PDPA ธนาคาร สำคัญแค่ไหน? เมื่อการเงิน การธนาคาร เข้าสู่ New Era นับตั้งแต่ช่วงการพัฒนาอย่างก้าวกระโดดของเทคโนโลยีและนวัตกรรมทางการเงิน โลกการเงินเริ่มขยับจากการทำธุรกรรมในธนาคารหรือจุดบริการ มาเป็นการทำธุรกรรมดิจิตอล ไม่ว่าอยู่ที่ไหนก็สามารถใช้บริการ ฝาก โอน ถอน กู้เงิน หรือแม้แต่การทำบัตรเครดิต ก็สามารถกรอกข้อมูลผ่านฟอร์มออนไลน์ แล้วรอรับบัตรที่บ้านได้แล้ว
ทว่าความท้าทายที่มาพร้อมกับความสะดวกสบายเหล่านี้ คือ การที่ข้อมูลส่วนบุคคลอ่อนไหว อาทิ ข้อมูลแบบจำลองลายนิ้วมือ ข้อมูลแบบจำลองใบหน้า (Face ID) ไหลเวียนเข้ามาในระบบมากขึ้น ธนาคาร สถาบันการเงิน ต้องดูแลและจัดเก็บข้อมูลเหล่านี้ ให้ปลอดภัยตามที่กฎหมายกำหนด นอกจากความท้าทาย ยังมีภัยที่มาพร้อมกับธุรกรรมดิจิตอล ภัยที่ว่าคือ Cyber Attack ที่แฝงตัวมาในรูปของอีเมลแจ้งยอดชำระหนี้จากธนาคาร SMS แอบอ้างเป็นสถาบันการเงิน หรือมิจฉาชีพในคราบ Call Center อาชญากรรมเหล่านี้เพิ่มขึ้นอย่างรวดเร็ว มีรูปแบบที่หลากหลายและซับซ้อนมากขึ้น
ธุรกิจการเงิน การธนาคาร ต้องแบกรับทั้งภัยและความท้าทาย ขณะเดียวกันก็ต้องปกป้องความเป็นส่วนตัว และต้องปกป้องข้อมูลส่วนบุคคล เพื่อให้สอดคล้องกับแนวปฏิบัติของกฎหมาย PDPA ที่กำหนดให้ต้องปฏิบัติตาม บทความนี้จะพาทุกท่านไปทำความเข้าใจว่า การเงินการธนาคาร ข้อมูลส่วนบุคคล Cyber Attack มีความเกี่ยวข้องและเชื่อมโยงกันอย่างไร เพื่อเป็นแนวทางให้ธนาคารและสถาบันการเงิน เข้าใจที่มาที่ไปและความสำคัญของการปฏิบัติตามข้อกำหนดของกฎหมาย PDPA ของไทย พร้อมทำความเข้าใจหลักกฎหมายสำคัญในการทำ PDPA ธนาคาร
PDPA คลื่นลูกใหม่ที่กระทบหลายธุรกิจ
กว่า 5 เดือนที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA บังคับใช้ ธุรกิจที่เกี่ยวข้องกับข้อมูลส่วนบุคคลหลายธุรกิจ ต้องมีการปรับ เปลี่ยนและพัฒนาครั้งใหญ่ ทั้งในเชิงนโยบายและการปฏิบัติ การมาถึงของ PDPA ปลุกกระแสการคุ้มครองข้อมูลส่วนบุคคล การคุ้มครองความเป็นส่วนตัว การรักษาความมั่นคงปลอดภัยทางไซเบอร์ ทำให้องค์กรตื่นตัวเรื่องเหล่านี้มากขึ้น จากที่เคยเป็นเพียงกระแสข่าว บัดนี้กฎหมาย PDPA ได้กลายเป็น Protocal แทรกอยู่ในกระบวนการทำงานของแทบทุกองค์กร
PDPA ย่อมาจาก Personal Data Protection Act B.E 2562 (2019) เป็นชื่อเรียกอย่างง่าย ของพระราชบัญญติคุ้มครองข้อมูลส่วนบุคคล ที่มีเนื้อหาว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ถูกร่างขึ้นเพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต รวมทั้งควบคุมดูแลกิจกรรมใด ๆ ก็ตามที่เกี่ยวข้อข้อมูลส่วนบุคคล
กฎหมาย PDPA เป็นกฎหมายฉบับสมบูรณ์ ต่อยอดพัฒนามาจาก TDPG หรือ Thailand Data Protection Guidelines แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งทั้งคู่ มีกฎหมายแม่แบบ คือ GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ที่ได้รับการยอมรับ และเป็นแม่แบบของกฎหมายคุ้มครองข้อมูลส่วนบุคคลในอีกหลายๆ ประเทศ
PDPA ให้ความสำคัญกับ
- Consent หรือคำยินยอมของเจ้าของข้อมูลส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคล อ่านเพิ่มเติม Consent คืออะไร จัดการ Consent อย่างไรให้ถูกกฎหมาย
- สิทธิของเจ้าของข้อมูล (Data Subject Rights)
อ่านเพิ่มเติมเรื่อง สิทธิของเจ้าของข้อมูล ที่องค์กรต้องรู้ก่อนประมวลผลข้อมูลส่วนบุคคล - การรายงานเหตุการณ์ข้อมูลรั่วไหล (Data Breach) และระบบรักษาความปลอดภัยทางไซเบอร์ (Cybersecurity)
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล Data Protection Officer (DPO)
- การสร้างความตระหนักรู้ กฎหมายคุ้มครองข้อมูลส่วนบุคคลในองค์กร (PDPA Awareness Training)
กระบวนการทางเทคนิคที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลในองค์กร
- Record of Processing Activities (RoPA)
- Consent Management
- Cookie Consent
- Data Subject Request Management
นโยบายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
- Privacy Notice
- Privacy Policy
- ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Pata Processing Agreement)
การเงิน การธนาคาร VS การคุ้มครองข้อมูลส่วนบุคคล
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเกี่ยวข้องกับการเงินและการธนาคาร เพราะหลายๆ ธุรกรรม หลายๆ กิจกรรม มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลนับตั้งแต่ก้าวแรกที่เข้าไปในธนาคาร
กิจกรรมและการบริการที่อยู่เบื้องหน้า ที่ผู้ใช้บริการได้รับจากธนาคาร อาทิ การฝาก ถอน โอน การเปิด-ปิดบัญชีเงินฝาก การทำบัตรเครดิต-เดบิต สมัครแอปพลิเคชั่นของธนาคาร (Mobile Banking) บริการสินเชื่อและการกู้ยืม บริการที่ปรึกษาทางการเงินและการลงทุน บริการกองทุนเงินฝาก ประกันชีวิต ประกันภัย ฯลฯ กิจกรรมที่อยู่เบื้องหลังการบริการ อาทิ การเก็บ รวบรวมข้อมูลของผู้ใช้บริการ ซึ่งเกี่ยวข้องกับข้อมูลส่วนบุคคล อาทิ ชื่อ-นามสกุล ที่อยู่ อีเมล หมายเลขโทรศัพท์ ข้อมูลทางการเงิน ข้อมูลสุขภาพ ฯลฯ ในบางกรณี ธนาคารอาจมีการตรวจสอบเครดิตการกู้ยืมเงิน รายได้ ค่าใช้จ่ายครอบครัว ประกอบการให้บริการธุรกรรมบางประเภท
ข้อมูลที่ไหลเวียนในระบบของธนาคาร มีมากมายมหาศาล ส่วนหนึ่งของข้อมูลเหล่านั้นเป็นข้อมูลส่วนบุคคลของผู้ใช้บริการ และยังประกอบด้วยข้อมูลของพนักงาน ข้อมูลของคู่ค้าทางธุรกิจ แม้ในยุคปัจจุบันที่ธุรกรรมทางการเงินแบบดิจิทัล จะไม่ได้ใช้ข้อมูลส่วนบุคคลที่เป็น Hard Copy เทียบเท่ากับในอดีต ทว่าข้อมูลที่อยู่ในระบบดิจิทัล ก็จำเป็นจะต้องถูกจัดเก็บไว้ในฐานข้อมูลของธนาคาร เพื่อใช้ในการประมวลผลและพัฒนาการบริการ นอกจากธนาคารหรือสถาบันการเงินจะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) แล้ว ในบางกรณีธนาคารอาจเป็นผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) อีกด้วย
ทั้งหมดนี้ชี้ให้เห็นว่า ธุรกิจการเงินการธนาคาร มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลในหลายมิติ และมีความจำเป็นอย่างยิ่งยวด ที่จะต้องปฏิบัติตามข้อกำหนด หรือแนวทางการปฏิบัติของกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA นั่นเอง ประกอบกับอำนาจของกฎหมาย PDPA นั้น ครอบคลุมกิจกรรมใดๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และถือเป็นกติกากลางที่ทุกธุรกิจ ทุกอุตสาหกรรมจะต้องตระหนักและคำนึงถึง ภาคการเงินและการธนาคารของไทย ได้เล็งเห็นความสำคัญของการปฏิบัติตามกฎหมายฉบับนี้ จึงเป็นที่มาของ การลงนามความร่วมมือของหน่วยงานภาคการเงินและการธนาคารของไทย ได้แก่ ธนาคารแห่งประเทศไทย (ธปท.) สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) และ สำนักงานคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) ภายใต้ชื่อ บันทึกข้อตกลงความร่วมมือด้านการคุ้มครองข้อมูลส่วนบุคคลภาคการเงิน ภายใต้วิสัยทัศน์ที่ว่า
การใช้ประโยชน์จากข้อมูลส่วนบุคคลเพื่อ ขับเคลื่อนภาคการเงินและเศรษฐกิจ ต้องดำเนินการควบคู่ไปกับการดูแลความเสี่ยงและการมีธรรมาภิบาลของการใช้ข้อมูล กฎหมาย PDPA จะช่วยส่งเสริมธุรกิจการเงิน ในการควบคุม ดูแล จัดการข้อมูลอย่างเหมาะสม รัดกุม ปลอดภัย ใช้ข้อมูลโดยไม่ละเมิดความเป็นส่วนตัว
บันทึกข้อตกลงดังกล่าว ถือเป็นการเคลื่อนไหวครั้งสำคัญที่ภาคการเงินและการธนาคาร แสดงจุดยืนที่จะปฏิบัติตามกฎหมาย PDPA พร้อมกับรักษาจรรยาบรรณการให้บริการ ซึ่งยึดถือปฏิบัติกันมายาวนาน ธุรกิจการเงินการธนาคารในไทย จึงพร้อมใจกันปรับและเพิ่มกระบวนการ เพื่อให้สอดคล้องกับแนวทางและข้อกำหนดของกฎหมาย
PDPA guideline ภาคธุรกิจธนาคาร จาก สมาคมธนาคารไทย กล่าวถึงเรื่องอะไรบ้าง?
นอกจากข้อตกลงที่ทั้ง 4 หน่วยงานเห็นร่วมกันแล้ว ยังมีแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลภาคธุรกิจธนาคาร ที่ร่างขึ้นและเผยแพร่โดยสมาคมธนาคารไทย โดยมีวัตถุประสงค์เพื่อ สร้างความมั่นใจว่าธนาคารไทยตระหนักและเข้าถึงการคุ้มครองข้อมูลส่วนบุคคล และเพื่อเป็นแนวทางในการนำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลไปถือปฏิบัติให้เป็นมาตรฐานเดียวกัน
t-reg สรุปเนื้อหาสำคัญ จาก แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลภาคธุรกิจธนาคาร หรือ PDPA ธนาคาร ดังนี้
ขอบเขตของข้อมูลส่วนบุคคลและการจำแนกข้อมูลส่วนบุคคล ในหัวข้อแรกของเอกสาร เริ่มด้วยการอธิบายการระบุข้อมูลส่วนบุคคล ซึ่งใช้กรอบการนิยามตาม NIST โดยอธิบายในกรอบ Personal Idebtifiable Information (PII) หมายถึงข้อมูลที่เกี่ยวกับตัวบุคคลซึ่งทำให้สามารถระบุตัวตนได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม ในหัวข้อแรกยังพูดถึงแนวปฏิบัติเกี่ยวกับการรักษาความั่นคงปลอดภัยของข้อมูลอีกด้วย
หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล หลักการที่ยกมาในเอกสารฉบับนี้ อ้างอิงตามหลักการในกฎหมาย GDPR ของสหภาพยุโรป ซึ่งมีหลักการสำคัญทั้งสิ้น 7 ข้อด้วยกัน ได้แก่
- Lawfulness, Fairness, and Transparency อ้างอิงตามฐานกฎหมาย ดำเนินการบนพื้นฐานของความเป็นธรรม โปร่งใส ตรวจสอบได้
- Purpose Limitation ธนาคารต้องดำเนินการตามขอบเขตของการการเก็บ รวบรวม ใช้ข้อมูลส่วนบุคคล และไม่สามารถประมวลผลตามวัตถุประสงค์ที่นอกเหนือจากที่แจ้งไว้ในตอนแรก หากระบุว่าจะประมวลผลเพื่อวัตถุประสงค์ในการให้สินเชื่อ ก็ไม่สามารถใช้ข้อมูลชุดเดียวกันเพื่อวัตถุประสงค์ในผลิตภัณฑ์หรือบริการอื่นได้
Data Minimisation ธนาคารต้องทำการเก็บ รวบรวม ใช้ข้อมูลส่วนบุคคลและดำเนินการเท่าที่จำเป็น เกี่ยวข้อง และอยู่ในกรอบของวัตถุประสงค์เท่านั้น เช่น กรณีที่ลูกค้าขอสินเชื่อกับธนาคาร ธนาคารจำเป็นต้องเก็บข้อมูลคู่สมรสเพื่อใช้ในการพิจารณาสินเชื่อ ในกรณีนี้สามารถทำได้
Accuracy ธนาคารจะต้องตรวจสอบข้อมูลส่วนบุคคลที่ทำการเก็บ รวมรวมมา ว่ามีความถูกต้อง สมบูรณ์และเป็นปัจจุบัน หรือไม่ หากพบว่ามีความผิดพลาดต้องดำเนินการแก้ไข หรือติดต่อเจ้าของข้อมูลส่วนบุคคลโดยไม่ปล่อยให้ล่าช้า
- Storage Limitation ข้อมูลส่วนบุคคลจะต้องไม่เก็บเกินขอบเขตของระยะเวลาที่ระบุไว้ เช่น ธนาคารทำการเก็บข้อมูลเกี่ยวกบสินเชื่อ เป็นระยะเวลา 10 ปี หลังชำระหนี้เสร็จสิ้นเนื่องจากเป็นการดำเนินการให้สอดคล้องตามอายุความและสอดคล้องตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน
- Integrity and Confidentiality จะต้องมีมาตรการรักษาความปลอดภัยทั้งในเชิงบริหารจัดการและเชิงเทคนิค ในฐานข้อมูลของธนาคารที่เก็บข้อมูลเกี่ยวกับการขออนมัติสินเชื่อ พนักงานสินเชื่อสามารถเข้าถึงข้อมูลดังกล่าวได้ ทว่าพนักงานแแผนกอื่นที่ได้ทำหน้าที่ที่เกี่ยวข้องกับการอนุมัติสิ้นเชื่อ จะไม่สามารถเข้าถึงฐานข้อมูลดังกล่าวได้
- Accountability ธนาคารในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ความรับผิดชอบในการประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามหลักการทางกฎหมาย กำหนดมาตรการรักษาความมั่นคงและปลอดภัยของข้อมูลทั้งข้อมูลในระบบฐานข้อมูล รวมถึงข้อมูลที่อยู่ในรูปเอกสารหรือ Hard Copy
การเก็บรวบรวมข้อมูลส่วนบุคคล มีรายละเอียดที่เกี่ยวกับวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล แนวปฏิบัติเกี่ยวกับฐานการประมวลผลข้อมูลส่วนบุคคล ซึ่งประกอบด้วย
ฐานความยินยอม
ฐานสัญญา
ฐานประโยชน์สำคัญต่อชีวิต
ฐานภารกิจของรัฐซึ่งเกี่ยวข้องกับการเปิดเผยข้อมูลรายละเอียดสินเชื่อของลูกค้าให้กับ กระทรวงการคลัง สำหรับกลุ่มลูกค้าที่กู้ยืมเงินโครงการภาครัฐ เพื่อใช้ในการเบิกดอกเบี้ยที่กระทรวงการคลังสนับสนุนในบางส่วน
ฐานประโยชน์อันชอบธรรม
ฐานการปฏิบัติตามกฎหมาย
ฐานเอกสารประวัติศาสตร์ จดหมายเหตุและการศึกษาวิจัยหรือสถิติ
นอกจากฐานการระมวลผลข้อมูลส่วนบุคคล ยังมีเรื่องความยินยอมละการประกาศความเป็นส่วนตัวอีกด้วย
การใช้ละเปิดเผยข้อมูลส่วนบุคคล อธิบายและขยายความแนวปฏิบัติในการเปิดเผยข้อมูลแก่ผู้บริหารภายนอกที่ธนาคารเป็นคู่สัญญา ทั้งในประเทศไทยและต่างประเทศ พร้อมด้วยแนวปฏิบัติในการเปิดเผยข้อมูลให้แก่หน่วยงานราชการหรือหน่วยงานที่กำกับดูแล แนวปฏิบัติในการเปิดเผยข้อมูลในกลุ่มเครือกิจการในประเทศ รายละเอียดและขอบเขตการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์กรระหว่างประเทศ รวมถึง รายละเอียดที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการทำการตลาดแบบตรง (Direct marketing)
Data Controller Checklist
Data Processor Checklist
เอกสารแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลภาคธุรกิจธนาคาร นอกจากจะมีรายละเอียดเกี่ยวกับข้อปฏิบัติ แนวทางการดำเนินงานทั้งเชิงเทคนิคและเชิงนโยบาย ที่ได้ยกตัวอย่างให้ดูบางส่วนแล้ว ยังมี แนวทางการเก็บข้อมูลส่วนบุคคลและระยะเวลาในการจัดเก็บ, การลบและการทำลายข้อมูลส่วนบุคคล, แนวปฏิบัติเกี่ยวกับข้อมูลที่มีการเก็บอยู่ก่อนแล้ว แนวปฏิบัติเกี่ยวกับการดำเนินการตามสิทธิที่ร้องขอของเจ้าของข้อมูลส่วนบุคคล ซึ่งมีรายละเอียดที่อธิบายไว้อย่างครบถ้วน สามารถอ่านเนื้อหาฉบับเต็มจากเอกสาร แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลภาคธุรกิจธนาคาร ได้ที่นี่ คลิกได้เลย
8 เรื่องที่ธนาคารและสถาบันการเงินต้องระวัง เมื่อต้องทำ PDPA
t-reg สรุปสาระเรื่อง PDPA ธนาคาร ต้องระวังเรื่องอะไรบ้าง? เพื่อให้โครงการ PDPA สำเร็จตามแนวทางที่กฎหมายกำหนด
การประมวลผลข้อมูลส่วนบุคคล ด้วยการใช้ฐานการปฏิบัติตามกฎหมาย นอกจากธุรกิจธนาคารจะเกี่ยวข้องกับกฎหมาย PDPA แล้ว ยังมีความเชื่อมโยงกับกฎหมายอื่นๆ ด้วย ซึ่งกฎหมายสำคัญที่เกี่ยวข้องโดยตรงกับธุรกิจธนาคารเพราะถือเป็นหนึ่งในกฎหมายที่ทุกธนาคารจะต้องอ้างถึงและระบุไว้ในจริยธรรมการดำเนินธุรกิจ คือ พ.ร.บ. ป้องกันและปราบปรามการฟอกเงิน
โดยในฐานการปฏิบัติตามกฎหมาย ของกฎหมาย PDPA สามารถเชื่อมโยงแนวปฏิบัติของกฎหมาย PDPA กับ พ.ร.บ. ป้องกันและปราบปรามการฟอกเงิน ได้ 5 ประเด็นด้วยกัน คือ
ธนาคารมีความจำเป็นในการประมวลผลข้อมูลส่วนบุคคลเพื่อใช้ในการระบุตัวตนและตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า Know Your Customer (KYC), Customer Due Diligence (CDD)
ธนาคารมีหน้าที่ในการจัดทำการยื่นภาษีให้กับกรมสรรพากร ซึ่งกรมสรรพากรอาจขอให้ธนาคารเปิดเผยข้อมูลบางอย่าง เช่น ค่าใช้จ่ายเงินเดือนพนักงาน เพื่อทำการตรวจสอบความถูกต้องในการคำนวณภาษีที่ธนาคารยื่นต่อกรมสรรพากร
ธนาคารเปิดเผยข้อมูลสินทรัพย์และหนี้สินของพนักงานหรือลูกค้าให้กับคณะกรรมการป้องกันและปราบปรามการทุจริตแห่งชาต เพื่อให้สำนักงานใช้ในการตรวจสอบความถูกต้องของรายการสินทรัพย์หนี้สิน
ธนาคารมีความจำเป็นจะต้องเปิดเผยข้อมูลส่วนบุคคลของลูกหนี้แก่ศาล เพื่อดำเนินการฟ้องล้มละลายภายใต้ พ.ร.บ. ล้มละลาย
เพื่อปฏิบัติตามข้อกำหนดของกฎหมาย Foreign Account Tax Compliance Act (FATCA) ซึ่งเป็นข้อตกลงระหว่างไทย-สหรัฐอเมริกา ธนาคารมีความจำเป็นต้องเก็บรวบรวมข้อมูลสัญชาติของลูกค้า และต้องรายงานข้อมูลทางบัญชีของลูกค้าชาวอเมริกาต่อกรมสรรพากรของสหรัฐฯ
Privacy Notice เพื่อสร้างความเชื่อมั่นให้กับผู้ใช้บริการ และเพื่อให้การดำเนินการด้านอื่นๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล มีความปลอดภัย อยู่ภายใต้ข้อกำหนดของกฎหมาย ธุรกิจธนาคารทุกแห่ง มีความจำเป็นต้องประกาศ Privacy Notice ของตนเอง ซึ่งคำประกาศนี้จะสื่อสารโดยตรงกับเจ้าของข้อมูลส่วนบุคคล ซึ่งมีส่วนได้ส่วนเสียกับการประมวลผลข้อมูลส่วนบุคคล โดยใน Privact Notice ส่วนใหญ่มักประกอบไปด้วย
วัตถุประสงค์ที่ธนาคารเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
คำนิยามของเจ้าของข้อมูลส่วนบุคคล ที่มีเกี่ยวข้องกับกิจกรรมการประมวลผลข้อมูลของธนาคาร
ประเภทของข้อมูลส่วนบุคคล ที่ธนาคารทำการประมวลผล และรายการของข้อมูลที่มีการเก็บ รวบรวม ใช้และเผยแพร่
การเปิดเผยข้อมูลส่วนบุคคลและเหตุผล
นโยบายการเก็บและใช้คุกกี้ของธนาคาร เมื่อเจ้าของข้อมูลส่วนบุคคลใช้งานเว็บไซต์ของธนาคาร
มาตรการคุ้มครองข้อมูลส่วนบุคคลของธนาคาร ซึ่งประกอบด้วยมาตรการป้องกันด้านการบริหารจัดการ (Administrative safeguard) มาตรการป้องกันด้านเทคนิค (Technical safeguard) และมาตรการป้องกันทางกายภาพ (Physical safeguard)
การโอนข้อมูลส่วนบุคคลไปต่างประเทศ
สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้นิยามไว้
ช่องทางการติดต่อ DPO บริษัทในกลุ่มธุรกิจทางการเงิน หากเจ้าของข้อมูลส่วนบุคคลต้องการยื่นใช้สิทธิ หรือแจ้งเรื่องร้องเรียนเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลต่อธนาคาร
อีกหนึ่งนโยบายที่สำคัญ ซึ่งมีความคล้ายคลึงกับ Privacy Notice คือ Privacy Policy ซึ่งเป็นนโยบายที่ใช้สำหรับประกาศภายในองค์กร เพื่อเป็นแนวทางการจัดเก็บ รวบรวม และใช้งานข้อมูลส่วนบุคคลคนภายในองค์กร หรือหน่วยงาน ซึ่งในเนื้อหามันส่งผลโดยตรงกับพนักงานที่ใช้ข้อมูลส่วนบุคคลไม่ว่าจะเก็บ หรือใช้ก็ตาม ดังนั้นพนักงานต้องเข้าใจ และทำตามนโยบายที่องค์กรกำหนดมาอย่างเคร่งครัด
ROPA & DPIA ตามมาตรา 39 และมาตรา 40 ในพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กำหนดให้องค์กรที่มีการเก็บ รวบรวม และเผยแพร่ข้อมูลส่วนบุคคล ต้องมีการจัดทำ Record of Processing Activity (RoPA) หรือ บันทึกการประมวลผลข้อมูลส่วนบุคคล
เหตุที่ธุรกิจธนาคาร รวมถึงธุรกิจอื่นๆ ต้องให้ความสำคัญกับการทำ RoPA เพราะกระบวนการนี้ ถือเป็นขั้นตอนที่มีความสำคัญมากที่สุด ต่อความสำเร็จในการดำเนินโครงการ PDPA ขององค์กร เพราะข้อมูลจากบันทึกกิจกรรมการประมวลผลดังกล่าว เปรียบเสมือนแผนผังของข้อมูลส่วนบุคคลทั้งหมดในองค์กร หากองค์กรเข้าใจภาพรวมของการประมวลผลข้อมูลส่วนบุคคล จะช่วยทำให้องค์กรสามารถวางแผนในการดำเนินการเกี่ยวกับ PDPA ทั้งหมดขององค์กรได้อย่างถูกต้องครบถ้วน
ทำความเข้าใจเนื้อหาสำคัญของ RoPA เพิ่มเติมได้ที่นี่
เมื่อได้ภาพรวมของข้อมูลทั้งหมดจากกระบวนการทำ RoPA จะสามารถนำภาพรวมที่ได้ ไปต่อยอดเพื่อให้สอดคล้องกับ แนวปฏิบัติเกี่ยวกับการจัดทำการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment: DPIA)
DPIA เป็นกระบวนการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล สำหรับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลต่างๆ เพราะการประมวลผลข้อมูลส่วนบุคคลของธนาคารอาจก่อให้เกิดความเสี่ยงที่กระทบต่อสิทธิและเสรีภาพของบุคคล ธนาคารจึงต้องประเมินผลกระทบให้ครอบคลุม เพื่อเป็นแนวทางในการจัดทำมาตรการรักษาความมั่นคงและปลอดภัยที่เหมาะสมกับความเสี่ยง นอกจากกระบวนการนี้จะสอดคล้องกับกฎหมาย PDPA ยังสอดคล้องกับ GDPR ของยุโรปซึ่งเป็นกฎหมายที่บังคับใช้กันทั่วโลก
DPIA เป็นกระบวนการที่ธุรกิจธนาคารควรเริ่มจัดทำก่อนการประมวลผลข้อมูลส่วนบุคคล และดำเนินการควบคู่ไปกับการบริหารจัดการและการพัฒนา หากองค์กรสามารถผลักดันกระบวนการ DPIA ในองค์กรได้อย่างเป็นระบบจะเป็นการเพิ่มประสิทธิภาพและประสิทธิผลในการประมวลผลข้อมูลส่วนบุคคลภายในองค์กรได้
แนวปฏิบัติสำหรับการจัดทำ DPIA สำหรับธุรกิจธนาคาร มีดังนี้
ธนาคารต้องระบุรายละเอียดเกี่ยวกับ กระบวนการหรือวิธีการประมวลผลข้อมูล ระบุวัตถุประสงค์ในการประมวลผลข้อมูล และประโยชน์อันชอบธรรมว่าด้วยกฎหมายของธนาคาร
จัดให้มีการประเมินความจำเป็นและสัดส่วนในการใช้ข้อมูลอย่างเหมาะสม ซึ่งต้องสอดคล้องกับวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
การประเมินตวามเสี่ยงที่อาจเกิดผลกระทบต่อความเป็นส่วนตัว สิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
- จัดให้มีแนวทางในการจัดการความเสี่ยงที่จะเกิดขึ้น รวมถึงจัดให้มีมาตรการในการรักษาความปลอดภัยของข้อมูลที่เหมาะสมเพื่อให้แน่ใจว่า ธนาคารมีการคุ้มครองสิทธิเสรีภาพและผลประโยชน์อันชอบธรรมของเจ้าของข้อมูลส่วนบุคคลหรือบุคคลอื่นที่มีความเสี่ยงที่จะได้รับผลกระทบ
การเก็บข้อมูลส่วนบุคคลผ่านธุรกรรมการเงินดิจิทัลและ Mobile Banking แทบทุกธนาคารในไทย มีการพัฒนาแอพลิเคชั่นของแต่ละธนาคาร เพื่อรองรับธุรกรรมดิจิทัล ทำให้การฝาก ถอน โอน จ่าย ซื้อกองทุน ชำระค่าบริการต่างๆ หรือแม้แต่การซื้อประกัน เปิดบัญชีเงินฝาก หรือรับเอกสารอิเล็กทรอนิกส์ต่างๆ ผ่าน Mobile Banking นั้นมีความสะดวกสบายมากยิ่งขึ้น ผู้ใช้งานสามารถทำธุรกรรมผ่านแอพลิเคชั่นได้ทุกที่ ทุกเวลา โดยไม่จำเป็นต้องเข้าไปใช้บริการที่ธนาคาร ทว่าความสะดวกสบายเหล่านี้ แลกมาด้วยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลจำเป็นต้องเปิดเผยแก่ธนาคาร อาทิ เลขบัตรประจำตัวประชาชน ข้อมูลทางชีวมิติ (Biometric) เช่น ข้อมูลแบบจำลองใบหน้า (Face Recognition) ข้อมูลแบบจำลองลายนิ้วมือ (Fingerprint ) ที่มักใช้ในการยืนยันตัวตนของลูกค้าในการสมัครใช้งานแอพลิเคชั่นในครั้งแรก หรือการยืนยันตัวตนก่อนการใช้บริการ/ ทำธุรกรรม ในกรณีนี้ ธนาคารที่เป็นเจ้าของแอพลิเคชั่นจะต้องขอความยินยอมในการประมวลผลข้อมูลอ่อนไหว ก่อนหรือขณะที่ลูกค้าสมัครใช้งานครั้งแรก
แต่สำหรับฟังค์ชั่นที่แสดงข้อมูลของบุคคลอื่นบนแอพลิเคชั่น ผ่านเมนูรายการโปรด เช่น เลขที่บัญชีธนาคาร ซึ่งนับเป็นการแสดงข้อมูลของบุคคลอื่น ในกรณีนี้ถือว่าธนาคารได้จัดทำขึ้นเพื่ออำนวยความสะดวกให้กับลูกค้า ธนาคารไม่จำเป็นต้องขอความยินยอมจากบุคคลซึ่งเป็นเจ้าของข้อมูลที่อยู่บนรายการโปรดนั้น สามารถใช้ฐานการประมวลผลอันชอบธรรมได้
ไม่เพียงแค่การขอความยินยอมจากเจ้าของข้อมูลเท่านั้น หน้าที่ของธนาคารหลังจากได้ข้อมูลอ่อนไหวจากเจ้าของข้อมูลมาแล้ว จะต้องมีมาตรการในการเก็บ รวบรวม และดูแลความปลอดภัยของข้อมูลตามที่กฏหมายกำหนด
Cyber attack & Cybersecurity ต่อเนื่องจากหัวข้อที่ผ่านมา สิ่งที่ธนาคารต้องให้ความสำคัญไม่น้อยไปกว่าการประมวลผลข้อมูลส่วนบุคคลตามข้อกำหนดทางกฎหมาย คือการรักษาความมั่นคงปลอดภัยางไซเบอร์และการเตรียมความพร้อมรับมือภัยในรูปแบบต่างๆ ที่แฝงตัวอยู่บนโลกไซเบอร์ ซึ่งในปัจจุบันยิ่งทวีความซับซ้อนและก่อให้เกิดความเสียหายต่อผู้ที่หลงเชื่อ อีกทั้งส่งผลเสียถึงความเชื่อมั่นของผู้ใช้งานต่อการบริการของธนาคารอีกด้วย โดยรูปแบบของ Cyber attack ที่พบเจอได้บ่อยครั้ง อาทิ การก่อกวนเครือข่าย การปลอมหน้าเว็บไซต์ เพื่อล้วงข้อมูลผู้ใช้งาน หรือหลอกให้ดาวน์โหลดไฟล์/ แอพลิเคชั่นที่เป็นอันตราย การหลอกหลวงให้ผู้ใช้ติดตั้งโปรแกรม ที่ผู้ร้ายสามารถเข้าถึง เข้าควบคุมข้อมูลหรือโจรกรรมข้อมูลสำคัญไปได้ การป้องกันภัยเหล่านี้ นอกจากผู้ใช้งานจะต้องมีไหวพริบและมีความรอบคอบในการรับข้อมูลข่าวสารแล้ว ธนาคารในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และประมวลผลข้อมูลส่วนบุคคล จำเป็นจะต้องมีการดำเนินการทั้งทางนโยบายและการปฏิบัติ เพื่อพิทักษ์และรักษาความมั่นคงปลอดภัยทางไซเบอร์ โดยประเด็นที่ธนาคารควรคำนึงถึง มีดังต่อไปนี้
การพัฒนา ปรับปรุง โครงสร้างพื้นฐานและระบบด้านไอที จัดให้มีการตรวจสอบ พัฒนา และรักษาสภาพเพื่อความมีประสิทธิภาพอยู่อย่างสม่ำเสมอ
- ธนาคารควรให้คำสำคัญกับระบบในการป้องกัน ตรวจจับ และตอบโต้การโจมตีทางไซเบอร์ โดยอ้างอิงตามกรอบการดำเนินงานด้านภัยคุกคามทางไซเบอร์ของธนาคาร ที่ประกอบไปด้วย 5 ส่วน ได้แก่ การระบุ การป้องกัน การตรวจจับ การตอบโต้ และการกู้คืน
- ธนาคารควรจัดให้มีการพัฒนาโปรแกรมการฝึกอบรมออนไลน์ (e-learning) ในหัวข้อเกี่ยวกับภัยคุกคามทางไซเบอร์เพื่อสร้างความตระหนักและความเข้าใจ ตลอดจนให้ความรู้เกี่ยวกับวิธีการในการป้องกันการโจมตีทางไซเบอร์และการคุกคามทางไซเบอร์แก่พนักงานภายในองค์กร
อ่านเพิ่มเติม ทำไมองค์กรสร้างการตระหนักรู้เรื่องการป้องกันการโจมตีทางไซเบอร์
การประมวลผลข้อมูลส่วนบุคคล บนฐานประโยชน์อันชอบธรรม อ้างอิงจากแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลภาคธุรกิจธนาคาร ในหัวข้อ แนวปฏิบัติเกี่ยวกับฐานการประมวลผลข้อมูลส่วนบุคคล เจาะลึกลงไปในเรื่องฐานประโยชน์อันชอบธรรม ฐานนี้ถูกใช้อ้างอิงในหลายๆ กิจกรรมของธนาคารเพราะเป็นหนึ่งในฐานทางกฎหมายที่มีความยืดหยุ่นมากที่สุด อย่างไรก็ตามหากธนาคารเลือกที่จะประมวลผลภายใต้ฐานนี้ ธนาคารจะต้องอธิบายเหตุและผลโดยละเอียดให้ได้ อีกทั้งใช้ดุลยพินิจอย่างมากในการประมวลผล ข้อสำคัญที่ควรคำนึงถึง คือ การประมวลผลด้วยฐานประโยชน์อันชอบทำ จะต้องไม่เป็นการละเมิดหรือกระทบต่อสิทธิขั้นพื้นฐานและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
ในทางปฏิบัติ ธนาคารสามารถใช้ฐานการประมวลผลอันชอบธรรมได้ในกรณีต่อไปนี้
- ธนาคารสามารถประมวลผลข้อมูลส่วนบุคคลในฐานข้อมูลของธนาคารได้ หากการประมวลผลนั้นมีความเหมาะสมในการใช้ข้อมูล ไม่ก่อผลกระทบเชิงลบต่อเจ้าของข้อมูล
ธนาคารสามารถประมวลผลข้อมูลของผู้เยาว์ภายใต้ฐานประโยชน์อันชอบธรรมได้ โดยคำนึงถึงความเหมาะสมและต้องดำเนินการอย่างระมัดระวัง โดยจะต้องพิจารณาการจัดทำ DPIA เพื่อประเมินความเสี่ยงและผลกระทบที่อาจเกิดขึ้นจากการประมวลผลและแนวทางในการรับความเสี่ยงดังกล่าวด้วย
ธนาคารสามารถบันททึกภาพผู้ที่มาติดต่อทำธุรกรรมกับสำนักงานหรือสาขาของธนาคารบน CCTV รวมถึงแลกบัตรก่อนเข้าธนาคาร เพื่อจุดประสงค์ด้านความปลอดภัย และจำเป็นต้องจัดทำประกาศแจ้งให้ผู้มาติดต่อทราบ
ธนาคารมีการติดกล้องที่ตู้ ATM และมีการบันทึกภาพ เพื่อวัตถุประสงค์ด้านความปลอดภัย ธนาคารควรติดประกาศหรือแจ้งผ่านหน้าจอแสดงผล เพื่อให้บุคคลที่มาใช้บริการตู้ ATM ได้ทราบ
ฯลฯ
ความยินยอม (Consent) รายละเอียดในการใช้ฐานความยินยอม เพื่อการประมวลผลข้อมูลส่วนบุคคลของธุรกิจธนาคาร เน้นไปที่กิจกรรม/ กระบวนการที่ธนาคารจะต้องดำเนินการอย่างเข้มงวด ภายใต้ฐานความยินยอมที่เจ้าของข้อมูลส่วนบุคคล สามารถให้ ปฎิเสธ ระงับ ความยินยอมได้
ประเด็นหลักที่เกี่ยวข้องกับฐานความยินยอม ได้แก่
ธนาคารควรเลือกใช้ฐานการประมวลผลให้เหมาะสมกับวัตถุประสค์ในการประมวลผลข้อมูลส่วนบุคคล เนื่องจากฐานความยินยอมไม่สามารถใช้ได้กับทุกกรณี เจ้าของข้อมูลส่วนบุคคลสามารถปฏิเสธการให้ความยินยอมได้ และการปฏิเสธจะต้องไม่มีผลกระทบต่อการได้รับบริการตามสัญญา
ธนาคารต้องไม่นำฐานความยินยอมและฐานสัญญามาปะปนกัน ต้องแยกให้ได้ว่าข้อมูลใดจำเป็นสำหรับการปฏิบัติตามสัญญาก็ควรจะระบุอยู่ในสัญญา การขอความยินยอมจะต้องแยกส่วนออกจากข้อความอื่นอย่าชัดเจน ไม่นำมารวมอยู่ในเงื่อนไขของการใช้บริการ
ผู้ควบคุมข้อมูลส่วนบุคคลต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลอย่างชัดเจน เป็นลายลักษณ์อักษร การขอความยินยอมในรูปแบบวาจา ที่มีการบันทึกความยินยอมในรูปแบบเสียงด้วยระบบดิจิทัล ธนาคารต้องมีกระบวนการพิสูจน์และยืนยันตัวตนเจ้าของข้อมูลส่วนบุคคลก่อนทำการขอความยินยอมเพื่อให้มั่นใจว่าคู่สนทนาเป็นเจ้าของข้อมูลส่วนบุคคลของธนาคารจริง
ธนาคารต้องขอความยินยอมจากลูกค้าภายใต้ข้อกำหนดของธนาคารแห่งประเทศไทย เรื่องการบริหารจัดการด้านการให้บริการแก่ลูกค้าอย่างเป็นธรรม (Market Conduct) เพื่อใช้ในการเปิดเผยข้อมูลส่วนบุคคลหรือข้อมูทางการเงินอื่นๆ ของลูกค้าที่ให้ไว้กับธนาคารหรือที่ธนาคารอาจเข้าถึงได้จากแหล่งอื่น
- ธนาคารไม่สามารถกำหนดให้การขายผลิตภัณฑ์ด้านหลักทรัพย์หรือประกันภัยควบคู่กับผลิตภัณฑ์ของธนาคารได้ (Bundle Product) หรือกำหนดเป็นเงื่อนไขในการขายหรือให้บริการผลิตภัณฑ์หลัก เช่น ธนาคารไม่สามารถบังคับให้ลูกค้าทำประกันภัยกับบริษัทใดบริษัทหนึ่งเพื่อเป็นเงื่อนไขในการให้สินเชื่อ
แนวปฏิบัติเกี่ยวกับข้อมูลที่มีการเก็บอยู่ก่อนที่ PDPA จะประกาศและมีผลบังคับใช้ มาตรา 95 ในพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล กำหนดให้ ข้อมูลส่วนบุคลที่ผู้ควบคุมข้อมูลส่วนบุคคลได้เก็บรวบรวมไว้ก่อนที่ พ.ร.บ. นี้จะบังคับใช้ ให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม นั่นหมายถึง ธนาคารสามารถประมวลข้อมูลส่วนบุคคลได้ตามวัตถุประสงค์เดิมที่เคยแจ้งต่อลูกค้าหรือตามความคาดหมายเดิมของลูกค้า แต่จะต้องแจ้งวิธีการยกเลิกความยินยอมให้ลูกค้าทราบ เพื่อให้ลูกค้าสามารถปฏิเสธความยินยอมได้
ทั้ง 8 ประเด็นนี้ เป็นเพียงส่วนหนึ่งที่ t-reg ได้สรุปจากการหาข้อมูล ในการดำเนินการตามข้อกำหนดของกฎหมาย PDPA เพื่อให้การประมวลผลข้อมูลส่วนบุคคลของผู้ใช้งาน มีประสิทธิภาพและปลอดภัยอย่างสูงสุด ธนาคารอาจต้องใช้กลยุทธ์ หรือเครื่องมืออื่นๆ ประกอบด้วย และธนาคารจำเป็นต้องทำการศึกษา ทำความเข้าใจ ทั้งกฎหมาย แนวปฏิบัติและข้อกำหนดต่างๆ ที่เกี่ยวข้อง
สรุป PDPA ธนาคาร เรื่องใหม่ ที่ไม่ง่าย
ธุรกรรมทางการเงิน ไม่เพียงแค่เกี่ยวข้องกับตัวเลข หรือ เม็ดเงินเพียงอย่างเดียว แต่ธุรกรรมทางการเงินในปัจจุบัน มีการพัฒนาให้อยู่ในรูปแบบดิจิทัล เข้าถึงง่าย ใช้บริการได้จากทุกที่ ทุกเวลา และเกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างหลีกเลี่ยงไม่ได้ อันเนื่องมาจากข้อมูลของลูกค้า/ ผู้ใช้งานได้ถูกสร้าง จัดเก็บ และประมวลผลอยู่ตลอดเวลา การไหลเวียนของข้อมูลในยุคดิจิทัล ส่งผลให้เกิดความเสี่ยงในการแพร่กระจายของข้อมูล และมีความเชื่อมโยงกับความมั่นคงปลอดภัยทางไซเบอร์
การมาถึงของกฎหมาย PDPA ส่งผลกระทบในเชิงบวก ต่อการประมวลผลข้อมูลส่วนบุคคลในทุกธุรกิจ ทุกอุตสาหกรรม ขณะเดียวกันก็สร้างความท้าทายให้กับแต่ละธุรกิจ โดยเฉพาะธุรกิจการเงินการธนาคาร ที่มีการเก็บ รวบรวม ใช้ ข้อมูลส่วนบุคคลจำนวนมหาศาล ฉะนั้นหน้าที่ของธนาคารนอกจากหน้าที่ในการดูแลการเงิน การลงทุนของลูกค้าแล้ว ธนาคารจึงมีหน้าที่สำคัญในดูแลความเป็นส่วนตัว และดูแลรักษาความปลอดภัย ความถูกต้อง ของข้อมูลส่วนบุคคลของลูกค้าด้วย
การดำเนินการตามข้อกำหนดของกฎหมาย PDPA จะเป็นเรื่องใหม่ ที่ท้าทาย แต่จะไม่ถูกละเลย หากธนาคารหรือสถาบันการเงินตระหนักได้ว่าข้อมูลของลูกค้ามีความสำคัญต่อการคิดค้น พัฒนานวัตกรรมทางการเงิน ยกระดับการบริการ และเป็นการสร้างความยั่งยืนในการใช้ประโยชน์จากข้อมูลส่วนบุคคล ซึ่งในภาพรวมแล้วประโยชน์ของกฎหมาย PDPA ที่มีต่อธุรกิจและองค์กร ยังมีส่วนช่วยในเรื่อง การพัฒนาระบบข้อมูลในองค์กร ช่วยให้องค์กรเข้าใจ Data Flow ช่วยให้การใช้งานข้อมูลระหว่างฝ่ายงานต่างๆ ในองค์กรสะดวกยิ่งขึ้น ช่วยเพิ่มความน่าเชื่อถือให้กับผู้ใช้ ลูกค้า และนักลงทุนอีกด้วย
