Data Retention การเก็บรักษาข้อมูล

Data Retention (การเกบ็ รักษาขอ้ มูล) – หลักการคุ้มครองข้อมลู ส่วนบุคคลภายใต้ GDPR & PDPA

Data Retention คืออะไร?

หลายคนท่ศี กึ ษาเก่ียวกฎหมายคมุ้ ครองข้อมูลสว่ นบคุ คลอย่าง PDPA คงเคยไดย้ นิ คำว่า Data Retention มาบ้าง…

“ถา้ ไม่เหลือข้อมลู ให้ละเมิดแล้ว – การละเมิดกค็ งเกดิ ข้ึนไม่ได”้
Data Retention หมายถึง การกำหนดระยะเวลาการเก็บรักษาขอ้ มูล โดยมีวัตถุประสงคเ์ พื่อคุ้มครองข้อมูลและ
ลดโอกาสการละเมิดหรือรั่วไหลของข้อมูล โดยกฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป (GDPR) และ
พระราชบัญญัติคุม้ ครองขอ้ มลู สว่ นบุคคล พ.ศ.2562 (PDPA) ตา่ งคำนึงถงึ หลกั การเกบ็ ข้อมลู อย่างจำกัด (Storage
Limitation) ซ่งึ กลา่ วถงึ แนวทางของการคมุ้ ครองข้อมลู สว่ นบคุ คลไวว้ ่า ผคู้ วบคุมข้อมลู จะตอ้ ง

• จัดเก็บข้อมูลส่วนบุคคลให้สอดคล้องกับวัตถุประสงค์ และมีระยะเวลาการเก็บรักษาเท่าที่จำเป็นตาม
วัตถุประสงค์

• เมือ่ หมดความจำเป็นของการเก็บรักษาตามวัตถุประสงคแ์ ล้ว ควรดำเนินการลบหรอื ทำลายตามระเบียบที่
วางไว้

• ระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล ขึ้นอยู่กับบัญญัติของกฎหมายที่บังคับใช้/ระเบียบ/มาตรฐาน/
บรรทัดฐานการจดั เก็บและรกั ษาขอ้ มูลท่กี ำหนดไว้ของแต่ละวงการ

2

ด้านผคู้ วบคมุ ข้อมูลส่วนบุคคล (หรือคนทจี่ ดั เกบ็ ข้อมูลสว่ นบุคคลของบุคคลอ่ืน) อาจจำเป็นตอ้ งจัดทำนโยบายการ
เกบ็ รกั ษาขอ้ มูล เพอื่ แจง้ ใหเ้ จ้าของข้อมูลส่วนบุคคลไดร้ ับทราบและยอมรับ/ยนิ ยอม เป็นการดำเนนิ การตามสิทธิท่ี
เจา้ ของขอ้ มลู พงึ ไดร้ ับแจ้ง วา่ ผ้คู วบคมุ ขอ้ มูลสว่ นบคุ คล (และองคก์ ร) จะปฏบิ ัติตามแนวทางดังกล่าวเพ่ือประโยชน์
สูงสุดของผู้ควบคมุ ขอ้ มูลสว่ นบคุ คลและเจ้าของข้อมลู ส่วนบคุ คลเอง

ข้อมูลนิรนาม Anonymised Data ไม่จำเป็นต้องวางแผนระยะเวลาในการจัดเก็บรักษา เพราะข้อมูลดังกล่าวถูก
ทำใหไ้ มส่ ามารถระบุตวั ตนของเจ้าของข้อมูลส่วนบคุ คลได้อีกต่อไป (ไม่ว่าจะโดยตวั ข้อมลู เองหรือนำไปประกอบกับ
ข้อมูลอื่น ๆ) จึงถือว่าไม่เป็นข้อมูลส่วนบุคคล และไม่เข้าขอบเขตการคุม้ ครองของ พ.ร.บ.พระราชบัญญัติคุ้มครอง
ขอ้ มลู สว่ นบคุ คล PDPA

นโยบายการเก็บรกั ษาข้อมูล (Data Retention Policy)

นโยบายการเก็บรักษาข้อมูล (Data Retention Policy) ช่วยให้องค์กรผู้ควบคุมข้อมูลสามารถติดตามกระแสของ
ข้อมูลที่ไหลผ่านหรือไหลวนอยู่ในองค์กรได้ เป็นแนวทางในการควบคุมดูแลข้อมูล โดยระบุวิธีการเก็บรักษา
ตลอดจนวิธกี ารหรอื ระยะเวลาในการลบหรือทำลายเมอ่ื ขอ้ มูลนัน้ ไม่เปน็ ทต่ี ้องการอีกต่อไป

นอกเหนือจากนั้น นโยบายการเก็บรักษาข้อมูลควรระบุวัตถุประสงค์และฐานการประมวลผลข้อมูล โดยเฉพาะ
ข้อมูลส่วนบุคคลใน Data Flow เพื่อคุณจะได้มองเห็นและแน่ใจว่า/ทำให้แน่ใจว่ามีเอกสารหรือหลักฐานพิสูจน์
อำนาจในการจัดเก็บข้อมูลตามระยะเวลาที่กำหนดด้วย คราวนี้คุณก็มั่นใจได้อีกระดับแล้วว่ากระบวนการ
ประมวลผลขอ้ มูลของคุณไดด้ ำเนินการอยา่ งถกู ต้องภายใตก้ ฎหมายคุ้มครองข้อมูลสว่ นบคุ คล

5 ขน้ั ตอนสำคัญเพอ่ื พัฒนานโยบาย การเก็บรกั ษาข้อมูล (ส่วนบคุ คล) ของคณุ

1. ฟอร์มทีมพัฒนานโยบาย

การจดั ต้งั ทีมพฒั นานโยบายการเก็บรักษาข้อมูล นอกเหนือจากมีนักกฎหมายเป็นสมาชิกหลกั ควรประกอบไปด้วย
ตัวแทนจากบุคลากรทุกภาคส่วน ไม่ว่าจะเป็นฝ่ายขาย การตลาด บัญชี ทรัพยากรมนุษย์ หรือแผนกอื่น ๆ ท่ี
เกี่ยวข้องกับข้อมูลในองค์กร (อันที่จริงอาจกล่าวได้ว่าแทบทุกแผนกเกี่ยวข้องกับข้อมูลส่วนบุคคลไม่ทางใดก็ทาง
หนึ่ง) เพราะนักกฎหมายฝ่ายเดยี วอาจมองเหน็ ภาพไมช่ ัดเจน การฟอร์มทีมจากทุกสว่ นขององค์กรแบบนี้จะช่วยให้
การพฒั นานโยบายเป็นไปอย่างครอบคลมุ มากทีส่ ุดน่นั เองครบั

3

2. พิจารณาเกณฑ์ทบ่ี งั คบั

ทีมพัฒนานโยบายฯ ควรพิจารณาว่ามีกฎหมายหรือระเบียบบังคับจากองค์กรกำกับดูแลใดบ้างที่มีขอบเขต
เกี่ยวข้องกับระยะเวลาในการเก็บรักษาข้อมูลและการลบหรือทำลายข้อมูล โดยหลัก ๆ แล้ว สำหรับกิจการท่ี
ประมวลผลข้อมูลภายในประเทศไทยจะต้องปฏิบัติตามมาตรการ/แนวทางของ PDPA ที่วางโดยคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคล (ปัจจุบันยังไม่มีมาตรการออกมาอย่างเป็นทางการ) หรือหากมีกิจการในประเทศอื่น/
ประมวลผลข้อมูลของบุคคลต่างชาติอาจต้องศึกษาและดำเนินการตามข้อบังคับของท้องถิ่นนั้น เช่น หากคุณเก็บ
รักษาข้อมูลของชาวยุโรปจะต้องดำเนินการเก็บรักษา และลบหรือทำลายข้อมูลตาม GDPR ซึ่งมีขอบเขตบังคับใช้
ภายในสหภาพยุโรป

นอกจากนั้น เกณฑ์ข้อบังคับที่เกี่ยวข้องกับแนวทางการเก็บรักษาและลบหรือทำลายข้อมูล อาจพิจารณาใช้ตาม
ระเบียบ/มาตรฐาน/บรรทัดฐานของแต่วงการร่วมด้วย เช่น การเก็บรักษาผลประเมินการทำงานของบุคลากรใน
องค์กรที่ฝ่าย HR เก็บรักษาเอาไว้เพียง 3 ปีหลังการประเมินเสร็จสมบูรณ์ การเก็บรักษาบัญชีและเอกสารที่ใช้
ประกอบการลงบัญชี (ซึ่งมีส่วนหนึ่งเป็นข้อมูลส่วนบุคคล) ที่ต้องเก็บรักษาไม่น้อยกว่า 5 ปี เพื่อประโยชน์ในการ
ตรวจสอบ หรือการเก็บรักษาเวชระเบียนทางการแพทย์หรือข้อมูลสุขภาพของผู้ป่วยซึ่งเป็นข้อมูลส่วนบุคคล
ออ่ นไหว ทจ่ี ะถกู ลบทำลายเมอ่ื ผปู้ ว่ ยขาดการตดิ ต่อกบั โรงพยาบาลเกนิ 5 ปี เป็นต้น

3. กำหนดประเภทขอ้ มูลที่คุ้มครองภายใต้นโยบาย

ก่อนดำเนินการเขียน Data Retention Policy ทางทีมฯ ต้องสำรวจภายในองค์กรให้ถี่ถ้วน คัดเลือก และจัดทำ
ลสิ ตอ์ อกมาวา่ มขี ้อมูลใดบา้ งที่เข้าข่ายเปน็ ข้อมูล/ข้อมูลส่วนบุคคลทีจ่ ำเป็นต้องเกบ็ รักษาต่อไป เพ่ือเขียนระบุไว้ใน
นโยบายในเชิงรายละเอียดให้มีความครอบคลุม (ส่วนข้อมูลบางประเภทที่ไม่จำเป็นต้องเก็บรักษาเอาไว้ก็คว รลบ
หรอื ทำลายท้ิงเสยี เพือ่ ไมใ่ ห้เปน็ ภาระในอนาคต)

ยกตวั อย่างประเภทของขอ้ มูล ไดแ้ ก่ เอกสารกระดาษ อเี มลและเอกสารอิเล็กทรอนิกส์อน่ื ๆ บนั ทึกประวัติส่วนตัว
ลูกค้า ข้อมูลการโอนจ่ายเงิน สเปรดชีทการเงิน สัญญา ข้อความโต้ตอบระหว่างเจ้าหน้าที่และลูกค้า ข้อมูลคู่ค้า
และซัพพลายเออร์ ข้อมูลยอดชำระ ใบแจ้งหนี้ ใบเสร็จรับเงิน เอกสารภาษีและบัญชี รายการทางการเงิน ข้อมูล
สขุ ภาพของผู้ป่วย ข้อมลู ผ้เู รยี น ฯลฯ

4

4. เขยี นนโยบายให้ชดั เจน
เมื่อเตรยี มการเกย่ี วกบั ประเภทของข้อมูล ตลอดจนฐานการประมวลผลและระยะเวลาทเ่ี หมาะสมในการเก็บรักษา
ข้อมูลแตล่ ะประเภทแล้ว ก็ถงึ เวลาลงมอื จดั ทำนโยบายการเก็บรักษาข้อมลู ซึ่งตอ้ งประกอบไปด้วย:

• วัตถปุ ระสงคข์ องการประมวลผลข้อมูล (ส่วนบคุ คล) โดยเฉพาะการเก็บรกั ษาขอ้ มลู
• กฎหมาย ข้อบงั คบั นโยบาย ระเบยี บ หรือบัญญตั ิอ่นื ๆ ทน่ี ำมาปรบั ใชเ้ พอ่ื เกบ็ รกั ษาข้อมูล
• ระยะเวลาการเกบ็ รกั ษาข้อมลู และกำหนดการลบหรอื ทำลายข้อมลู
• แผนการดำเนินคดี (เพื่อค้นหาและรวบรวมข้อมูลที่เกี่ยวข้องอย่างรวดเร็วและมีความสามารถในการ

ปอ้ งกันทางกฎหมาย)
• เพ่ือประโยชน์ในการดำเนนิ คดี)
• กำหนดการอัปเดตนโยบายใหม้ ีความทันสมัย
5. อปั เดตใหบ้ คุ ลากรทราบ
การเกบ็ รกั ษาข้อมูล และการคุ้มครองข้อมูล เป็นประเด็นที่ทุกคนในองค์กรควรรับรู้ จึงควรประกาศแจ้งนโยบายที่
เขียนขนึ้ /จดั อบรมให้บุคลากรทราบโดยท่วั ถงึ และอยู่ใน Loop ของการพฒั นานโยบายให้ทนั สมัยอยู่เสมอ โดยคุณ
อาจจัดการประชุมร่วมระหว่างตัวแทนจากส่วนงานต่าง ๆ เมื่อมีวาระการอัปเดตนโยบาย ซึ่งแต่ละหน่วยงานอาจ
พบปัญหาและมีคำแนะนำจากหลายมุมมอง เพื่อทีมงานจะได้มีความเข้าใจในสถานการณ์อย่างลึกซึ้งและพัฒนา
นโยบายการจดั เก็บข้อมูลไดอ้ ยา่ งมปี ระสิทธภิ าพ

ความจำเป็นของนโยบาย การเกบ็ รกั ษาข้อมลู
นโยบายการเก็บรักษาข้อมูลที่ดำเนินการตามขั้นตอนข้างต้น เป็นเครื่องมือหนึ่งที่ช่วยให้มองเห็นภาพรวม แจ้งให้
เจ้าของข้อมูลทราบ ลดความเสี่ยงของการเกิดกรณีละเมิด และยกระดับการคุ้มครองข้อมูลให้ปลอดภัยตาม
มาตรฐานของ PDPA และ GDPR ท่ใี ห้ความสำคัญกับการคมุ้ ครองข้อมูลสว่ นบุคคล

5

ซึ่งหากองค์กรของท่านมีขนาดใหญ่ บริหารข้อมูลหรือเก็บรักษาข้อมูลเอาไว้เป็นจำนวนมาก หรือมีกิจกรรมที่
เก่ยี วขอ้ งกับข้อมลู เปน็ หลัก กค็ วรมีนโยบายการเก็บรักษาข้อมูล สว่ นองคก์ รทัว่ ไปอาจไม่จำเป็นต้องจัดทำนโยบาย
ฯ ตวั น้ีแยกออกมา แต่เขยี นแทรกเอาไวเ้ ปน็ สว่ นหนึ่งของนโยบายความเป็นส่วนตัว (Privacy Policy) กย็ อ่ มได้
…………………………

เจบ็ หนกั แน่! หากคณุ ไม่ปรับตวั ตาม พ.ร.บ.คมุ้ ครองข้อมลู ส่วนบุคคล เพราะอาจมคี วามผิด เสียใจ เสียทรัพย์ และ
อาจถูกตัดสินจำคุกไดห้ ากเกดิ การละเมิดของข้อมลู ภายใต้ความดูแล ทเี่ ราเช่อื วา่ คณุ เองก็คงไม่อยากโดน
หลักสูตร Personal Data Protection Certificate (PDPC) ออกแบบมาเพื่อสร้างความรู้ความเข้าใจด้านการ
คุ้มครองข้อมูลส่วนบุคคลอย่างลึกซึ้งและครอบคลุม โดยปูพื้นฐานเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของ
สหภาพยุโรป (GDPR) ตามด้วย พ.ร.บ.คมุ้ ครองขอ้ มูลสว่ นบคุ คล พ.ศ. 2562 (PDPA) ของไทย ตัง้ แตค่ อนเซป็ ตแ์ ละ
หลักการพื้นฐาน ตลอดจนแนวปฏิบัติตามกฎหมาย ด้วยหวังว่าผู้เข้าอบรมจะสามารถนำองค์ความรู้ที่ได้ไป
ประยุกต์ใช้สำหรับการทำงานภายในองค์กร ตลอดจนสามารถปฏิบัติให้สอดคล้องกับกฎหมายทั้งสองได้อย่างมี
ประสทิ ธภิ าพ