หน้าหลัก

ข้อหารือที่ 2/2569 — กรมสุขภาพจิต (แลกเปลี่ยนข้อมูลผู้ป่วยจิตเวชเสี่ยงสูง SMI-V)

7 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 3 (1) มาตรา 22 มาตรา 24 (2) (4) และ (6) มาตรา 26 (1) และ (5) (ก) (ข) และ (จ) มาตรา 27 มาตรา 35 และ มาตรา 37 (1) (2) และ (3)
  2. พระราชบัญญัติสุขภาพจิต พ.ศ. 2551 และที่แก้ไขเพิ่มเติม — มาตรา 3 มาตรา 11/1 (2) และ (4) มาตรา 15 (2) มาตรา 16 มาตรา 22 มาตรา 23 มาตรา 24 และมาตรา 27
  3. พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 — มาตรา 13 มาตรา 14 และมาตรา 16
  4. พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540
  5. พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม
  6. พระราชบัญญัติการแพทย์ฉุกเฉิน พ.ศ. 2551
  7. พระราชบัญญัติมาตรการป้องกันการกระทำความผิดซ้ำในความผิดเกี่ยวกับเพศหรือที่ใช้ความรุนแรง พ.ศ. 2565
  8. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 — ข้อ 4 (2) (6) และ (7)

ข้อหารือ

กรมสุขภาพจิตแจ้งว่า ในฐานะหน่วยธุรการของคณะกรรมการสุขภาพจิตแห่งชาติ กรมสุขภาพจิตมีอำนาจหน้าที่ตามพระราชบัญญัติสุขภาพจิต พ.ศ. 2551 ซึ่งแก้ไขเพิ่มเติมโดยพระราชบัญญัติสุขภาพจิต (ฉบับที่ 2) พ.ศ. 2562 มาตรา 11/1 (2) ในการประสานงานและร่วมมือกับหน่วยงานของรัฐและเอกชนที่เกี่ยวข้องในการดำเนินงานด้านสุขภาพจิต และตามมาตรา 11/1 (4) ในการปฏิบัติการอื่นใดตามที่กฎหมายกำหนดให้เป็นอำนาจหน้าที่ของกรมสุขภาพจิต ร่วมกับปัญหาผู้ป่วยจิตเวชที่ก่อความรุนแรงซึ่งเกิดจากความเจ็บป่วยทางจิต การเสพสารเสพติด รวมทั้งการเผชิญกับสภาวะความเครียดจากสิ่งแวดล้อม สังคม และเศรษฐกิจ นำมาสู่การกระทำความรุนแรงทั้งต่อตนเอง ผู้อื่น และทรัพย์สิน ตลอดจนการกระทำความผิด คณะกรรมการสุขภาพจิตแห่งชาติ ในการประชุมครั้งที่ 1/2566 เมื่อวันที่ 27 เมษายน 2566 จึงมีมติให้คณะอนุกรรมการสุขภาพจิตในระดับจังหวัด ดำเนินการตามระบบ V-care ที่เป็นระบบเฝ้าระวังผู้ป่วยจิตเวชและยาเสพติดที่มีความเสี่ยงสูงต่อการก่อความรุนแรง (Serious Mental Illness with High Risk to Violence: SMI-V)

ทั้งนี้ มีผู้ป่วยจิตเวชจำนวนหนึ่งที่ก่อความรุนแรงถึงขั้นมีคดีความและได้รับโทษแล้ว และยังคงมีความเสี่ยงที่จะก่อความรุนแรงซ้ำหากพ้นโทษหรือได้รับการปล่อยตัว อย่างไรก็ตาม หากผู้ป่วยเหล่านี้ได้รับการปล่อยตัวจากกรมราชทัณฑ์ กรมคุมประพฤติ หรือกรมพินิจและคุ้มครองเด็กและเยาวชนแล้ว ยังสามารถอยู่ร่วมกับคนในสังคมได้ หากแต่ต้องมีมาตรการเฝ้าระวังทางด้านยุติธรรมและด้านสาธารณสุขที่เข้มข้น ดังนั้น การแลกเปลี่ยนข้อมูลผู้ป่วยจิตเวชที่พ้นโทษและปล่อยตัวแล้ว แต่มีความเสี่ยงสูงต่อการก่อความรุนแรงร่วมกันระหว่างหน่วยงานที่เกี่ยวข้องดังกล่าว จึงมีความจำเป็นอย่างยิ่งสำหรับการติดตามเฝ้าระวัง ลดการก่อความรุนแรงซ้ำ และเพื่อความปลอดภัยของผู้ป่วย ผู้อื่น และสาธารณชน

ในการจัดทำฐานข้อมูลดังกล่าว จำเป็นต้องมีการแลกเปลี่ยนข้อมูลผู้ป่วยจิตเวชที่มีความเสี่ยงสูงต่อการก่อความรุนแรงจากกรมสุขภาพจิต ข้อมูลผู้ต้องขังที่กำลังจะพ้นโทษจากกรมราชทัณฑ์ ข้อมูลผู้ที่ได้รับคำสั่งศาลในการคุมประพฤติและข้อมูลผู้ที่พ้นโทษที่มีความผิดตามพระราชบัญญัติมาตรการป้องกันการกระทำความผิดซ้ำในความผิดเกี่ยวกับเพศหรือใช้ความรุนแรง พ.ศ. 2565 จากกรมคุมประพฤติ ข้อมูลเด็กและเยาวชนผู้ที่จะได้รับการปล่อยตัวจากกรมพินิจและคุ้มครองเด็กและเยาวชน เพื่อส่งต่อข้อมูลให้สำนักงานตำรวจแห่งชาติและสถาบันการแพทย์ฉุกเฉินแห่งชาติ ในการดำเนินมาตรการเฝ้าระวัง ซึ่งข้อมูลดังกล่าวเป็นข้อมูลที่เป็นความลับของผู้ป่วย โดยกรมสุขภาพจิตเป็นผู้ควบคุมข้อมูลและออกแบบให้มีการบันทึกข้อมูล ได้แก่ ข้อมูลทั่วไป ข้อมูลความเจ็บป่วย ข้อมูลประวัติพฤติกรรมรุนแรง ข้อมูลการใช้สารเสพติด ข้อมูลคดีที่ไม่มีรายละเอียดของพฤติการณ์คดี ข้อมูลการวินิจฉัยโรคทางจิตเวช ข้อมูลการรักษาและยาที่ผู้ป่วยได้รับ ข้อมูลการตรวจวินิจฉัยและประเมินความสามารถในการต่อสู้คดี และข้อมูลสถานะปัจจุบันของผู้ป่วย โดยกำหนดสิทธิการเข้าถึงข้อมูลของแต่ละหน่วยงานตามความรับผิดชอบและความจำเป็น

คณะอนุกรรมการพัฒนาและขับเคลื่อนการดำเนินงานตามกฎหมายว่าด้วยสุขภาพจิต ได้มีการหารือร่วมกันโดยมีความเห็นว่า การเชื่อมโยงข้อมูลดังกล่าวน่าจะสามารถกระทำได้ตามข้อยกเว้นในบทบัญญัติตามมาตรา 16 แห่งพระราชบัญญัติสุขภาพจิต พ.ศ. 2551 ซึ่งบัญญัติห้ามมิให้ผู้ใดเปิดเผยข้อมูลด้านสุขภาพของผู้ป่วยในประการที่น่าจะทำให้เกิดความเสียหายแก่ผู้ป่วย เว้นแต่ (1) ในกรณีที่อาจเกิดอันตรายต่อผู้ป่วยหรือผู้อื่น (2) เพื่อความปลอดภัยของสาธารณชน (3) มีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย และตามข้อยกเว้นใน มาตรา 24 (2) และ (4) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือตามข้อยกเว้นใน มาตรา 26 (1) และ (5) (ก) และ (จ) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จากมติการประชุมคณะอนุกรรมการฯ ครั้งที่ 1/2568 เมื่อวันที่ 3 มีนาคม 2568 ให้จัดตั้งคณะทำงาน อันประกอบด้วยตัวแทนของส่วนราชการและหน่วยงานของรัฐที่เกี่ยวข้อง ได้แก่ กรมสุขภาพจิต กรมราชทัณฑ์ กรมคุมประพฤติ กรมพินิจและคุ้มครองเด็กและเยาวชน สำนักงานตำรวจแห่งชาติ และสถาบันการแพทย์ฉุกเฉินแห่งชาติ สำหรับการดำเนินการเชื่อมโยงข้อมูลเพื่อติดตามผู้ป่วยดังกล่าว กรมสุขภาพจิตจึงขอหารือใน 3 ประเด็น ดังนี้

  1. กรมสุขภาพจิต กรมการแพทย์ สำนักงานปลัดกระทรวงสาธารณสุข กรมราชทัณฑ์ กรมคุมประพฤติ กรมพินิจและคุ้มครองเด็กและเยาวชน สำนักงานตำรวจแห่งชาติ สถาบันการแพทย์ฉุกเฉินแห่งชาติ และส่วนราชการอื่นที่เกี่ยวข้อง สามารถเชื่อมโยงข้อมูลและแลกเปลี่ยนข้อมูลระหว่างกัน ที่เกี่ยวข้องกับผู้ป่วยทางจิตเวชหรือผู้ป่วยยาเสพติดซึ่งมีอาการทางจิตเวชที่มีความเสี่ยงสูงต่อการก่อความรุนแรง เพื่อความปลอดภัยของผู้ป่วยหรือผู้อื่น และเพื่อความปลอดภัยของสาธารณชน ภายใต้บทบัญญัติแห่งพระราชบัญญัติสุขภาพจิต พ.ศ. 2551 และบทบัญญัติแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้หรือไม่

  2. หากสามารถดำเนินการได้ มีเงื่อนไข ขั้นตอน ข้อพึงปฏิบัติ และข้อสังเกตในการดำเนินการอย่างไร เพื่อให้ถูกต้องตามบทบัญญัติแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เช่น การจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Data Sharing Agreement: DSA)

  3. หากไม่สามารถดำเนินการได้ จะมีข้อแนะนำเช่นไร เพื่อให้หน่วยงานของรัฐที่เกี่ยวข้องดังกล่าวสามารถดำเนินการในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลได้ เพื่อให้บรรลุวัตถุประสงค์ของการเฝ้าระวังผู้ป่วยจิตเวชหรือผู้ป่วยยาเสพติดซึ่งมีอาการทางจิตเวชที่มีความเสี่ยงสูงต่อการก่อความรุนแรง

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้พิจารณาข้อหารือดังกล่าว โดยมีผู้แทนกรมสุขภาพจิตชี้แจงข้อเท็จจริงประกอบการพิจารณาแล้ว มีความเห็น ดังนี้

ประเด็นข้อหารือที่ 1 การแลกเปลี่ยนข้อมูลส่วนบุคคลที่เกี่ยวข้องกับผู้ป่วยจิตเวชหรือผู้ป่วยยาเสพติดซึ่งมีอาการทางจิตเวชที่มีความเสี่ยงสูงต่อการก่อความรุนแรง ระหว่างหน่วยงานของรัฐที่เกี่ยวข้อง เพื่อความปลอดภัยของผู้ป่วย ผู้อื่น และสาธารณชน สามารถดำเนินการได้หรือไม่ เห็นว่า มาตรา 3 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บัญญัติไว้เป็นหลักการว่า ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการนั้น เว้นแต่บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่งพระราชบัญญัตินี้เป็นการเพิ่มเติม ไม่ว่าจะซ้ำกับบทบัญญัติแห่งกฎหมายว่าด้วยการนั้นหรือไม่ก็ตาม ดังนั้น ในการดำเนินการดังกล่าว กรมสุขภาพจิตและหน่วยงานที่เกี่ยวข้อง จึงควรพิจารณาดำเนินการให้สอดคล้องกับกฎหมายอื่น ๆ ที่บัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลไว้โดยเฉพาะ เช่น พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 และพระราชบัญญัติสุขภาพจิต พ.ศ. 2551 และที่แก้ไขเพิ่มเติม ก่อน แล้วจึงพิจารณาตามบทบัญญัติแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นการเพิ่มเติมต่อไป

สำหรับบุคคลที่มีความผิดปกติทางจิตซึ่งควรได้รับการบำบัดรักษา ซึ่งถือเป็นผู้ป่วยตามบทนิยามในมาตรา 3 แห่งพระราชบัญญัติสุขภาพจิต พ.ศ. 2551 รวมทั้งกรณีผู้ป่วยคดี มาตรา 15 (2) แห่งพระราชบัญญัติดังกล่าว บัญญัติว่าผู้ป่วยย่อมมีสิทธิได้รับการปกปิดข้อมูลเกี่ยวกับการเจ็บป่วยและการบำบัดรักษาไว้เป็นความลับ เว้นแต่มีกฎหมายบัญญัติไว้ให้เปิดเผยได้ และมาตรา 16 บัญญัติห้ามมิให้ผู้ใดเปิดเผยข้อมูลด้านสุขภาพของผู้ป่วยในประการที่น่าจะทำให้เกิดความเสียหายแก่ผู้ป่วย เว้นแต่ (1) ในกรณีที่อาจเกิดอันตรายต่อผู้ป่วยหรือผู้อื่น (2) เพื่อความปลอดภัยของสาธารณชน (3) มีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย นอกจากนี้ มาตรา 22 กำหนดให้บุคคลที่มีความผิดปกติทางจิตในกรณีที่มีภาวะอันตรายหรือมีความจำเป็นต้องได้รับการบำบัดรักษา เป็นบุคคลที่ต้องได้รับการบำบัดรักษา และมาตรา 23 กำหนดว่า ผู้ใดพบบุคคลซึ่งมีพฤติการณ์อันน่าเชื่อว่าบุคคลนั้นมีลักษณะตามมาตรา 22 ให้แจ้งต่อพนักงานเจ้าหน้าที่ พนักงานฝ่ายปกครองหรือตำรวจโดยไม่ชักช้า และมาตรา 24 กำหนดให้พนักงานเจ้าหน้าที่ พนักงานฝ่ายปกครองหรือตำรวจที่ได้รับแจ้งดังกล่าว มีหน้าที่ดำเนินการนำตัวบุคคลนั้นไปยังสถานพยาบาลของรัฐหรือสถานบำบัดรักษาซึ่งอยู่ใกล้โดยไม่ชักช้า เพื่อรับการตรวจวินิจฉัยและประเมินอาการเบื้องต้นตามมาตรา 27 (บทบัญญัติของพระราชบัญญัติสุขภาพจิต พ.ศ. 2551)

ดังนั้น หากกรมสุขภาพจิต ร่วมกับหน่วยงานของรัฐที่เกี่ยวข้อง เห็นว่า การแลกเปลี่ยนข้อมูลส่วนบุคคลซึ่งรวมถึงข้อมูลด้านสุขภาพ ของบุคคลที่มีความผิดปกติทางจิตซึ่งควรได้รับการบำบัดรักษา โดยเฉพาะกรณีผู้ป่วยจิตเวชหรือผู้ป่วยยาเสพติดซึ่งมีอาการทางจิตเวชที่มีความเสี่ยงสูงต่อการก่อความรุนแรง ระหว่างหน่วยงานของรัฐที่เกี่ยวข้องด้วยกัน แม้อาจเป็นการเปิดเผยในประการที่น่าจะทำให้เกิดความเสียหายแก่ผู้ป่วย แต่เป็นกรณีที่มีความจำเป็นเนื่องจากอาจเกิดอันตรายต่อผู้ป่วยหรือผู้อื่น หรือเพื่อความปลอดภัยของสาธารณชน ตามมาตรา 16 (1) หรือ (2) แห่งพระราชบัญญัติสุขภาพจิต พ.ศ. 2551 หรือเป็นการจำเป็นเพื่อให้พนักงานเจ้าหน้าที่สามารถดำเนินการตามมาตรา 24 แห่งพระราชบัญญัติสุขภาพจิต พ.ศ. 2551 ได้ หรือเป็นการจำเป็นเพื่อให้สถาบันการแพทย์ฉุกเฉินแห่งชาติสามารถดำเนินการปฏิบัติการฉุกเฉินได้อย่างปลอดภัยและมีประสิทธิภาพ รวมทั้งในกรณีที่มีความจำเป็นต้องดำเนินการตามมาตรการแก้ไขฟื้นฟูผู้กระทำความผิด มาตรการเฝ้าระวังภายหลังพ้นโทษ และมาตรการคุมขังภายหลังพ้นโทษ ตามพระราชบัญญัติมาตรการป้องกันการกระทำความผิดซ้ำในความผิดเกี่ยวกับเพศหรือที่ใช้ความรุนแรง พ.ศ. 2565 ก็อาจถือเป็นการเปิดเผยข้อมูลส่วนบุคคลที่เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล ตาม มาตรา 24 (4) หรือเป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล ตาม มาตรา 24 (6) แล้วแต่กรณี ประกอบ มาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้

และสำหรับข้อมูลส่วนบุคคลเกี่ยวกับประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ หรือข้อมูลส่วนบุคคลอื่นตาม มาตรา 26 ก็อาจถือเป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้านสังคมสงเคราะห์ ตาม มาตรา 26 (5) (ก) หรือเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะด้านการสาธารณสุข ตาม มาตรา 26 (5) (ข) หรือเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะที่สำคัญ ตาม มาตรา 26 (5) (จ) แล้วแต่กรณี ประกอบ มาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติดังกล่าว ที่ไม่ต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลได้ นอกจากนี้ ในกรณีที่มีเหตุอันควรเชื่อว่าอาจมีอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลใดซึ่งไม่ไกลเกินกว่าเหตุ การเปิดเผยดังกล่าวยังอาจถือเป็นการเปิดเผยข้อมูลส่วนบุคคลเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล ตาม มาตรา 24 (2) ประกอบ มาตรา 27 วรรคหนึ่ง และสำหรับข้อมูลส่วนบุคคลตาม มาตรา 26 ที่เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม ก็อาจถือเป็นกรณีตาม มาตรา 26 (1) ประกอบ มาตรา 27 วรรคหนึ่ง ได้เช่นกัน ทั้งนี้ จะต้องจัดให้มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตามจริยธรรมแห่งวิชาชีพ ตาม มาตรา 26 (5) (ข) และ/หรือ (จ) ด้วย

นอกจากนี้ หากข้อมูลส่วนบุคคลที่ประสงค์จะเชื่อมโยงหรือแลกเปลี่ยนกันเป็นข้อมูลในรูปแบบข้อมูลดิจิทัล ซึ่งหน่วยงานของรัฐที่เกี่ยวข้องได้มาหรือมีอยู่ในความครอบครอง และประสงค์จะใช้เพื่อประโยชน์ในการบริหารราชการแผ่นดินและการให้บริการประชาชน ก็สามารถจัดให้มีการเชื่อมโยงและแลกเปลี่ยนข้อมูลดิจิทัลที่จะเกิดการบูรณาการร่วมกันได้ ตามมาตรา 13 แห่งพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 โดยจะต้องปฏิบัติให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลด้วย ตามนัยมาตรา 16 แห่งพระราชบัญญัติดังกล่าว ทั้งนี้ หน่วยงานของรัฐผู้รับข้อมูลดิจิทัลดังกล่าวต้องใช้ข้อมูลตามวัตถุประสงค์ในหน้าที่และอำนาจของตนเท่านั้น และต้องดูแลรักษาข้อมูลให้มีความมั่นคงปลอดภัย ไม่มีการเปิดเผยหรือโอนข้อมูลไปยังบุคคลที่ไม่มีสิทธิเข้าถึงข้อมูล ตามมาตรา 14 แห่งพระราชบัญญัติเดียวกัน

อย่างไรก็ตาม คณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตเพิ่มเติมว่า เมื่อคำนึงถึงความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลในกรณีตามประเด็นที่หารือ การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลดังกล่าวต้องดำเนินการเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของหน่วยงานของรัฐที่เกี่ยวข้องในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ตาม มาตรา 22 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เท่านั้น โดยอาจพิจารณาจากการจัดประเภทของผู้ป่วยจิตเวชและยาเสพติดที่มีความเสี่ยงสูงต่อการก่อความรุนแรง (SMI-V) และระดับความเสี่ยงของผู้ป่วยตามหลักเกณฑ์ที่กำหนด ตลอดจนลักษณะหรือประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้องและจำเป็นต้องเก็บรวบรวม ใช้ หรือเปิดเผยเพื่อให้บรรลุวัตถุประสงค์ดังกล่าว และบุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลจากการเปิดเผยดังกล่าวจะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับหน่วยงานที่เปิดเผยข้อมูลในการขอรับข้อมูลส่วนบุคคลนั้น ตาม มาตรา 27 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ประเด็นข้อหารือที่ 2 เห็นว่า หน่วยงานของรัฐที่เกี่ยวข้องซึ่งมีการแลกเปลี่ยนข้อมูลส่วนบุคคลระหว่างกันตามที่กล่าวข้างต้น มีหน้าที่ต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยเฉพาะในเรื่องการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมตาม มาตรา 37 (1) ซึ่งต้องเป็นไปตามมาตรฐานขั้นต่ำที่กำหนดไว้ในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 โดยข้อ 4 ของประกาศนี้กำหนดว่า มาตรการดังกล่าวจะต้องประกอบด้วยมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย โดยคำนึงถึงระดับความเสี่ยง ซึ่งการจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Data Sharing Agreement: DSA) ถือเป็นมาตรการเชิงองค์กรอย่างหนึ่งเพื่อกำหนดวัตถุประสงค์ วิธีการ เงื่อนไข และหน้าที่ความรับผิดชอบของแต่ละฝ่ายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อันจะเป็นการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่จะเปิดเผยให้กับหน่วยงานที่เกี่ยวข้อง และยังเป็นมาตรการเพื่อป้องกันมิให้หน่วยงานที่ได้รับข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้ตาม มาตรา 27 วรรคสอง หรือเพื่อป้องกันมิให้ใช้หรือเปิดเผยโดยปราศจากอำนาจหรือโดยมิชอบ ตาม มาตรา 37 (2) อีกด้วย ดังนั้น หากกรมสุขภาพจิตและหน่วยงานที่เกี่ยวข้องเห็นสมควร ก็ย่อมสามารถหารือและตกลงร่วมกันเพื่อจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคลระหว่างกันได้

นอกจากนี้ มาตรการรักษาความมั่นคงปลอดภัยดังกล่าว อย่างน้อยต้องประกอบด้วยการควบคุมการเข้าถึงข้อมูลส่วนบุคคล (access control) ที่มีการพิสูจน์และยืนยันตัวตน (identity proofing and authentication) และการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงและใช้งาน (authorization) ที่เหมาะสม โดยคำนึงถึงหลักการให้สิทธิเท่าที่จำเป็น (need-to-know basis) ตามหลักการให้สิทธิที่น้อยที่สุดเท่าที่จำเป็น (principle of least privilege) การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) รวมถึงการลงทะเบียนและการถอนสิทธิผู้ใช้งาน และการทบทวนสิทธิการเข้าถึงของผู้ใช้งานที่เหมาะสม การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) ที่ชัดเจน และการจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง แก้ไข หรือลบข้อมูลส่วนบุคคล (audit trails) อย่างเหมาะสมตามระดับความเสี่ยง ทั้งนี้ ตามข้อ 4 (6) (ก) ถึง (ง) ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 รวมถึงการสร้างเสริมความตระหนักรู้ด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย (privacy and security awareness) และการแจ้งนโยบาย แนวปฏิบัติ และมาตรการด้านการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยอย่างเหมาะสมให้ผู้ใช้งานทราบและถือปฏิบัติ ตามข้อ 4 (7) ของประกาศดังกล่าวด้วย

อนึ่ง เมื่อคำนึงถึงความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลในกรณีดังกล่าว คณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตเพิ่มเติมว่า กรมสุขภาพจิตและหน่วยงานที่เกี่ยวข้องจะต้องดำเนินการให้ข้อมูลส่วนบุคคลดังกล่าวถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด ตาม มาตรา 35 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งควรจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น ตาม มาตรา 37 (3) เท่าที่จะสามารถกระทำได้ด้วย นอกจากนี้ ควรพิจารณาใช้ความระมัดระวังเป็นพิเศษสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่เป็นผู้เยาว์ ผู้พิการ ผู้ไร้ความสามารถ ผู้เสมือนไร้ความสามารถ หรือบุคคลเปราะบาง (vulnerable persons) ที่ขาดความสามารถในการปกป้องสิทธิและประโยชน์ของตนเนื่องจากข้อจำกัดต่าง ๆ

ประเด็นข้อหารือที่ 3 เมื่อได้พิจารณาแล้วว่า กรมสุขภาพจิตและหน่วยงานที่เกี่ยวข้องสามารถแลกเปลี่ยนข้อมูลส่วนบุคคลของผู้ป่วยทางจิตเวชหรือผู้ป่วยยาเสพติดซึ่งมีอาการทางจิตเวชที่มีความเสี่ยงสูงต่อการก่อความรุนแรงระหว่างกันตามประเด็นข้อหารือที่ 1 ได้ จึงไม่จำเป็นต้องให้ความเห็นในประเด็นนี้

เอกสารต้นฉบับ