2026.03.20
PDPA และการกำจัดฮาร์ดแวร์: สิ่งที่ธุรกิจไทยต้องรู้
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลของไทยกำหนดให้ต้องมีการบันทึกการทำลายข้อมูลเมื่อต้องกำจัดฮาร์ดแวร์ นี่คือรายการตรวจสอบเชิงปฏิบัติสำหรับผู้จัดการไอทีที่ดูแลการถอนการใช้งานอุปกรณ์
พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลครอบคลุมการกำจัดฮาร์ดแวร์
ธุรกิจไทยส่วนใหญ่เข้าใจว่าพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลควบคุมการเก็บรวบรวมและการจัดเก็บข้อมูลส่วนบุคคล แต่มีน้อยคนที่ตระหนักว่ากฎหมายนี้ยังครอบคลุมสิ่งที่จะเกิดขึ้นเมื่อข้อมูลนั้นหมดอายุการใช้งาน หากองค์กรของคุณกำจัดฮาร์ดแวร์โดยไม่บันทึกการทำลายข้อมูล องค์กรจะมีความเสี่ยงตามพ.ร.บ.
ข้อกำหนดสำคัญ
- ต้องทำลายหรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้เมื่อไม่จำเป็นต้องใช้งานแล้ว
- การทำลายต้องมีการบันทึกไว้เป็นหลักฐานที่ตรวจสอบได้
- องค์กรยังคงรับผิดชอบจนกว่าจะได้รับการยืนยันว่าการทำลายเสร็จสมบูรณ์
- บทลงโทษ: ปรับทางปกครองสูงสุด ฿5,000,000
รายการตรวจสอบเชิงปฏิบัติสำหรับผู้จัดการไอที
- จัดทำทะเบียนอุปกรณ์ที่ยกเลิกการใช้งานทั้งหมด (หมายเลขประจำเครื่อง ประเภท ตำแหน่ง)
- จำแนกอุปกรณ์ที่เคยเก็บข้อมูลส่วนบุคคล
- เลือกวิธีการทำลาย: ลบข้อมูลแบบได้รับการรับรองหรือทำลายทางกายภาพ
- ขอรับหนังสือรับรองการทำลายข้อมูลต่ออุปกรณ์แต่ละชิ้น
- เก็บรักษาหนังสือรับรองไว้เป็นหลักฐานการปฏิบัติตามข้อกำหนด
- บันทึกกระบวนการไว้ในนโยบายคุ้มครองข้อมูลขององค์กร
ความผิดพลาดที่พบได้บ่อย
Formatting drives and calling it done. Formatting does not overwrite data and does not meet PDPA standards.
Donating old equipment without wiping. Good intentions, but your liability follows the data on the device.
No documentation. Without a certificate, you have no proof that data was destroyed.
บทความที่เกี่ยวข้อง
ต้องการทำลายข้อมูลของคุณหรือไม่?
การทำลายที่ได้รับการรับรอง ปฏิบัติตาม PDPA ในกรุงเทพฯ
Get a Quote