156   บทบัญญัติทางกฎหมายว่าด้วยสิทธิที่จะถูกลืม (Right to be Forgotten)
             และแนวทางแก้ไขกฎหมายที่เกี่ยวข้อง


                   PH IRR กำาหนดให้เป็นหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลและ

           ผู้ประมวลผลข้อมูลส่วนบุคคลต้องปฏิบัติให้เป็นไปตามแนวทาง (Guideline)
           โดยต้องจัดให้มีนโยบายและกระบวนการเกี่ยวกับการโอน กำาจัด (Removal)
           ทำาลาย (Disposal) สื่ออิเล็กทรอนิกส์ และการนำาสื่ออิเล็กทรอนิกส์กลับมา

           ใช้ใหม่ ทั้งนี้ เพื่อให้มั่นใจได้ว่ามีการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสม 249
           รวมไปถึงนโยบายและกระบวนการเกี่ยวกับการป้องกันการทำาลาย

           ทางเครื่องจักรกล (Mechanical Destruction) ของไฟล์ข้อมูลและเครื่องมือ
           อีกด้วย ซึ่งถือเป็นมาตรการทางความปลอดภัยในการปกป้องคุ้มครอง
                 250
           ข้อมูลส่วนบุคคล ตามมาตรา 25 ที่กำาหนดให้ผู้ควบคุมข้อมูลส่วนบุคคล

           และผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีมาตรการด้านการรักษา
           ความมั่นคงความปลอดภัยที่มีวัตถุประสงค์เพื่อการรักษาไว้ซึ่งความพร้อม

           ใช้งาน (Availability) ความถูกต้อง (Integrity) และการรักษาความลับ
           (Confidentiality) ของข้อมูลส่วนบุคคลเอาไว้เพื่อป้องกันการทำาลายข้อมูล
           ที่เกิดจากอุบัติเหตุหรือการทำาลายข้อมูลที่มิชอบด้วยกฎหมาย ซึ่งการทำาลาย

           ข้อมูลที่มิชอบด้วยกฎหมาย ถือเป็นหนึ่งในเหตุละเมิดข้อมูลส่วนบุคคลด้วย
           เช่นเดียวกัน และเมื่อมีการเก็บข้อมูลส่วนบุคคลก็ต้องจัดให้มีการทำาบันทึก
                    251
           กิจกรรมประมวลผลข้อมูลส่วนบุคคล (Records of Processing Activities)
           โดยบันทึกการเคลื่อนย้าย (Flow) ของข้อมูลภายในหน่วยงาน (Organization)
           นับตั้งแต่การเริ่มการเก็บรวบรวม ไปจนถึงการประมวลผล และการเก็บรักษา

           ข้อมูล และต้องบันทึกระยะเวลาสำาหรับการทำาลาย (Disposal) หรือการลบ
           (Erasure) ข้อมูลส่วนบุคคลนั้นด้วย 252




           249  Ibid, Section 27 (d).
           250  Ibid, Seciton 27 (e).
           251  Ibid, Section 3 (k).
           252  Ibid, Section 26 (c).