ข้อหารือที่ 12/2566 — บริษัท อ. (Lost & Found สนามบิน)
สารบัญในมาตรานี้
ข้อกฎหมาย
- พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — กรณีไม่ถือเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล · มาตรา 6 และ มาตรา 37 (1)
ข้อหารือ
บริษัท อ. ได้จัดทำร่างหลักเกณฑ์เกี่ยวกับการรับฝากทรัพย์สินและการจัดเก็บทรัพย์สินที่เก็บได้ ณ สนามบินที่อยู่ในความรับผิดชอบ จึงขอหารือแนวปฏิบัติในการดำเนินการกับอุปกรณ์อิเล็กทรอนิกส์ที่มีข้อมูลส่วนบุคคลบันทึกอยู่ และการลบหรือทำลายข้อมูลส่วนบุคคลที่อยู่ในอุปกรณ์อิเล็กทรอนิกส์ก่อนนำไปจำหน่ายหรือขายทอดตลาดจะต้องทำอย่างใด
ความเห็น
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยคณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้พิจารณาข้อหารือแล้ว ขอเรียนว่า การดำเนินกิจกรรมของแผนกบริการทรัพย์สินสูญหาย (Lost & Found) เป็นเพียงการจัดการทรัพย์สินที่ไม่ทราบว่าเป็นของผู้ใดเท่านั้น ไม่ใช่เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่จะทำให้บริษัทฯ เป็นผู้ควบคุมข้อมูลส่วนบุคคลแต่อย่างใด
อย่างไรก็ตาม เพื่อให้การดำเนินการของบริษัทฯ เป็นไปตามแนวทางปฏิบัติที่ดี (Best Practice) การที่บริษัทฯ จะนำทรัพย์สินดังกล่าวไปบริจาค/จำหน่าย/ขายทอดตลาด ในกรณีที่ไม่สามารถส่งคืนทรัพย์สินแก่ผู้เป็นเจ้าของได้ และบริษัทฯ สามารถดำเนินการกับทรัพย์สินดังกล่าวได้โดยชอบด้วยกฎหมาย บริษัทฯ ควรทำการลบหรือทำลายข้อมูลส่วนบุคคลที่อยู่ภายในอุปกรณ์อิเล็กทรอนิกส์ด้วย กล่าวคือ:
- หากอุปกรณ์อิเล็กทรอนิกส์มีชิ้นส่วนที่ใช้จัดเก็บข้อมูลส่วนบุคคล ควรลบหรือทำลายข้อมูลที่อยู่ภายในชิ้นส่วนดังกล่าวให้เรียบร้อย ก่อนที่จะนำไปดำเนินการในขั้นตอนต่อไป เท่าที่จะสามารถกระทำได้
- หากอุปกรณ์อิเล็กทรอนิกส์ไม่มีชิ้นส่วนที่ใช้จัดเก็บข้อมูลส่วนบุคคล แต่ข้อมูลดังกล่าวถูกจัดเก็บภายในอุปกรณ์อิเล็กทรอนิกส์ ควรตั้งค่าอุปกรณ์ให้กลับไปเป็นค่าโรงงาน (Factory Reset) ก่อนที่จะนำไปดำเนินการในขั้นตอนต่อไป
- หากไม่สามารถเข้าถึงข้อมูลส่วนบุคคลภายในอุปกรณ์อิเล็กทรอนิกส์ได้ ไม่ว่าจะด้วยวิธีการใดก็ตาม ควรพิจารณาทำลายอุปกรณ์หรือทำลายชิ้นส่วนที่ใช้จัดเก็บข้อมูลส่วนบุคคลก่อน
ซึ่งอาจถือได้ว่าบริษัทฯ ได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนดไว้แล้ว (ตาม มาตรา 37 (1) แห่ง PDPA)