PDPA ประเทศไทย และการทำลายข้อมูล

สิ่งที่คุณต้องรู้

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของไทยมีผลบังคับใช้อย่างเต็มรูปแบบตั้งแต่พฤษภาคม 2565 เป็นต้นมา กำหนดให้องค์กรต้องทำลายข้อมูลส่วนบุคคลอย่างปลอดภัยเมื่อไม่จำเป็นต้องใช้อีกต่อไป รวมถึงข้อมูลที่เก็บไว้ในฮาร์ดแวร์ คู่มือนี้อธิบายว่าในทางปฏิบัติหมายความว่าอย่างไร โทษสำหรับการไม่ปฏิบัติตามเป็นอย่างไร และกระบวนการทำลายที่เป็นไปตามกฎเกณฑ์มีลักษณะอย่างไร

PDPA ของไทยคืออะไร?

PDPA ควบคุมการที่องค์กรและบุคคลรวบรวม เก็บ ใช้ และกำจัดข้อมูลส่วนบุคคล โดยใช้บังคับกับองค์กรใดๆ ที่จัดการข้อมูลเกี่ยวกับผู้อยู่อาศัยในไทย ไม่ว่าจะเป็นบริษัทไทยหรือบริษัทต่างชาติ

อะไรนับเป็นข้อมูลส่วนบุคคลภายใต้ PDPA?

ชื่อ หมายเลขบัตรประชาชน ที่อยู่ เบอร์โทรศัพท์ อีเมล ข้อมูลทางการเงิน ข้อมูลสุขภาพ ภาพถ่าย ข้อมูลชีวภาพ ข้อมูลอุปกรณ์ ข้อมูลการเข้าสู่ระบบ ประวัติการท่องเว็บ สิ่งใดก็ตามที่สามารถระบุตัวบุคคลได้โดยตรงหรือโดยอ้อม

PDPA กล่าวว่าอย่างไรเกี่ยวกับการกำจัดข้อมูล?

องค์กรต้องแน่ใจว่าข้อมูลส่วนบุคคลถูกทำลายหรือทำให้เป็นนิรนามเมื่อไม่จำเป็นต้องใช้แล้ว การลบไฟล์หรือการฟอร์แมตอย่างเดียวไม่เพียงพอตามมาตรฐาน ต้องมีขั้นตอนที่มีเอกสารและตรวจสอบได้

บทลงโทษ: ปรับทางปกครองสูงสุดถึง 5,000,000 บาท ต้องรับผิดทางอาญาสำหรับกรรมการในกรณีร้ายแรง

ความหมายเมื่อคุณกำจัดฮาร์ดแวร์

อุปกรณ์ทุกรายการที่เคยเก็บข้อมูลส่วนบุคคลจะต้องถูกลบอย่างปลอดภัยหรือถูกทำลายทางกายภาพก่อนกำจัด องค์กรยังคงมีความรับผิดชอบจนกว่าจะได้รับการบันทึกการทำลาย ใบรับรองการทำลายข้อมูลเป็นวิธีมาตรฐานในการแสดงการปฏิบัติตาม

คำถามที่พบบ่อย

Is deleting files enough? No. Deleted files are recoverable with standard software.

Is formatting a drive enough? No. Formatting does not overwrite existing data.

Does PDPA apply to small businesses? Yes, with limited exceptions.

Does PDPA apply to foreign companies in Thailand? Yes, if they handle data about Thai residents.

I'm an individual. Does this apply to me? Not legally, but your personal data is still at real risk.