ความเสี่ยงด้านการทำลายหลักฐานจากการแก้ไขถาวร
การแก้ไขถาวร (permanent redaction) ที่ลบข้อมูลส่วนตัวออกอย่างไม่สามารถกลับคืนได้ อาจฟังดูเป็นการปฏิบัติที่ดีสำหรับการปฏิบัติตาม GDPR แต่สร้างความเสี่ยงทางกฎหมายที่ร้ายแรงที่ไม่ค่อยถูกกล่าวถึง: การทำลายหลักฐาน (spoliation)
การทำลายหลักฐาน เกิดขึ้นเมื่อหลักฐานที่ควรจะถูกเก็บรักษาถูกทำลาย — แม้จะโดยไม่ตั้งใจ หากเอกสารที่มี PII ที่แก้ไขถาวรกลายเป็นหลักฐานที่เกี่ยวข้องในการสืบสวนในภายหลัง การขาดหายของต้นฉบับอาจนำไปสู่:
- บทลงโทษศาลสำหรับการทำลายหลักฐาน
- การสันนิษฐานของศาลว่าข้อมูลที่หายไปเป็นประโยชน์ต่อฝ่ายตรงข้าม
- ค่าเสียหายทางแพ่งที่เพิ่มขึ้น
GDPR มาตรา 4(5): Pseudonymization ไม่ใช่ Anonymization
GDPR แยกแยะความแตกต่างอย่างชัดเจน:
Pseudonymization (มาตรา 4(5)): ประมวลผลข้อมูลส่วนตัวในลักษณะที่ข้อมูลไม่สามารถเชื่อมโยงกับเจ้าของข้อมูลเฉพาะโดยไม่ใช้ข้อมูลเพิ่มเติม ซึ่ง "จัดเก็บแยกต่างหาก"
Anonymization (ตาม Recital 26): ข้อมูลที่ไม่สามารถระบุตัวตนได้ ไม่อยู่ภายใต้ GDPR เลย
ผลลัพธ์ทางปฏิบัติ:
- Pseudonymized data ยังคงเป็นข้อมูลส่วนตัวและต้องปฏิบัติตาม GDPR
- Truly anonymized data อยู่นอกขอบเขต GDPR แต่สูญเสียความสามารถในการกู้คืน
- สำหรับข้อมูลที่อาจต้องการกู้คืน (เช่น สำหรับการค้นพบ) pseudonymization เป็นแนวทางที่ถูกต้องทางกฎหมาย
เมื่อการทำลายหลักฐานเกิดขึ้น
ตัวอย่างสถานการณ์:
- บริษัทแก้ไขถาวรเอกสารที่มีข้อมูลลูกค้าก่อนส่งมอบให้ทนายความ
- ลูกค้าที่ข้อมูลถูกแก้ไขไม่กี่เดือนต่อมาเป็นโจทก์ในคดีฉ้อโกง
- ทนายความฝ่ายโจทก์ขอเอกสารต้นฉบับ
- บริษัทไม่สามารถผลิตได้ — ถูกทำลายไปแล้ว
- ผลลัพธ์: บทลงโทษด้านการทำลายหลักฐานบนของสิ่งที่ตั้งใจจะเป็นการปฏิบัติตาม GDPR
การเข้ารหัสแบบกลับได้: ทั้ง GDPR และเป็นมิตรกับการค้นพบ
การเข้ารหัสแบบกลับได้ทำงาน:
- แทนที่ PII ด้วย tokens ที่มีโครงสร้าง ("PERSON_1", "EMAIL_3")
- จัดเก็บ mapping table แยกต่างหากด้วยคีย์ที่ถูกต้อง
- เผยแพร่เวอร์ชันที่ได้รับการ tokenize — ผ่านการตรวจสอบ GDPR
- กู้คืนต้นฉบับได้ด้วยการอนุมัติที่เหมาะสมเมื่อจำเป็นสำหรับการค้นพบ
แหล่งที่มา: