ข้อหารือที่ 3/2569 — ศูนย์วิจัยอุบัติเหตุแห่งประเทศไทย (AIT) (ฐานวิจัยอุบัติเหตุรถจักรยานยนต์ + แนวทาง anonymization)

ข้อกฎหมาย

1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 5 วรรคหนึ่ง มาตรา 6 มาตรา 19 มาตรา 20 มาตรา 21 วรรคสอง (2) มาตรา 23 มาตรา 24 (1) (4) และ (5) มาตรา 25 วรรคหนึ่งและวรรคสอง มาตรา 26 (3) (4) และ (5) (ง) มาตรา 27 วรรคหนึ่งและวรรคสอง มาตรา 33 วรรคห้า มาตรา 37 (2) และมาตรา 40 วรรคสาม
2. พระราชบัญญัติคุ้มครองการดำเนินงานของสถาบันเทคโนโลยีแห่งเอเชีย พ.ศ. 2510 มาตรา 4 (1)
3. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการที่เหมาะสมสำหรับ การเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือ สถิติตามมาตรา 24 (1) และการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่นตามมาตรา 26 (5) (ง) แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 ข้อ 3
4. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูล ส่วนบุคคลได้ พ.ศ. 2567 ข้อ 6
5. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัย ของข้อมูลส่วนบุคคล พ.ศ. 2565 ข้อ 4 และข้อ 6
6. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้ง เหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 ข้อ 8
7. แนวทางการดำเนินการในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูล ส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
8. ประกาศสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) ที่ ม 5/2567 เรื่อง มาตรฐาน สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) ว่าด้วยแนวทางการจัดทำข้อมูลนิรนาม ลงวันที่ 23 กันยายน 2567 และมาตรฐานสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) ว่าด้วยแนวทางการจัดทำข้อมูลนิรนาม เวอร์ชัน 1.0 (เลขที่ มสพร. 14-2567)

ข้อหารือ

ศูนย์วิจัยอุบัติเหตุแห่งประเทศไทย สถาบันเทคโนโลยีแห่งเอเชีย แจ้งว่า ศูนย์วิจัยอุบัติเหตุ แห่งประเทศไทย (ศูนย์วิจัยฯ) เป็นหน่วยงานภายในสถาบันเทคโนโลยีแห่งเอเชีย (AIT) โดย AIT เป็นองค์การ ระหว่างประเทศ ที่ไม่แสวงหากำไร โดยมีวัตถุประสงค์ในการจัดตั้งเพื่อบริหารจัดการสถาบันการศึกษาชั้นสูง ในด้านวิศวกรรม วิทยาศาสตร์ และรวมถึงการบริหารจัดการและพัฒนาองค์กรด้านการวิจัย ซึ่งได้รับการรับรอง ภายใต้พระราชบัญญัติคุ้มครองการดำเนินงานของสถาบันเทคโนโลยีแห่งเอเชีย พ.ศ. 2510 และกฎบัตรของ สถาบันเทคโนโลยีแห่งเอเชีย โดยศูนย์วิจัยฯ เป็นศูนย์วิจัยอุบัติเหตุบนท้องถนนแห่งแรกในประเทศไทย ซึ่งมีวัตถุประสงค์หลักในการลดอุบัติเหตุบนท้องถนน และเพิ่มความปลอดภัยทางถนนในประเทศไทย โดยมุ่งมั่น ที่จะเป็นศูนย์กลางระดับชาติในการเก็บรวบรวมและวิเคราะห์ข้อมูลทางวิทยาศาสตร์เกี่ยวกับอุบัติเหตุบนถนน และทำการวิจัยทั้งข้อมูลอุบัติเหตุขั้นต้นและข้อมูลทุติยภูมิ ด้วยการให้ข้อมูลเชิงลึกและข้อเสนอแนะ ที่อิงหลักฐาน โดยศูนย์วิจัยฯ สนับสนุนการพัฒนานโยบาย เพิ่มความตระหนักรู้ของสาธารณะ และส่งเสริม การออกแบบถนนและพฤติกรรมการขับขี่ที่ปลอดภัยยิ่งขึ้น ในแต่ละปี ศูนย์วิจัยฯ ได้ดำเนินโครงการสืบสวนสาเหตุการเกิดอุบัติเหตุบนท้องถนนของ รถจักรยานยนต์ เพื่อสืบหาสาเหตุสำคัญที่ทำให้เกิดการชนของรถจักรยานยนต์ ที่จะนำมาสู่การพัฒนา แนวทางการแก้ปัญหาอุบัติเหตุบนท้องถนน หรือลดความรุนแรงของอุบัติเหตุ โดยศูนย์วิจัยฯ ได้รับเงินสนับสนุน จากหน่วยงานภาคเอกชนและองค์กรที่ไม่แสวงหากำไร ในการดำเนินโครงการดังกล่าว โดยศูนย์วิจัยฯ ได้แถลงสรุปข้อมูลผลการศึกษาโครงการให้แก่หน่วยงานภาครัฐ ผู้สนับสนุนโครงการ และประชาชนทั่วไป ผ่านทางเว็บไซต์ของศูนย์วิจัยฯ พร้อมทั้งนำเสนอต่อหน่วยงานภาครัฐที่เกี่ยวข้อง เพื่อประโยชน์ในการพัฒนา มาตรการป้องกันอุบัติเหตุบนท้องถนนในประเทศไทย สำหรับการเก็บรวบรวมข้อมูลโครงการนั้น ศูนย์วิจัยฯ จะมอบหมายให้นักวิจัยในมหาวิทยาลัย เครือข่ายที่อยู่ท้องที่ต่าง ๆ ประสานงานจัดเก็บข้อมูลเกี่ยวกับอุบัติเหตุบนท้องถนน ซึ่งอาจรวมถึงความรุนแรง ของอุบัติเหตุและอาการบาดเจ็บของผู้ขับขี่ที่เกี่ยวข้อง ซึ่งนักวิจัยแต่ละท่านอาจดำเนินการขอความร่วมมือ กับสถานีตำรวจและสถานพยาบาลในการใช้ข้อมูลที่เกี่ยวข้องกับอุบัติเหตุที่สนใจ ตลอดจนสัมภาษณ์ผู้ขับขี่ เกี่ยวกับอุบัติเหตุและอาการบาดเจ็บที่เกิดขึ้น ตามมาตรฐานในการวิจัยที่กำหนดโดยศูนย์วิจัยฯ จากนั้น มหาวิทยาลัยเครือข่ายจึงจัดส่งข้อมูลดังต่อไปนี้ให้แก่ศูนย์วิจัยฯ 1) ข้อมูลบันทึกรายงานทั้งหมด นอกเหนือจากข้อมูลที่เป็นตัวระบุทางตรง (direct identifiers)

ดังนั้น ศูนย์วิจัยฯ จะไม่สามารถทราบว่าข้อมูลที่ได้รับนั้น เป็นของผู้ขับขี่ท่านใด เมื่อได้รับข้อมูล ศูนย์วิจัยฯ จะทำการสรุปผลการวิจัยและจัดส่งรายงานสรุปผลการวิจัยให้แก่หน่วยงานที่เกี่ยวข้องและผู้สนับสนุนโครงการต่อไป ซึ่งรายงานดังกล่าว อาจรวมถึงรายละเอียดความเสียหายของยานยนต์ ความร้ายแรงของอาการบาดเจ็บ พฤติการณ์และสาเหตุของการเกิดอุบัติเหตุ รวมถึงลักษณะทางกายภาพของถนนและสภาพแวดล้อมขณะขับขี่ 2) ข้อมูลรูปภาพและภาพเคลื่อนไหวจากจุดเกิดเหตุ ซึ่งนักวิจัยจะได้รับจากการบันทึกภาพ ส่วนตัวจากบริเวณจุดเกิดเหตุ และกล้องวงจรปิดที่ติดตั้งในบริเวณดังกล่าว โดยศูนย์วิจัยฯ จะดำเนินการปกปิด ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนเจ้าของข้อมูลส่วนบุคคลทางตรงได้ เช่น ทะเบียนรถ หรือภาพใบหน้าของ บุคคลที่ปรากฏทั้งหมด รวมถึงข้อมูลใด ๆ ที่อาจสื่อถึงเจ้าของข้อมูลส่วนบุคคล ก่อนรวบรวมเข้ากับรายงาน สรุปผลการวิจัยที่จัดส่งให้กับหน่วยงานที่เกี่ยวข้องและผู้สนับสนุนโครงการตามข้อ 1) ในการนี้ ศูนย์วิจัยฯ มีประเด็นข้อหารือ ดังต่อไปนี้ 1) ฐานการประมวลผลข้อมูลส่วนบุคคลและการดำเนินการตามกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคล เนื่องจากศูนย์วิจัยฯ มีวัตถุประสงค์ในการศึกษาวิจัยเพื่อลดอุบัติเหตุบนท้องถนนและ เพิ่มความปลอดภัยทางถนนในประเทศไทย ซึ่งถือว่าเป็นการดำเนินการเพื่อประโยชน์สาธารณะต่อสังคมไทย โดยในขั้นตอนการเก็บรวบรวมข้อมูล ศูนย์วิจัยฯ ดำเนินการตามแนวทางที่เหมาะสม ซึ่งจัดเก็บข้อมูลเท่าที่จำเป็น ตามหลักการ need-to-know basis ศูนย์วิจัยฯ จึงขอเรียนหารือว่า 1.1 การดำเนินการดังกล่าวสามารถอ้างอิงฐานการศึกษาวิจัยหรือสถิติ ตามมาตรา 24 (1) และมาตรา 26 (5) (ง) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยไม่ต้องได้รับ ความยินยอมจากผู้ขับขี่ใช่หรือไม่ 1.2 การที่ศูนย์วิจัยฯ มอบหมายให้นักวิจัยในมหาวิทยาลัยเครือข่ายดำเนินการ เก็บรวบรวมข้อมูลให้ ถือว่ามหาวิทยาลัยเครือข่ายดังกล่าว เป็นผู้ประมวลผลข้อมูลส่วนบุคคลให้แก่ศูนย์วิจัยฯ ซึ่งศูนย์วิจัยฯ มีหน้าที่ต้องจัดทำข้อตกลงร่วมกับมหาวิทยาลัยเครือข่ายเหล่านั้น ตามมาตรา 40 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช่หรือไม่ 1.3 การดำเนินการที่มหาวิทยาลัยเครือข่ายได้ดำเนินการไป ถือเป็นการดำเนินการ แทนศูนย์วิจัยฯ

ดังนั้น การจัดส่งข้อมูลระหว่างมหาวิทยาลัยเครือข่ายและศูนย์วิจัยฯ ไม่จำเป็นต้องได้รับ ความยินยอมจากผู้ขับขี่ เพียงแต่ศูนย์วิจัยฯ มีหน้าที่ต้องจัดทำหนังสือแจ้งการประมวลผลข้อมูล เพื่อให้ผู้ขับขี่ สามารถทราบรายละเอียดเกี่ยวกับโครงการนี้ได้ ตามที่กำหนดในมาตรา 23 แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 ใช่หรือไม่ 1.4 ด้วยศูนย์วิจัยฯ ไม่ได้เป็นผู้จัดเก็บข้อมูลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง และอาจไม่มีรายละเอียดติดต่อเจ้าของข้อมูลส่วนบุคคลในบางกรณี ทำให้อาจไม่สามารถจัดส่งหนังสือแจ้ง การประมวลผลต่อเจ้าของข้อมูลส่วนบุคคลได้ ศูนย์วิจัยฯ จึงขอหารือว่า ศูนย์วิจัยฯ สามารถจัดทำหนังสือแจ้ง การประมวลผลโดยประกาศผ่านเว็บไซต์ของศูนย์วิจัยฯ ที่บุคคลทั่วไปสามารถเข้าถึงได้ แทนการจัดส่งหนังสือ แจ้งการประมวลผลที่อาจไม่ครอบคลุมเจ้าของข้อมูลส่วนบุคคลทั้งหมด ได้หรือไม่ 2) แนวทางการจัดทำข้อมูลนิรนาม หน่วยงานที่เกี่ยวข้องและผู้สนับสนุนโครงการอาจนำผลการศึกษาโครงการดังกล่าวไป ต่อยอดเพื่อพัฒนานโยบายและนวัตกรรมที่สามารถช่วยลดอุบัติเหตุทางถนนได้ ซึ่งหากข้อมูลที่หน่วยงานดังกล่าว ได้รับ มีความชัดเจนและเหมาะสม เช่น ภาพสถานที่เกิดเหตุ และรายละเอียดเหตุการณ์แต่ละครั้ง อาจช่วยเพิ่ม ประสิทธิภาพในการใช้ข้อมูลดังกล่าวมากยิ่งขึ้น ซึ่งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้จัดทำประกาศ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคล เป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ พ.ศ. 2567 เพื่อกำหนดแนวทาง ในการจัดทำข้อมูลนิรนามในเบื้องต้น ศูนย์วิจัยฯ จึงขอหารือในรายละเอียด ดังต่อไปนี้ 2.1 การจัดทำข้อมูลนิรนามสำหรับภาพถ่ายและวิดีโอ หากศูนย์วิจัยฯ ดำเนินการลบ ข้อมูลที่มีตัวระบุทางตรง (direct identifiers) เช่น ชื่อ หมายเลขทะเบียนรถ ภาพถ่ายผู้ขับขี่ และดำเนินการพราง ข้อมูลใด ๆ ที่อาจสื่อถึงเจ้าของข้อมูลส่วนบุคคล เช่น อายุ วันที่เกิดเหตุ หรือตำแหน่งที่เกิดเหตุ ที่อาจปรากฏ ในภาพถ่ายหรือวิดีโอดังกล่าว จะสามารถทำให้ข้อมูลดังกล่าวไม่ถือเป็นข้อมูลส่วนบุคคลได้หรือไม่ 2.2 ผลของการจัดทำข้อมูลนิรนาม หากข้อมูลที่ถูกจัดทำเป็นข้อมูลนิรนามแล้ว ศูนย์วิจัยฯ สามารถใช้ข้อมูลดังกล่าวโดยไม่ต้องคำนึงถึงเงื่อนไขตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพราะถือว่าข้อมูลดังกล่าวสิ้นสถานะความเป็นข้อมูลส่วนบุคคลแล้ว ใช่หรือไม่ หากใช่แล้ว จะรวมถึงกรณีที่ ศูนย์วิจัยฯ จัดเก็บข้อมูลดิบที่ได้รับจากมหาวิทยาลัยเครือข่ายเพื่อใช้ประกอบการอ้างอิงภายใน โดยไม่มีข้อมูล ที่มีตัวระบุทางตรง (direct identifiers) ตามแนวทางการศึกษาวิจัยทั่วไปได้หรือไม่ 2.3 หากหน่วยงานภายนอกเป็นผู้ว่าจ้างผู้ให้บริการจัดทำข้อมูลผลการศึกษาของศูนย์วิจัยฯ เป็นข้อมูลนิรนาม ก่อนจัดส่งให้แก่หน่วยงานดังกล่าว เป็นกิจกรรมที่สามารถอ้างอิงฐานประโยชน์โดยชอบด้วย กฎหมายในการดำเนินการดังกล่าว โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้หรือไม่

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้พิจารณาข้อหารือดังกล่าวแล้ว มีความเห็น ในแต่ละประเด็นข้อหารือ ดังนี้

ประเด็นข้อหารือที่ 1 ฐานการประมวลผลข้อมูลส่วนบุคคลและการดำเนินการตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

ประเด็นข้อหารือที่ 1.1 การเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการวิเคราะห์ และการศึกษาวิจัยเพื่อสนับสนุนการพัฒนานโยบาย เพิ่มความตระหนักรู้ของสาธารณะ และส่งเสริม การออกแบบถนนและพฤติกรรมการขับขี่ที่ปลอดภัยยิ่งขึ้น โดยมีเป้าหมายในการลดอุบัติเหตุบนท้องถนน และเพิ่มความปลอดภัยทางถนนในประเทศไทยนั้น ศูนย์วิจัยฯ จะสามารถอ้างอิงฐานการศึกษาวิจัยหรือสถิติ ตามมาตรา 24 (1) และมาตรา 26 (5) (ง) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยไม่ต้องได้รับความยินยอมจากผู้ขับขี่ใช่หรือไม่ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่อยู่ภายใต้บังคับของพระราชบัญญัตินี้ตามมาตรา 5 ซึ่งมาตรา 5 วรรคหนึ่ง กำหนดว่า พระราชบัญญัตินี้ให้ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูล ส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม โดยศูนย์วิจัยอุบัติเหตุแห่งประเทศไทย (ศูนย์วิจัยฯ) เป็นหน่วยงานภายใน ของสถาบันเทคโนโลยีแห่งเอเชีย (AIT) ซึ่งเป็นองค์การระหว่างประเทศที่ประเทศภาคีสนธิสัญญาการป้องกันร่วมกัน แห่งเอเชียตะวันออกเฉียงใต้ในขณะนั้นได้ให้ความเห็นชอบร่วมกันจัดตั้งขึ้นตามกฎบัตรของสถาบันเทคโนโลยี แห่งเอเชีย โดยสถาบันเทคโนโลยีแห่งเอเชียมีที่ทำการใหญ่ในประเทศไทย มีฐานะเป็นนิติบุคคลและถือว่า มีภูมิลำเนาในประเทศไทย ตามมาตรา 4 (1) แห่งพระราชบัญญัติคุ้มครองการดำเนินงานของสถาบัน เทคโนโลยีแห่งเอเชีย พ.ศ. 2510 มีวัตถุประสงค์เพื่อบริหารจัดการสถาบันการศึกษาชั้นสูงในด้านวิศวกรรม วิทยาศาสตร์ และรวมถึงการบริหารจัดการและพัฒนาองค์กรด้านการวิจัย

ดังนั้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยสถาบันเทคโนโลยีแห่งเอเชีย (รวมทั้งศูนย์วิจัยฯ ที่เป็นหน่วยงานภายใน ของสถาบันฯ) จึงอยู่ภายใต้บังคับของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตามมาตรา 5 วรรคหนึ่ง ในการพิจารณาว่าการดำเนินงานตามประเด็นที่หารือของศูนย์วิจัยฯ จะต้องปฏิบัติตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือไม่ เพียงใด นั้น นอกเหนือจากการพิจารณา ขอบเขตการใช้บังคับพระราชบัญญัตินี้ตามมาตรา 5 แล้ว ศูนย์วิจัยฯ จะต้องพิจารณาด้วยว่า การดำเนินงาน ดังกล่าวมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลหรือไม่ โดยตามบทนิยามในมาตรา 6 คำว่า “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรง หรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

ดังนั้น ศูนย์วิจัยฯ จะต้องพิจารณาลักษณะ ของข้อมูลที่ศูนย์วิจัยฯ เก็บรวบรวมในแต่ละกรณีก่อนว่าเป็นข้อมูลส่วนบุคคลตามความหมายดังกล่าวหรือไม่ หากข้อมูลดังกล่าวเป็นข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ หรือเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ (ข้อมูลนิรนาม หรือ anonymous data) ก็ย่อมไม่ใช่ข้อมูลส่วนบุคคลและไม่อยู่ภายใต้บังคับของพระราชบัญญัตินี้ แต่หากข้อมูลดังกล่าวเป็นข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม และไม่ใช่ข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ก็ถือเป็นข้อมูลส่วนบุคคลที่อยู่ภายใต้บังคับของพระราชบัญญัตินี้ โดยหากพิจารณาจากข้อ 6 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ในการลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ พ.ศ. 2567 ซึ่งออกตามความในมาตรา 33 วรรคห้า แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะเห็นได้ว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ทางตรง คือ ข้อมูลที่มีข้อมูลที่เป็น ตัวระบุทางตรง (direct identifiers) ของเจ้าของข้อมูลส่วนบุคคลอยู่ เช่น ชื่อและนามสกุลของบุคคล เลขที่ หมายเลข หรือรหัสประจำตัวของบุคคล หมายเลขโทรศัพท์หรือหมายเลขติดต่อเฉพาะตัวของบุคคล ที่อยู่ไปรษณีย์อิเล็กทรอนิกส์ (e-mail address) เฉพาะตัวของบุคคล หมายเลขทะเบียนรถของบุคคล ภาพใบหน้าของบุคคลที่ทำให้สามารถระบุตัวบุคคลได้ หรือข้อมูลอื่นใดที่เป็นสิ่งเฉพาะตัวของบุคคลที่ทำให้ สามารถระบุตัวบุคคลได้โดยตรง เป็นต้น ส่วนข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ทางอ้อม คือ ข้อมูลที่มีโอกาสในการระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้พอสมควร จากการทำให้ข้อมูลนั้น ย้อนกลับมาสามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (re-identification) หรือจากข้อมูล ที่เป็นตัวระบุทางอ้อม (indirect identifiers) เช่น วันเดือนปีเกิด อายุ ตำแหน่งงาน สังกัด วันเดือนปีที่เข้ารับบริการ ที่อยู่ เป็นต้น

นอกจากนี้ ศูนย์วิจัยฯ จะต้องพิจารณาด้วยว่าในการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว มีข้อมูลส่วนบุคคลตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วยหรือไม่ โดยเฉพาะข้อมูลส่วนบุคคลเกี่ยวกับข้อมูลสุขภาพ เช่น อาการบาดเจ็บและลักษณะการบาดเจ็บ หรือข้อมูล หรือเอกสารเกี่ยวกับการดูแลรักษาผู้บาดเจ็บก่อนนำส่งสถานพยาบาล ความเห็นทางการแพทย์และข้อมูล ในทางคดีที่เกี่ยวข้องกับเหตุการณ์ ประวัติการเจ็บป่วยในอดีตหรือโรคประจำตัวซึ่งอาจเป็นปัจจัยที่เกี่ยวข้องกับ อุบัติเหตุ หรือรายงานผลการตรวจทางห้องปฏิบัติการ ซึ่งรวมถึงระดับแอลกอฮอล์ ยา หรือยาเสพติดในเลือด เป็นต้น โดยในกรณีที่ศูนย์วิจัยฯ มีการเก็บรวบรวมข้อมูลส่วนบุคคลตามมาตรา 26 ศูนย์วิจัยฯ จะต้องมีฐาน ทางกฎหมายตามมาตรา 26 เพิ่มเติมนอกจากฐานทางกฎหมายตามมาตรา 24 ด้วย สำหรับกรณีที่ศูนย์วิจัยฯ พิจารณาแล้วว่า ข้อมูลที่เก็บรวบรวม ใช้ หรือเปิดเผยนั้นเป็นข้อมูล ส่วนบุคคลตามบทนิยามในมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตามที่ ได้กล่าวไปแล้วข้างต้น และเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ ที่เกี่ยวกับการดำเนินการเกี่ยวกับการศึกษาค้นคว้า การวิเคราะห์ การทดลอง การทดสอบ หรือการประเมินผล อย่างเป็นระบบ เพื่อให้ได้มาซึ่งความรู้ใหม่หรือหลักการทางวิชาการในสาขาวิชาที่เกี่ยวข้อง รวมถึงการเผยแพร่ ความรู้หรือหลักการทางวิชาการนั้น ทั้งที่เป็นการดำเนินการในระดับพื้นฐาน (fundamental or basic) และระดับประยุกต์ (applied) และรวมถึงการพัฒนาเทคโนโลยีและนวัตกรรมจากความรู้หรือหลักการ ทางวิชาการดังกล่าวด้วย อันเป็นความหมายของคำว่า “การศึกษาวิจัย” ตามบทนิยามในข้อ 3 ของประกาศ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการที่เหมาะสมสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคล เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการศึกษาวิจัยหรือสถิติตามมาตรา 24 (1) และการศึกษาวิจัย ทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่นตามมาตรา 26 (5) (ง) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 หรือเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการดำเนินการเกี่ยวกับการเก็บรวบรวม การสำรวจ การประมวลผล การวิเคราะห์ และการสรุปผลจากข้อมูล ตลอดจนการแสดงผลหรือเผยแพร่ ผลจากการดำเนินการดังกล่าว

ทั้งนี้ เพื่อการเปรียบเทียบหรืออ้างอิงในภาพรวม โดยไม่ได้มุ่งหมายที่จะนำ ข้อมูลหรือผลจากการดำเนินการดังกล่าวมามีผลต่อการตัดสินใจหรือดำเนินการใดเกี่ยวกับเจ้าของข้อมูล ส่วนบุคคลผู้ใดผู้หนึ่ง (รวมถึงการดำเนินงานทางสถิติและการสำรวจตามกฎหมายว่าด้วยสถิติด้วย) อันเป็นความหมายของคำว่า “สถิติ” ตามบทนิยามในข้อ 3 ของประกาศดังกล่าว ก็ย่อมสามารถพิจารณาใช้ ฐานทางกฎหมายตามมาตรา 24 (1) หรือมาตรา 26 (5) (ง) ประกอบมาตรา 27 วรรคหนึ่ง แห่ง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ดังกล่าว โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลได้ โดยจะต้องจัดให้มีมาตรการ ปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล หรือในกรณีที่เป็นข้อมูล ส่วนบุคคลตามมาตรา 26 ต้องกระทำเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จำเป็นเท่านั้น และได้จัดให้มี มาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

ทั้งนี้ ตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดตามประกาศฉบับดังกล่าว ซึ่งออกตามความใน มาตรา 24 (1) และมาตรา 26 (5) (ง) ด้วย

นอกจากนี้ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการวิเคราะห์ และการศึกษาวิจัยเพื่อสนับสนุนการพัฒนานโยบาย เพิ่มความตระหนักรู้ของสาธารณะ และส่งเสริมการออกแบบถนน และพฤติกรรมการขับขี่ที่ปลอดภัยยิ่งขึ้น โดยมีเป้าหมายในการลดอุบัติเหตุบนท้องถนนและเพิ่มความปลอดภัย ทางถนนในประเทศไทยนั้น ยังอาจถือเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของศูนย์วิจัยฯ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล หรือของบุคคลหรือนิติบุคคลอื่น ตามมาตรา 24 (5) ประกอบมาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ศูนย์วิจัยฯ สามารถกระทำได้โดยไม่ต้อง ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลอีกด้วย หากศูนย์วิจัยฯ พิจารณาแล้วเห็นว่า ประโยชน์ดังกล่าว มีความสำคัญไม่น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ซึ่งศูนย์วิจัยฯ อาจพิจารณาการประเมินประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest Assessment: LIA) จากหลักเกณฑ์ 3 ประการ ดังนี้

ประการที่หนึ่ง การทดสอบวัตถุประสงค์ (Purpose Test) เป็นการพิจารณาเหตุผลและ ประโยชน์ที่จะได้รับจากการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว ว่ามีความชอบด้วยกฎหมาย หรือไม่ อย่างไร

ประการที่สอง การทดสอบความจำเป็น (Necessity Test) เป็นการพิจารณาว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวมีความจำเป็นมากน้อยเพียงใดเพื่อให้บรรลุวัตถุประสงค์อันชอบด้วย กฎหมายนั้น และสามารถดำเนินการด้วยวิธีการอื่นที่จะส่งผลกระทบต่อสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคล ของเจ้าของข้อมูลส่วนบุคคลน้อยกว่าได้หรือไม่ เพียงใด

ประการที่สาม การทดสอบความสมดุลแห่งสิทธิ (Balancing Test) เป็นการพิจารณาชั่งน้ำหนัก ระหว่างประโยชน์โดยชอบด้วยกฎหมายดังกล่าว กับสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูล ส่วนบุคคล ซึ่งจะต้องไม่กระทบต่อสิทธิและเสรีภาพ โดยเฉพาะสิทธิในความเป็นส่วนตัว (right to privacy) ของเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้องเกินสมควร

ทั้งนี้ มีข้อสังเกตว่า หากข้อมูลส่วนบุคคลดังกล่าวมีการเปิดเผยต่อสาธารณะโดยชอบด้วย กฎหมาย หรืออยู่ในความครอบครองหรือควบคุมดูแลของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความปลอดภัย ของประชาชนหรือการรักษาความสงบเรียบร้อยอยู่แล้ว ข้อเท็จจริงดังกล่าวย่อมช่วยให้เจ้าของข้อมูลส่วนบุคคล สามารถคาดหวังได้อย่างสมเหตุสมผลว่าอาจมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว เพื่อวัตถุประสงค์ในการวิเคราะห์ การศึกษาวิจัยหรือสถิติ หรือการดำเนินการที่เกี่ยวข้องเพื่อหาแนวทาง ลดอุบัติเหตุบนท้องถนนและเพิ่มความปลอดภัยทางถนนได้

นอกจากนี้ หากมีกระบวนการลบหรือทำให้ปราศจาก ข้อมูลใด ๆ ที่เป็นตัวระบุทางตรง (direct identifiers) ของเจ้าของข้อมูลส่วนบุคคลในข้อมูลส่วนบุคคลดังกล่าว (de-identification) และ/หรือการแฝงข้อมูล (pseudonymization) หรือการดำเนินการอย่างหนึ่งอย่างใด ต่อข้อมูลทั้งหมดหรือบางส่วน เพื่อลดโอกาสในการระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลจากข้อมูลที่เป็น ตัวระบุทางอ้อม (indirect identifiers) การดำเนินการดังกล่าวย่อมช่วยให้ความเสี่ยงที่จะมีผลกระทบต่อสิทธิ และเสรีภาพ โดยเฉพาะสิทธิในความเป็นส่วนตัว (right to privacy) ของเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้อง ลดลงได้ ซึ่งเหตุผลเหล่านี้อาจทำให้การทดสอบความสมดุลแห่งสิทธิ (Balancing Test) ซึ่งเป็นส่วนหนึ่งของ การประเมินประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest Assessment: LIA) นี้ จะช่วยให้ศูนย์วิจัยฯ พิจารณาชั่งน้ำหนักแล้วเห็นว่า ประโยชน์ดังกล่าวมีความสำคัญไม่น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคล ของเจ้าของข้อมูลส่วนบุคคล และทำให้ศูนย์วิจัยฯ สามารถอาศัยฐานทางกฎหมายตามมาตรา 24 (5) ประกอบ มาตรา 27 วรรคหนึ่ง ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวโดยไม่ต้องได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคลได้มากยิ่งขึ้น

อย่างไรก็ตาม สำหรับข้อมูลส่วนบุคคลตามมาตรา 26 แห่ง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ศูนย์วิจัยฯ ไม่สามารถเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าว โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลได้ เว้นแต่จะเป็นข้อมูลที่เปิดเผยต่อสาธารณะ ด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล ตามมาตรา 26 (3) หรือเป็นการจำเป็นเพื่อการก่อตั้ง สิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้อง ตามกฎหมาย ตามมาตรา 26 (4) หรือเป็นไปเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น ตามมาตรา 26 (5) (ง) หรือเข้าข้อยกเว้นอื่นตามมาตรา 26 เท่านั้น

นอกจากนี้ ในกรณีที่เห็นสมควรและสามารถกระทำได้ ศูนย์วิจัยฯ อาจพิจารณาใช้ฐาน ความยินยอมตามมาตรา 24 หรือความยินยอมโดยชัดแจ้งตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 ก็ได้ โดยการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลจะต้องปฏิบัติให้สอดคล้อง กับหลักเกณฑ์ตามมาตรา 19 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เช่น เจ้าของข้อมูล ส่วนบุคคลต้องให้ความยินยอมไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล การขอความยินยอมต้องทำ โดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วย วิธีการดังกล่าวได้ โดยในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ศูนย์วิจัยฯ ต้องแจ้งวัตถุประสงค์ของ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจาก ข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็น การหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว ตลอดจนจะต้อง คำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ประกอบกับเจ้าของ ข้อมูลส่วนบุคคลจะต้องสามารถถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่าย เช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล

นอกจากนี้ หากเป็นการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ที่เป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ ศูนย์วิจัยฯ จะต้องปฏิบัติให้เป็นไปตามมาตรา 20 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย

คณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตเพิ่มเติมว่า แม้สถาบันเทคโนโลยีแห่งเอเชีย จะเป็นองค์การระหว่างประเทศที่มีที่ทำการใหญ่ในประเทศไทย และมีกฎหมายให้ความคุ้มครองการดำเนินงาน ก็ตาม แต่สถาบันเทคโนโลยีแห่งเอเชียไม่ใช่หน่วยงานของรัฐตามกฎหมายของประเทศไทย และไม่มีบทบัญญัติ แห่งพระราชบัญญัติคุ้มครองการดำเนินงานของสถาบันเทคโนโลยีแห่งเอเชีย พ.ศ. 2510 หรือกฎหมายอื่น ที่มอบอำนาจรัฐให้แก่สถาบันเทคโนโลยีแห่งเอเชีย ศูนย์วิจัยฯ จึงไม่สามารถอาศัยกรณีที่เป็นการจำเป็น เพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติ หน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล ตามมาตรา 24 (4) แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นฐานทางกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลตามวัตถุประสงค์ที่หารือมาได้ แต่ในการเปิดเผยข้อมูลส่วนบุคคลในกรณีดังกล่าวโดยหน่วยงาน ที่เกี่ยวข้อง เช่น สถานีตำรวจและสถานพยาบาล ให้กับศูนย์วิจัยฯ หรือมหาวิทยาลัยเครือข่าย หน่วยงาน ที่เปิดเผยอาจอาศัยฐานทางกฎหมายตามมาตรา 24 (4) ประกอบมาตรา 27 วรรคหนึ่ง ในการเปิดเผยข้อมูล ส่วนบุคคลดังกล่าวได้ในกรณีที่เป็นหน่วยงานของรัฐที่ปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่หน่วยงาน แต่ในกรณีที่ไม่ใช่หน่วยงานของรัฐ หรือไม่ได้เป็น การปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบ ให้แก่หน่วยงาน ก็อาจพิจารณาอาศัยฐานทางกฎหมายตามมาตรา 24 (5) ประกอบมาตรา 27 วรรคหนึ่ง ได้ หากประโยชน์โดยชอบด้วยกฎหมายนั้นมีความสำคัญไม่น้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของ ข้อมูลส่วนบุคคล

ประเด็นข้อหารือที่ 1.2 การที่ศูนย์วิจัยฯ มอบหมายให้นักวิจัยในมหาวิทยาลัยเครือข่าย ดำเนินการเก็บรวบรวมข้อมูลให้ ถือว่ามหาวิทยาลัยเครือข่ายดังกล่าว เป็นผู้ประมวลผลข้อมูลส่วนบุคคลให้แก่ ศูนย์วิจัยฯ ซึ่งศูนย์วิจัยฯ มีหน้าที่ต้องจัดทำข้อตกลงร่วมกับมหาวิทยาลัยเครือข่ายเหล่านั้น ตามมาตรา 40 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช่หรือไม่ ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของศูนย์วิจัยฯ เพื่อวัตถุประสงค์ ในการวิเคราะห์และการศึกษาวิจัย โดยมีเป้าหมายในการลดอุบัติเหตุบนท้องถนนและเพิ่มความปลอดภัย ทางถนนในประเทศไทย สถาบันเทคโนโลยีแห่งเอเชีย ในฐานะหน่วยงานต้นสังกัดของศูนย์วิจัยฯ ที่มีฐานะ เป็นนิติบุคคล ย่อมมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล เนื่องจากสถาบันเทคโนโลยีแห่งเอเชีย โดยศูนย์วิจัยฯ มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว ตามบทนิยาม ในมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ส่วนการพิจารณาว่ามหาวิทยาลัย เครือข่ายจะมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลนั้น จะต้องพิจารณาอำนาจ หน้าที่ในการดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัยเครือข่าย ต่าง ๆ ที่ตกลงดำเนินงานหรือทำการศึกษาวิจัยร่วมกับศูนย์วิจัยฯ ก่อนว่า มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการดำเนินงานหรือการศึกษาวิจัยดังกล่าวหรือไม่ เพียงใด โดยการพิจารณาว่าบุคคลหรือนิติบุคคลใดมี “อำนาจหน้าที่ตัดสินใจ” จะต้องนำข้อเท็จจริงทั้งหมดที่เกี่ยวข้อง กับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มาพิจารณาร่วมกันว่า บุคคลหรือนิติบุคคลนั้นมีอำนาจ หน้าที่ในการกำหนดวัตถุประสงค์ (purposes) และวิธีการ (means) ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลในกรณีดังกล่าวหรือไม่ เพียงใด หากในความเป็นจริงนิติบุคคลหนึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล นิติบุคคลนั้นย่อมถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล แม้สัญญาจะระบุไว้เป็นอย่างอื่น เช่น ระบุว่านิติบุคคลดังกล่าวเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ก็ตาม ซึ่งจะต้องพิจารณาจากข้อเท็จจริงเป็นรายกรณีหรือรายวัตถุประสงค์หรือกิจกรรมการประมวลผลข้อมูล ส่วนบุคคล โดยนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ควรหมายความถึงหน่วยงานที่มีอิทธิพลอย่างมีนัยสำคัญ (decisive influence) ต่อการกำหนดวัตถุประสงค์ (purposes) และวิธีการ (means) ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น โดยในบริบท ของการศึกษาวิจัยและการให้บริการทางวิชาการให้กับศูนย์วิจัยฯ นั้น หากมหาวิทยาลัยดังกล่าวยังคงมีเสรีภาพ ทางวิชาการ (academic freedom) โดยมีสิทธิตัดสินใจในการนำข้อมูลที่เก็บรวบรวมมาไปทำการศึกษาวิจัย ของตนเองหรือร่วมกับผู้อื่นได้ ย่อมแสดงว่ามหาวิทยาลัยมีอำนาจหน้าที่ตัดสินใจในวัตถุประสงค์ (purposes) ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในทำนองเดียวกัน หากมหาวิทยาลัยนั้นมีหน้าที่ต้อง พิจารณาการดำเนินการให้เป็นไปตามมาตรฐานทางจริยธรรมสำหรับการศึกษาวิจัย (research ethics) ของตนเองด้วย ย่อมแสดงว่ามหาวิทยาลัยมีอำนาจหน้าที่ตัดสินใจในวิธีการ (means) ที่สำคัญในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น การออกแบบการศึกษาวิจัยหรือระเบียบวิธีวิจัย (study design and research methodology) การกำหนดว่าข้อมูลใดจำเป็นต้องเก็บรวบรวมเพิ่มเติมเพื่อตอบโจทย์ของ การศึกษาวิจัย การกำหนดแนวทางและกระบวนการเก็บรวบรวมข้อมูล การเลือกเทคนิคหรือวิธีการวิเคราะห์ ข้อมูลทางสถิติหรือเครื่องมือที่ใช้ในการศึกษาวิจัย การกำหนดแนวทางและมาตรการรักษาความมั่นคงปลอดภัย ที่เหมาะสม หรือการพิจารณาระยะเวลาการเก็บรักษาหรือเงื่อนไขในการลบหรือทำลายข้อมูล ในกรณีเช่นนี้ มหาวิทยาลัยดังกล่าวย่อมมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามความหมายและเจตนารมณ์ในมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งสถาบันเทคโนโลยีแห่งเอเชีย โดยศูนย์วิจัยฯ และมหาวิทยาลัยเครือข่ายหรือหน่วยงานที่เกี่ยวข้อง อาจพิจารณาจัดให้มีข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (data sharing agreement) เพื่อกำหนดวัตถุประสงค์ วิธีการ เงื่อนไข และหน้าที่ความรับผิดชอบของผู้ควบคุม ข้อมูลส่วนบุคคลแต่ละฝ่ายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการส่งและรับ ข้อมูลที่เป็นเอกสารหรือโดยวิธีการทางอิเล็กทรอนิกส์ก็ตาม อันจะเป็นการรักษาความมั่นคงปลอดภัยของข้อมูล ส่วนบุคคลที่จะเปิดเผยระหว่างกัน และควบคุมดูแลให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลระหว่าง กันสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งยังเป็นมาตรการเพื่อป้องกันมิให้ หน่วยงานที่ได้รับข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ ที่ได้แจ้งไว้ในการขอรับข้อมูลส่วนบุคคลนั้นตามมาตรา 27 วรรคสอง หรือเพื่อป้องกันมิให้หน่วยงานดังกล่าว ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบตามมาตรา 37 (2) อีกด้วย โดยข้อตกลง การแบ่งปันข้อมูลส่วนบุคคล (data sharing agreement) ดังกล่าวถือเป็นมาตรการเชิงองค์กร (organizational measures) อย่างหนึ่ง อันเป็นส่วนหนึ่งของมาตรการรักษาความมั่นคงปลอดภัยตามข้อ 4 (2) ของประกาศ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2565 ที่จะต้องประกอบด้วยมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล แต่หากเป็นกรณีที่มหาวิทยาลัยเครือข่ายดังกล่าวดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ตามที่หารือตามคำสั่งหรือในนามของศูนย์วิจัยฯ โดยไม่มีอำนาจ หน้าที่ตัดสินใจในการกำหนดวัตถุประสงค์ (purposes) และวิธีการ (means) ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล นอกเหนือจากที่ศูนย์วิจัยฯ กำหนดหรือมีคำสั่งให้ดำเนินการ ก็ย่อมถือได้ว่า มหาวิทยาลัยเหล่านั้นมีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งในกรณีนี้ สถาบันเทคโนโลยีแห่งเอเชีย โดยศูนย์วิจัยฯ ในฐานะผู้ควบคุมข้อมูล ส่วนบุคคล จะต้องจัดให้มีข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (data processing agreement) กับมหาวิทยาลัยเครือข่ายดังกล่าว ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล เพื่อควบคุมการดำเนินงานตามหน้าที่ ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตามมาตรา 40 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยจะต้องมีเนื้อหา ที่กำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกัน การสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะต้องเป็นไปตามมาตรฐานขั้นต่ำตามข้อ 4 ของประกาศ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2565 โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผย ข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล รวมทั้งจะต้องระบุให้ ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ผู้ควบคุมข้อมูลส่วนบุคคล โดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ผู้ประมวลผลข้อมูลส่วนบุคคลทราบเหตุเท่าที่จะสามารถกระทำได้

ทั้งนี้ ตามข้อ 6 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัย ของข้อมูลส่วนบุคคล พ.ศ. 2565 และข้อ 8 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565

ประเด็นข้อหารือที่ 1.3 การดำเนินการที่มหาวิทยาลัยเครือข่ายได้ดำเนินการไป ถือเป็น การดำเนินการแทนศูนย์วิจัยฯ

ดังนั้น การจัดส่งข้อมูลระหว่างมหาวิทยาลัยเครือข่ายและศูนย์วิจัยฯ ไม่จำเป็นต้องได้รับความยินยอมจากผู้ขับขี่ เพียงแต่ศูนย์วิจัยฯ มีหน้าที่ต้องจัดทำหนังสือแจ้งการประมวลผล ข้อมูล เพื่อให้ผู้ขับขี่สามารถทราบรายละเอียดเกี่ยวกับโครงการนี้ได้ ตามที่กำหนดในมาตรา 23 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช่หรือไม่ สำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง ในกรณีที่ ทั้งศูนย์วิจัยฯ และมหาวิทยาลัยเครือข่ายต่างฝ่ายต่างมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่มีอำนาจหน้าที่ ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลฝ่ายที่ เก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรงมีหน้าที่แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ วัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล (privacy notice) ตามมาตรา 23 แห่ง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ทั้งนี้ โดยจะต้องระบุประเภทของบุคคลหรือหน่วยงาน ซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย ตามมาตรา 23 (4) ให้ครอบคลุมการเปิดเผยให้แก่ ศูนย์วิจัยฯ และ/หรือมหาวิทยาลัยเครือข่ายอื่นด้วย ส่วนในกรณีที่มหาวิทยาลัยเครือข่ายดังกล่าวดำเนินการ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของศูนย์วิจัยฯ โดยอยู่ในฐานะ ผู้ประมวลผลข้อมูลส่วนบุคคลของสถาบันเทคโนโลยีแห่งเอเชีย (โดยศูนย์วิจัยฯ) ในฐานะผู้ควบคุมข้อมูล ส่วนบุคคล หน้าที่ในการแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบวัตถุประสงค์และรายละเอียดในการเก็บรวบรวม ข้อมูลส่วนบุคคล (privacy notice) ตามมาตรา 23 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ย่อมเป็นของสถาบันเทคโนโลยีแห่งเอเชีย (โดยศูนย์วิจัยฯ) ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ศูนย์วิจัยฯ จะเห็นสมควรให้มหาวิทยาลัยเครือข่ายเหล่านั้นทำหน้าที่แจ้งวัตถุประสงค์และรายละเอียดดังกล่าวให้เจ้าของ ข้อมูลส่วนบุคคลทราบตามคำสั่งหรือในนามของตน เช่น เพื่อความสะดวกและคล่องตัวในทางปฏิบัติเนื่องจาก มหาวิทยาลัยเครือข่ายเป็นผู้ติดต่อเพื่อเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลแทนศูนย์วิจัยฯ ทั้งสองฝ่ายก็อาจตกลงกันได้ตามที่เห็นเหมาะสม โดยถือเป็นการทำหน้าที่ตามคำสั่งหรือในนามของศูนย์วิจัยฯ โดยวัตถุประสงค์และรายละเอียดดังกล่าวจะต้องมีเนื้อหาเกี่ยวกับการเก็บรวบรวมข้อมูลส่วนบุคคล ของศูนย์วิจัยฯ เป็นสำคัญ แต่ในกรณีที่เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูล ส่วนบุคคลโดยตรง และเป็นกรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ว่ามหาวิทยาลัยเครือข่ายที่เก็บรวบรวมข้อมูล ส่วนบุคคลให้กับศูนย์วิจัยฯ จะอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลก็ตาม ผู้ควบคุมข้อมูลส่วนบุคคลสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นดังกล่าวไม่มีหน้าที่ในการแจ้ง วัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล (privacy notice) ดังกล่าวให้เจ้าของข้อมูล ส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลตามมาตรา 23

ทั้งนี้ ตามนัยมาตรา 25 วรรคหนึ่งและวรรคสอง ประกอบมาตรา 21 วรรคสอง (2) แห่งพระราชบัญญัติดังกล่าว

อย่างไรก็ตาม ศูนย์วิจัยฯ และ/หรือมหาวิทยาลัยเครือข่าย ควรประสานงานกับหน่วยงานที่เกี่ยวข้อง เช่น สถานีตำรวจ หรือสถานพยาบาล ซึ่งเป็นแหล่งข้อมูลของข้อมูลส่วนบุคคลที่จะเปิดเผยให้กับมหาวิทยาลัยเครือข่าย และ/หรือ ศูนย์วิจัยฯ ดังกล่าว ให้พิจารณาแจ้งรายละเอียด เช่น วัตถุประสงค์ของการเก็บรวบรวมเพื่อเปิดเผยให้กับ มหาวิทยาลัยหรือหน่วยงานภายนอกเพื่อการศึกษาวิจัยหรือสถิติ ตามมาตรา 23 (1) และประเภทของบุคคล หรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผยตามมาตรา 23 (4) ให้เจ้าของข้อมูล ส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมในการแจ้งรายละเอียดตามมาตรา 23 (privacy notice) หรือมีการแจ้งวัตถุประสงค์ใหม่ที่แตกต่างไปจากวัตถุประสงค์ที่ได้แจ้งไว้เดิมให้เจ้าของข้อมูลส่วนบุคคลทราบ (re-notice) ด้วย เท่าที่จะสามารถกระทำได้ ตามหลักความเป็นธรรม (fairness) และความโปร่งใส (transparency) ต่อเจ้าของข้อมูลส่วนบุคคล และหลักภาระรับผิดชอบและสามารถตรวจสอบได้ (accountability) ของผู้ควบคุมข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ประเด็นข้อหารือที่ 1.4 ด้วยศูนย์วิจัยฯ ไม่ได้เป็นผู้จัดเก็บข้อมูลจากเจ้าของข้อมูลส่วนบุคคล โดยตรง และอาจไม่มีรายละเอียดติดต่อเจ้าของข้อมูลส่วนบุคคลในบางกรณี ทำให้อาจไม่สามารถจัดส่งหนังสือ แจ้งการประมวลผลต่อเจ้าของข้อมูลส่วนบุคคลได้ ศูนย์วิจัยฯ จึงขอหารือว่า ศูนย์วิจัยฯ สามารถจัดทำหนังสือ แจ้งการประมวลผลโดยประกาศผ่านเว็บไซต์ของศูนย์วิจัยฯ ที่บุคคลทั่วไปสามารถเข้าถึงได้ แทนการจัดส่ง หนังสือแจ้งการประมวลผลที่อาจไม่ครอบคลุมเจ้าของข้อมูลส่วนบุคคลทั้งหมด ได้หรือไม่ ตามที่คณะอนุกรรมการตอบข้อหารือฯ ได้ให้ความเห็นไว้แล้วในประเด็นข้อหารือที่ 1.3 ว่า ในกรณีที่เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง และเป็นกรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ศูนย์วิจัยฯ ไม่มีหน้าที่ในการแจ้งวัตถุประสงค์และรายละเอียด ในการเก็บรวบรวมข้อมูลส่วนบุคคล (privacy notice) ดังกล่าวให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลตามมาตรา 23 จึงไม่จำเป็นต้องให้ความเห็นในประเด็นนี้

อย่างไรก็ตาม

คณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตเพิ่มเติมว่า เมื่อคำนึงถึง หลักความเป็นธรรม (fairness) และความโปร่งใส (transparency) ต่อเจ้าของข้อมูลส่วนบุคคล และหลักภาระ รับผิดชอบและสามารถตรวจสอบได้ (accountability) ของผู้ควบคุมข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แม้ศูนย์วิจัยฯ จะไม่มีหน้าที่ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยตรงในการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล (privacy notice) ให้เจ้าของข้อมูลส่วนบุคคลทราบ แต่หากศูนย์วิจัยฯ เห็นสมควรเพื่อประโยชน์ต่อเจ้าของข้อมูลส่วนบุคคล และสามารถกระทำได้ ศูนย์วิจัยฯ ย่อมสามารถแจ้งวัตถุประสงค์และรายละเอียดดังกล่าวให้เจ้าของข้อมูล ส่วนบุคคลทราบได้ โดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ได้กำหนดหลักเกณฑ์ หรือวิธีการสำหรับการแจ้งวัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคล (privacy notice) ไว้เป็นการเฉพาะ แต่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้กำหนดแนวทางการดำเนินการในการแจ้ง วัตถุประสงค์และรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไว้ โดยแนวทางการดำเนินการดังกล่าวระบุว่า การแจ้ง วัตถุประสงค์และรายละเอียดดังกล่าว ต้องกระทำโดยชัดแจ้ง โดยอาจทำได้หลายวิธี เช่น การแจ้งเป็นหนังสือ การแจ้งทางวาจา การแจ้งทางข้อความในรูปแบบ SMS, อีเมล, MMS หรือทางโทรศัพท์หรือโดยวิธีการทาง อิเล็กทรอนิกส์อื่นใด (เช่น การระบุรายละเอียดใน URL หรือ QR code) เป็นต้น

ดังนั้น ศูนย์วิจัยฯ จึงอาจ พิจารณาแจ้งวัตถุประสงค์และรายละเอียดดังกล่าวผ่านช่องทางที่เห็นว่าเจ้าของข้อมูลส่วนบุคคลสามารถเข้าถึง และรับทราบได้ เช่น เว็บไซต์ของศูนย์วิจัยฯ และ/หรือมหาวิทยาลัยเครือข่ายที่เก็บรวบรวมข้อมูลส่วนบุคคล หรือช่องทางอื่นได้ตามที่เห็นสมควร

ประเด็นข้อหารือที่ 2 แนวทางการจัดทำข้อมูลนิรนาม

ประเด็นข้อหารือที่ 2.1 การจัดทำข้อมูลนิรนามสำหรับภาพถ่ายและวิดีโอ หากศูนย์วิจัยฯ ดำเนินการลบข้อมูลที่มีตัวระบุทางตรง (direct identifiers) เช่น ชื่อ หมายเลขทะเบียนรถ ภาพถ่ายผู้ขับขี่ และการดำเนินการพรางข้อมูลใด ๆ ที่อาจสื่อถึงเจ้าของข้อมูลส่วนบุคคล เช่น อายุ วันที่เกิดเหตุ หรือตำแหน่ง ที่เกิดเหตุ ที่อาจปรากฏในภาพถ่ายหรือวิดีโอดังกล่าว จะสามารถทำให้ข้อมูลดังกล่าวไม่ถือเป็นข้อมูลส่วนบุคคล ได้หรือไม่ ตามที่ได้ให้ความเห็นไว้แล้วในประเด็นข้อหารือที่ 1.1 เมื่อพิจารณาจากบทนิยามของคำว่า “ข้อมูลส่วนบุคคล” ตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบข้อ 6 (1) และ (2) ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ พ.ศ. 2567 แล้ว จะเห็นว่า การทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ หรือการทำให้เป็นข้อมูลนิรนาม (anonymization) นั้น ประกอบด้วยกระบวนการอย่างน้อย 2 ส่วน คือ 1) กระบวนการ de-identification ซึ่งจะทำให้ข้อมูลดังกล่าวไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคล ได้ทางตรง โดยการลบหรือทำให้ปราศจากข้อมูลใด ๆ ที่เป็นตัวระบุทางตรง (direct identifiers) ของเจ้าของ ข้อมูลส่วนบุคคลในข้อมูลส่วนบุคคลดังกล่าว 2) กระบวนการพิจารณาดำเนินการเพิ่มเติมเพื่อให้แน่ใจว่าข้อมูล ดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ทางอ้อม โดยมีโอกาสในการระบุ ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ในระดับที่ต่ำเพียงพอ โดยอาจพิจารณาจากข้อมูลอื่น ๆ ที่ยังคงเหลืออยู่ รวมถึงข้อมูลอื่นที่ศูนย์วิจัยฯ สามารถเข้าถึงและอาจนำมาเชื่อมโยงกับข้อมูลดังกล่าวได้ ว่ายังคงมีโอกาสในการระบุ ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลด้วยวิธีการหนึ่งวิธีการใด หรือยังสามารถทำให้ข้อมูลนั้นย้อนกลับมา สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (re-identification) ได้หรือไม่ เพียงใด โดยอาจพิจารณา ทำการแฝงข้อมูล (pseudonymization) หรือดำเนินการอย่างหนึ่งอย่างใดต่อข้อมูลทั้งหมดหรือบางส่วน เพื่อลดโอกาสในการระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลจากข้อมูลที่เป็นตัวระบุทางอ้อม (indirect identifiers) เช่น วันเดือนปีเกิด อายุ ตำแหน่งงาน สังกัด วันเดือนปีที่เกิดเหตุ ที่อยู่ หรือข้อมูลอื่นใด ที่มีลักษณะคล้ายกัน ให้อยู่ในระดับที่ต่ำเพียงพอ มาตรฐานสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) ว่าด้วยแนวทางการจัดทำข้อมูล นิรนาม เวอร์ชัน 1.0 (เลขที่ มสพร. 14-2567) ซึ่งกำหนดโดยประกาศสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) ที่ ม 5/2567 เรื่อง มาตรฐานสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) ว่าด้วย แนวทางการจัดทำข้อมูลนิรนาม ลงวันที่ 23 กันยายน 2567 เพื่อยึดถือเป็นแนวทางปฏิบัติภายในของ สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) และเป็นข้อเสนอแนะสำหรับหน่วยงานของรัฐ ได้ยกตัวอย่าง วิธีการจัดทำข้อมูลนิรนาม ซึ่งสอดคล้องกับการดำเนินการตามข้อ 6 ของประกาศคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคล เรื่อง หลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุ ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ พ.ศ. 2567 ไว้หลายวิธี เช่น

1. การลบข้อมูล (suppression) คือ การลบข้อมูลบางส่วนออกจากชุดข้อมูล เช่น การลบ คุณลักษณะของข้อมูลเป็นรายคอลัมน์ (attribute suppression) หรือการลบข้อมูลเป็นรายแถวหรือรายรายการ (record suppression)
2. การปิดทับลักษณะข้อมูล (character masking) คือ การปกปิด ปิดบัง หรือพรางข้อมูล ด้วยการเปลี่ยนส่วนใดส่วนหนึ่งของข้อมูล เช่น การใช้สัญลักษณ์ (เช่น * หรือ x) แทนที่ตัวอักษรหรือตัวเลข บางหลัก เป็นต้น
3. การแฝงข้อมูล (pseudonymization) คือ การแทนที่ตัวระบุทางตรง (direct identifier) ของเจ้าของข้อมูลส่วนบุคคล ด้วยชื่อหรือรหัสที่สร้างขึ้นมา หรือด้วยวิธีการใดวิธีการหนึ่ง เช่น การเข้ารหัส ข้อมูล (encryption) การแฮชข้อมูล (hashing) หรือการแบ่งแยกข้อมูลเป็นส่วน ๆ (tokenization) เป็นต้น
4. การทำให้ข้อมูลเป็นสามัญ (generalization) คือ การลดความละเอียดของข้อมูลที่อาจ ระบุตัวบุคคลได้ เช่น การแปลงอายุของบุคคลเป็นช่วงอายุหรือกลุ่มอายุ
5. การสลับข้อมูล (swapping, shuffling, or permutation) คือ การสลับสับเปลี่ยนข้อมูล เป็นชุดข้อมูลใหม่เพื่อไม่ให้ตรงกับข้อมูลเริ่มต้น
6. การรบกวนข้อมูล (data perturbation) คือ การเปลี่ยนแปลงข้อมูลให้แตกต่างจากข้อมูล เดิมเล็กน้อย เพื่อทำให้ความแม่นยำของข้อมูลลดลงและลดโอกาสในการระบุตัวบุคคลทางอ้อม เช่น การใส่สัญญาณรบกวนแบบสุ่ม (random noise) เข้าไปในค่าตัวเลข (เช่น อายุ) ของข้อมูลเดิม
7. การรวมข้อมูล (data aggregation) คือ การแปลงข้อมูลให้อยู่ในรูปแบบผลรวม ค่าเฉลี่ย หรือข้อมูลที่สรุปในภาพรวม

ทั้งนี้ การดำเนินการดังกล่าวข้างต้นเป็นเพียงตัวอย่างวิธีการที่อาจนำไปสู่ข้อมูลที่ไม่สามารถ ระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ หรือข้อมูลนิรนาม (anonymous data) ได้ แต่การดำเนินการ ดังกล่าวที่จะทำให้ข้อมูลส่วนบุคคลกลายเป็นข้อมูลนิรนามอย่างแท้จริง จะต้องมีการลบหรือทำให้ปราศจาก ข้อมูลใด ๆ ที่เป็นตัวระบุทางตรง (direct identifiers) ของเจ้าของข้อมูลส่วนบุคคลในข้อมูลส่วนบุคคลดังกล่าว (de-identification) ร่วมกับการพิจารณาดำเนินการเพื่อให้เกิดความมั่นใจว่าข้อมูลดังกล่าวไม่สามารถระบุ ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ทางอ้อมจากข้อมูลที่เป็นตัวระบุทางอ้อม (indirect identifiers) และไม่สามารถทำให้ย้อนกลับมาสามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (re-identification) อีกต่อไป โดยมีโอกาสในการระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ในระดับที่ต่ำเพียงพอด้วย ซึ่งวิธีการจัดทำข้อมูลนิรนามดังกล่าวข้างต้นอาจเป็นตัวอย่างแนวทางการดำเนินการที่ผู้ควบคุมข้อมูล ส่วนบุคคลพิจารณานำไปปรับใช้ได้ แต่ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่พิจารณาให้แน่ใจว่าการดำเนินการ ดังกล่าวสอดคล้องกับหลักเกณฑ์ในข้อ 6 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์ในการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล ที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ พ.ศ. 2567 ด้วย

ดังนั้น เมื่อศูนย์วิจัยฯ ได้ดำเนินการลบข้อมูลที่เป็นตัวระบุทางตรง (direct identifiers) เช่น ชื่อ หมายเลขทะเบียนรถ ภาพถ่ายผู้ขับขี่ ในขั้นตอน de-identification ตามข้อ 6 (1) ของประกาศข้างต้นแล้ว และได้ดำเนินการพรางข้อมูลใด ๆ ที่อาจสื่อถึงเจ้าของข้อมูลส่วนบุคคล เช่น อายุ วันที่เกิดเหตุ หรือตำแหน่ง ที่เกิดเหตุ ที่อาจปรากฏในภาพถ่ายหรือวิดีโอดังกล่าว อันเป็นส่วนหนึ่งของขั้นตอนตามข้อ 6 (2) ของประกาศ เดียวกันแล้ว ศูนย์วิจัยฯ จึงมีหน้าที่พิจารณาเพิ่มเติมว่า ข้อมูลภายหลังการดำเนินการดังกล่าว เป็นข้อมูล ที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ทางอ้อม โดยมีโอกาสในการระบุตัวบุคคลที่เป็น เจ้าของข้อมูลส่วนบุคคลได้ในระดับที่ต่ำเพียงพอ แล้วหรือไม่ หากยังสามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูล ส่วนบุคคลได้ โดยมีโอกาสในการระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ในระดับที่ไม่ต่ำเพียงพอ และไม่ใช่ข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ข้อมูลดังกล่าวก็ยังเป็นข้อมูลส่วนบุคคลตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แต่หากไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลดังกล่าว ได้ โดยมีโอกาสในการระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ในระดับที่ต่ำเพียงพอ ก็จะไม่ใช่ข้อมูล ส่วนบุคคลตามพระราชบัญญัติดังกล่าว และถือเป็นข้อมูลนิรนาม (anonymous data)

ประเด็นข้อหารือที่ 2.2 ผลของการจัดทำข้อมูลนิรนาม หากข้อมูลที่ถูกจัดทำเป็นข้อมูล นิรนามแล้ว ศูนย์วิจัยฯ สามารถใช้ข้อมูลดังกล่าวโดยไม่ต้องคำนึงถึงเงื่อนไขตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 เพราะถือว่าข้อมูลดังกล่าวสิ้นสถานะความเป็นข้อมูลส่วนบุคคลแล้ว ใช่หรือไม่ หากใช่แล้ว จะรวมถึงกรณีที่ศูนย์วิจัยฯ จัดเก็บข้อมูลดิบที่ได้รับจากมหาวิทยาลัยเครือข่ายเพื่อใช้ประกอบ การอ้างอิงภายใน โดยไม่มีข้อมูลที่มีตัวระบุทางตรง (direct identifiers) ตามแนวทางการศึกษาวิจัยทั่วไปได้หรือไม่ ตามที่ได้ให้ความเห็นไว้แล้วในประเด็นข้อหารือที่ 1.1 หากข้อมูลที่เก็บรวบรวมเป็นข้อมูล ของผู้ถึงแก่กรรมโดยเฉพาะ หรือเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม (ข้อมูลนิรนาม) ก็ย่อมไม่ใช่ข้อมูลส่วนบุคคล การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าวย่อมไม่อยู่ ภายใต้บังคับของพระราชบัญญัตินี้

อย่างไรก็ตาม การเก็บรวบรวมข้อมูลที่จะถือว่าไม่ใช่ข้อมูลส่วนบุคคล จึงไม่อยู่ภายใต้บังคับของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั้น จะต้องเป็นกรณีที่ข้อมูล ดังกล่าวเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม (เป็นข้อมูลนิรนาม) ในขั้นตอน การเก็บรวบรวมข้อมูลดังกล่าวตั้งแต่ต้น หรือเป็นกรณีการเก็บรวบรวมข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะเท่านั้น แต่หากเป็นกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลได้เก็บรวบรวมข้อมูลซึ่งทำให้ สามารถระบุตัวบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม แล้วจึงนำมาดำเนินการใด ๆ เพื่อทำให้ข้อมูลส่วนบุคคล ดังกล่าวกลายเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (ข้อมูลนิรนาม) ในภายหลัง ย่อมจะเห็นได้ว่า มีการเก็บรวบรวมข้อมูลส่วนบุคคลมาก่อน แล้วจึงทำให้ข้อมูลส่วนบุคคลดังกล่าวกลายเป็น ข้อมูลนิรนามที่ไม่ถือเป็นข้อมูลส่วนบุคคลในเวลาต่อมา

ดังนั้น ข้อมูลส่วนบุคคลซึ่งเป็นข้อมูลดิบที่มี การเก็บรวบรวมก่อนที่จะทำให้เป็นข้อมูลนิรนามในภายหลัง จึงอยู่ภายใต้บังคับของพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562

ทั้งนี้ แม้ข้อมูลดังกล่าวจะไม่มีข้อมูลใด ๆ ที่เป็นตัวระบุทางตรง (direct identifiers) แต่ข้อมูลดังกล่าวก็ยังอาจสามารถทำให้ย้อนกลับมาสามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูล ส่วนบุคคลได้ (re-identification) หากยังมีโอกาสในการระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ในระดับที่ไม่ต่ำเพียงพอ อันจะถือเป็นข้อมูลที่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ทางอ้อม

ดังนั้น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าวจะต้องเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 เช่นเดียวกัน

ประเด็นข้อหารือที่ 2.3 หากหน่วยงานภายนอกเป็นผู้ว่าจ้างผู้ให้ผู้บริการจัดทำข้อมูล ผลการศึกษาของศูนย์วิจัยฯ เป็นข้อมูลนิรนาม ก่อนจัดส่งให้แก่หน่วยงานดังกล่าว เป็นกิจกรรมที่สามารถอ้างอิง ฐานประโยชน์โดยชอบด้วยกฎหมายในการดำเนินการดังกล่าว โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูล ส่วนบุคคลได้หรือไม่ หากศูนย์วิจัยฯ ได้จัดทำผลการศึกษาวิจัย ที่ไม่ปรากฏข้อมูลส่วนบุคคลที่ทำให้สามารถระบุ ตัวบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อมแล้ว ศูนย์วิจัยฯ และหน่วยงานที่เกี่ยวข้อง ก็ไม่ต้องปฏิบัติตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในส่วนที่เกี่ยวกับผลการศึกษาวิจัยดังกล่าว แต่ในกรณีที่ผลการศึกษาวิจัย ดังกล่าว ปรากฏข้อมูลเกี่ยวกับบุคคลที่อาจทำให้สามารถระบุตัวบุคคลได้ทางตรงหรือทางอ้อม เช่น ข้อมูล เกี่ยวกับสถานที่หรือพฤติการณ์ของเหตุการณ์ ซึ่งอาจทำให้สามารถคาดเดาตัวบุคคลที่เกี่ยวข้องได้ทางอ้อม ศูนย์วิจัยฯ ก็สามารถพิจารณาฐานทางกฎหมายในการเปิดเผยข้อมูลดังกล่าวตามมาตรา 24 หรือมาตรา 26 แล้วแต่กรณี ประกอบมาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตามที่ได้ให้ความเห็นไว้แล้วในประเด็นข้อหารือที่ 1.1 และในกรณีที่จะพิจารณาว่าเป็นกรณีที่เป็นการจำเป็น เพื่อประโยชน์โดยชอบด้วยกฎหมายของศูนย์วิจัยฯ หรือของบุคคลหรือนิติบุคคลอื่น ตามมาตรา 24 (5) ประกอบมาตรา 27 วรรคหนึ่ง หรือไม่ ก็สามารถทำการประเมินประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest Assessment: LIA) ได้ต่อไป

เอกสารต้นฉบับ

• PDF ต้นฉบับ (local)
• ที่มา: pdpc.or.th