คิดก่อนทิ้ง....หน้าที่ในการทำลายข้อมูลส่วนบุคคล | เธียรชัย ณ นคร
หน้าที่ในการลบหรือทำลายข้อมูลส่วนบุคคลจึงเป็นส่วนหนึ่งในหน้าที่ขององค์กรต่าง ๆ ที่เป็น “ผู้ควบคุมข้อมูลส่วนบุคคล” ที่ต้องดำเนินการให้สอดคล้องกับเงื่อนไขของกฎหมายต่าง ๆ ที่เกี่ยวข้องกับชุดข้อมูลนั้น ๆ
ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(3) กำหนดว่า ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา
หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่มีข้อยกเว้นตามกฎหมาย
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ไม่ได้กำหนดวิธีการทำลายข้อมูลเอาไว้เป็นการเฉพาะ แต่ก็ให้อำนาจแก่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลไว้ว่า อาจประกาศกำหนดหลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (ปัจจุบันยังไม่มีการประกาศ)
การที่ข้อมูลไม่ถูกทำลาย แต่กลับถูกเผยแพร่หรือรั่วไหลออกไปนอกองค์กร ย่อมทำให้ข้อมูลนั้นสูญเสียการเป็นความลับ (confidentiality breach)
กรณีการทิ้งเอกสารโดยไม่ทำลายอย่างเหมาะสมนั้น เคยมีกรณีศึกษาเกิดขึ้นในปี 2558 เมื่ออัยการสูงสุดของรัฐอินเดียนา ประเทศสหรัฐอเมริกา กล่าวหาว่าทันตแพทย์คนหนึ่งได้ทิ้งบันทึกผู้ป่วยมากกว่า 60 กล่องไว้ในถังขยะ
การกระทำดังกล่าวเป็นการละเมิดกฎหมายความเป็นส่วนตัวของรัฐและรัฐบาลกลาง ซึ่งในคดีนี้ทันตแพทย์ยอมรับผิดตามข้อกล่าวหาของอัยการและถูกปรับเป็นเงิน 12,000 เหรียญ
ดังนั้น เมื่อพิจารณาหน้าที่ในการลบหรือทำลายข้อมูลในบริบทของการบริหารจัดการข้อมูลแล้ว องค์กรต่าง ๆ อาจดำเนินการเพื่อลดความเสี่ยงจากการกระทำผิดกฎหมายได้ดังนี้
1) เมื่อองค์กรไม่มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคลอีกต่อไปและไม่มีความจำเป็นต้องเก็บรักษา (data archiving) ข้อมูลเหล่านั้นควรถูกทำลายอย่างปลอดภัย การทำลายข้อมูลส่วนบุคคลไม่ควรดำเนินการโดยปราศจากการลงชื่อของบุคคลหรือคณะบุคคลที่มีหน้าที่ตามที่องค์กรได้มอบหมาย
2) มีการจัดทำแบบบันทึกการทำลายที่ควรประกอบด้วย ข้อมูลของสิ่งที่ถูกทำลาย เวลาที่ถูกทำลาย และบุคคลที่ได้รับอนุญาตให้ดำเนินการทำลาย (รวมถึงการว่าจ้างให้องค์กรภายนอกดำเนินการด้วย)
3) ในกรณีข้อมูลส่วนบุคคลบันอยู่ในสื่อบันทึกข้อมูล สื่อบันทึกข้อมูลนั้นควรถูกทำลายด้วยระดับความปลอดภัยที่สอดคล้องกับระดับชั้นของข้อมูลและความอ่อนไหวของข้อมูล
4) กระดาษที่มีข้อมูลส่วนบุคคลควรถูกทิ้งในถังขยะที่ป้องกันและรักษาการเป็นความลับได้ (ทึบ/มีฝาปกปิด) และควรลบเอกสารที่จัดเก็บไว้ในระบบอิเล็กทรอนิกส์รวมถึงข้อมูลสำรองทั้งหมด การลบควรดำเนินการโดยบุคคลที่มีสิทธิเข้าถึงระบบที่เหมาะสม เอกสารดิจิทัลควรถูกลบและไม่ใช้การเขียนทับ
5) เมื่อข้อมูลต้นฉบับถูกทำลาย ควรทำลายสำเนาข้อมูลทั้งหมดพร้อมกัน (ทั้งแบบดิจิทัลและแบบกายภาพ) ทั้งนี้ ข้อมูลไม่ถือว่าถูกทำลายได้อย่างสมบูรณ์เว้นแต่สำเนาทั้งหมดจะถูกทำลายด้วยเช่นกัน
ในส่วนของวิธีการทำลายสื่อบันทึกข้อมูลแต่ละประเภท องค์กรอาจพิจารณาวิธีการ ดังนี้
1. ข้อมูลในรูปแบบกระดาษหรือสิ่งพิมพ์ อาจใช้เครื่องทำลายเอกสารในองค์กร หรือใช้บริการทำลายเอกสารโดยองค์กรภายนอกก็ได้
2. ข้อมูลที่บันทึกในแบบดิจิทัล เมื่อต้องดำเนินการลบ องค์กรควรตระหนักว่าข้อมูลดังกล่าวอาจมีสำเนาอยู่ในระบบ ข้อมูลจึงอาจไม่ได้ถูกลบอย่างแท้จริงแม้ว่าจะได้ดำเนินการลบแล้ว
ในกรณีที่ต้องการลบข้อมูลอย่างถาวร ข้อมูลนั้นต้องไม่สามารถใช้ได้อีกต่อไปและไม่มีใครสามารถเข้าถึงหรือใช้ข้อมูลได้อีกเมื่อทำการลบแล้ว การที่ข้อมูลถูกลบและไปอยู่ในขยะ (recycle bin) ตามปกติระบบจะยังคงเก็บข้อมูลไว้อีกช่วงระยะเวลาหนึ่ง
องค์กรที่ต้องการลบข้อมูลประเภทนี้ อาจดำเนินการโดย
2.1. ใช้ซอฟต์แวร์ที่ช่วยลบข้อมูลอย่างปลอดภัย (secure delete software) ซึ่งซอฟต์แวร์เหล่านี้จะช่วยลบข้อมูลอย่างปลอดภัย
2.2. ใช้ที่ปรึกษาด้านไอทีที่มีความเชี่ยวชาญ
นอกจากนี้ องค์กรยังอาจนำมาตรฐานสากลในด้านการลบหรือทำลายข้อมูลมาใช้เป็นแนวทางในการทำลายข้อมูลในสื่อบันทึกข้อมูลรูปแบบต่าง ๆ ก็ได้ อาทิ NIST SP 800-88 Guidelines for Media Sanitization โดยการทำ Sanitization
คือ กระบวนการที่ทำให้การเข้าถึงข้อมูลเป้าหมายบนสื่อบันทึกเป็นไปไม่ได้สำหรับระดับของความพยายามที่กำหนด (given level of effort)
ซึ่งวิธีการที่องค์กรเลือกที่จะทำลายข้อมูลนั้นจะขึ้นอยู่กับระดับการรักษาความลับของข้อมูลนั้น (confidentiality level) โดยในการกำหนดวิธีการทำลายให้พิจารณาถึง
1) หมวดหมู่ข้อมูลตามระดับความลับและข้อกำหนดด้านการเข้าถึง
2) การประเมินลักษณะของสื่อจัดเก็บข้อมูล
3) การชั่งน้ำหนักความเสี่ยงในการรักษาความลับและ
4) กำหนดวิธีการนำสื่อไปใช้ในอนาคต (กล่าวคือ จะใช้ซ้ำภายในองค์กรหรือไม่ บริจาค หั่นฝอย หรือทำให้ใช้ไม่ได้หรือไม่)
NIST SP 800-88 ได้ให้ข้อแนะนำตั้งแต่การกำหนดบทบาทหน้าที่ของบุคคลในองค์กรที่เกี่ยวข้อง กระบวนการตัดสินใจต่าง ๆ รวมถึงเทคนิคและวิธีการลบทำลายข้อมูลในสื่อบันทึกข้อมูลรูปแบบต่าง ๆ อาทิ การทำลายข้อมูลด้วยสนามแม่เหล็ก (degaussing) การเขียนทับ (overwriting) หรือการหั่นย่อย (shredding) เป็นต้น
ข้อพิจารณาที่สำคัญอีกประการหนึ่งในการใช้ผู้รับจ้างในการทำลายข้อมูล คือ การที่องค์กรให้บุคคลภายนอกเข้าถึงข้อมูลส่วนบุคคลขององค์กร เพื่อดำเนินการทำลายข้อมูลในนามขององค์กร ซึ่งปกติหน้าที่ในการทำลายข้อมูลส่วนบุคคลดังกล่าวเป็นขององค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล
ในกรณีนี้ การจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลจึงเป็นส่วนหนึ่งที่องค์กรต้องพิจารณาประกอบด้วย และการเลือกผู้รับจ้างทำลายข้อมูลองค์กรต้องมีความระมัดระวัง เพื่อป้องกันเหตุการณ์ข้อมูลรั่วไหลที่อาจจะเกิดจากการดำเนินการของผู้รับจ้างด้วย อีกทั้งผู้รับจ้างต้องสามารถยืนยันและให้ตรวจสอบได้ว่าข้อมูลนั้นได้ถูกลบอย่างแท้จริง
ที่มา พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 37(3) และมาตรา 33
อ้างอิง
1. ICO Retention and Disposal Policy V.8 (2022), https://ico.org.uk/media/4018504/retention-and-disposal-policy.pdf
2. Retention and destruction of information, https://ico.org.uk/for-organisations/guidance-index/freedom-of-information-and-environmental-information-regulations/retention-and-destruction-of-information/
3. NIST SP 800-88 Guidelines for Media Sanitization
4. Ex-Kokomo dentist to pay $12,000 over discarded record, https://www.indystar.com/story/news/crime/2015/01/10/ex-kokomo-dentist-pay-discarded-records/21554347/
คอลัมน์ Tech, Law and Security
เธียรชัย ณ นคร
ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล
ศุภวัชร์ มาลานนท์
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี