ข้อหารือที่ 14/2566 — โรงพยาบาล B (พนักงานสอบสวนขอเวชระเบียน)

ข้อกฎหมาย

1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 3, มาตรา 4 (2) และ (5), มาตรา 4 วรรคสาม, มาตรา 21, มาตรา 24, มาตรา 26, มาตรา 27 วรรคหนึ่ง และ มาตรา 37 (1)
2. พระราชบัญญัติสถานพยาบาล พ.ศ. 2541 — มาตรา 35
3. พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 — มาตรา 7
4. ประมวลกฎหมายวิธีพิจารณาความอาญา

ข้อหารือ

โรงพยาบาล B โดยฝ่ายกฎหมายของโรงพยาบาล ขอหารือกรณีพนักงานสอบสวนมักมีหนังสือ และ/หรือหมายเรียกพยานเอกสาร ขอให้โรงพยาบาล B ส่งประวัติการรักษาพยาบาลของผู้ป่วย ซึ่งถือเป็นข้อมูลส่วนบุคคลตาม PDPA เพื่อนำไปประกอบสำนวนการสอบสวนดำเนินคดีอาญา

โรงพยาบาล B จึงขอหารือถึงการใช้หรือเปิดเผยประวัติการรักษาพยาบาลของผู้ป่วย กรณีได้รับหนังสือ และ/หรือหมายเรียกพยานเอกสาร ออกโดยพนักงานสอบสวน เพื่อเป็นแนวทางในการปฏิบัติงานที่ถูกต้องต่อไป ดังนี้:

1. พนักงานสอบสวน สังกัดสำนักงานตำรวจแห่งชาติ ซึ่งมีอำนาจและหน้าที่ทำการสอบสวน เป็นการดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความปลอดภัยของประชาชน ตาม มาตรา 4 (2) แห่ง PDPA หรือไม่ และสำนักงานตำรวจแห่งชาติไม่อยู่ภายใต้บังคับของ PDPA ใช่หรือไม่ และการกระทำตามอำนาจหน้าที่ของพนักงานสอบสวน ตามประมวลกฎหมายวิธีพิจารณาความอาญา เป็นการดำเนินการของเจ้าหน้าที่ที่ได้ดำเนินงานตามกระบวนการยุติธรรมทางอาญาตาม มาตรา 4 (5) ซึ่งไม่อยู่ภายใต้บังคับของ PDPA ใช่หรือไม่
2. โรงพยาบาล B ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล สามารถเปิดเผยข้อมูลส่วนบุคคล ตามที่พนักงานสอบสวนมีหนังสือ และ/หรือหมายเรียกพยานเอกสาร ให้กับพนักงานสอบสวนตาม มาตรา 21 (2) แห่ง PDPA ได้หรือไม่
3. กรณีตามข้อ 1 ข้างต้น โรงพยาบาล B สามารถเปิดเผยประวัติการรักษาพยาบาล โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนให้กับพนักงานสอบสวนได้หรือไม่

ความเห็น

คณะอนุกรรมการเฉพาะกิจตอบข้อหารือและให้คำแนะนำหน่วยงานของรัฐเพื่อรองรับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พิจารณาแล้วมีความเห็น ดังนี้

ประเด็นหารือที่ 1 เห็นว่า การขอข้อมูลส่วนบุคคลของพนักงานสอบสวน เพื่อการสอบสวนซึ่งเป็นการรวบรวมพยานหลักฐานและการดำเนินการทั้งหลายอื่นตามบทบัญญัติแห่งประมวลกฎหมายวิธีพิจารณาความอาญา ซึ่งพนักงานสอบสวนได้ทำไปเกี่ยวกับความผิดที่กล่าวหา เพื่อที่จะทราบข้อเท็จจริงหรือพิสูจน์ความผิดและเพื่อจะเอาตัวผู้กระทำผิดมาฟ้องลงโทษ ตามประเด็นที่หารือนี้ ถือเป็นส่วนหนึ่งของการดำเนินงานของเจ้าหน้าที่ตามกระบวนการยุติธรรมทางอาญาตามนัย มาตรา 4 (5) แห่ง PDPA

โดยกระบวนการยุติธรรมทางอาญาครอบคลุมตั้งแต่กระบวนการเพื่อให้รู้ถึงการกระทำความผิดอาญา ผู้กระทำความผิดอาญา ข้อเท็จจริงและรายละเอียดแห่งความผิดอาญา การติดตามหาตัวผู้กระทำความผิดอาญา การพิจารณาความผิดอาญา และการลงโทษผู้กระทำความผิดอาญา และในกรณีที่เจ้าหน้าที่ดังกล่าวเป็นบุคลากรของสำนักงานตำรวจแห่งชาติที่ปฏิบัติงานตามหน้าที่และอำนาจที่กฎหมายกำหนดไว้เพื่อการรักษาความปลอดภัยของประชาชน จะเข้าข่ายเป็นการดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงการรักษาความปลอดภัยของประชาชน ตามความใน มาตรา 4 (2) แห่ง PDPA ด้วย

ดังนั้น กรณีตามประเด็นหารือดังกล่าว ถือเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของสำนักงานตำรวจแห่งชาติ ในการปฏิบัติหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงการรักษาความปลอดภัยของประชาชน เพื่อการดำเนินงานตามกระบวนการยุติธรรมทางอาญา จึงไม่อยู่ภายใต้บังคับแห่ง PDPA ตาม มาตรา 4 (2) และ (5) อย่างไรก็ดี สำนักงานตำรวจแห่งชาติจะต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามมาตรฐานด้วย ตามความใน มาตรา 4 วรรคสาม

ประเด็นหารือที่ 2 และ 3 โรงพยาบาล B ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล สามารถเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับประวัติการรักษาพยาบาลของผู้ป่วย โดยได้รับยกเว้นไม่ต้องขอความยินยอมตาม มาตรา 24 หรือ มาตรา 26 แล้วแต่กรณี เช่น:

• เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาตาม มาตรา 24 (3)
• เป็นการปฏิบัติตามสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์ในกรณีที่ข้อมูลส่วนบุคคลนั้นอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูลส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมายตาม มาตรา 26 (5) (ก)
• เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลตาม มาตรา 24 (6) หรือเป็นการจำเป็นในการปฏิบัติตามกฎหมายตาม มาตรา 26 (5) (ก) (เช่น หน้าที่ตามมาตรา 35 แห่งพระราชบัญญัติสถานพยาบาล พ.ศ. 2541)

ดังนั้น โรงพยาบาล B จึงสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว ซึ่งรวมถึงประวัติการรักษาพยาบาลของผู้ป่วยที่ถือเป็นข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลสุขภาพตาม มาตรา 26 แห่ง PDPA ตามที่พนักงานสอบสวนมีหนังสือ และ/หรือหมายเรียกพยานเอกสารได้ โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เนื่องจากเป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตาม มาตรา 24 หรือ มาตรา 26 แล้วแต่กรณี ตามนัย มาตรา 27 วรรคหนึ่ง

สำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ดังกล่าว ในกรณีที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวมข้อมูลส่วนบุคคล สามารถดำเนินการได้ตาม มาตรา 21 วรรคหนึ่ง · ส่วนกรณีที่เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างไปจากวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ หากเป็นการปฏิบัติตามบทบัญญัติแห่งกฎหมายอื่นที่บัญญัติให้กระทำได้ เช่น ประมวลกฎหมายวิธีพิจารณาความอาญา ก็สามารถดำเนินการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวได้ ตามนัย มาตรา 21 วรรคสอง (2)

อนึ่ง การเปิดเผยข้อมูลส่วนบุคคลให้กับพนักงานสอบสวนดังกล่าว ยังถือเป็นกรณีที่มีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผยข้อมูลด้านสุขภาพของบุคคล ซึ่งสามารถกระทำได้ตามมาตรา 7 แห่งพระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 โดย มาตรา 3 แห่ง PDPA ได้บัญญัติให้ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการนั้น

ทั้งนี้ คณะอนุกรรมการฯ มีความเห็นเพิ่มเติมว่า โรงพยาบาล B ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ตามที่บัญญัติใน PDPA และกฎหมายอื่นที่เกี่ยวข้องให้ครบถ้วน โดยเฉพาะการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมตาม มาตรา 37 (1) ซึ่งต้องเป็นไปตามมาตรฐานขั้นต่ำที่กำหนดในประกาศ คคส. เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

เอกสารต้นฉบับ

• PDF ต้นฉบับ (local)
• ที่มา: pdpc.or.th