษัทเก็บรวมรวม และใช้ข้อมูลส่วนบุคคลดังกล่าวต่อไปสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย ทั้งนี้ การเผยแพร่ประชาสัมพันธ์ตามวรรคหนึ่ง ให้บริษัทแจ้งให้ลูกค้าทราบผ่านช่องทางที่บริษัท มีปฏิสัมพันธ์กับลูกค้าตามปกติ หรือช่องทางที่ลูกค้าสามารถทราบถึงการเผยแพร่ประชาสัมพันธ์ดังกล่าวได้โดยง่าย เช่น การส่งไปรษณีย์ อีเมล หรือข้อความสื่อสารทางโทรศัพท์ (SMS) และในกรณีที่บริษัทมีการใช้งานเว็บไซต์ ในการปฏิสัมพันธ์กับลูกค้า ให้บริษัทประกาศทางเว็บไซต์ของบริษัทด้วย ทั้งนี้ บริษัทต้องระบุช่องทางในการยกเลิก ความยินยอมด้วย

11 หากบริษัทต้องการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลตามวรรคหนึ่งเพื่อวัตถุประสงค์อื่นเพิ่มเติม จากวัตถุประสงค์เดิม หรือต้องการเปิดเผยหรือดําเนินการประการอื่นที่ไม่ใช่การเก็บรวบรวมและการใช้ข้อมูล ส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น บริษัทต้องดําเนินการให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กรณีบริษัทเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ให้จัดการข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือ เปิดเผยไว้ก่อนวันที่ 1 มิถุนายน พ . ศ . 2565 ตามแนวทางที่ผู้ควบคุมข้อมูลส่วนบุคคลของบริษัทกําหนด หมวด 2 ตัวแทนประกันวินาศภัย ข้อ 15 ในกรณีที่ตัวแทนประกันวินาศภัยเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัทใด ตัวแทนประกันวินาศภัยต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไปหรือข้อมูลส่วนบุคคล ที่อ่อนไหวตามคําสั่งหรือข้อตกลงที่มีอยู่กับบริษัทนั้นเท่านั้น จึงถือเป็นการประมวลผลข้อมูลโดยอาศัยฐานทาง กฎหมายเดียวกันกับบริษัทนั้นได้ อย่างไรก็ดี ในกรณีที่ตัวแทนประกันวินาศภัยเป็นผู้ควบคุมข้อมูลส่วนบุคคล ต้องพิจารณาฐานทางกฎหมายสําหรับแต่ละวัตถุประสงค์นั้นเป็นรายกรณีตามกฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคล ข้อ 16 ในกรณีที่บริษัทไม่อาจอาศัยฐานในการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 24 มาตรา 25 และมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 และจําเป็นต้องขอความ ยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ให้ตัวแทนประกันวินาศภัยซึ่งเป็นผู้ประมวลผลข้อมูล ส่วนบุคคลของบริษัทขอความยินยอมจากลูกค้าตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลแทนบริษัท ซึ่งรวมถึงการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ ความสามารถด้วย โดยตัวแทนประกันวินาศภัยอาจดําเนินการตามแนวทางดังต่อไปนี้ ( 1 ) การขอความยินยอมจากลูกค้าต้องทําโดยชัดแจ้งเป็นหนังสือหรือทําโดยผ่านระบบ อิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวก็สามารถขอความยินยอมด้วยวิธีการอื่นได้ เช่น การขอความยินยอมผ่านทางโทรศัพท์ในบริบทของบริการขายและแนะนําผลิตภัณฑ์ทางโทรศัพท์ (telesales) หรือการให้บริการหลังการขาย ทั้งนี้ ตัวแทนประกันวินาศภัยควรบันทึกเสียงที่ลูกค้าให้ความยินยอมในการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไว้เพื่อเป็นหลักฐานการให้ความยินยอมด้วย โดยปฏิบัติตามแนวทางที่ บริษัทกําหนด ( 2 ) ในกรณีที่ตัวแทนประกันวินาศภัยเก็บรวบรวมข้อมูลส่วนบุคคลของลูกค้าจากแหล่งอื่นหรือ บุคคลอื่นที่ไม่ใช่ลูกค้าโดยตรง ซึ่งตัวแทนประกันวินาศภัยไม่ได้มีความสัมพันธ์โดยตรงกับลูกค้าในขั้นตอนแรกของ การเก็บรวบรวมข้อมูลส่วนบุคคล ตัวแทนประกันวินาศภัยอาจเก็บรวบรวมข้อมูลส่วนบุคคลโดยปฏิบัติตามแนวทาง ที่บริษัทกําหนด เช่น ในกรณีที่ตัวแทนประกันวินาศภัยได้รับข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) จากลูกค้า ปัจจุบันหรือบุคคลอ้างอิงที่แนะนําต่อกันมา บริษัทอาจกําหนดให้ตัวแทนประกันวินาศภัยจัดให้บุคคลผู้ให้ข้อมูล เหล่านั้นต้องให้คํารับรอง (representation and warranty) ว่าได้รับความยินยอมจากผู้มุ่งหวังเพื่อให้ข้อมูล ส่วนบุคคลของบุคคลนั้นแก่ตัวแทนประกันวินาศภัยเพื่อการเสนอขายกรมธรรม์ประกันภัยในนามบริษัทแล้ว โดยเมื่อตัวแทนประกันวินาศภัยติดต่อกับผู้มุ่งหวังรายนั้นเป็นครั้งแรก บริษัทอาจกําหนดให้แจ้งนโยบายการ คุ้มครองข้อมูลส่วนบุคคล (privacy notice) ของบริษัท และขอความยินยอมจากผู้มุ่งหวังอีกครั้งเพื่อให้ตัวแทน

12 ประกันวินาศภัยสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในนามของบริษัทเพื่อวัตถุประสงค์ที่ต้อง อาศัยความยินยอม ข้อ 17 ในกรณีที่ตัวแทนประกันวินาศภัยได้รับมอบหมายจากบริษัทให้รับคําขอถอน ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากลูกค้า ให้ตัวแทนประกันวินาศภัยดําเนินการ ตามแนวทางการถอนความยินยอมที่บริษัทกําหนดตามข้อ 7 ข้อ 18 ให้ตัวแทนประกันวินาศภัยซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลแจ้งนโยบายการคุ้มครอง ข้อมูลส่วนบุคคลของบริษัทแก่ลูกค้าตามช่องทางและแนวทางที่บริษัทกําหนดตามข้อ 8 ข้อ 19 ในกรณีที่ตัวแทนประกันวินาศภัยซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลได้รับมอบหมาย จากบริษัทให้โอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลซึ่งอยู่ต่างประเทศ ให้ปฏิบัติตามหลักเกณฑ์การโอนข้อมูล ส่วนบุคคลไปต่างประเทศตามแนวทางที่บริษัทกําหนด ข้อ 20 สถานะของตัวแทนประกันวินาศภัย ( 1 ) กรณีตัวแทนประกันวินาศภัยเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้า เพื่อทํา การชักชวนให้บุคคลทําสัญญาประกันภัยกับบริษัทตามที่ได้รับมอบหมาย จึงเป็นการทําตามคําสั่งหรือในนามของ บริษัท ดังนั้น ตัวแทนประกันวินาศภัยจึงมีลักษณะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัท และต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบริษัทซึ่ง ระบุในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของบริษัทหรือในสัญญาระหว่างตัวแทนประกันวินาศภัยกับบริษัท ( 2 ) กรณีที่ตัวแทนประกันวินาศภัยไม่ปฏิบัติตามคําสั่งหรือกระทําการนอกเหนือจากวัตถุประสงค์ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของของบริษัท ตัวแทนประกันวินาศภัยจะถือเป็นผู้ควบคุม ข้อมูลส่วนบุคคลสําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสําหรับวัตถุประสงค์เหล่านั้น เช่น เพื่อการทําการตลาดแบบตรง (direct marketing) ของตัวแทนประกันวินาศภัยเอง หรือเพื่อกิจการอื่นใดของ ตัวแทนประกันวินาศภัยเป็นการส่วนตัวที่ไม่เกี่ยวข้องกับการทําหน้าที่เป็นตัวแทนประกันวินาศภัยของบริษัทใด บริษัทหนึ่ง เป็นต้น กรณีดังกล่าวจึงถือได้ว่าตัวแทนประกันวินาศภัยเป็นผู้มีอํานาจตัดสินใจในการประมวลผลข้อมูล ส่วนบุคคล ซึ่งรวมถึงเพื่อการพิจารณาเลือกเสนอขายผลิตภัณฑ์ประกันภัยและบริการของบริษัทอื่นในกรณีที่เป็น ตัวแทนประกันวินาศภัยของบริษัทมากกว่าหนึ่งแห่ง เนื่องจากตัวแทนประกันวินาศภัยมีสิทธิจะพิจารณาก่อนได้ว่า จะเสนอขายผลิตภัณฑ์ประกันภัยและบริการของบริษัทใดให้แก่ลูกค้าแต่ละราย อย่างไรก็ดี เมื่อตัวแทนประกัน วินาศภัยทําการชักชวนให้ลูกค้าเข้าทําสัญญาประกันภัยกับบริษัทใดเป็นการเฉพาะแล้ว ตัวแทนประกันวินาศภัยจะ มีสถานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของบริษัทนั้นตาม ( 1 ) ข้อ 21 ในกรณีที่ตัวแทนประกันวินาศภัยเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ตัวแทนประกัน วินาศภัยยังมีหน้าที่อื่น ๆ เพิ่มเติมตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ดังต่อไปนี้ ( 1 ) ดําเนินการเกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งที่ได้รับจาก บริษัทเท่านั้น เว้นแต่คําสั่งของบริษัทขัดต่อกฎหมาย

13 ( 2 ) จัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ โดยเป็นไปตามที่กฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 3 ) แจ้งให้บริษัททราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคลกําหนด ( 4 ) จัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามที่ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด เพื่อให้ลูกค้า บริษัท สํานักงาน และสํานักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ ( 5 ) ตัวแทนประกันวินาศภัยที่ดําเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งไม่ใช่ พนักงานหรือลูกจ้างของบริษัทต้องเข้าทําสัญญาหรือข้อตกลงเกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ระหว่างตนกับบริษัทตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 6 ) ในกรณีที่ตัวแทนประกันวินาศภัยซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคลของตนตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้การแต่งตั้ง คุณสมบัติและหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมทั้งหน้าที่ของตัวแทนประกันวินาศภัยที่มีต่อ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล อย่างไรก็ดี หากตัวแทนประกันวินาศภัยมีหน้าที่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตนในกรณีที่เป็นผู้ควบคุมข้อมูล ส่วนบุคคลอยู่แล้ว ตัวแทนประกันวินาศภัยสามารถให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ในส่วนที่ เกี่ยวข้องกับการดําเนินกิจกรรมในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้ ( 7 ) ต้องเก็บรักษาข้อมูลส่วนบุคคลตามคําสั่งและนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของ บริษัท ข้อ 22 ในกรณีที่ตัวแทนประกันวินาศภัยเป็นผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ดังต่อไปนี้ ( 1 ) ตัวแทนประกันวินาศภัยต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ ที่ได้แจ้งลูกค้าไว้ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล หากตัวแทนประกันวินาศภัยพบหรือทราบว่ามี วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นการเพิ่มเติมจากวัตถุประสงค์เดิม ซึ่งนอกเหนือจากที่ได้ระบุไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของตัวแทนประกันวินาศภัยเอง หรือในกรณี ที่มีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตัวแทนประกันวินาศภัย จะเพิ่มหรือเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก็ได้ ในกรณีที่วัตถุประสงค์ใหม่นั้นจําเป็นต้องอาศัยฐานความยินยอม ตัวแทนประกันวินาศภัยจะต้อง ขอความยินยอมจากลูกค้าสําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใหม่เป็นการ เพิ่มเติมด้วย ทั้งนี้ ตัวแทนประกันวินาศภัยจะต้องทําการปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ ตัวแทนประกันวินาศภัยให้ครอบคลุมถึงวัตถุประสงค์ใหม่ดังกล่าวและแจ้งวัตถุประสงค์ใหม่นั้นให้ลูกค้าทราบด้วย โดยอาจแจ้งในช่องทางต่าง ๆ ที่ตัวแทนประกันวินาศภัยสามารถพิสูจน์ได้ว่าเหมาะสมในการสื่อสารให้ลูกค้า รับทราบ โดยอาจพิจารณาจากช่องทางที่ตัวแทนประกันวินาศภัยมีปฏิสัมพันธ์กับลูกค้าตามปกติ หรือช่องทางลูกค้า สามารถเข้าถึงหรือทราบนโยบายการคุ้มครองข้อมูลส่วนบุคคลได้โดยง่าย เช่น การส่งทางไปรษณีย์ อีเมลหรือ ข้อความสื่อสารทางโทรศัพท์ (SMS) โดยอาจเป็นช่องทางเดียวกันกับช่องทางที่เคยแจ้งนโยบายการคุ้มครองข้อมูล

14 ส่วนบุคคลไว้ก่อนหน้าก็ได้ และในกรณีที่ตัวแทนประกันวินาศภัยมีการใช้งานเว็บไซต์ในการมีปฏิสัมพันธ์กับลูกค้า ให้ตัวแทนประกันวินาศภัยประกาศทางเว็บไซต์ของตัวแทนประกันวินาศภัยด้วย ( 2 ) ให้ตัวแทนประกันวินาศภัยแบ่งประเภทข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยตามที่ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ตามแนวทางที่กําหนดไว้ข้อ 4 ( 3 ) ให้ตัวแทนประกันวินาศภัยขอความยินยอมจากลูกค้า ในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลของลูกค้าสําหรับกรณีที่ไม่อาจอาศัยฐานในการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 24 มาตรา 25 และมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 โดยพิจารณาตามประเภท ข้อมูลส่วนบุคคลตามข้อ 4 ทั้งนี้ ตัวแทนประกันวินาศภัยอาจพิจารณาอาศัยฐานในการประมวลผลข้อมูล ส่วนบุคคลสําหรับการดําเนินการต่าง ๆ ตามแนวทางดังต่อไปนี้ ( ก ) ข้อมูลส่วนบุคคลทั่วไป 1 ) ฐานความยินยอม ในการดําเนินการกิจกรรมทางการตลาดนั้น ตัวแทนประกันวินาศภัยต้องขอความยินยอม เพื่อการตลาดแบบตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอพิเศษ ข้อมูลส่งเสริม การขาย และสิทธิประโยชน์เกี่ยวกับผลิตภัณฑ์และบริการ ซึ่งอาจเป็นผลิตภัณฑ์และบริการอื่นของตัวแทนประกัน วินาศภัย บริษัทในเครือ หรือพันธมิตรทางธุรกิจของตัวแทนประกันวินาศภัย โดยมีลักษณะที่เกินความคาดหมาย ของลูกค้า เช่น การส่งข้อความการสื่อสารด้านการตลาดให้กับลูกค้าที่ไม่เคยมีความสัมพันธ์ทางธุรกิจ กับตัวแทนประกันวินาศภัยมาก่อนและไม่อาจคาดหมายว่าจะได้รับข้อมูลข่าวสารการตลาดจากตัวแทนประกัน วินาศภัย หรือการซื้อข้อมูลลูกค้าจากผู้ประกอบการรายอื่น ( ซื้อ lead) เป็นต้น ทั้งนี้ ตัวแทนประกันวินาศภัยต้อง เปิดโอกาสให้ลูกค้าใช้สิทธิถอนความยินยอมได้เสมอ 2 ) ฐานทางกฎหมายอื่น ๆ ซึ่งไม่ใช่ฐานความยินยอม ตัวแทนประกันวินาศภัยอาจอาศัยฐานทางกฎหมายอื่นตามมาตรา 24 แห่ง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 โดยไม่ต้องขอความยินยอมจากลูกค้าเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น ฐานเป็นการจําเป็นเพื่อประโยชน์โดยชอบ ด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (legitimate interest basis) ตามมาตรา 24 ( 5 ) แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 สําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการดําเนินการ กิจกรรมทางการตลาดเพื่อการตลาดแบบตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอ พิเศษ ข้อมูลส่งเสริมการขาย และสิทธิประโยชน์เกี่ยวกับผลิตภัณฑ์และบริการ ซึ่งอาจเป็นผลิตภัณฑ์และบริการอื่น ของตัวแทนประกันวินาศภัย บริษัท บริษัทในเครือ หรือพันธมิตรทางธุรกิจของของตัวแทนประกันวินาศภัย โดยมี ลักษณะที่อยู่ในความคาดหมายของลูกค้า เช่น การส่งข้อมูลข่าวสารเกี่ยวกับผลิตภัณฑ์อื่น ๆ แก่ลูกค้ารายเดิมที่ซื้อ ผลิตภัณฑ์ประกันภัยนั้น ๆ ผ่านทางตัวแทนประกันวินาศภัย และเป็นผลิตภัณฑ์ที่เกี่ยวเนื่องหรือคล้ายคลึงซึ่งอยู่ใน ความคาดหมายของลูกค้าและน่าจะเป็นประโยชน์ต่อลูกค้าหรือส่งเสริมการใช้บริการของลูกค้า และโดยที่ลูกค้า รายดังกล่าวไม่เคยคัดค้านการส่งข้อมูลเช่นว่านั้น เป็นต้น ทั้งนี้ ตัวแทนประกันวินาศภัยต้องเปิดโอกาสให้ลูกค้า ใช้สิทธิคัดค้าน (opt-out) ได้เสมอ ( ข ) ข้อมูลส่วนบุคคลที่อ่อนไหว ตัวแทนประกันวินาศภัยจะต้องพิจารณาฐานทางกฎหมายในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหวสําหรับแต่ละวัตถุประสงค์ซึ่งเข้มงวดยิ่งกว่าการเก็บ ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลทั่วไป

15 โดยทั่วไป ตัวแทนประกันวินาศภัยสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่อ่อนไหวได้ต่อเมื่อได้รับความยินยอมโดยชัดแจ้งจากลูกค้าเท่านั้น โดยต้องขอความยินยอมสําหรับการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ เช่น เพื่อการระบุและยันตัวตนนอกเหนือจากที่ กฎหมายกําหนดไว้ หรือเพื่อการดําเนินกิจกรรมทางการตลาดแบบตรง (direct marketing) การสื่อสารด้าน การตลาด ข้อมูลข่าวสาร ข้อเสนอพิเศษ ข้อมูลส่งเสริมการขาย ทุกกรณี โดยไม่คํานึงว่าเกินความคาดหมายของ ลูกค้าหรือไม่ ทั้งนี้ ในกรณีที่เป็นตัวแทนประกันวินาศภัยของบริษัทมากกว่าหนึ่งแห่งและสามารถ พิจารณาเลือกเสนอขายผลิตภัณฑ์ประกันภัยและบริการของบริษัทอื่นที่ไม่เกี่ยวข้องกับการทําหน้าที่เป็นตัวแทนประกัน วินาศภัยของบริษัทใดบริษัทหนึ่ง ตัวแทนประกันวินาศภัยไม่ควรเก็บข้อมูลส่วนบุคคลที่อ่อนไหวที่อาจได้รับมาจาก การทําหน้าที่ของตัวแทนประกันวินาศภัย เว้นแต่จะดําเนินการขอความยินยอมให้ถูกต้องตามกฎหมายว่าด้วยการ คุ้มครองข้อมูลส่วนบุคคลในนามของตัวแทนประกันวินาศภัยเอง นอกจากนี้ ตัวแทนประกันวินาศภัยสามารถอาศัยฐานทางกฎหมายอื่นโดยไม่ต้องขอ ความยินยอมจากลูกค้าเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ เช่น ฐานเป็นการจําเป็น ในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์อันเกี่ยวข้องกับประโยชน์สาธารณะที่สําคัญตามมาตรา 26 ( 5 ) ( จ ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 สําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลที่อ่อนไหวที่จําเป็นเพื่อเปิดเผยให้สํานักงานเพื่อใช้ประโยชน์ในการกํากับดูแลและส่งเสริมการประกอบ ธุรกิจประกันภัยตามกฎหมายว่าด้วยคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย และกฎหมาย ว่าด้วยการประกันวินาศภัย ทั้งนี้ ตัวแทนประกันวินาศภัยต้องจัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิ ขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลร่วมด้วยตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กําหนด ( 4 ) ในกรณีที่ตัวแทนประกันวินาศภัยต้องขอความยินยอม ในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ให้ตัวแทนประกันวินาศภัยพิจารณากําหนดวิธีการขอความยินยอมให้เหมาะสมกับการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน โดยสอดคล้องกับหลักเกณฑ์ในการขอความยินยอมตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ ตัวแทนประกันวินาศภัยอาจดําเนินการตามแนวทางดังต่อไปนี้ ก็ได้ ( ก ) การขอความยินยอม ให้ทําโดยชัดแจ้งเป็นหนังสือหรือทําโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวก็อาจขอความยินยอมด้วยวิธีการอื่นได้ เช่น การขอ ความยินยอมผ่านทางโทรศัพท์ในบริบทของการเสนอขายและแนะนําผลิตภัณฑ์ทางโทรศัพท์ (telesales) หรือการ ให้บริการหลังการขาย ทั้งนี้ ตัวแทนประกันวินาศภัยควรบันทึกเสียงที่ลูกค้าให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไว้เพื่อเป็นหลักฐานการให้ความยินยอมด้วย โดยควรเก็บรักษาไว้ตลอดระยะเวลาที่มี การอาศัยความยินยอมนั้นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และอาจเก็บรักษาไว้เป็นระยะ เวลานานกว่านั้น ภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และกฎหมายอื่นที่เกี่ยวข้อง เช่น ตลอดระยะเวลาอายุความตามกฎหมายเกี่ยวกับข้อพิพาทที่เกี่ยวเนื่องกับการให้ความยินยอม ( ข ) การขอความยินยอมผู้เยาว์ คนไร้ความสามารถ หรือ คนเสมือนไร้ความสามารถ ให้ตัวแทนประกันวินาศภัยปฏิบัติตามมาตรา 20 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 ( ค ) การขอความยินยอมในกรณีที่ตัวแทนประกันวินาศภัยเก็บรวบรวมข้อมูลส่วนบุคคลของ ลูกค้าจากแหล่งอื่นหรือบุคคลอื่นที่ไม่ใช่ลูกค้าโดยตรง ซึ่งตัวแทนประกันวินาศภัยไม่ได้มีความสัมพันธ์โดยตรงกับ

16 ลูกค้าในขั้นตอนแรกของการเก็บรวบรวมข้อมูลส่วนบุคคล ตัวแทนประกันวินาศภัยอาจดําเนินการตามแนวทาง ดังต่อไปนี้ 1 ) การที่ตัวแทนประกันวินาศภัยได้รับข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) ซึ่งเป็น ลูกค้าของพันธมิตรทางธุรกิจเพื่อประโยชน์ในการพิจารณาว่าจะเสนอขายกรมธรรม์ประกันภัยของบริษัทใดแก่ผู้มุ่งหวัง ดังกล่าว ในการนี้ ตัวแทนประกันวินาศภัยอาจกําหนดเงื่อนไขในสัญญาระหว่างตัวแทนประกันวินาศภัยกับพันธมิตร ทางธุรกิจว่าบุคคลผู้ให้ข้อมูลเหล่านั้นต้องให้คํารับรอง (representation and warranty) ว่าได้แจ้งนโยบายการ คุ้มครองข้อมูลส่วนบุคคลของตัวแทนประกันวินาศภัย และได้รับความยินยอมจากผู้มุ่งหวังแล้วเพื่อให้ตัวแทน ประกันวินาศภัยสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหวเพื่อ วัตถุประสงค์ที่ต้องอาศัยความยินยอม 2 ) ในกรณีที่ตัวแทนประกันวินาศภัยได้รับข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) จากลูกค้าปัจจุบันหรือบุคคลอ้างอิงที่แนะนําต่อกันมา ตัวแทนประกันวินาศภัยอาจจัดให้บุคคลผู้ให้ข้อมูลเหล่านั้น ต้องให้คํารับรอง (representation and warranty) ว่าได้รับความยินยอมจากผู้มุ่งหวังเพื่อให้ข้อมูลส่วนบุคคลของ บุคคลนั้นแก่ตัวแทนประกันวินาศภัยเพื่อการเสนอขายกรมธรรม์ประกันภัยแล้ว โดยเมื่อตัวแทนประกันวินาศภัยติดต่อกับผู้มุ่งหวังรายนั้นเป็นครั้งแรก ตัวแทนประกัน วินาศภัยอาจแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคล (privacy notice) ของตัวแทนประกันวินาศภัย และขอ ความยินยอมจากผู้มุ่งหวังอีกครั้งเพื่อให้ตัวแทนประกันวินาศภัยสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหวเพื่อวัตถุประสงค์ที่ต้องอาศัยความยินยอม ( 5 ) ตัวแทนประกันวินาศภัยจะต้องจัดให้ลูกค้าสามารถขอถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด โดยลูกค้าจะถอนความ ยินยอมเมื่อใดก็ได้ และจะต้องกระทําได้โดยง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจํากัดสิทธิในการถอน ความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่ลูกค้า ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกําหนด เช่น ลูกค้าจะต้องสามารถขอถอนความยินยอมได้ผ่านช่องทางเดียวกันกับที่ใช้ในการให้ ความยินยอม โดยไม่ได้มีขั้นตอนเพิ่มเติมที่กําหนดขึ้นเป็นอุปสรรคแก่การขอถอนความยินยอมเช่นว่านั้น และ ตัวแทนประกันวินาศภัยต้องจัดให้มีระบบการบันทึกการถอนความยินยอมดังกล่าวไว้เป็นหลักฐานด้วย ( 6 ) ในการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคล (privacy notice) ตัวแทนประกันวินาศภัย อาจดําเนินการตามหลักเกณฑ์ดังต่อไปนี้ ( ก ) แจ้งรายละเอียดต่าง ๆ ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของตัวแทนประกัน วินาศภัยแก่ลูกค้าก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กําหนด โดยตัวแทนประกันวินาศภัยอาจดําเนินการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของตัวแทนประกัน วินาศภัยในรูปแบบใดก็ได้ เช่น การแนบลิงก์ (link) หรือแสดง QR Code ไปยังนโยบายการคุ้มครองข้อมูล ส่วนบุคคลบนหน้าเว็บไซต์หรือช่องทางการติดต่อสื่อสารอื่น ๆ เป็นต้น ในกรณีที่ตัวแทนประกันชีวิตเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นเพื่อวัตถุประสงค์ ในการติดต่อลูกค้า ตัวแทนประกันชีวิตอาจแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของตัวแทนประกันชีวิตแก่ ลูกค้าภายหลังจากการเก็บรวบรวมข้อมูลส่วนบุคคลได้ภายในสามสิบวัน โดยควรแจ้งอย่างช้าที่สุดในการ ติดต่อสื่อสารกับลูกค้าในครั้งแรก เว้นแต่เข้าข้อยกเว้นที่ไม่ต้องแจ้งตามกฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคลของตัวแทนประกันวินาศภัยต้องมีการระบุวัตถุประสงค์ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตัวแทนประกันวินาศภัย เกี่ยวกับการเก็บรวบรวม ใช้ หรือ

17 เปิดเผยข้อมูลส่วนบุคคลต่อสํานักงาน เพื่อประโยชน์ในการกํากับดูแลและส่งเสริมธุรกิจประกันภัยตามกฎหมาย ว่าด้วยคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย และกฎหมายว่าด้วยการประกันวินาศภัย ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของสํานักงาน และระบุเชื่อมโยงไปยังเว็บไซต์ของสํานักงาน (https://www.oic.or.th) ซึ่งมีการเผยแพร่นโยบายคุ้มครองข้อมูลส่วนบุคคลของสํานักงานไว้ ทั้งนี้ ตัวแทน ประกันวินาศภัยอาจใช้แบบแนบท้ายแนวปฏิบัตินี้เป็นแนวทางในการจัดทํานโยบายการคุ้มครองข้อมูลส่วนบุคคล ของตัวแทนประกันวินาศภัย ( ข ) จัดให้มีการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลไปก่อนหรือพร้อมกับเอกสารที่ใช้ ในการเก็บรวบรวมข้อมูลส่วนบุคคลหรือแบบขอความยินยอมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือผ่านช่องทางการติดต่อสื่อสารอื่น ๆ ระหว่างตัวแทนประกันวินาศภัยกับลูกค้า เช่น การติดต่อสื่อสารซึ่งหน้า ทางอิเล็กทรอนิกส์ หรือทางโทรศัพท์ ตามที่เหมาะสม เป็นต้น และในกรณีที่ตัวแทนประกันวินาศภัยมีการใช้งาน เว็บไซต์ในการปฏิสัมพันธ์กับลูกค้า ให้ตัวแทนประกันวินาศภัยประกาศทางเว็บไซต์ของตัวแทนประกันวินาศภัยด้วย ( 7 ) ในกรณีที่ตัวแทนประกันวินาศภัยโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลซึ่งอยู่ต่างประเทศ ให้ปฏิบัติตามหลักเกณฑ์การโอนข้อมูลส่วนบุคคลไปต่างประเทศตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ( 8 ) ดําเนินการให้ข้อมูลส่วนบุคคลของลูกค้าถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความ เข้าใจผิด ( 9 ) จัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ รวมทั้งต้องทบทวนมาตรการ ดังกล่าวเมื่อมีความจําเป็นหรือเมื่อเทคโนโลยีและธุรกิจเปลี่ยนแปลงไป เพื่อให้ประสิทธิภาพในการรักษาความ มั่นคงปลอดภัยที่เหมาะสมตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 10 ) ในกรณีที่ตัวแทนประกันวินาศภัยต้องเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลต้องดําเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจาก อํานาจหรือโดยมิชอบ ( 11 ) จัดให้มีระบบการตรวจสอบเพื่อให้สามารถดําเนินการลบหรือทําลายข้อมูลส่วนบุคคล เมื่อพ้นกําหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจําเป็นตามวัตถุประสงค์ในการเก็บรวบรวม ข้อมูลส่วนบุคคลหรือตามที่ลูกค้าร้องขอ หรือที่ลูกค้าได้ถอนความยินยอมแล้ว เว้นแต่เข้าข้อยกเว้นตามกฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ( 12 ) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และสํานักงานตามหลักเกณฑ์และระยะเวลาที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 13 ) จัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลอย่างน้อยตามที่ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด เพื่อให้ลูกค้า สํานักงาน และสํานักงานคณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคลสามารถตรวจสอบได้ ( 14 ) ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าในความครอบครองของตัวแทนประกัน วินาศภัยแก่ผู้ประมวลผลข้อมูลส่วนบุคคลของตัวแทนประกันวินาศภัย ให้จัดให้มีสัญญาหรือข้อตกลงระหว่างกัน เกี่ยวกับกิจกรรมการประมวลผลนั้น ๆ ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ทั้งนี้ ในกรณี ที่มีการเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลภายนอกที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ตัวแทนประกันวินาศภัยอาจ พิจารณาเข้าทําสัญญาที่เป็นลายลักษณ์อักษรกับบุคคลภายนอกดังกล่าวเพื่อให้ตัวแทนประกันวินาศภัยสามารถ ปฏิบัติหน้าที่ได้สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลก็ได้

18 ( 15 ) ในกรณีที่ตัวแทนประกันวินาศภัยซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคลของตนตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้การแต่งตั้ง คุณสมบัติและหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมทั้งหน้าที่ของตัวแทนประกันวินาศภัยที่มีต่อ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ( 16 ) ให้ตัวแทนประกันวินาศภัยซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลจัดทํานโยบายการเก็บรักษา ข้อมูลส่วนบุคคลภายในองค์กรเพื่อกําหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล ซึ่งต้องกําหนดระยะเวลาที่ เหมาะสมและจําเป็นสําหรับข้อมูลส่วนบุคคลแต่ละประเภทและวัตถุประสงค์ที่ได้แจ้งลูกค้า กรณีที่ข้อมูลส่วนบุคคลหมดความจําเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือตัวแทนประกันวินาศภัยไม่มีอํานาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้ตัวแทนประกันวินาศภัยยุติ การประมวลผลข้อมูลส่วนบุคคลและดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลนั้น หรือทําให้ข้อมูลส่วนบุคคล เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นลูกค้าได้ ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคล ตัวแทนประกันวินาศภัย ต้องจัดให้มีมาตรการให้ผู้ให้บริการภายนอกลบหรือทําลายข้อมูลส่วนบุคคลตามระยะเวลาดังกล่าวด้วยเช่นกัน เช่น กําหนดเป็นหน้าที่ในสัญญาหรือข้อตกลงระหว่างกันเกี่ยวกับกิจกรรมการประมวลผลนั้น ๆ ตามที่กฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ข้อ 23 กรณีที่ตัวแทนประกันวินาศภัยเป็นผู้ประมวลผลข้อมูลส่วนบุคคลให้จัดการข้อมูล ส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยไว้ก่อนวันที่ 1 มิถุนายน พ . ศ . 2565 ตามแนวทางที่บริษัทกําหนด กรณีที่ตัวแทนประกันวินาศภัยเป็นผู้ควบคุมข้อมูลส่วนบุคคล ตัวแทนประกันวินาศภัยสามารถ เก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม โดยต้องกําหนดวิธีการยกเลิกความยินยอม และเผยแพร่ประชาสัมพันธ์ให้ลูกค้าที่ไม่ประสงค์ให้ตัวแทนประกันวินาศภัยเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลดังกล่าว ต่อไปสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย ทั้งนี้ การเผยแพร่ประชาสัมพันธ์ตามวรรคหนึ่ง ให้ตัวแทนประกันวินาศภัยแจ้งให้ลูกค้าทราบ ผ่านช่องทางที่ตัวแทนประกันวินาศภัยมีปฏิสัมพันธ์กับลูกค้าตามปกติ หรือช่องทางที่ลูกค้าสามารถทราบถึงการ เผยแพร่ประชาสัมพันธ์ดังกล่าวได้โดยง่าย เช่น การส่งไปรษณีย์ อีเมล ข้อความสื่อสารทางโทรศัพท์ (SMS) และ ในกรณีที่ตัวแทนประกันวินาศภัยมีการใช้งานเว็บไซต์ในการปฏิสัมพันธ์กับลูกค้า ให้ตัวแทนประกันวินาศภัย ประกาศทางเว็บไซต์ของตัวแทนประกันวินาศภัยด้วย ทั้งนี้ ตัวแทนประกันวินาศภัยต้องระบุช่องทางในการยกเลิก ความยินยอมด้วย หากตัวแทนประกันวินาศภัยต้องการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลตามวรรคสองเพื่อ วัตถุประสงค์อื่นเพิ่มเติมจากวัตถุประสงค์เดิม หรือต้องการเปิดเผยหรือดําเนินการประการอื่นที่ไม่ใช่การเก็บ รวบรวมและการใช้ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น ตัวแทนประกันวินาศภัยต้องดําเนินการให้เป็นไปตาม กฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคล

19 หมวด 3 นายหน้าประกันวินาศภัย ข้อ 24 นายหน้าประกันวินาศภัยต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ ที่ได้แจ้งลูกค้าไว้ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล หากนายหน้าประกันวินาศภัยพบหรือทราบว่า มีวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเป็นการเพิ่มเติมจากวัตถุประสงค์เดิม ซึ่งนอกเหนือจากที่ได้ระบุไว้ในนโยบายการคุ้มครองข้อมูลส่วนบุคคล (privacy notice) ในปัจจุบัน หรือในกรณีที่มี การเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล นายหน้าประกันวินาศภัยจะเพิ่ม หรือเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก็ได้ ในกรณีที่วัตถุประสงค์ใหม่นั้นจําเป็นต้องอาศัยฐานความยินยอม นายหน้าประกันวินาศภัยจะต้อง ขอความยินยอมจากลูกค้าสําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ใหม่เป็นการ เพิ่มเติมด้วย ทั้งนี้ นายหน้าประกันวินาศภัยต้องทําการปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคล ให้ครอบคลุมถึงวัตถุประสงค์ใหม่ดังกล่าวและแจ้งวัตถุประสงค์ใหม่นั้นให้ลูกค้าทราบด้วย โดยอาจแจ้งในช่องทางต่าง ๆ ที่นายหน้าประกันวินาศภัยสามารถพิสูจน์ได้ว่าเหมาะสมในการสื่อสารให้ลูกค้ารับทราบ โดยอาจพิจารณาจาก ช่องทางที่นายหน้าประกันวินาศภัยมีปฏิสัมพันธ์กับลูกค้าตามปกติ หรือช่องทางที่ลูกค้าสามารถเข้าถึงหรือทราบ นโยบายการคุ้มครองข้อมูลส่วนบุคคลได้โดยง่าย เช่น การส่งทางไปรษณีย์ อีเมล ข้อความสื่อสารทางโทรศัพท์ (SMS) โดยอาจเป็นช่องทางเดียวกันกับช่องทางที่เคยแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลไว้ก่อนหน้าก็ได้ และในกรณีที่นายหน้าประกันวินาศภัยมีการใช้งานเว็บไซต์ในการมีปฏิสัมพันธ์กับลูกค้า ให้นายหน้าประกัน วินาศภัยประกาศทางเว็บไซต์ของนายหน้าประกันวินาศภัยด้วย ข้อ 25 ให้นายหน้าประกันวินาศภัยแบ่งประเภทข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผย ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ตามแนวทางที่กําหนดไว้ข้อ 4 ข้อ 26 ให้นายหน้าประกันวินาศภัยขอความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลของลูกค้าสําหรับกรณีที่ไม่อาจอาศัยฐานในการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 24 มาตรา 25 และมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 โดยพิจารณาตามประเภทข้อมูล ส่วนบุคคลตามข้อ 4 ทั้งนี้ นายหน้าประกันวินาศภัยอาจอาศัยฐานในการประมวลผลข้อมูลส่วนบุคคลสําหรับการ ดําเนินการต่าง ๆ ตามแนวทางดังต่อไปนี้ ( 1 ) ข้อมูลส่วนบุคคลทั่วไป ( ก ) ฐานความยินยอม ในการดําเนินการกิจกรรมทางการตลาดนั้น นายหน้าประกันวินาศภัยอาจต้องขอความ ยินยอมเพื่อการตลาดแบบตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอพิเศษ ข้อมูล ส่งเสริมการขาย และสิทธิประโยชน์เกี่ยวกับผลิตภัณฑ์และบริการ ซึ่งอาจเป็นผลิตภัณฑ์และบริการอื่นของนายหน้า ประกันวินาศภัย บริษัท บริษัทในเครือ หรือพันธมิตรทางธุรกิจของนายหน้าประกันวินาศภัย โดยมีลักษณะที่ เกินความคาดหมายของลูกค้า เช่น การส่งข้อความการสื่อสารด้านการตลาดให้กับลูกค้าที่ไม่เคยมีความสัมพันธ์ ทางธุรกิจกับนายหน้าประกันวินาศภัยมาก่อน หรือการซื้อข้อมูลลูกค้าจากผู้ประกอบการรายอื่น ( ซื้อ lead) และ ลูกค้าไม่อาจคาดหมายว่าจะได้รับข้อมูลข่าวสารการตลาดจากนายหน้าประกันวินาศภัย การส่งข้อความการสื่อสาร

20 ด้านการตลาดเกี่ยวกับผลิตภัณฑ์อื่น ๆ ซึ่งไม่เกี่ยวข้องกับผลิตภัณฑ์ประกันภัยที่ลูกค้าซื้อผ่านทางนายหน้าประกัน วินาศภัย เช่น การที่ธนาคารที่ได้รับใบอนุญาตเป็นนายหน้าประกันวินาศภัยประสงค์ส่งข้อความการสื่อสารด้าน การตลาดเกี่ยวกับผลิตภัณฑ์ทางการเงินอื่น ๆ ของธนาคารให้แก่ลูกค้า เป็นต้น ทั้งนี้ นายหน้าประกันวินาศภัยต้อง เปิดโอกาสให้ลูกค้าใช้สิทธิถอนความยินยอมได้เสมอ ( ข ) ฐานทางกฎหมายอื่น ๆ ซึ่งไม่ใช่ฐานความยินยอม นายหน้าประกันวินาศภัยอาจอาศัยฐานทางกฎหมายอื่นตามมาตรา 24 แห่ง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 โดยไม่ต้องขอความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น 1 ) ฐานเป็นการจําเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (legitimate interest basis) ตามมาตรา 24 ( 5 ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 สําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อการดําเนินการกิจกรรมทางการตลาดแบบตรง (direct marketing) การสื่อสารด้านการตลาด ข้อมูลข่าวสาร ข้อเสนอพิเศษ ข้อมูลส่งเสริมการขาย และสิทธิ ประโยชน์เกี่ยวกับผลิตภัณฑ์และบริการ ซึ่งอาจเป็นผลิตภัณฑ์และบริการอื่นของนายหน้าประกันวินาศภัย บริษัท บริษัทในเครือ หรือพันธมิตรทางธุรกิจของนายหน้าประกันวินาศภัย โดยมีลักษณะที่อยู่ในความคาดหมายของ ลูกค้า เช่น การส่งข้อมูลข่าวสารเกี่ยวกับผลิตภัณฑ์ประกันภัยแก่ลูกค้ารายเดิมที่ซื้อผลิตภัณฑ์ประกันภัยนั้น ๆ หรือ สินค้าที่คล้ายคลึง หรือสินค้าอื่น ๆ ของบริษัทในเครือหรือพันธมิตรทางธุรกิจของนายหน้าประกันวินาศภัย ที่น่าจะเป็นประโยชน์ต่อลูกค้าหรือส่งเสริมการใช้บริการของลูกค้า และโดยที่ลูกค้ารายดังกล่าวไม่เคยคัดค้านการ ส่งข้อมูลเช่นว่านั้น เป็นต้น ทั้งนี้ นายหน้าประกันวินาศภัยต้องเปิดโอกาสให้ลูกค้าใช้สิทธิคัดค้าน (opt-out) ได้เสมอ ( 2 ) ข้อมูลส่วนบุคคลที่อ่อนไหว นายหน้าประกันวินาศภัยจะต้องพิจารณาฐานทางกฎหมายในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหวสําหรับแต่ละวัตถุประสงค์ซึ่งเข้มงวดยิ่งกว่าการเก็บ ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลทั่วไป นายหน้าประกันวินาศภัยอาจอาศัยฐานทางกฎหมายอื่นตามมาตรา 26 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ต้องขอความยินยอม เช่น ฐานเป็นการจําเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ อันเกี่ยวข้องกับประโยชน์สาธารณะที่สําคัญตามมาตรา 26 ( 5 ) ( จ ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ . ศ . 2562 โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูล ส่วนบุคคล สําหรับกรณีหนึ่งกรณีใดดังต่อไปนี้ ( ก ) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหวของลูกค้า คู่สมรส และบุคคล ในครอบครัว หรือบุคคลอื่น ที่จําเป็นเพื่อส่งต่อให้แก่บริษัทเพื่อนําไปพิจารณารับประกันภัย การเอาประกันภัยต่อ พิจารณารับประกันภัยต่อ คํานวณเบี้ยประกันภัย ปฏิเสธการรับประกันภัยแต่ละประเภท หรือชดใช้ค่าสินไหมทดแทน ตามสัญญาประกันภัย เช่น ข้อมูลสุขภาพหรือข้อมูลความพิการที่เป็นข้อมูลที่สําคัญที่ผู้เอาประกันภัยมีหน้าที่ต้อง แถลงเพื่อให้บริษัทมีข้อมูลเพียงพอเพื่อใช้ในการพิจารณารับประกันภัยประเภทสุขภาพ อุบัติเหตุ หรือประกัน การเดินทาง แล้วแต่กรณี หรือเพื่ออํานวยความสะดวกในการส่งมอบกรมธรรม์ให้แก่ผู้เอาประกันภัยตามที่ได้รับ มอบหมายจากบริษัทหรือผู้เอาประกันภัย หรือเพื่อดําเนินการใดที่เกี่ยวข้องกับการเรียกร้องค่าสินไหมทดแทน ตามที่ผู้เอาประกันภัยร้องขอ หรือเพื่อการเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหวของลูกค้า เช่น ผู้เอาประกันภัย

21 ผู้เสียหาย ผู้กระทําละเมิด ผู้รับประโยชน์ หรือบุคคลที่เกี่ยวข้องอื่นใด ไปยังบุคคลที่สามหรือพันธมิตรทางธุรกิจ เช่น โรงพยาบาล อู่ซ่อมรถ หรือบริษัท ( ข ) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่อ่อนไหวที่จําเป็นเพื่อเปิดเผยให้สํานักงาน เพื่อใช้ประโยชน์ในการกํากับดูแลและส่งเสริมการประกอบธุรกิจประกันภัยตามกฎหมายว่าด้วยคณะกรรมการ กํากับและส่งเสริมการประกอบธุรกิจประกันภัย และกฎหมายว่าด้วยการประกันวินาศภัย ข้อ 27 ในกรณีที่นายหน้าประกันวินาศภัยต้องขอความยินยอม ในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล ให้นายหน้าประกันวินาศภัยพิจารณากําหนดวิธีการขอความยินยอมให้เหมาะสมกับการ เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตน โดยสอดคล้องกับหลักเกณฑ์ในการขอความยินยอมตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ นายหน้าประกันวินาศภัยอาจดําเนินการตามแนวทางดังต่อไปนี้ ( 1 ) การขอความยินยอม ให้ทําโดยชัดแจ้งเป็นหนังสือหรือทําโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่ โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวก็อาจขอความยินยอมด้วยวิธีการอื่นได้ เช่น การขอความ ยินยอมผ่านทางโทรศัพท์ในบริบทของบริการขายและแนะนําผลิตภัณฑ์ทางโทรศัพท์ (telesales) หรือการ ให้บริการหลังการขาย ทั้งนี้ นายหน้าประกันวินาศภัยควรบันทึกเสียงที่ลูกค้าให้ความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไว้เพื่อเป็นหลักฐานการให้ความยินยอมด้วย โดยควรเก็บรักษาไว้ตลอดระยะเวลาที่มี การอาศัยความยินยอมนั้นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และอาจเก็บรักษาไว้เป็นระยะ เวลานานกว่านั้น ภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และกฎหมายอื่นที่เกี่ยวข้อง เช่น ตลอดระยะเวลาอายุความตามกฎหมายเกี่ยวกับข้อพิพาทที่เกี่ยวเนื่องกับการให้ความยินยอม ( 2 ) การขอความยินยอมผู้เยาว์ คนไร้ความสามารถ หรือ คนเสมือนไร้ความสามารถ ให้นายหน้า ประกันวินาศภัยปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ( 3 ) ในกรณีลูกค้าเป็นผู้เอาประกันภัยซึ่งมีกรมธรรม์ประกันภัยหลายฉบับ ให้นายหน้าประกัน วินาศภัยพิจารณาว่าควรขอความยินยอมแยกเป็นรายกรมธรรม์ประกันภัยหรือไม่ โดยพิจารณาจากวัตถุประสงค์ ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลว่ามีความเกี่ยวเนื่องกับกรมธรรม์ประกันภัยฉบับอื่นหรือไม่ ในกรณีที่ผู้เอาประกันมีกรมธรรม์ประกันภัยหลายฉบับ โดยอาจมีทั้งกรมธรรม์ประกันภัยสุขภาพ กรมธรรม์ ประกันภัยอุบัติเหตุ และกรมธรรม์ประกันอุบัติเหตุการเดินทาง โดยนายหน้าประกันวินาศภัยมีวัตถุประสงค์ที่ ต้องการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเกี่ยวเนื่องกับทุกกรมธรรม์ประกันภัย เช่น วัตถุประสงค์ ในการดําเนินกิจกรรมทางการตลาดแบบตรงของนายหน้าประกันวินาศภัย ในกรณีดังกล่าว นายหน้าประกัน วินาศภัยอาจขอความยินยอมสําหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อดําเนินกิจกรรมทาง การตลาดแบบตรงของนายหน้าประกันวินาศภัยไปได้ในครั้งเดียวในการเสนอขายกรมธรรม์ประกันภัยฉบับแรก โดยไม่จําขอความยินยอมสําหรับวัตถุประสงค์ดังกล่าวในการเสนอขายกรมธรรม์ประกันภัยฉบับอื่น ๆ อีก เนื่องจาก ความยินยอมที่ได้ขอไว้นั้นครอบคลุมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของนายหน้าประกัน วินาศภัยแล้ว เป็นต้น ( 4 ) การขอความยินยอมในกรณีที่นายหน้าประกันวินาศภัยเก็บรวบรวมข้อมูลส่วนบุคคลของ ลูกค้าจากแหล่งอื่นหรือบุคคลอื่นที่ไม่ใช่ลูกค้าโดยตรง ซึ่งนายหน้าประกันวินาศภัยไม่ได้มีความสัมพันธ์โดยตรงกับ ลูกค้าในขั้นตอนแรกของการเก็บรวบรวมข้อมูลส่วนบุคคล นายหน้าประกันวินาศภัยอาจดําเนินการตามแนวทาง ดังต่อไปนี้ก็ได้ ( ก ) ในการทําสัญญาประกันภัยแบบกลุ่ม นายหน้าประกันวินาศภัยอาจกําหนดให้ ผู้ถือกรมธรรม์ประกันภัยให้คํารับรอง (representation and warranty) ว่าได้แจ้งนโยบายการคุ้มครองข้อมูล

22 ส่วนบุคคลของนายหน้าประกันวินาศภัย ตามหลักเกณฑ์ที่กําหนดในข้อ 29 และหากนายหน้าประกันวินาศภัยเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ที่ต้องอาศัยความยินยอม นายหน้าประกัน วินาศภัยอาจจัดให้ผู้ถือกรมธรรม์ประกันภัยจัดทําเอกสารขอความยินยอมจากสมาชิกผู้เอาประกันภัยเพื่อให้นายหน้า ประกันวินาศภัยสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ต้องอาศัยความยินยอมได้ ทั้งนี้ นายหน้าประกันวินาศภัยอาจพิจารณาแนบนโยบายการคุ้มครองข้อมูลส่วนบุคคลของนายหน้าประกัน วินาศภัย พร้อมทั้งเอกสารขอความยินยอมให้แก่ผู้ถือกรมธรรม์ประกันภัย เพื่ออํานวยความสะดวกแก่ผู้ถือ กรมธรรม์ประกันภัยในการไปแจ้งนโยบายดังกล่าวและขอความยินยอมแทนนายหน้าประกันวินาศภัย โดยให้ผู้ถือ กรมธรรม์ประกันภัยเก็บรักษาเอกสารขอความยินยอมนั้นไว้เป็นหลักฐาน ซึ่งนายหน้าประกันวินาศภัยสามารถ ร้องขอได้หากเกิดข้อร้องเรียนขึ้นในอนาคต ( ข ) การที่นายหน้าประกันวินาศภัยได้รับข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) ซึ่งเป็น ลูกค้าของพันธมิตรทางธุรกิจเพื่อประโยชน์ในการเสนอขายกรมธรรม์ประกันภัยของนายหน้าประกันวินาศภัย ในการนี้ นายหน้าประกันวินาศภัยอาจกําหนดเงื่อนไขในสัญญาระหว่างนายหน้าประกันวินาศภัยกับพันธมิตรทาง ธุรกิจว่าบุคคลผู้ให้ข้อมูลเหล่านั้นต้องให้คํารับรอง (representation and warranty) ว่าได้แจ้งนโยบายการ คุ้มครองข้อมูลส่วนบุคคลของนายหน้าประกันวินาศภัย และได้รับความยินยอมจากผู้มุ่งหวังแล้วเพื่อให้นายหน้า ประกันวินาศภัยสามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหวเพื่อ วัตถุประสงค์ที่ต้องอาศัยความยินยอม ( ค ) ในกรณีที่นายหน้าประกันวินาศภัยได้รับข้อมูลส่วนบุคคลของผู้มุ่งหวัง (prospect) จากลูกค้าปัจจุบันหรือบุคคลอ้างอิงที่แนะนําต่อกันมา ให้นายหน้าประกันวินาศภัยอาจจัดให้บุคคลผู้ให้ข้อมูล เหล่านั้นต้องให้คํารับรอง (representation and warranty) ว่าได้รับความยินยอมจากผู้มุ่งหวังเพื่อให้ข้อมูลส่วนบุคคลของ บุคคลนั้นแก่นายหน้าประกันวินาศภัยเพื่อการเสนอขายกรมธรรม์ประกันภัยแล้ว เมื่อนายหน้าประกันวินาศภัยติดต่อกับลูกค้ารายนั้นเป็นครั้งแรก ให้แจ้งนโยบายการคุ้มครอง ข้อมูลส่วนบุคคลของนายหน้าประกันวินาศภัย และขอความยินยอมจากลูกค้าอีกครั้งเพื่อให้นายหน้าประกันวินาศภัย สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหวเพื่อวัตถุประสงค์ ที่ต้องอาศัยความยินยอม ข้อ 28 นายหน้าประกันวินาศภัยจะต้องจัดให้ลูกค้าสามารถขอถอนความยินยอมในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด โดยลูกค้าจะ ถอนความยินยอมเมื่อใดก็ได้ โดยจะต้องกระทําได้โดยง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจํากัดสิทธิ ในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่ลูกค้า ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกําหนด เช่น ลูกค้าจะต้องสามารถขอถอนความยินยอมได้ผ่านช่องทางเดียวกันกับที่ใช้ในการให้ความ ยินยอม โดยไม่ได้มีขั้นตอนเพิ่มเติมที่กําหนดขึ้นเป็นอุปสรรคแก่การขอถอนความยินยอมเช่นว่านั้น และนายหน้า ประกันวินาศภัยต้องจัดให้มีระบบการบันทึกการถอนความยินยอมดังกล่าวไว้เป็นหลักฐานด้วย ทั้งนี้ ให้เป็นไปตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ข้อ 29 ในการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคล (privacy notice) นายหน้าประกัน วินาศภัยอาจดําเนินการตามหลักเกณฑ์ดังต่อไปนี้ ( 1 ) แจ้งรายละเอียดต่าง ๆ ในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของนายหน้าประกันวินาศภัย แก่ลูกค้าก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด

23 โดยนายหน้าประกันวินาศภัยอาจดําเนินการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของนายหน้าประกัน วินาศภัยในรูปแบบใดก็ได้ เช่น การแนบลิงก์ (link) หรือแสดง QR Code ไปยังนโยบายการคุ้มครองข้อมูลส่วน บุคคลบนหน้าเว็บไซต์หรือช่องทางการติดต่อสื่อสารอื่น ๆ เป็นต้น ในกรณีที่นายหน้าประกันชีวิตเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นเพื่อวัตถุประสงค์ในการ ติดต่อลูกค้า นายหน้าประกันชีวิตอาจแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของนายหน้าประกันชีวิตแก่ลูกค้า ภายหลังจากการเก็บรวบรวมข้อมูลส่วนบุคคลได้ภายในสามสิบวัน โดยควรแจ้งอย่างช้าที่สุดในการติดต่อสื่อสารกับ ลูกค้าในครั้งแรก เว้นแต่เข้าข้อยกเว้นที่ไม่ต้องแจ้งตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคลของนายหน้าประกันวินาศภัยต้องมีการระบุวัตถุประสงค์ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าต่อสํานักงาน เพื่อประโยชน์ในการกํากับดูแลและ ส่งเสริมธุรกิจประกันภัยตามกฎหมายว่าด้วยคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจประกันภัย และ กฎหมายว่าด้วยการประกันวินาศภัย ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของสํานักงาน และระบุเชื่อมโยงไปยัง เว็บไซต์ของสํานักงาน (https://www.oic.or.th) ซึ่งมีการเผยแพร่นโยบายคุ้มครองข้อมูลส่วนบุคคลของสํานักงาน ไว้ ทั้งนี้ นายหน้าประกันวินาศภัยอาจใช้แบบแนบท้ายแนวปฏิบัตินี้เป็นแนวทางในการจัดทํานโยบายการคุ้มครอง ข้อมูลส่วนบุคคลของนายหน้าประกันวินาศภัย ในกรณีที่นายหน้าประกันวินาศภัยทําการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นเพื่อ วัตถุประสงค์ในการติดต่อลูกค้า นายหน้าประกันวินาศภัยอาจแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ นายหน้าประกันวินาศภัยแก่ลูกค้าภายหลังจากการเก็บรวบรวมข้อมูลส่วนบุคคลได้ภายใน 30 วัน โดยควรแจ้ง อย่างช้าที่สุดในการติดต่อสื่อสารกับลูกค้าในครั้งแรก เว้นแต่เข้าข้อยกเว้นที่ไม่ต้องแจ้งตามกฎหมายว่าด้วยการ คุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ นายหน้าประกันวินาศภัยอาจใช้แบบแนบท้ายแนวปฏิบัตินี้เป็นแนวทางในการแจ้ง นโยบายการคุ้มครองข้อมูลส่วนบุคคลดังกล่าว ( 2 ) จัดให้มีการแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคลของนายหน้าประกันวินาศภัยไปก่อน หรือพร้อมกับเอกสารที่ใช้ในการเก็บรวบรวมข้อมูลส่วนบุคคลหรือแบบขอความยินยอมการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล หรือผ่านช่องทางการติดต่อสื่อสารอื่น ๆ ระหว่างนายหน้าประกันวินาศภัยกับลูกค้า เช่น การติดต่อสื่อสารซึ่งหน้า ทางอิเล็กทรอนิกส์ หรือทางโทรศัพท์ ตามที่เหมาะสม เป็นต้น และในกรณีที่นายหน้า ประกันวินาศภัยมีการใช้งานเว็บไซต์ในการมีปฏิสัมพันธ์กับลูกค้า ให้นายหน้าประกันวินาศภัยประกาศทางเว็บไซต์ ของนายหน้าประกันวินาศภัยด้วย ข้อ 30 ในกรณีที่นายหน้าประกันวินาศภัยโอนข้อมูลส่วนบุคคลไปยังผู้รับข้อมูลซึ่งอยู่ต่างประเทศ ให้ปฏิบัติตามหลักเกณฑ์การโอนข้อมูลส่วนบุคคลไปต่างประเทศตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ข้อ 31 สถานะของนายหน้าประกันวินาศภัย ( 1 ) นายหน้าประกันวินาศภัย ไม่ว่าเป็นบุคคลธรรมดาหรือนิติบุคคล สามารถประกอบกิจการ นายหน้าประกันวินาศภัยได้อย่างอิสระ ไม่ขึ้นตรงกับบริษัทใดเป็นการเฉพาะ เป็นผลให้นายหน้าประกันวินาศภัย มีอํานาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการดําเนินกิจการของตนเพื่อ วัตถุประสงค์ต่าง ๆ ตลอดจนระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลได้เอง เช่น การเปิดเผยข้อมูลส่วนบุคคลของ ผู้มุ่งหวัง (prospect) หรือลูกค้าไปยังบริษัทเพื่อขอใบเสนอราคากรมธรรม์ประกันภัย เพื่อวิเคราะห์และเลือกสรร กรมธรรม์ของบริษัทที่ตรงกับความต้องการของลูกค้า เพื่อนําเสนอข้อมูลกรมธรรม์ประกันภัยของบริษัทต่าง ๆ แก่ผู้มุ่งหวัง (prospect) หรือลูกค้าพร้อมแนะนําผลิตภัณฑ์ประกันภัยหรือบริการที่เหมาะสม เพื่อดําเนินการ

24 ในฐานะตัวแทนของผู้เอาประกันภัยในการประสานงานกับบริษัทเพื่อพิจารณารับประกันภัยของบริษัทและนําส่ง กรมธรรม์ประกันภัย การจ่ายเบี้ยประกันภัย หรือการเรียกร้องค่าสินไหมทดแทน เพื่อเก็บรักษาข้อมูลส่วนบุคคล เป็นฐานข้อมูลของนายหน้าประกันวินาศภัยเอง หรือเพื่อเสนอขายหรือการดําเนินกิจกรรมทางการตลาดแบบตรง (direct marketing) เป็นต้น ดังนั้น นายหน้าประกันวินาศภัยจึงถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล ( 2 ) นายหน้าประกันวินาศภัยอาจถือเป็นผู้ประมวลผลข้อมูลส่วนบุคคลได้ในบางกรณี เช่น กรณีที่ นายหน้าประกันวินาศภัยได้รับคําสั่งให้ดําเนินกิจกรรมการประมวลผลข้อมูลส่วนบุคคลจากบริษัทเป็นการเฉพาะ เช่น นําส่งเอกสารที่เกี่ยวข้องต่าง ๆ นอกเหนือจากการดําเนินการในฐานะตัวแทนของผู้เอาประกันภัยในการ ประสานงานกับบริษัท เช่น เมื่อนายหน้าประกันภัยได้รับมอบหมายจากบริษัทให้นําส่งสื่อโฆษณาผลิตภัณฑ์ ประกันภัยแก่ลูกค้ากลุ่มหนึ่งกลุ่มใด โดยที่นายหน้าประกันภัยไม่ได้มีส่วนเกี่ยวข้องกับการริเริ่ม หรือได้รับประโยชน์ ร่วมนอกจากค่าดําเนินการ ในการส่งเอกสารจากดําเนินการเช่นว่านั้น ข้อ 32 ในกรณีที่นายหน้าประกันวินาศภัยเป็นผู้ควบคุมข้อมูลส่วนบุคคล นายหน้าประกันวินาศภัย ยังมีหน้าที่อื่น ๆ เพิ่มเติมตามกฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคลดังต่อไปนี้ ( 1 ) ดําเนินการให้ข้อมูลส่วนบุคคลของลูกค้าถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความ เข้าใจผิด ( 2 ) จัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ รวมทั้งต้องทบทวนมาตรการ ดังกล่าวเมื่อมีความจําเป็นหรือเมื่อเทคโนโลยีและธุรกิจเปลี่ยนแปลงไป เพื่อให้ประสิทธิภาพในการรักษาความ มั่นคงปลอดภัยที่เหมาะสมตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 3 ) ในกรณีที่นายหน้าประกันวินาศภัยต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ ผู้ควบคุมข้อมูลส่วนบุคคลต้องดําเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจ หรือโดยมิชอบ ( 4 ) จัดให้มีระบบการตรวจสอบเพื่อให้สามารถดําเนินการลบหรือทําลายข้อมูลส่วนบุคคล เมื่อพ้นกําหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจําเป็นตามวัตถุประสงค์ในการเก็บรวบรวม ข้อมูลส่วนบุคคลหรือตามที่ลูกค้าร้องขอ หรือที่ลูกค้าได้ถอนความยินยอมแล้ว เว้นแต่เข้าข้อยกเว้นตามกฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ( 5 ) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและ สํานักงานตามหลักเกณฑ์และระยะเวลาที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 6 ) จัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลอย่างน้อย ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล กําหนดเพื่อให้ลูกค้า สํานักงาน และสํานักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ ( 7 ) ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าในความครอบครองของนายหน้าประกัน วินาศภัยแก่ผู้ประมวลผลข้อมูลส่วนบุคคลของนายหน้าประกันวินาศภัย ให้จัดให้มีสัญญาหรือข้อตกลงระหว่างกัน เกี่ยวกับกิจกรรมการประมวลผลนั้น ๆ (Data Processing Agreement) ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกําหนด ทั้งนี้ ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลภายนอกที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล นายหน้าประกันวินาศภัยอาจพิจารณาเข้าทําสัญญาที่เป็นลายลักษณ์อักษรกับบุคคลภายนอกดังกล่าว (Data Sharing Agreement) เพื่อตกลงหน้าที่เกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลระหว่างกันก็ได้

25 ( 8 ) ในกรณีที่นายหน้าประกันวินาศภัยซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคลของตนตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้การแต่งตั้ง คุณสมบัติและหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมทั้งหน้าที่ของนายหน้าประกันวินาศภัยที่มีต่อ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ข้อ 33 ในกรณีที่นายหน้าประกันวินาศภัยเป็นผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ดังต่อไปนี้ ( 1 ) ดําเนินการเกี่ยวกับการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งที่ได้รับจาก ผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คําสั่งของผู้ควบคุมข้อมูลส่วนบุคคลขัดต่อกฎหมาย ( 2 ) จัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ โดยเป็นไปตามที่กฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 3 ) แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลตามที่กฎหมายว่า ด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 4 ) จัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลตามที่ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด เพื่อให้ลูกค้า ผู้ควบคุมข้อมูลส่วนบุคคล สํานักงาน และ สํานักงาน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้ ( 5 ) เข้าทําสัญญาหรือข้อตกลงเกี่ยวกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลระหว่างตนกับ ผู้ควบคุมข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ( 6 ) ในกรณีที่นายหน้าประกันวินาศภัยซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่ คุ้มครองข้อมูลส่วนบุคคลของตนตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้การแต่งตั้ง คุณสมบัติและหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล รวมทั้งหน้าที่ของนายหน้าประกันวินาศภัยที่มีต่อ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล อย่างไรก็ดี หากนายหน้าประกันวินาศภัยมีหน้าที่จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตนในกรณีที่เป็นผู้ควบคุม ข้อมูลส่วนบุคคลอยู่แล้ว นายหน้าประกันวินาศภัยสามารถให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลปฏิบัติหน้าที่ ในส่วนที่เกี่ยวข้องกับการดําเนินกิจกรรมในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้ ( 7 ) ต้องเก็บรักษาข้อมูลส่วนบุคคลตามคําสั่งและนโยบายการเก็บรักษาข้อมูลส่วนบุคคลของ ผู้ควบคุมข้อมูลส่วนบุคคล ข้อ 34 กรณีนายหน้าประกันวินาศภัยเป็นผู้ควบคุมข้อมูลส่วนบุคคล ให้จัดทํานโยบายการเก็บ รักษาข้อมูลส่วนบุคคลภายในองค์กรเพื่อกําหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล ซึ่งต้องกําหนดระยะเวลา ที่เหมาะสมและจําเป็นสําหรับข้อมูลส่วนบุคคลแต่ละประเภทและวัตถุประสงค์ที่ได้แจ้งลูกค้า อย่างไรก็ดี หากนายหน้า ประกันวินาศภัยมีความจําเป็นในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นต่อไป นายหน้าประกันวินาศภัยก็อาจ เก็บรวบรวมข้อมูลส่วนบุคคลนั้นไว้ได้ เช่น เพื่อปฏิบัติตามกฎหมายอื่นที่เกี่ยวข้อง กรณีที่ข้อมูลส่วนบุคคลหมดความจําเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือนายหน้าประกันวินาศภัยไม่มีอํานาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด ให้นายหน้าประกันวินาศภัย ยุติการประมวลผลข้อมูลส่วนบุคคลและดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลนั้น หรือทําให้ข้อมูลส่วนบุคคล เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นลูกค้าได้

26 ในกรณีที่มีการเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ประมวลผลข้อมูลส่วนบุคคล นายหน้าประกัน วินาศภัยต้องจัดมีมาตรการให้ผู้ให้บริการภายนอกลบหรือทําลายข้อมูลส่วนบุคคลตามระยะเวลาดังกล่าวด้วย เช่นกัน เช่น กําหนดเป็นหน้าที่ในสัญญาหรือข้อตกลงระหว่างกันเกี่ยวกับกิจกรรมการประมวลผลนั้น ๆ ตามที่ กฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคลกําหนด ข้อ 35 กรณีนายหน้าประกันวินาศภัยเป็นผู้ควบคุมข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่นายหน้า ประกันวินาศภัยได้เก็บรวบรวมไว้ก่อนวันที่ 1 มิถุนายน พ . ศ . 2565 นายหน้าประกันวินาศภัยสามารถเก็บ รวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม โดยต้องกําหนดวิธีการยกเลิกความยินยอมและ เผยแพร่ประชาสัมพันธ์ให้ลูกค้าที่ไม่ประสงค์ให้นายหน้าประกันวินาศภัยเก็บรวมรวมและใช้ข้อมูลส่วนบุคคล ดังกล่าวต่อไปสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย ทั้งนี้ การเผยแพร่ประชาสัมพันธ์ตามวรรคหนึ่ง ให้นายหน้าประกันวินาศภัยแจ้งให้ลูกค้าทราบ ผ่านช่องทางที่นายหน้าประกันวินาศภัยมีปฏิสัมพันธ์กับลูกค้าตามปกติ หรือช่องทางที่ลูกค้าสามารถทราบถึงการ เผยแพร่ประชาสัมพันธ์ดังกล่าวได้โดยง่าย เช่น การส่งไปรษณีย์ อีเมล ข้อความสื่อสารทางโทรศัพท์ (SMS) และ ในกรณีที่นายหน้าประกันวินาศภัยมีการใช้งานเว็บไซต์ในการปฏิสัมพันธ์กับลูกค้า ให้นายหน้าประกันวินาศภัย ประกาศทางเว็บไซต์ของนายหน้าประกันวินาศภัยด้วย ทั้งนี้ นายหน้าประกันวินาศภัยต้องระบุช่องทาง ในการยกเลิกความยินยอมด้วย หากนายหน้าประกันวินาศภัยต้องการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลตามวรรคหนึ่ง เพื่อวัตถุประสงค์อื่นเพิ่มเติมจากวัตถุประสงค์เดิม หรือต้องการเปิดเผยหรือดําเนินการประการอื่นที่ไม่ใช่การ เก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้นั้น นายหน้าประกันวินาศภัยต้องดําเนินการให้เป็นไป ตามกฎหมายว่าด้วยคุ้มครองข้อมูลส่วนบุคคล กรณีนายหน้าประกันวินาศภัยเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ให้จัดการข้อมูลส่วนบุคคล ที่เก็บรวบรวม ใช้ หรือเปิดเผยไว้ก่อนวันที่ 1 มิถุนายน พ . ศ . 2565 ตามแนวทางที่ผู้ควบคุมข้อมูลส่วนบุคคลของ นายหน้าประกันวินาศภัยกําหนด

27 เอกสารแนบท้าย ให้บริษัทและผู้เสนอขายที่มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลดําเนินการจัดทํานโยบายการคุ้มครอง ข้อมูลส่วนบุคคล ให้เหมาะสมและสะท้อนการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของแต่ละบุคคลหรือ นิติบุคคล โดยอาจใช้เอกสารแนบท้ายนี้เป็นแนวทางในการจัดทํานโยบายการคุ้มครองข้อมูลส่วนบุคคล แนวทางการกําหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคล นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ (” นโยบายฉบับนี้ ”) จัดทําขึ้นโดย [ โปรดระบุชื่อ เจ้าของนโยบายฉบับนี้ ] (” บริษัทฯ ”/” ผู้เสนอขาย ”) [ หมายเหตุถึงบริษัทฯ และผู้เสนอขาย : โปรดพิจารณากําหนด นิยามตามที่เหมาะสมกับรูปแบบในการประกอบธุรกิจ โดยบริษัทฯ และผู้เสนอขายที่เป็นนิติบุคคลอาจพิจารณาใช้ คําว่า ” บริษัทฯ ” ส่วนผู้เสนอขายที่เป็นบุคคลธรรมดาอาจพิจารณาใช้คําว่า ” ผู้เสนอขาย ”] โดยนโยบายฉบับนี้มี วัตถุประสงค์เพื่อแจ้งให้ลูกค้า (” ลูกค้า ” หรือ ” ท่าน ”) ทราบเกี่ยวกับการเก็บรวบรวม ใช้ และ / หรือเปิดเผยข้อมูล ส่วนบุคคลของท่าน ตลอดจนถึงสิทธิตามกฎหมายที่เกี่ยวกับข้อมูลส่วนบุคคลของท่าน ข้อ 1 คํานิยาม ในนโยบายฉบับนี้ “ ข้อมูลส่วนบุคคล ” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทําให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่า ทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ “ สํานักงาน ” หมายความว่า สํานักงานคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจ ประกันภัย [ โปรดระบุคํานิยามอื่น ๆ ] ข้อ 2 ข้อมูลส่วนบุคคลที่ [ บริษัทฯ / ผู้เสนอขาย ] เก็บรวบรวม ข้อมูลส่วนบุคคลของท่านที่ [ บริษัทฯ / ผู้เสนอขาย ] เก็บรวบรวมมีดังนี้ [ โปรดระบุประเภทข้อมูลส่วนบุคคลที่บริษัทฯ / ผู้เสนอขาย เก็บรวบรวม ] ในกรณีที่ [ บริษัทฯ / ผู้เสนอขาย ] มีความจําเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลของท่าน เพื่อปฏิบัติหน้าที่ตามกฎหมาย หรือการเข้าทําสัญญากับท่าน หากท่านไม่ให้ข้อมูลส่วนบุคคลบางอย่างที่จําเป็นต่อ การดําเนินงานของ [ บริษัทฯ / ผู้เสนอขาย ] [ บริษัทฯ / ผู้เสนอขาย ] อาจไม่สามารถดําเนินการตามวัตถุประสงค์ ด้านล่างหรือให้บริการแก่ท่านได้อย่างเต็มรูปแบบ หรือท่านอาจจะไม่สามารถใช้บริการของ [ บริษัทฯ / ผู้เสนอขาย ] ได้ อย่างเหมาะสม และอาจส่งผลกระทบต่อการปฏิบัติตามกฎหมายใด ๆ ที่ [ บริษัทฯ / ผู้เสนอขาย ] หรือท่านมีหน้าที่ ต้องปฏิบัติตาม หากท่านให้ข้อมูลส่วนบุคคลของบุคคลที่สามแก่ [ บริษัทฯ / ผู้เสนอขาย ] ท่านต้องปฏิบัติตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการขอความยินยอม หรือแจ้งนโยบายฉบับนี้แก่บุคคล ที่สามในนามของ [ บริษัทฯ / ผู้เสนอขาย ] เพื่อให้ [ บริษัทฯ / ผู้เสนอขาย ] สามารถปฏิบัติงานต่อไปได้ตามวัตถุประสงค์ ที่กําหนดในนโยบายฉบับนี้และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสํานักงาน

28 ข้อ 3 แหล่งที่มาของข้อมูลส่วนบุคคล [ บริษัทฯ / ผู้เสนอขาย ] เก็บรวบรวมข้อมูลส่วนบุคคลของท่านผ่านทางช่องทางต่าง ๆ ดังนี้ ( 1 ) [ บริษัทฯ / ผู้เสนอขาย ] ได้รับข้อมูลส่วนบุคคลจากท่านโดยตรง โดยบริษัทฯ จะเก็บรวบรวม ข้อมูลส่วนบุคคลของท่านในขั้นตอนต่าง ๆ ดังต่อไปนี้ [ โปรดระบุขั้นตอนที่เกี่ยวข้อง หรือช่องทางที่ใช้ในการ เก็บรวบรวมข้อมูลส่วนบุคคล ] ( 2 ) [ บริษัทฯ / ผู้เสนอขาย ] ได้รับข้อมูลส่วนบุคคลของท่านผ่านทางช่องทางอื่น ๆ ดังต่อไปนี้ [ โปรดระบุบุคคลที่สามที่เปิดเผยข้อมูลหรือช่องทางอื่น ๆ ที่ใช้เก็บรวบรวมข้อมูลนั้น ] ข้อ 4 วัตถุประสงค์ในการเก็บรวบรวม ใช้ และ / หรือเปิดเผยข้อมูลส่วนบุคคลของ [ บริษัทฯ / ผู้เสนอขาย ] ( 1 ) เพื่อการเก็บรวบรวม ใช้ และ / หรือเปิดเผยข้อมูลส่วนบุคคลต่อสํานักงาน เพื่อประโยชน์ในการ กํากับดูแลและส่งเสริมธุรกิจประกันภัยตามกฎหมายว่าด้วยคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจ ประกันภัย และกฎหมายว่าด้วยการประกันวินาศภัย ตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของสํานักงาน ซึ่งสามารถตรวจดูได้ที่เว็บไซต์ของสํานักงาน (https://www.oic.or.th) [ โปรดระบุวัตถุประสงค์ในการเก็บรวบรวม ใช้ และ / หรือเปิดเผยข้อมูลส่วนบุคคลเพิ่มเติม ] หาก [ บริษัทฯ / ผู้เสนอขาย ] อาศัยความยินยอมจากท่านในการเก็บรวบรวม ใช้ และ / หรือเปิดเผย ข้อมูลส่วนบุคคล ท่านมีสิทธิถอนความยินยอมเมื่อใดก็ได้ ทั้งนี้ การถอนความยินยอมของท่านย่อมไม่กระทบถึง กิจกรรมที่เกี่ยวกับการเก็บรวบรวม ใช้ และ / หรือเปิดเผยข้อมูลส่วนบุคคลที่ลูกค้าได้ให้ความยินยอมไปแล้วก่อน การถอนความยินยอม ข้อ 5 การเปิดเผยข้อมูลส่วนบุคคลของท่าน [ บริษัทฯ / ผู้เสนอขาย ] อาจเปิดเผยข้อมูลส่วนบุคคลของท่านแก่บุคคลภายนอก ดังนี้ ( 1 ) หน่วยงานของรัฐหรือหน่วยงานอื่นตามภารกิจ อํานาจหน้าที่ กฎหมาย และข้อผูกพันในการ ดําเนินงานของสํานักงานทั้งในและต่างประเทศ เช่น สํานักงานคณะกรรมการกํากับและส่งเสริมการประกอบธุรกิจ ประกันภัย สํานักงานป้องกันและปราบปรามการฟอกเงิน ธนาคารแห่งประเทศไทยคณะกรรมการป้องกันและ ปราบปรามการทุจริตแห่งชาติ สํานักงานคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์ สํานักงานตํารวจแห่งชาติ ( 2 ) บุคคลภายนอกอื่น ๆ ที่เกี่ยวข้อง ได้แก่ บริษัทประกันภัย นายหน้าประกันวินาศภัย ตัวแทน ประกันวินาศภัย ผู้ประเมินวินาศภัย นักคณิตศาสตร์ประกันภัย ผู้สํารวจภัย บริษัทกลางคุ้มครองผู้ประสบภัย จากรถ บริษัทประกันภัยต่อ สํานักงาน สาขาในไทยของบริษัทประกันภัยต่างประเทศ โรงพยาบาล ศูนย์กู้ชีพ แพทยสภา ธนาคารหรือสถาบันการเงิน ศูนย์บริหารจัดการกล้องโทรทัศน์วงจรปิด ผู้ให้บริการด้านการบริหาร จัดการค่าสินไหมทดแทน (TPA) อู่ซ่อมรถ ผู้เอาประกันภัย ผู้ถือกรมธรรม์ประกันภัย ผู้ชําระเบี้ยประกันภัย พยาน ผู้รับผลประโยน์ ทายาทโดยธรรม ผู้มีส่วนได้เสีย คู่พิพาท คู่กรณี ผู้เสียหาย ผู้รับมอบอํานาจ เจ้าหนี้หรือลูกหนี้ของ บริษัทฯ บุคคลอื่นใดที่มีความสัมพันธ์ ธุรกรรม หรือติดต่อกับทางบริษัทฯ เป็นต้น [ โปรดระบุประเภทของบุคคลภายนอกผู้รับข้อมูลส่วนบุคคลเพิ่มเติม ]

29 ข้อ 6 การส่ง หรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ [ แล้วแต่การดําเนินการของผู้ควบคุมข้อมูลส่วนบุคคล ] ข้อ 7 ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล [ แล้วแต่การดําเนินการของผู้ควบคุมข้อมูลส่วนบุคคล ] ข้อ 8 สิทธิของท่านในฐานะลูกค้า [ โปรดแจ้งสิทธิ ภายใต้ข้อจํากัดตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ลูกค้ามีสิทธิดังต่อไปนี้ ( 1 ) สิทธิในการเข้าถึง ( 2 ) สิทธิในการแก้ไขข้อมูลส่วนบุคคล ( 3 ) สิทธิในการโอนย้ายข้อมูลส่วนบุคคล ( 4 ) สิทธิ ในการคัดค้าน ( 5 ) สิทธิในการจํากัดการใช้งานข้อมูลส่วนบุคคล ( 6 ) สิทธิในการถอนความยินยอม ( 7 ) สิทธิในการ ขอลบข้อมูลส่วนบุคคล และ ( 8 ) สิทธิในการร้องเรียน ] ข้อ 9 วิธีติดต่อ [ บริษัทฯ / ผู้เสนอขาย ] ในกรณีที่ท่านมีข้อสงสัยเกี่ยวกับการเก็บรวบรวม ใช้ และ / หรือเปิดเผยข้อมูลส่วนบุคคลของท่าน หรือต้องการใช้สิทธิในฐานะลูกค้า ท่านสามารถติดต่อ [ บริษัทฯ / ผู้เสนอขาย ] ได้ที่ [ โปรดระบุช่องทางการติดต่อ ตัวอย่างเช่น ชื่อ [ บริษัทฯ / ผู้เสนอขาย ]  ที่อยู่ : [ โปรดระบุ ]  เบอร์โทร : [ โปรดระบุ ]  อีเมล : [ โปรดระบุ ] เจ้าหน้าที่คุ้มครองข้อมูล (DPO)  ที่อยู่ : [ โปรดระบุ ]  เบอร์โทร : [ โปรดระบุ ]  อีเมล : [ โปรดระบุ ]]