กฎหมาย PDPA อนุญาตให้สามารถเก็บรวบรวมข้อมูลส่วนบุคคล เพื่อใช้ในการบันทึกเหตุการณ์ เรื่องราว เอกสาร หลักฐาน หรือข้อมูลเพื่อเป็นประโยชน์สาธารณะ (รวมถึงจดหมายเหตุตามกฎหมายว่าด้วยจดหมายเหตุแห่งชาติ) ในการเก็บรวบรวมข้อมูลโดยไม่ได้รับความยินยอมดังกล่าว จะต้องจัดให้มีมาตรการที่เหมาะสม เพื่อคุ้มครองสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ดังนี้
- มาตรการเชิงองค์กร มาตรการเชิงเทคนิค และมาตรการเชิงกายภาพเพื่อเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็น
- มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลขั้นต่ำเป็นอย่างน้อย
อาจพิจารณาใช้การทำข้อมูลให้ไม่สามารถระบุตัวตนได้ (Anonymization) การแฝงข้อมูล (Pseudonymization) การเข้ารหัสข้อมูล (Encryption) ประกอบตามความเหมาะสมและระดับความเสี่ยงด้วย ในประกาศฉบับนี้ได้กำหนดนิยาม “วัตถุประสงค์ในการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ” ให้หมายความว่า
“การดำเนินการเพื่อรักษาความมีอยู่ของบันทึกเหตุการณ์ เรื่องราว เอกสาร หลักฐาน หรือข้อมูลสำหรับวัตถุประสงค์ในปัจจุบันหรือวัตถุประสงค์ที่อาจเป็นไปได้ในอนาคต ทั้งนี้ โดยเป็นไปเพื่อประโยชน์สาธารณะ และให้หมายความรวมถึงการดำเนินการเกี่ยวกับเอกสารจดหมายเหตุตามกฎหมายว่าด้วยจดหมายเหตุแห่งชาติด้วย”
ทั้งนี้ ตามประกาศฯ กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องการเก็บรวบรวมข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยให้เหมาะสมกับความเสี่ยงที่มีต่อสิทธิและเสรีภาพของบุคคล ดังต่อไปนี้
- ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย เพื่อควบคุมให้การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว เป็นไปเท่าที่จำเป็น ภายใต้วัตถุประสงค์ที่เกี่ยวกับ การจัดทำเอกสารประวัติศาสตร์ หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
- ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยให้เหมาะสม กับความเสี่ยงที่มีต่อสิทธิและเสรีภาพของบุคคล ซึ่งจะต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตามมาตรา 37 (1)
ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องการใช้ฐานทางกฎหมายตามมาตรา 24 (1) เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์ฯ จึงต้องพิจารณาตามหลักเกณฑ์ที่กำหนดไว้ในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 ประกอบด้วย
กล่าวคือ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ โดยมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว ต้องคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล ซึ่งมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะต้องคำนึงถึงความสามารถในการธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคลไว้ได้อย่างเหมาะสมตามระดับความเสี่ยง
ตัวอย่างเช่น การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและส่วนประกอบของระบบสารสนเทศที่สำคัญ (access control) ที่มีการพิสูจน์และยืนยันตัวตน (identity proofing and authentication) การบริหารจัดการ การเข้าถึงของผู้ใช้งาน (user access management) ที่เหมาะสม การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง แก้ไข หรือลบข้อมูลส่วนบุคคล (audit trails) ที่เหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เป็นต้น
ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ พ.ศ. 2566 ยังได้กำหนดให้ในกรณีการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อทำให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ
ผู้ควบคุมข้อมูลส่วนบุคคลอาจพิจารณาดำเนินการทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ หรือมีการแฝงข้อมูล (pseudonymization) เพื่อลดความเสี่ยงในการระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล หรือมีการเข้ารหัสข้อมูล (encryption) หรือมาตรการอื่นในลักษณะเดียวกัน อย่างเหมาะสมตามระดับความเสี่ยง โดยต้องคำนึงถึงปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับสำหรับหน่วยงานหรือกิจการในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกัน ลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการประกอบกันซึ่งผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการให้ครบถ้วนตามที่ประกาศฯ กำหนด
ที่มา : กรุงเทพธุรกิจ
