209

                       การแก้ไขกฎหมายโดยเพิ่มเติมคำาว่า “สิทธิที่จะถูกลืม” ในมาตรา 33

              และมาตรา 37 (3) ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
              จะช่วยให้เกิดความชัดเจนว่าหากผู้ให้บริการสืบค้นข้อมูลได้ดำาเนินการ
              นำาข้อมูลส่วนบุคคลออกจากการแสดงข้อมูลแล้วก็ย่อมถือได้ว่าปฏิบัติหน้าที่

              ตามกฎหมายแล้ว โดยไม่ต้องดำาเนินการเพื่อลบหรือทำาลายข้อมูล

                       ในทำานองเดียวกับมาตรา 17 วรรคสองของ GDPR มาตรา 33

              วรรคสาม ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลบัญญัติให้ผู้ควบคุม
              ข้อมูลส่วนบุคคลต้องเป็นผู้รับผิดชอบดำาเนินการทั้งในทางเทคโนโลยีและ
              ค่าใช้จ่ายเพื่อให้เป็นไปตามคำาขอนั้น โดยแจ้งผู้ควบคุมข้อมูลส่วนบุคคลอื่น ๆ

              เพื่อให้ได้รับคำาตอบในการดำาเนินการให้เป็นไปตามคำาขอ ซึ่งมีผลเสมือน
              เป็นการได้รับคำาร้องจากเจ้าของข้อมูลส่วนบุคคลโดยตรงเพื่อให้กระบวนการ

              ยื่นคำาร้องต่อผู้ควบคุมข้อมูลทั้งหมดมีผล ด้วยการยื่นคำาร้องเพียงฉบับเดียว
              หน้าที่ในการแจ้งไปยังผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าวย่อมมีส่วนช่วย
              คุ้มครองสิทธิที่จะถูกลืมของเจ้าของข้อมูลส่วนบุคคลต่อไป 298


              5.2.2 การออกประกาศหลักเกณฑ์ในการลบหรือท�าลาย หรือ

              ท�าให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล


                       คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลอาจประกาศกำาหนด
              หลักเกณฑ์ในการลบหรือทำาลาย หรือทำาให้ข้อมูลส่วนบุคคลเป็นข้อมูล

              ที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลตามวรรคหนึ่งก็ได้
              ตามมาตรา 33 วรรคท้ายของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

              พ.ศ. 2562 การออกกฎหมายลำาดับรอง (หรือแนวปฏิบัติ) ดังกล่าวอาจ
              ดำาเนินการโดยอาศัยแนวปฏิบัติของต่างประเทศตามที่ได้กล่าวในบทที่ 4
              มาเป็นฐานในการดำาเนินการ โดยครอบคลุมประเด็นต่าง ๆ ดังต่อไปนี้



              298   อรรถกร สุขปุณพันธ์ (อ้างแล้ว เชิงอรรถที่ 35), หน้า 16.