PDPC แนะนำ หลักการทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลนิรนาม และข้อยกเว้นห้ามทำเป็นข้อมูลนิรนาม
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หลักการทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลนิรนาม (anonymization) และข้อยกเว้นห้ามทำเป็นข้อมูลนิรนาม
การทําข้อมูลส่วนบุคคลให้เป็นข้อมูลนิรนาม (anonymization) ผู้ควบคุมข้อมูลฯ ต้องดําเนินการดังนี้
- ต้องทําให้ไม่สามารถระบุตัวเจ้าของข้อมูลฯ ได้ (de-identification) เช่น ดําเนินการลบ หรือพรางข้อมูล จนไม่สามารถระบุตัวเจ้าของข้อมูลฯ ได้ อาทิ ชื่อ-นามสกุล หมายเลขประจําตัวประชาชนหรือหมายเลขอื่นใดที่สามารถ ระบุตัวตนได้ หรือข้อมูลอื่นที่มีลักษณะคล้ายกัน
- ต้องมีมาตรการป้องกันการทําให้ข้อมูลนั้นไม่สามารถย้อนกลับมาระบุ ตัวเจ้าของข้อมูลฯ ได้ (re-identification) โดยอาจทําเป็นการแฝงข้อมูล (pseudonymization) หรือวิธีการอื่นใดที่จะลดความสามารถในการยืนยัน ตัวบุคคลได้
- ในกรณีที่เจ้าของข้อมูลฯ ขอใช้สิทธิลบหรือทําลายข้อมูลส่วนบุคคล เนื่องจากข้อมูลดังกล่าวเก็บมาโดยไม่ชอบด้วยกฎหมาย ดังนั้นผู้ควบคุมฯ ต้องดําเนินการลบหรือทําลายข้อมูลนั้น ห้ามทําเป็นข้อมูลนิรนาม
ทั้งนี้ ผู้ควบคุมฯ สามารถปฏิเสธการตอบสนองสิทธินั้นได้ หากเป็นข้อมูล ที่เกี่ยวกับการใช้สิทธิเสรีภาพในการแสดงความคิดเห็นหรือมีเหตุตามกฎหมาย
ให้ปฏิเสธค่าขอได้
- ผู้ควบคุมฯ คือ ผู้ควบคุมข้อมูลส่วนบุคคล
- เจ้าของข้อมูลฯ คือ เจ้าของข้อมูลส่วนบุคคล
ที่มา: พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 33 วรรคสอง และมาตรา 37 (3) ประกาศ กคส. เรื่อง หลักเกณฑ์ในการลบหรือทําลาย หรือทําให้ข้อมูลส่วนบุคคลเป็นข้อมูล ที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ พ.ศ. 2567 ข้อ 6 และข้อ 7
ที่มา : https://shorturl.asia/ReJxz