法律人 LawPlayer logo

資料由法律人 LawPlayer整理提供·กฎหมายไทย / LawPlayer จากสำนักงานคณะกรรมการกฤษฎีกา

adminRule

ประกาศคณะกรรมการคุ้มครองข้อมูลเครดิต เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการจัดระบบและข้อกำหนดเพื่อประมวลผลข้อมูล

เลขที่
วันที่ประกาศ
จำนวนมาตรา
13
มาตรา อารัมภบท

ประกาศคณะกรรมการคุ้มครองข้อมูลเครดิต

ประกาศคณะกรรมการคุ้มครองข้อมูลเครดิต

เรื่อง

หลักเกณฑ์ วิธีการ และเงื่อนไขในการจัดระบบและข้อกำหนดเพื่อประมวลผลข้อมูล[๑]

คณะกรรมการคุ้มครองข้อมูลเครดิตอาศัยอำนาจตามความในมาตรา

๑๗ แห่งพระราชบัญญัติการประกอบธุรกิจข้อมูลเครดิต พ.ศ. ๒๕๔๕ กำหนดหลักเกณฑ์

วิธีการ และเงื่อนไข สำหรับบริษัทข้อมูลเครดิตในการประมวลผลข้อมูลเครดิต ดังนี้

มาตรา ข้อ ๑

ข้อ ๑

บริษัทข้อมูลเครดิตต้องจัดให้มีระบบจำแนกข้อมูล คือ

(๑)

ข้อเท็จจริงที่บ่งชี้ถึงตัวลูกค้าที่ขอสินเชื่อ

(๒) ประวัติการได้รับอนุมัติสินเชื่อ

(๓) ประวัติการชำระสินเชื่อและการชำระราคาสินค้าหรือบริการโดยบัตรเครดิต

(๔)

ข้อมูลที่บ่งชี้ถึงตัวสมาชิกผู้ให้ข้อมูลหรือเจ้าของข้อมูล

มาตรา ข้อ ๒

ข้อ ๒ เพื่อให้ข้อมูลมีความทันสมัยอยู่เสมอ

บริษัทข้อมูลเครดิตต้องกำหนดระเบียบปฏิบัติเพื่อให้สมาชิกแจ้งข้อมูลที่มีการเปลี่ยนแปลงให้บริษัทข้อมูลเครดิตทราบ

โดยเมื่อตรวจสอบพบความไม่ทันสมัย

ต้องแจ้งต่อสมาชิกผู้ส่งข้อมูลดังกล่าวเพื่อดำเนินการแก้ไขโดยทันที

มาตรา ข้อ ๓

ข้อ ๓

บริษัทข้อมูลเครดิตต้องจัดให้มีระบบการแก้ไขข้อมูลให้มีความถูกต้อง

โดยเมื่อตรวจสอบพบความไม่ถูกต้อง

ต้องแจ้งต่อสมาชิกผู้ส่งข้อมูลดังกล่าวเพื่อดำเนินการแก้ไขโดยทันที

มาตรา ข้อ ๔

ข้อ ๔

บริษัทข้อมูลเครดิตต้องมีระบบรักษาความลับและความปลอดภัยของข้อมูลเพื่อป้องกันไม่ให้มีการนำข้อมูลไปใช้ผิดวัตถุประสงค์ของการประกอบธุรกิจข้อมูลเครดิตและไม่ให้ผู้ไม่มีสิทธิได้รับรู้ข้อมูลได้ล่วงรู้ข้อมูลดังกล่าว

รวมทั้งระบบป้องกันไม่ให้ข้อมูลถูกแก้ไข ทำให้เสียหายหรือถูกทำลายโดยไม่ชอบหรือโดยไม่ได้รับอนุญาตอย่างน้อย

ดังนี้

(๑)

กำหนดให้สมาชิกหรือผู้ใช้บริการต้องมีระบบยืนยันผู้ใช้ โดยอย่างน้อยต้องกำหนดให้มี

“รหัสผู้ใช้งาน” (User

ID) และ “รหัสผ่านเพื่อการใช้งาน”

(Password) เพื่อป้องกันการเรียกดูข้อมูลโดยไม่ได้รับอนุญาต

หรือโดยบุคคลที่ไม่เกี่ยวข้อง

(๒) การเข้าถึง

และ/หรือแก้ไขข้อมูลของสมาชิกหรือผู้ใช้บริการทุกครั้ง

ต้องมีระบบบันทึกและยืนยันไว้เพื่อเป็นหลักฐานที่อ้างอิงได้

(๓) คอมพิวเตอร์ หรืออุปกรณ์ หรือเครื่องมือใด ๆ

ทุกชนิด ที่เชื่อมต่อกับฐานข้อมูลของบริษัทข้อมูลเครดิตไม่ว่าจะใช้สายหรือไร้สาย

จะต้องได้รับการออกแบบติดตั้งระบบรักษาความปลอดภัยและมีระบบเตือนภัย (Alert

report) เพื่อป้องกันการดักหรือลักลอบดูหรือโจรกรรมข้อมูล

หรือก่อความเสียหายที่อาจจะเกิดขึ้นหรือเกิดแก่ข้อมูล

และ/หรือฐานข้อมูลของบริษัทข้อมูลเครดิต นอกจากนี้

ต้องมีระเบียบปฏิบัติให้ผู้ที่เกี่ยวข้องมีการทดสอบ

หรือใช้ระบบรักษาความปลอดภัยดังกล่าวตามกำหนดเวลาที่ชัดเจนและเคร่งครัด

มาตรา ข้อ ๕

ข้อ ๕

บริษัทข้อมูลเครดิตต้องจัดให้มีระบบการขอใช้ข้อมูลและระบบการรายงานข้อมูลตามปกติ

โดยอย่างน้อยต้องประกอบด้วย คู่มือการใช้งาน เพื่ออำนวยความสะดวกให้กับสมาชิกหรือผู้ใช้บริการ

มาตรา ข้อ ๖

ข้อ ๖

บริษัทข้อมูลเครดิตต้องจัดให้มีระบบในการอำนวยความสะดวกให้กับเจ้าของข้อมูลในการตรวจสอบข้อมูลเครดิต

โดยบริษัทข้อมูลเครดิตต้องประกาศกำหนดวันและเวลาที่เจ้าของข้อมูลจะสามารถขอตรวจสอบข้อมูลเครดิตได้ตามความเหมาะสม

มาตรา ข้อ ๗

ข้อ ๗

บริษัทข้อมูลเครดิตต้องมีระเบียบปฏิบัติที่ชัดเจนสำหรับเจ้าของข้อมูลที่ต้องการจะตรวจสอบและแก้ไขข้อมูลที่มีอยู่

ในกรณีที่เกิดข้อโต้แย้งที่ไม่อาจหาข้อยุติได้หรือมีการแก้ไขข้อมูลระหว่างบริษัทข้อมูลเครดิตกับเจ้าของข้อมูล

บริษัทข้อมูลเครดิตต้องบันทึกข้อโต้แย้งพร้อมหลักฐานประกอบของเจ้าของข้อมูลไว้ในระบบข้อมูลของเจ้าของข้อมูล

เพื่อใช้ในการตรวจสอบและเป็นหลักฐานอ้างอิงต่อไป

รวมทั้งต้องแจ้งข้อมูลที่แก้ไขให้แก่แหล่งข้อมูลสมาชิกหรือผู้ใช้บริการที่เกี่ยวข้องเพื่อนำไปแก้ไขข้อมูลให้ถูกต้องต่อไปด้วย

มาตรา ข้อ ๘

ข้อ ๘ หากมีข้อโต้แย้งเกิดขึ้นระหว่างสมาชิก

หรือผู้ใช้บริการกับบริษัทข้อมูลเครดิต หรือกับเจ้าของข้อมูลและไม่อาจหาข้อยุติได้

ให้บริษัทข้อมูลเครดิตต้องบันทึกข้อโต้แย้งนั้นในระบบข้อมูลของเจ้าของข้อมูลนั้นเพื่อใช้ในการตรวจสอบและเป็นหลักฐานอ้างอิงต่อไป

พร้อมกับแจ้งให้บุคคลที่เกี่ยวข้องทราบด้วย

มาตรา ข้อ ๙

ข้อ ๙

บริษัทข้อมูลเครดิตต้องมีระบบบันทึกการขอใช้ข้อมูลและการรายงานผลทุกครั้งเมื่อมีผู้เข้าถึงข้อมูล

โดยระบบและการรายงานต้องสามารถระบุรหัสผู้ใช้งาน พร้อมทั้งวันที่เข้าถึงข้อมูล

ซึ่งสามารถตรวจสอบได้เมื่อมีปัญหาและข้อโต้แย้ง ทั้งนี้ ให้เก็บข้อมูลดังกล่าวมีกำหนดระยะเวลาไม่น้อยกว่าสองปีนับแต่วันที่มีการบันทึกของการเข้าถึงและออกจากข้อมูลเพื่อให้เจ้าของข้อมูลตรวจสอบได้

มาตรา ข้อ ๑๐

ข้อ ๑๐

บริษัทข้อมูลเครดิตต้องจัดให้มีระบบฐานข้อมูลของทะเบียนหนังสือคำยินยอมให้เปิดเผยข้อมูลจากเจ้าของข้อมูลไว้

โดยอาจจัดเก็บในรูปแบบอิเล็คทรอนิกส์หรือเอกสารต้นฉบับซึ่งอย่างน้อยต้องเรียงลำดับชื่อหรือนามสกุลตามตัวอักษร

วันที่ให้ความยินยอม และชื่อสมาชิกผู้รับใบให้คำยินยอม

เพื่อประโยชน์ในการตรวจสอบคำยินยอมดังกล่าวกรณีมีการร้องขอจากเจ้าของข้อมูลหรือสมาชิก

หรือผู้ใช้บริหาร หรือศาล หรือพนักงานสอบสวน ในการนี้

ระบบฐานข้อมูลดังกล่าวต้องสามารถเข้าถึงได้อย่างรวดเร็วและถูกต้อง

มาตรา ข้อ ๑๑

ข้อ ๑๑

บริษัทข้อมูลเครดิตต้องจัดให้มีระบบสำรองข้อมูลและระบบประมวลผลสำรองเตรียมพร้อมอยู่เสมอ

หากเกิดปัญหาขึ้นกับระบบข้อมูลหลัก

มาตรา ข้อ ๑๒

ข้อ ๑๒ บริษัทข้อมูลเครดิตต้องมีระบบหรือโปรแกรมที่พัฒนาขึ้นเพื่อทำลายข้อมูลที่มีอายุเกินกว่าที่คณะกรรมการกำหนด ทั้งนี้

บริษัทข้อมูลเครดิตต้องมีคู่มือที่บ่งบอกถึงขั้นตอนและระเบียบวิธีปฏิบัติในการทำลายข้อมูลให้ชัดเจน

มาตรา ข้อ ๑๓

ข้อ ๑๓ บริษัทข้อมูลเครดิตจะต้องจัดให้มีผู้เชี่ยวชาญภายนอก

ซึ่งธนาคารแห่งประเทศไทยได้ให้ความเห็นชอบ

ทำการตรวจสอบระบบที่เกี่ยวข้องกับการประมวลผลข้อมูลทุกระบบ (System

Audit)

และออกรายงานยืนยันความถูกต้องครบถ้วนของทุกระบบอย่างน้อยปีละหนึ่งครั้ง

ประกาศนี้ให้ใช้บังคับตั้งแต่วันที่ในประกาศนี้เป็นต้นไป

ประกาศ

ณ วันที่ ๒๖ ธันวาคม พ.ศ. ๒๕๔๖

ปรีดิยาธร เทวกุล

ประธานคณะกรรมการคุ้มครองข้อมูลเครดิต

วฤษาย์/ผู้จัดทำ

๒๑

ตุลาคม ๒๕๕๒

[๑]

ราชกิจจานุเบกษา เล่ม ๑๒๕/ตอนพิเศษ ๑๗ ง/หน้า ๒๓/๒๔ มกราคม ๒๕๕๑

13 มาตรา

อ้างอิงกฎหมายนี้

ประกาศคณะกรรมการคุ้มครองข้อมูลเครดิต เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการจัดระบบและข้อกำหนดเพื่อประมวลผลข้อมูล (Office of the Council of State). Retrieved via LawPlayer, https://lawplayer.com/th/act/pythainlp_26a982b7b4e3a102

ที่มา: ระบบกลางกฎหมาย law.go.th (สำนักงานคณะกรรมการกฤษฎีกา).

Thai official texts excluded from copyright (Copyright Act B.E. 2537 s.7);開放資料層 CC BY 署名

本頁資料來源:สำนักงานคณะกรรมการกฤษฎีกา (OCS)·整理提供:法律人 LawPlayer· lawplayer.com