Page 128 - kpiebook65071
P. 128
127
การทำาให้ข้อมูลนั้นเป็นข้อมูลที่อยู่เหนือการใช้งานอาจทำาได้
เมื่อองค์กรธุรกิจไม่สามารถทำาลายข้อมูลส่วนบุคคลที่ถูกเก็บไว้ในรูปแบบ
อิเล็กทรอนิกส์ โดยการทำาให้ข้อมูลนั้นเป็นข้อมูลที่อยู่เหนือการใช้งานนี้ถือเป็น
หนึ่งในการดำาเนินการที่เหมาะสม อย่างไรก็ตาม องค์กรธุรกิจอาจพิจารณา
ทำาให้ข้อมูลเป็นข้อมูลที่ไม่สามารถบ่งชี้ตัวตนได้ หากว่าเป็นการเหมาะสมกว่า
โดยกรณีที่จะถือว่าเป็นกรณี “เหนือการใช้งาน” อาจประกอบไปด้วยกรณี
ที่องค์กรธุรกิจไม่สามารถ และจะไม่พยายามใช้หรือเปิดเผยข้อมูลส่วนบุคคล
หรือไม่สามารถให้บุคคลใด ๆ เข้าถึงข้อมูลส่วนบุคคลได้ หรืออาจเป็น
กรณีที่เป็นการจัดให้ข้อมูลส่วนบุคคลนั้นอยู่ในสภาพแวดล้อมที่เหมาะสม
ทั้งที่เป็นการจัดให้ข้อมูลส่วนบุคคลนั้นอยู่ในสภาพความมั่นคงปลอดภัย
ทั้งทางเทคนิค กายภาพ และองค์กร ซึ่งอาจประกอบไปด้วยการควบคุม
การเข้าถึง Log และ Audit Trails ทั้งนี้โดยที่องค์กรธุรกิจต้องให้คำามั่น
ในการที่จะดำาเนินการให้เหมาะสมเพื่อทำาลายข้อมูลส่วนบุคคลโดยไม่สามารถ
กู้คืนข้อมูลส่วนบุคคลนั้นกลับมาได้อีกหากองค์กรธุรกิจสามารถดำาเนินการ
เช่นนั้นได้ ซึ่งกรณีการที่องค์กรธุรกิจไม่สามารถดำาเนินการทำาลายข้อมูล
ส่วนบุคคลที่ถูกเก็บไว้ในรูปแบบอิเล็กทรอนิกส์ได้ อาจเกิดขึ้นได้น้อยมาก
เช่น ในกรณีสภาพทางเทคนิคไม่อาจดำาเนินการทำาลายข้อมูลส่วนบุคคล
โดยไม่สามารถกู้คืนข้อมูลส่วนบุคคลนั้นกลับมาได้ เนื่องจากข้อมูลดังกล่าว
ปะปนอยู่กับข้อมูลส่วนบุคคลที่องค์กรนั้น ๆ จำาเป็นต้องทำาการเก็บรักษาไว้ 189
(2) การท�าให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถบ่งชี้
ตัวตนได้ (De-Identification)
ตาม AUS PA 1988 การทำาให้ข้อมูลนั้นเป็นข้อมูลที่ไม่สามารถ
บ่งชี้ตัวตน (De-Identification) อาจเป็นกรณีที่เหมาะสมกว่าการทำาลายข้อมูล
189 Ibid, para 11.40.
