ประกาศ เรื่อง มาตรการที่เหมาะสมสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการศึกษาวิจัยหรือสถิติ พ.ศ. 2566

4 แนวคิดที่เกี่ยวข้อง · 9 มาตราอ้างอิง

สารบัญในหน้านี้

ใจความสำคัญ
ตัวบท
เหตุผลและฐานอำนาจ
เอกสารต้นฉบับ
แนวคิดที่เกี่ยวข้อง

ใจความสำคัญ

ประกาศของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล กำหนดมาตรการที่ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มี เมื่ออาศัยข้อยกเว้นความยินยอมเพื่อการศึกษาวิจัยหรือสถิติ — เป็นกฎหมายลำดับรองที่เติมเต็มเงื่อนไขท้ายของ มาตรา 24 (1) (ข้อมูลส่วนบุคคลทั่วไป — ต้องมี "มาตรการปกป้องที่เหมาะสม") และ มาตรา 26 (5) (ง) (ข้อมูลอ่อนไหว — ต้องมี "มาตรการที่เหมาะสม" เพื่อคุ้มครองสิทธิขั้นพื้นฐาน) ซึ่งทั้งสองมาตราให้คณะกรรมการประกาศกำหนด

ฐาน มาตรา 24 (1) — เก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการศึกษาวิจัยหรือสถิติโดยไม่ขอความยินยอม: ต้องมีมาตรการตามข้อ 4 (มาตรการเชิงองค์กร/เชิงเทคนิค/ทางกายภาพ เท่าที่จำเป็น + ความมั่นคงปลอดภัยตามมาตรฐานขั้นต่ำ + กำกับดูแลตามมาตรฐานจริยธรรม)
ฐาน มาตรา 26 (5) (ง) — เก็บรวบรวมข้อมูลอ่อนไหวที่จำเป็นในการปฏิบัติตามกฎหมายเพื่อการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ สถิติ หรือประโยชน์สาธารณะอื่น โดยไม่ได้รับความยินยอมโดยชัดแจ้ง: มาตรการตามข้อ 5 เข้มกว่า — ต้องพิจารณาเหตุผลความจำเป็น (ข้อ 5 (1)) และต้องมีคณะกรรมการจริยธรรมการศึกษาวิจัยในคนที่ไม่มีผู้มีส่วนได้เสีย อนุมัติ/รับรองก่อนเริ่มและกำกับการวิจัย โดยอ้างอิงมาตรฐานสากล Belmont Report · ICH GCP · CIOMS/WHO (ข้อ 5 (4))
ข้อ 6 มาตรการร่วมทั้งสองฐาน: (1) ต้องขอความยินยอมในการเข้าร่วมการศึกษาวิจัย (informed consent for research participation) จากผู้เข้าร่วม เว้นแต่ 3 กรณียกเว้น (เก็บจากแหล่งอื่นและทำตาม มาตรา 25/มาตรา 27 แล้ว · การขอความยินยอมทำให้วิจัยไม่ได้/เสี่ยงเกินสมควรและความเสี่ยงไม่เกินขั้นต่ำ · ได้ waiver ตามมาตรฐานจริยธรรม) (2) เก็บจากเจ้าของข้อมูลโดยตรงต้องแจ้งรายละเอียดการวิจัยพร้อมข้อมูลตาม มาตรา 23 ห้ามปกปิด/หลอกลวง (3) จำกัดสิทธิเข้าถึง/ขอสำเนาได้ชั่วคราวกรณี allocation concealment / blinding ใน clinical trials แต่ต้องแจ้งข้อจำกัดล่วงหน้า
มาตรฐานขั้นต่ำด้านความมั่นคงปลอดภัยที่อ้างใน ข้อ 4 (2) และ ข้อ 5 (3) คือมาตรฐานตาม มาตรา 37 (1) — ดู ประกาศ เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
ฉบับคู่กันของหมวดวิจัย/จดหมายเหตุ: ประกาศ เรื่อง มาตรการปกป้องที่เหมาะสมสำหรับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ พ.ศ. 2566
ใช้บังคับเมื่อพ้นกำหนด 90 วันนับแต่วันประกาศในราชกิจจานุเบกษา (8 มกราคม 2567) = ตั้งแต่ 7 เมษายน 2567

ตัวบท

ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการที่เหมาะสมสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติตามมาตรา 24 (1) และการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่นตามมาตรา 26 (5) (ง) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566

โดยที่มาตรา 24 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บัญญัติให้การเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล อาจกระทำได้หากเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ ซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด และมาตรา 26 (5) (ง) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บัญญัติให้การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล อาจกระทำได้หากเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น ทั้งนี้ ต้องกระทำเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จำเป็นเท่านั้น และได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

อาศัยอำนาจตามความในมาตรา 16 (4) ประกอบมาตรา 24 (1) และมาตรา 26 (5) (ง) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล จึงออกประกาศไว้ ดังต่อไปนี้

ข้อ 1 ประกาศนี้เรียกว่า "ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการที่เหมาะสมสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติตามมาตรา 24 (1) และการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่นตามมาตรา 26 (5) (ง) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566"

ข้อ 2 ประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนดเก้าสิบวันนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป

ข้อ 3 ในประกาศนี้

"การศึกษาวิจัย" หมายความว่า การดำเนินการเกี่ยวกับการศึกษาค้นคว้า การวิเคราะห์ การทดลอง การทดสอบ หรือการประเมินผลอย่างเป็นระบบ เพื่อให้ได้มาซึ่งความรู้ใหม่หรือหลักการทางวิชาการในสาขาวิชาที่เกี่ยวข้อง รวมถึงการเผยแพร่ความรู้หรือหลักการทางวิชาการนั้น ทั้งที่เป็นการดำเนินการในระดับพื้นฐาน (fundamental or basic) และระดับประยุกต์ (applied) และรวมถึงการพัฒนาเทคโนโลยีและนวัตกรรมจากความรู้หรือหลักการทางวิชาการดังกล่าวด้วย

"สถิติ" หมายความว่า การดำเนินการเกี่ยวกับการเก็บรวบรวม การสำรวจ การประมวลผล การวิเคราะห์ และการสรุปผลจากข้อมูล ตลอดจนการแสดงผลหรือเผยแพร่ผลจากการดำเนินการดังกล่าว ทั้งนี้ เพื่อการเปรียบเทียบหรืออ้างอิงในภาพรวม โดยไม่ได้มุ่งหมายที่จะนำข้อมูลหรือผลจากการดำเนินการดังกล่าวมามีผลต่อการตัดสินใจหรือดำเนินการใดเกี่ยวกับเจ้าของข้อมูลส่วนบุคคลผู้ใดผู้หนึ่ง และให้หมายความรวมถึงการดำเนินงานทางสถิติและการสำรวจตามกฎหมายว่าด้วยสถิติด้วย

"ความเสี่ยงขั้นต่ำ" หมายความว่า ความเสี่ยงที่อาจจะเกิดอันตรายต่อผู้เข้าร่วมการศึกษาวิจัยในระดับต่ำ (minimal risk) ซึ่งอาจเทียบได้กับความเสี่ยงที่จะเกิดอันตรายที่อาจเกิดขึ้นได้โดยทั่วไปในชีวิตประจำวันต่อผู้ที่มีสุขภาพดีในสภาพแวดล้อมปกติทั่วไป หรือในการตรวจหรือการทดสอบสุขภาพทางกายภาพหรือทางจิตใจโดยทั่วไป (routine physical or psychological examinations or tests)

ข้อ 4 ในการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ ตามมาตรา 24 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ดังต่อไปนี้

(1) ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย เพื่อควบคุมให้การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว เป็นไปเท่าที่จำเป็นภายใต้วัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ โดยคำนึงถึงหลักการทางวิชาการที่เกี่ยวข้องประกอบด้วย

(2) ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยให้เหมาะสมกับความเสี่ยงที่มีต่อสิทธิและเสรีภาพของบุคคล ซึ่งจะต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตามมาตรา 37 (1) และครอบคลุมถึงการดำเนินการในขั้นตอนต่าง ๆ ของผู้ดำเนินการในการศึกษาวิจัยหรือสถิติที่เกี่ยวข้องทั้งหมด

(3) ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการที่เหมาะสม เพื่อควบคุมและกำกับดูแลให้การเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติดังกล่าว เป็นไปตามมาตรฐานทางจริยธรรมที่เกี่ยวข้อง โดยไม่ขัดต่อกฎหมาย โดยคำนึงถึงระดับความเสี่ยง และกฎหมายและมาตรฐานทางจริยธรรมที่เกี่ยวข้องสำหรับการศึกษาวิจัยหรือสถิติในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกัน

ในการดำเนินการตาม (1) และ (2) ผู้ควบคุมข้อมูลส่วนบุคคลอาจพิจารณาดำเนินการทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ หรือทำการแฝงข้อมูล (pseudonymization) เพื่อลดความเสี่ยงในการระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล หรือทำการเข้ารหัสข้อมูล (encryption) หรือใช้มาตรการอื่นในลักษณะเดียวกัน อย่างเหมาะสมตามระดับความเสี่ยงได้ โดยคำนึงถึงปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับสำหรับหน่วยงานหรือกิจการในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกัน ลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการประกอบกัน หากสามารถทำให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติได้

ข้อ 5 ในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ที่เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น ตามมาตรา 26 (5) (ง) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ดังต่อไปนี้

(1) ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องพิจารณาเหตุผลความจำเป็นแล้วเห็นว่า การเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่นดังกล่าว เป็นกรณีที่มีความจำเป็น โดยอาจเป็นความจำเป็นตามที่กฎหมายบัญญัติ ความจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล ความจำเป็นตามวัตถุประสงค์ ภารกิจ หรือบทบาทหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ความจำเป็นเพื่อประโยชน์ในการได้มาซึ่งความรู้ใหม่หรือหลักการทางวิชาการในสาขาวิชาที่เกี่ยวข้อง รวมถึงการเผยแพร่ความรู้หรือหลักการทางวิชาการนั้น ความจำเป็นในการพัฒนาเทคโนโลยีและนวัตกรรมจากความรู้หรือหลักการทางวิชาการดังกล่าว หรือความจำเป็นในการดำเนินงานทางสถิติเพื่อประโยชน์อย่างใดอย่างหนึ่งก็ได้

(2) ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย เพื่อควบคุมให้การเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว เป็นไปเท่าที่จำเป็นภายใต้วัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น โดยคำนึงถึงหลักการทางวิชาการที่เกี่ยวข้องประกอบด้วย

(3) ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยให้เหมาะสมกับความเสี่ยงที่มีต่อสิทธิและเสรีภาพของบุคคล ซึ่งจะต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตามมาตรา 37 (1) และครอบคลุมถึงการดำเนินการในขั้นตอนต่าง ๆ ของผู้ดำเนินการในการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่นที่เกี่ยวข้องทั้งหมด

(4) ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มีมาตรการที่เหมาะสม เพื่อควบคุมและกำกับดูแลให้การเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ เป็นไปตามมาตรฐานทางจริยธรรมที่เกี่ยวข้องและเป็นที่ยอมรับ โดยไม่ขัดต่อกฎหมาย โดยคำนึงถึงระดับความเสี่ยง และกฎหมายและมาตรฐานทางจริยธรรมที่เกี่ยวข้องสำหรับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ ในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกัน โดยมีคณะกรรมการจริยธรรมการศึกษาวิจัยในคนหรือคณะบุคคลในลักษณะเดียวกัน ซึ่งอาจเป็นคณะกรรมการหรือคณะบุคคลภายในสังกัดของผู้ควบคุมข้อมูลส่วนบุคคลหรือภายนอกก็ได้ แต่ต้องไม่มีผู้ดำเนินการในการศึกษาวิจัยที่จะมีส่วนได้เสียในการศึกษาวิจัยเรื่องนั้นอยู่ด้วย เป็นผู้พิจารณาอนุมัติหรือรับรองก่อนเริ่มการศึกษาวิจัยนั้น และควบคุมและกำกับดูแลการศึกษาวิจัยนั้นให้เป็นไปตามมาตรฐานทางจริยธรรมที่เกี่ยวข้อง ทั้งนี้ มาตรฐานทางจริยธรรมที่เกี่ยวข้องและเป็นที่ยอมรับดังกล่าว ให้หมายความรวมถึงเนื้อหาตามเอกสาร ดังต่อไปนี้

(ก) The Belmont Report: Ethical Principles and Guidelines for the Protection of Human Subjects of Research, Report of the National Commission for the Protection of Human Subjects of Biomedical and Behavioral Research โดย Department of Health, Education, and Welfare ประเทศสหรัฐอเมริกา เมื่อวันที่ 18 เมษายน ค.ศ. 1979 (พ.ศ. 2522)

(ข) Good Clinical Practice (GCP) โดย The International Council for Harmonisation of Technical Requirements for Pharmaceuticals for Human Use (ICH) ฉบับที่มีการประกาศใช้ล่าสุดในขณะที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคล

(ค) International Ethical Guidelines for Health-related Research Involving Humans โดย Council for International Organizations of Medical Sciences (CIOMS) ร่วมกับองค์การอนามัยโลก (World Health Organization: WHO) ฉบับที่มีการประกาศใช้ล่าสุดในขณะที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคล

ในการดำเนินการตาม (2) และ (3) ผู้ควบคุมข้อมูลส่วนบุคคลควรพิจารณาดำเนินการทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ หรือทำการแฝงข้อมูล (pseudonymization) เพื่อลดความเสี่ยงในการระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล หรือทำการเข้ารหัสข้อมูล (encryption) หรือใช้มาตรการอื่นในลักษณะเดียวกัน อย่างเหมาะสมตามระดับความเสี่ยง โดยคำนึงถึงปัจจัยทางเทคโนโลยี บริบท สภาพแวดล้อม มาตรฐานที่เป็นที่ยอมรับสำหรับหน่วยงานหรือกิจการในประเภทหรือลักษณะเดียวกันหรือใกล้เคียงกัน ลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ทรัพยากรที่ต้องใช้ และความเป็นไปได้ในการดำเนินการประกอบกัน หากสามารถทำให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่นได้

ข้อ 6 ภายใต้บังคับข้อ 4 และข้อ 5 ในการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติ ตามมาตรา 24 (1) หรือเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ ตามมาตรา 26 (5) (ง) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้ผู้ควบคุมข้อมูลส่วนบุคคลจัดให้มีมาตรการดังต่อไปนี้ด้วย

(1) แม้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ดังกล่าว จะได้รับยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล แต่ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องกำกับดูแลให้ผู้ดำเนินการในการศึกษาวิจัยหรือสถิติตามมาตรา 24 (1) หรือผู้ดำเนินการในการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติตามมาตรา 26 (5) (ง) ทำการขอความยินยอมในการเข้าร่วมการศึกษาวิจัย (informed consent for research participation) จากผู้เข้าร่วมการศึกษาวิจัย (research subject) เว้นแต่จะเป็นกรณีใดกรณีหนึ่ง ต่อไปนี้

(ก) การศึกษาวิจัยหรือสถิติตามมาตรา 24 (1) หรือการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติตามมาตรา 26 (5) (ง) ที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคลโดยตรง หรือที่ใช้ข้อมูลส่วนบุคคลที่เก็บรวบรวมตามวัตถุประสงค์อื่น และผู้ควบคุมข้อมูลส่วนบุคคลได้ดำเนินการให้เป็นไปตามมาตรา 25 และมาตรา 27 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แล้ว

(ข) การศึกษาวิจัยหรือสถิติตามมาตรา 24 (1) หรือการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติตามมาตรา 26 (5) (ง) นั้นจะไม่สามารถดำเนินการได้หากต้องขอความยินยอม หรือการขอความยินยอมหรือการบันทึกการให้ความยินยอมเป็นหนังสือจะยิ่งทำให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้เข้าร่วมการศึกษาวิจัยเกินสมควร ประกอบกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิตินั้นมีคุณค่าที่สำคัญต่อสังคม และมีความเสี่ยงไม่เกินความเสี่ยงขั้นต่ำ (no more than minimal risks) ต่อผู้เข้าร่วมการศึกษาวิจัย

(ค) กรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอมในการเข้าร่วมการศึกษาวิจัย (waiver of informed consent for research participation) ตามมาตรฐานทางจริยธรรมที่เกี่ยวข้องและเป็นที่ยอมรับ โดยไม่ขัดต่อกฎหมาย หรือตามที่คณะกรรมการจริยธรรมการศึกษาวิจัยในคนหรือคณะบุคคลตามข้อ 5 (4) กำหนด

(2) ในการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติตามมาตรา 24 (1) หรือเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติตามมาตรา 26 (5) (ง) จากเจ้าของข้อมูลส่วนบุคคลโดยตรง ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลดังกล่าวทราบถึงข้อมูลเกี่ยวกับวัตถุประสงค์ของการศึกษาวิจัย รายละเอียดของการศึกษาวิจัยโดยสังเขป ข้อมูลส่วนบุคคลที่จะเก็บรวบรวมในการศึกษาวิจัย ประโยชน์ที่จะได้รับจากการศึกษาวิจัย ความเสี่ยงหรือผลกระทบที่อาจเกิดขึ้นต่อผู้เข้าร่วมการศึกษาวิจัยจากการศึกษาวิจัยนั้น และสิทธิของผู้นั้นในการศึกษาวิจัยดังกล่าว (หากมี) พร้อมทั้งแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบรายละเอียดตามมาตรา 23 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย และจะต้องไม่มีการปกปิดข้อมูลดังกล่าว (withholding information) แก่ผู้เข้าร่วมการศึกษาวิจัย หรือทำการหลอกลวงผู้เข้าร่วมการศึกษาวิจัย (deception) เว้นแต่จะเป็นกรณีที่สามารถกระทำได้ภายใต้กรอบและเงื่อนไขตามมาตรฐานทางจริยธรรมที่เกี่ยวข้องและเป็นที่ยอมรับ โดยไม่ขัดต่อกฎหมาย หรือตามที่คณะกรรมการจริยธรรมการศึกษาวิจัยในคนหรือคณะบุคคลตามข้อ 5 (4) กำหนด

(3) ในการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติตามมาตรา 24 (1) หรือเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติตามมาตรา 26 (5) (ง) ซึ่งการใช้สิทธิขอเข้าถึงหรือขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้เข้าร่วมการศึกษาวิจัยอาจทำให้การศึกษาวิจัยดังกล่าวไม่สามารถบรรลุผลได้ เช่น กรณีผู้ดำเนินการในการศึกษาวิจัยจำเป็นต้องทำการปกปิดการจัดสรรผู้เข้าร่วมการศึกษาวิจัย (allocation concealment) หรือทำการปกปิดข้อมูลเกี่ยวกับการทดลอง (blinding) ในการทดลองทางคลินิก (clinical trials) เพื่อให้ผลการศึกษาวิจัยมีความเที่ยงตรง (valid) ลดอคติ (bias) และน่าเชื่อถือ ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องกำกับดูแลให้ผู้ดำเนินการในการศึกษาวิจัยแจ้งให้เจ้าของข้อมูลส่วนบุคคลที่เป็นผู้เข้าร่วมการศึกษาวิจัยทราบถึงข้อจำกัดในการขอเข้าถึงหรือขอรับสำเนาข้อมูลส่วนบุคคลดังกล่าวในการขอความยินยอมในการเข้าร่วมการศึกษาวิจัยตาม (1) หรือการแจ้งข้อมูลตาม (2) (หากมี) หรือก่อนเริ่มขั้นตอนการศึกษาวิจัยที่เกี่ยวข้อง จนกว่าการศึกษาวิจัยจะเสร็จสิ้นหรืออยู่ในขั้นตอนที่สามารถให้เจ้าของข้อมูลส่วนบุคคลเข้าถึงหรือรับสำเนาข้อมูลดังกล่าวได้โดยไม่เสียวัตถุประสงค์ดังกล่าว และในกรณีที่คณะกรรมการจริยธรรมการศึกษาวิจัยในคนหรือคณะบุคคลตามข้อ 5 (4) กำหนดเป็นอย่างอื่น ให้ปฏิบัติตามที่กำหนด

ข้อ 7 ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ตามกฎหมายอื่นที่เกี่ยวกับการศึกษาวิจัยหรือสถิติตามมาตรา 24 (1) หรือการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่นตามมาตรา 26 (5) (ง) ให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการตามกฎหมายนั้น แต่มาตรการเพื่อคุ้มครองสิทธิ เสรีภาพ และประโยชน์ของเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้เข้าร่วมการศึกษาวิจัยหรือสถิติ หรือการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่นดังกล่าว จะต้องเป็นไปตามที่กำหนดในประกาศนี้ด้วย

ข้อ 8 ให้ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคลเป็นผู้รักษาการตามประกาศนี้

ประกาศ ณ วันที่ 28 ธันวาคม พ.ศ. 2566

เธียรชัย ณ นคร

ประธานกรรมการคุ้มครองข้อมูลส่วนบุคคล

เหตุผลและฐานอำนาจ

เหตุผลตามอารัมภบท: มาตรา 24 (1) และ มาตรา 26 (5) (ง) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เปิดให้เก็บรวบรวมข้อมูลส่วนบุคคล (และข้อมูลอ่อนไหว) โดยไม่ได้รับความยินยอมเพื่อวัตถุประสงค์การศึกษาวิจัยหรือสถิติได้ ต่อเมื่อได้จัดให้มี "มาตรการปกป้องที่เหมาะสม" / "มาตรการที่เหมาะสม" ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด — ประกาศฉบับนี้คือการกำหนดมาตรการดังกล่าว

ฐานอำนาจ: อาศัยอำนาจตามความใน มาตรา 16 (4) ประกอบ มาตรา 24 (1) และ มาตรา 26 (5) (ง) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

เอกสารต้นฉบับ

หมายเหตุการถอดความ: ประกาศในราชกิจจานุเบกษา เล่ม 141 ตอนพิเศษ 7 ง หน้า 21-27 วันที่ 8 มกราคม 2567 (PDF local = สำเนาฉบับราชกิจจาฯ) · effective_date 7 เมษายน 2567 คำนวณจาก ข้อ 2 "พ้นกำหนดเก้าสิบวันนับแต่วันประกาศในราชกิจจานุเบกษา" นับวันประกาศเป็นวันแรก (แบบเดียวกับหมวด 7 ที่ยืนยันกับ commentary ภายนอกแล้ว) · ตัวบทถอดจาก team docx เทียบภาพ PDF ราชกิจจาฯ ครบทุกหน้า พบ docx คลาดจากต้นฉบับ 4 จุด แก้ตาม PDF ทั้งหมด: (1) ข้อ 5 (4) docx สลับลำดับวลี "ซึ่งอาจเป็น/แต่ต้องไม่มี" (2) ข้อ 5 วรรคท้าย docx วางคำ "ลักษณะ" ผิดตำแหน่ง (3) ข้อ 6 (1) (ค) docx พิมพ์ "ข้อ 5 (5)" ต้นฉบับเป็น "ข้อ 5 (4)" (4) ข้อ 6 (2) docx สลับตำแหน่ง "โดยไม่ขัดต่อกฎหมาย" · วงเล็บภาษาอังกฤษทั้งหมด — organizational measures, informed consent, allocation concealment ฯลฯ — และรายการเอกสาร Belmont Report / ICH GCP / CIOMS เป็นข้อความในตัวบทต้นฉบับ verbatim