ข้อหารือที่ 4/2569 — สำนักงานปลัดกระทรวงสาธารณสุข (DSA ระหว่าง สป.สธ. กับ สปสช.)

ข้อกฎหมาย

1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 3 (1) มาตรา 6 มาตรา 22 มาตรา 23 (4) มาตรา 24 (4) และ (6) มาตรา 25 วรรคหนึ่งและวรรคสอง มาตรา 26 (5) (ค) มาตรา 27 วรรคหนึ่งและวรรคสอง มาตรา 37 (1) (2) (3) และ (4) มาตรา 39 มาตรา 40 วรรคหนึ่ง (1) และวรรคสาม มาตรา 41 มาตรา 42 วรรคสอง มาตรา 79 มาตรา 80 และมาตรา 81
2. พระราชบัญญัติระเบียบบริหารราชการแผ่นดิน พ.ศ. 2534 และที่แก้ไขเพิ่มเติม มาตรา 7 วรรคหนึ่ง (4) และวรรคสาม และมาตรา 18 วรรคสอง
3. พระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 มาตรา 24 วรรคหนึ่ง มาตรา 26 มาตรา 45 และมาตรา 46
4. พระราชบัญญัติปรับปรุงกระทรวง ทบวง กรม พ.ศ. 2545 และที่แก้ไขเพิ่มเติม มาตรา 43 (2)
5. พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 มาตรา 13 มาตรา 14 และมาตรา 16
6. พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 มาตรา 4
7. พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม มาตรา 7
8. พระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 และที่แก้ไขเพิ่มเติม มาตรา 27
9. ประมวลกฎหมายอาญา มาตรา 157
10. กฎกระทรวงแบ่งส่วนราชการสำนักงานปลัดกระทรวง กระทรวงสาธารณสุข พ.ศ. 2567
11. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคง ปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2565 ข้อ 4
12. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้ง เหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 ข้อ 3 และข้อ 4
13. ประกาศสำนักงานหลักประกันสุขภาพแห่งชาติ เรื่อง โครงสร้างชุดข้อมูลเพื่อการเรียกเก็บ ค่าใช้จ่ายเพื่อบริการสาธารณสุข (e-Claim) พ.ศ. 2564

ข้อหารือ

สำนักงานปลัดกระทรวงสาธารณสุขแจ้งว่า สำนักงานปลัดกระทรวงสาธารณสุขและ สำนักงานหลักประกันสุขภาพแห่งชาติ ได้ลงนามในบันทึกความเข้าใจว่าด้วยความร่วมมือการดำเนินการพัฒนา ระบบข้อมูลการเบิกค่าบริการสาธารณสุข ระหว่างกระทรวงสาธารณสุข และสำนักงานหลักประกันสุขภาพ แห่งชาติ เมื่อวันที่ 8 มีนาคม 2567

ทั้งนี้ กระทรวงสาธารณสุขได้พัฒนาระบบศูนย์กลางข้อมูลด้านการเงิน (Financial Data Hub) ให้มีกระบวนการรับ-ส่งข้อมูลตามหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) โดยชุดข้อมูลที่มีการรับ-ส่ง ประกอบด้วยข้อมูลบริการสุขภาพของผู้ป่วย เช่น ข้อมูลส่วนบุคคล ประวัติการรักษา รายการยาและเวชภัณฑ์ ผลการวินิจฉัยโรค เพื่อนำข้อมูลข้างต้นไปใช้ในการเบิกจ่ายชดเชยค่าบริการทางการแพทย์ ซึ่งถือเป็นข้อมูลอ่อนไหว โดยกระทรวงสาธารณสุขในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) พึงปฏิบัติตามกฎหมายอย่างเคร่งครัดในการเปิดเผยข้อมูลต่อนิติบุคคลอื่น ซึ่งระบบศูนย์กลางข้อมูลด้านการเงิน (Financial Data Hub) ของกระทรวงสาธารณสุข ได้ออกแบบระบบให้มีมาตรการเชิงเทคนิค (Technical measures) เพื่อลดความเสี่ยงการละเมิดของข้อมูลส่วนบุคคลเป็นสำคัญ โดยหน่วยบริการสังกัดกระทรวงสาธารณสุข ทั้งหมดสามารถส่งข้อมูลผ่านระบบดังกล่าวได้เป็นที่เรียบร้อยและพร้อมที่จะรับ-ส่งข้อมูลไปเบิกจ่ายกับกองทุน สุขภาพต่าง ๆ ได้ และเพื่อให้บรรลุวัตถุประสงค์ตามบันทึกความเข้าใจว่าด้วยความร่วมมือกับสำนักงาน หลักประกันสุขภาพแห่งชาติ (สปสช.) จึงถือปฏิบัติตามข้อกฎหมายที่เกี่ยวข้อง ดังนี้

1. พระราชบัญญัติระเบียบบริหารราชการแผ่นดิน พ.ศ. 2534 และที่แก้ไขเพิ่มเติม มาตรา 7 ให้จัดระเบียบบริหารราชการส่วนกลาง (4) กรม หรือส่วนราชการที่เรียกชื่ออย่างอื่น และมีฐานะเป็นกรม ซึ่งสังกัดหรือไม่สังกัดสำนักนายกรัฐมนตรี กระทรวงหรือทบวง ส่วนราชการตาม (1) (2) (3) และ (4) มีฐานะ เป็นนิติบุคคล
2. พระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 มาตรา 45 ให้หน่วยบริการ มีหน้าที่ ดังต่อไปนี้ (5) จัดทำระบบข้อมูลการให้บริการสาธารณสุข เพื่อสะดวกต่อการตรวจสอบคุณภาพ และบริการ รวมทั้งการขอรับค่าใช้จ่ายเพื่อบริการสาธารณสุข
3. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 ผู้ควบคุมข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มาตรา 37 ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้ (1) จัดให้มีมาตรการรักษา ความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูล ส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็น หรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม

ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด 4. พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 มาตรา 13 เพื่อประโยชน์ในการบริหารราชการแผ่นดินและการให้บริการประชาชน ให้หน่วยงานของรัฐจัดให้มีการเชื่อมโยงและแลกเปลี่ยนข้อมูลดิจิทัลที่มีการจัดทำและครอบครองตามที่ หน่วยงานของรัฐแห่งอื่นร้องขอ ที่จะเกิดการบูรณาการร่วมกัน มาตรา 14 หน่วยงานของรัฐผู้รับข้อมูลดิจิทัลตามมาตรา 13 ต้องใช้ข้อมูลตาม วัตถุประสงค์ในหน้าที่และอำนาจของตนเท่านั้น และต้องดูแลรักษาข้อมูลให้มีความมั่นคงปลอดภัย ไม่มีการเปิดเผยหรือโอนข้อมูลไปยังบุคคลที่ไม่มีสิทธิเข้าถึงข้อมูล มาตรา 16 ภายใต้บทบัญญัติแห่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่ หน่วยงานของรัฐได้มาซึ่งข้อมูลส่วนบุคคลหรือมีข้อมูลส่วนบุคคลอยู่ในความครอบครอง หากหน่วยงานของรัฐ ประสงค์จะใช้ข้อมูลส่วนบุคคลดังกล่าวในรูปแบบข้อมูลดิจิทัลเพื่อประโยชน์ในการบริหารราชการแผ่นดิน หน่วยงานของรัฐนั้นสามารถขอเชื่อมโยงและแลกเปลี่ยนข้อมูลส่วนบุคคลนั้นจากหน่วยงานของรัฐที่ครอบครอง เพื่อนำมาวิเคราะห์หรือประมวลผลได้ 5. ประกาศสำนักงานหลักประกันสุขภาพแห่งชาติ เรื่อง โครงสร้างชุดข้อมูลเพื่อการเรียกเก็บ ค่าใช้จ่ายเพื่อบริการสาธารณสุข (e-Claim) พ.ศ. 2564 6. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคง ปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 โดยสำนักงานปลัดกระทรวงสาธารณสุขได้จัดประชุมหารือร่างข้อตกลงการเปิดเผยข้อมูล ส่วนบุคคลระหว่างกัน ระหว่างสำนักงานปลัดกระทรวงสาธารณสุขและสำนักงานหลักประกันสุขภาพแห่งชาติ เมื่อวันที่ 10 กันยายน 2567 สำนักงานปลัดกระทรวงสาธารณสุข จึงขอหารือในประเด็น ดังนี้

1. สำนักงานปลัดกระทรวงสาธารณสุข มีฐานะเป็นนิติบุคคล ตามมาตรา 7 (4) แห่ง พระราชบัญญัติระเบียบบริหารราชการแผ่นดิน พ.ศ. 2534 และที่แก้ไขเพิ่มเติม โดยมีกฎกระทรวง แบ่งส่วนราชการสำนักงานปลัดกระทรวง กระทรวงสาธารณสุข พ.ศ. 2567 มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการดำเนินงานตามกฎหมาย จึงถือเป็นผู้ควบคุมข้อมูล ส่วนบุคคล ตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งหน่วยบริการในสังกัด สำนักงานปลัดกระทรวงสาธารณสุข มีหน้าที่ต้องส่งข้อมูลส่วนบุคคลมายังสำนักงานปลัดกระทรวงสาธารณสุข

ดังนั้น การจัดทำข้อตกลงการเปิดเผยข้อมูลส่วนบุคคลระหว่างกัน (DSA) ระหว่างสำนักงาน ปลัดกระทรวงสาธารณสุข ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ย่อมมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ที่ได้รับจากหน่วยบริการในสังกัดสำนักงานปลัดกระทรวงสาธารณสุข และมีการจัดการให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หากสำนักงาน ปลัดกระทรวงสาธารณสุขประสงค์จะจัดทำข้อตกลงการเปิดเผยข้อมูลส่วนบุคคลระหว่างกัน (DSA) ร่วมกับ บุคคลหรือนิติบุคคลอื่นใด ควรมีการพิจารณารายละเอียดเงื่อนไขให้เป็นไปตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ใช่หรือไม่

ทั้งนี้ หากบุคคลหรือนิติบุคคลอื่นใด ไม่มีความประสงค์จะจัดทำ ข้อตกลงการเปิดเผยข้อมูลส่วนบุคคลระหว่างกัน (DSA) ร่วมกับสำนักงานปลัดกระทรวงสาธารณสุข สำนักงาน ปลัดกระทรวงสาธารณสุขจะต้องดำเนินการอย่างไรเพื่อให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม สอดคล้องพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในการดูแลรับผิดชอบต่อหน่วยบริการภายใต้ สังกัดของกระทรวงสาธารณสุข 2. การที่หน่วยบริการในสังกัดสำนักงานปลัดกระทรวงสาธารณสุข ซึ่งไม่มีฐานะเป็นนิติบุคคล และไม่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จึงไม่ถือเป็นผู้ควบคุม ข้อมูลส่วนบุคคล ตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั้น หากบุคคล หรือนิติบุคคลอื่นใด มีความประสงค์ขอแบ่งปันข้อมูลส่วนบุคคล จะต้องมีการแจ้งวัตถุประสงค์ในการขอข้อมูล มาที่สำนักงานปลัดกระทรวงสาธารณสุข ซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคล เพื่อตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว ใช่หรือไม่ เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 3. ในกรณีที่หน่วยบริการในสังกัดสำนักงานปลัดกระทรวงสาธารณสุข ได้ส่งข้อมูลไปยังบุคคล หรือนิติบุคคลอื่นใด โดยที่สำนักงานปลัดกระทรวงสาธารณสุข ในฐานะหน่วยงานกำกับดูแลหน่วยบริการนั้น มีความประสงค์จะจัดทำข้อตกลงการเปิดเผยข้อมูลส่วนบุคคลระหว่างกัน (DSA) ร่วมกับบุคคลหรือนิติบุคคล อื่นใด เพื่อจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม แต่บุคคลหรือนิติบุคคลอื่นใดไม่มี ความประสงค์จะจัดทำข้อตกลงการเปิดเผยข้อมูลส่วนบุคคลระหว่างกัน (DSA) ร่วมกับสำนักงานปลัดกระทรวง จากกรณีดังกล่าวหากเกิดการรั่วไหลของข้อมูลส่วนบุคคล หน่วยงานใดบ้างที่ต้องมีความรับผิดทางแพ่ง (การชดใช้ค่าเสียหาย) และความรับผิดทางปกครอง (โทษปรับทางปกครอง) ตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 4. เพื่อเป็นการส่งเสริมมาตรการเชิงองค์กรให้กับเจ้าหน้าที่ภายใต้การกำกับของหน่วยงาน การดำเนินการของสำนักงานปลัดกระทรวงสาธารณสุขเกี่ยวกับการบริหารจัดการและแลกเปลี่ยนข้อมูล สุขภาพ หากได้มีการปฏิบัติตามกฎหมายที่เกี่ยวข้องอย่างครบถ้วน ทั้งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นที่เกี่ยวข้อง จะถือว่าเป็นการดำเนินการที่แสดงถึงความรับผิดชอบ (Accountability) ตามหลักการคุ้มครองข้อมูลส่วนบุคคลและเป็นการปฏิบัติหน้าที่ตามกฎหมายซึ่งไม่เข้าข่าย ความผิดตามมาตรา 157 แห่งประมวลกฎหมายอาญา ว่าด้วยการปฏิบัติหรือละเว้นการปฏิบัติหน้าที่ โดยมิชอบของเจ้าพนักงานหรือไม่ อย่างไร

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้พิจารณาข้อหารือดังกล่าวแล้ว มีความเห็นว่า สำนักงานปลัดกระทรวง กระทรวงสาธารณสุข (สป.สธ.) เป็นส่วนราชการที่สังกัดกระทรวงสาธารณสุข ตามมาตรา 43 (2) แห่งพระราชบัญญัติปรับปรุงกระทรวง ทบวง กรม พ.ศ. 2545 มีฐานะเป็นกรมตาม มาตรา 18 วรรคสอง แห่งพระราชบัญญัติระเบียบบริหารราชการแผ่นดิน พ.ศ. 2534 และมีฐานะเป็น นิติบุคคลตามมาตรา 7 วรรคสาม แห่งพระราชบัญญัติเดียวกัน สำหรับพระราชบัญญัติหลักประกันสุขภาพ แห่งชาติ พ.ศ. 2545 เป็นกฎหมายที่บัญญัติขึ้นเพื่อจัดระบบการให้บริการสาธารณสุขที่จำเป็นต่อสุขภาพและ การดำรงชีวิตให้มีการรักษาพยาบาลที่มีมาตรฐาน โดยมีองค์กรกำกับดูแลซึ่งจะดำเนินการโดยการมีส่วนร่วมกัน ระหว่างภาครัฐและภาคประชาชนเพื่อจัดการให้มีระบบการรักษาพยาบาลที่มีประสิทธิภาพทั้งประเทศ และให้ประชาชนชาวไทยมีสิทธิได้รับการบริการสาธารณสุขที่มีมาตรฐานด้วยกันทุกคน อันเป็นไปตาม บทบัญญัติแห่งรัฐธรรมนูญที่บัญญัติให้ชนชาวไทยย่อมมีสิทธิเสมอกันในการรับบริการสาธารณสุขที่ได้มาตรฐาน และผู้ยากไร้มีสิทธิได้รับการรักษาพยาบาลจากสถานบริการสาธารณสุขของรัฐโดยไม่เสียค่าใช้จ่ายตามที่ กฎหมายบัญญัติ และการให้บริการสาธารณสุขของรัฐต้องเป็นไปอย่างทั่วถึงและมีประสิทธิภาพ โดยจะต้อง ส่งเสริมให้องค์กรปกครองส่วนท้องถิ่นและเอกชนมีส่วนร่วมเท่าที่จะกระทำได้ และรัฐต้องจัดและส่งเสริม การสาธารณสุขให้ประชาชนได้รับบริการที่ได้มาตรฐานและมีประสิทธิภาพอย่างทั่วถึง โดยสถานบริการ สาธารณสุขของรัฐที่สังกัด สป.สธ. ซึ่งเป็นหน่วยบริการตามพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 มีหน้าที่ตามมาตรา 45 แห่งพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 ในการให้บริการสาธารณสุข รวมทั้งการใช้วัคซีน ยา เวชภัณฑ์ อุปกรณ์ในการรักษาที่ได้มาตรฐานและมีคุณภาพ ให้ข้อมูลการบริการสาธารณสุขของผู้รับบริการตามที่ผู้รับบริการร้องขอและตามประกาศที่มีการกำหนด เกี่ยวกับสิทธิของผู้ป่วยและผู้รับบริการ เพื่อให้ผู้รับบริการตัดสินใจในการเลือกรับบริการหรือถูกส่งต่อ รักษาความลับของผู้รับบริการจากการปฏิบัติหน้าที่ และจัดทำระบบข้อมูลการให้บริการสาธารณสุข เพื่อสะดวกต่อการตรวจสอบคุณภาพและบริการ รวมทั้งการขอรับค่าใช้จ่ายเพื่อบริการสาธารณสุข เป็นต้น โดยในการให้บริการสาธารณสุขแก่ผู้รับบริการและการจัดทำระบบข้อมูลการให้บริการสาธารณสุข ให้หน่วยบริการปฏิบัติตามหลักเกณฑ์ที่คณะกรรมการหลักประกันสุขภาพแห่งชาติและคณะกรรมการควบคุม คุณภาพและมาตรฐานบริการสาธารณสุขกำหนด และหน่วยบริการดังกล่าวมีสิทธิได้รับค่าใช้จ่ายเพื่อบริการ สาธารณสุขจากกองทุนหลักประกันสุขภาพแห่งชาติตามหลักเกณฑ์ วิธีการ และเงื่อนไขที่คณะกรรมการ หลักประกันสุขภาพแห่งชาติกำหนด ตามมาตรา 46 วรรคหนึ่ง แห่งพระราชบัญญัติหลักประกันสุขภาพ แห่งชาติ พ.ศ. 2545 ซึ่งในการดำเนินงานของหน่วยบริการที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หน่วยบริการดังกล่าว (และ/หรือหน่วยงานต้นสังกัดที่เป็นนิติบุคคล) ย่อมมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามหน้าที่และอำนาจที่กฎหมายกำหนด รวมถึง การดำเนินการตามภารกิจที่เกี่ยวข้อง

ดังนั้น ในการดำเนินงานของหน่วยบริการที่สังกัด สป.สธ. ดังกล่าว ที่มี การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สป.สธ. ในฐานะส่วนราชการต้นสังกัดที่มีฐานะเป็นนิติบุคคลของ หน่วยบริการดังกล่าว จะอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 และในขณะเดียวกัน สป.สธ. และหน่วยบริการที่สังกัด สป.สธ. ก็ถือเป็นหน่วยงาน ของรัฐตามพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 ข้อมูลข่าวสาร (รวมถึงข้อมูลข่าวสาร ส่วนบุคคล) ที่อยู่ในความครอบครองหรือควบคุมดูแลของ สป.สธ. และหน่วยบริการในสังกัด จึงเป็นข้อมูลข่าวสาร ของราชการ ตามนัยมาตรา 4 แห่งพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 ด้วย

ดังนั้น ในการดำเนินการเกี่ยวกับการเปิดเผยข้อมูลข่าวสารของราชการ สป.สธ. จะต้องดำเนินการให้เป็นไปตาม พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 ซึ่งเป็นกฎหมายที่วางหลักเกณฑ์เกี่ยวกับการเปิดเผย ข้อมูลข่าวสารของหน่วยงานของรัฐ และในส่วนที่เกี่ยวข้องกับข้อมูลด้านสุขภาพของบุคคล สป.สธ. จะต้อง ปฏิบัติตามมาตรา 7 แห่งพระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 รวมถึงกฎหมายอื่นที่เกี่ยวข้อง ซึ่งเป็น กฎหมายที่บัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลไว้โดยเฉพาะในลักษณะดังกล่าวก่อน แล้วจึงพิจารณา ดำเนินการให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นการเพิ่มเติม

ทั้งนี้ ตามมาตรา 3 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สำหรับสำนักงานหลักประกันสุขภาพแห่งชาติ (สปสช.) เป็นหน่วยงานของรัฐมีฐานะเป็น นิติบุคคลตามมาตรา 24 วรรคหนึ่ง แห่งพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 สปสช. จึงมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการดำเนินงาน ตามอำนาจหน้าที่

ดังนั้น สปสช. จึงถือเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 6 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วยเหตุนี้ การที่หน่วยบริการที่สังกัด สป.สธ. ส่งข้อมูลส่วนบุคคล ของผู้ป่วยหรือผู้รับบริการให้แก่ สปสช. เพื่อขอรับค่าใช้จ่ายเพื่อบริการสาธารณสุข ตามมาตรา 45 และมาตรา 46 แห่งพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 จึงถือเป็นการเปิดเผยข้อมูลส่วนบุคคลที่เป็น การปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล ตามนัยมาตรา 24 (6) ประกอบมาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือในกรณีที่เป็นข้อมูลส่วนบุคคลตามมาตรา 26 ก็ถือเป็นการเปิดเผยข้อมูลส่วนบุคคลที่เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ หลักประกันสุขภาพแห่งชาติ ตามมาตรา 26 (5) (ค) ประกอบมาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติดังกล่าว ซึ่งได้รับยกเว้นไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

คณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตว่า การที่ สปสช. เก็บรวบรวมข้อมูลส่วนบุคคล ดังกล่าว เพื่อใช้ในการดำเนินงานตามอำนาจหน้าที่ตามมาตรา 26 แห่งพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 ซึ่งรวมถึงอำนาจหน้าที่ในการเก็บ รวบรวม วิเคราะห์ข้อมูลเกี่ยวกับการดำเนินงานการบริการ สาธารณสุข การจัดให้มีทะเบียนผู้รับบริการ หน่วยบริการ และเครือข่ายหน่วยบริการ การบริหารกองทุน หลักประกันสุขภาพแห่งชาติ การจ่ายค่าใช้จ่ายเพื่อบริการสาธารณสุขให้แก่หน่วยบริการและเครือข่าย หน่วยบริการ การตรวจสอบเอกสารหลักฐานการเรียกเก็บค่าใช้จ่ายเพื่อบริการสาธารณสุขของหน่วยบริการ การดำเนินการเพื่อให้ประชาชนมีหน่วยบริการประจำ และการขอเปลี่ยนหน่วยบริการประจำ รวมทั้ง ประชาสัมพันธ์เพื่อให้ประชาชนทราบข้อมูลของหน่วยบริการ การกำกับดูแลหน่วยบริการและเครือข่าย หน่วยบริการในการให้บริการสาธารณสุขให้เป็นไปตามมาตรฐานที่คณะกรรมการหลักประกันสุขภาพแห่งชาติ กำหนด และอำนวยความสะดวกในการเสนอเรื่องร้องเรียน ตลอดจนการปฏิบัติหน้าที่อื่น ๆ ของ สปสช. ยังถือเป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล ตามมาตรา 24 (6) หรือเป็นการจำเป็น เพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล ตามมาตรา 24 (4) แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 และในกรณีที่เป็นข้อมูลส่วนบุคคลตามมาตรา 26 ก็ถือเป็นการจำเป็นในการปฏิบัติ ตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับหลักประกันสุขภาพแห่งชาติ ตามมาตรา 26 (5) (ค) แห่ง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่ง สปสช. สามารถทำการเก็บรวบรวมข้อมูลส่วนบุคคล ดังกล่าวจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรงได้ตามมาตรา 25 วรรคหนึ่ง (2) และไม่ต้องแจ้ง รายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลตามมาตรา 23 เนื่องจากไม่ใช่กรณีที่ทำการเก็บรวบรวมข้อมูล ส่วนบุคคลจากแหล่งอื่นที่ต้องได้รับความยินยอมตามมาตรา 25 วรรคหนึ่ง (1)

ทั้งนี้ ตามนัยมาตรา 25 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

อย่างไรก็ตาม หน่วยบริการที่ให้บริการสาธารณสุข แก่ผู้ป่วยหรือผู้รับบริการ และจะต้องเปิดเผยข้อมูลส่วนบุคคลของผู้นั้นให้แก่ สปสช. ควรระบุประเภทของบุคคล หรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย ซึ่งเป็นส่วนหนึ่งของรายละเอียด ในการเก็บรวบรวมข้อมูลส่วนบุคคลที่หน่วยบริการต้องแจ้งให้ผู้ป่วยหรือผู้รับบริการในฐานะเจ้าของข้อมูล ส่วนบุคคลทราบ (privacy notice) ตามมาตรา 23 (4) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้ครอบคลุมการเปิดเผยข้อมูลส่วนบุคคลให้แก่ สปสช. และ/หรือกองทุนประกันสุขภาพต่าง ๆ ด้วย เนื่องจากกระทรวงสาธารณสุข โดย สป.สธ. ได้พัฒนาระบบศูนย์กลางข้อมูลด้านการเงิน (Financial Data Hub) ซึ่งมีการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับการให้บริการสาธารณสุขแก่ผู้ป่วย ของหน่วยบริการในสังกัดกระทรวงสาธารณสุข เพื่อประโยชน์ในการขอรับค่าใช้จ่ายเพื่อบริการสาธารณสุข รวมทั้งเพื่อการวิเคราะห์ วางแผน กำกับดูแล ติดตาม ประเมินผล และบริหารจัดการในภารกิจตามหน้าที่ และอำนาจของตน

ดังนั้น หาก สปสช. หรือหน่วยงานที่เกี่ยวข้อง ประสงค์จะใช้ข้อมูลส่วนบุคคลในรูปแบบ ข้อมูลดิจิทัลจากระบบดังกล่าวที่กระทรวงสาธารณสุข โดย สป.สธ. ได้มาหรือมีอยู่ในความครอบครอง เพื่อประโยชน์ในการบริหารราชการแผ่นดินและการให้บริการประชาชน กระทรวงสาธารณสุข โดย สป.สธ. ก็สามารถจัดให้มีการเชื่อมโยงและแลกเปลี่ยนข้อมูลดิจิทัลที่มีการจัดทำและครอบครองตามที่หน่วยงานของรัฐ แห่งอื่นร้องขอ ที่จะเกิดการบูรณาการร่วมกันได้ ตามมาตรา 13 แห่งพระราชบัญญัติการบริหารงานและ การให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 โดยจะต้องปฏิบัติให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคลด้วย ตามนัยมาตรา 16 แห่งพระราชบัญญัติดังกล่าว

ทั้งนี้ สปสช. ในฐานะหน่วยงานของรัฐ ผู้รับข้อมูลดิจิทัลดังกล่าวต้องใช้ข้อมูลตามวัตถุประสงค์ในหน้าที่และอำนาจของตนเท่านั้น และต้องดูแลรักษา ข้อมูลให้มีความมั่นคงปลอดภัย ไม่มีการเปิดเผยหรือโอนข้อมูลไปยังบุคคลที่ไม่มีสิทธิเข้าถึงข้อมูล ตามมาตรา 14 แห่งพระราชบัญญัติเดียวกัน

ประเด็นข้อหารือที่ 1 เห็นว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มิได้กำหนดหน้าที่เกี่ยวกับการจัดให้มีข้อตกลงการแบ่งปันข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูลส่วนบุคคล กับผู้ควบคุมข้อมูลส่วนบุคคลไว้อย่างชัดเจน แต่ผู้ควบคุมข้อมูลส่วนบุคคลที่จะเปิดเผยข้อมูลส่วนบุคคล ระหว่างกันมีหน้าที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ตามมาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งต้องเป็นไปตามมาตรฐานขั้นต่ำที่กำหนดไว้ ในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล ส่วนบุคคล พ.ศ. 2565 โดยข้อ 4 ของประกาศดังกล่าวกำหนดว่า มาตรการดังกล่าวจะต้องประกอบด้วย มาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย โดยคำนึงถึงระดับความเสี่ยง ตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิด และผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล ซึ่งการจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (data sharing agreement: DSA) ถือเป็นมาตรการเชิงองค์กรอย่างหนึ่งเพื่อกำหนดวัตถุประสงค์ วิธีการ เงื่อนไข และหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลแต่ละฝ่ายในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ไม่ว่าจะส่งและรับข้อมูลที่เป็นเอกสารหรือโดยวิธีการทางอิเล็กทรอนิกส์ก็ตาม อันจะเป็น การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่จะเปิดเผยให้แก่กัน และควบคุมดูแลให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลระหว่างกันสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งยังเป็นมาตรการเพื่อป้องกันมิให้หน่วยงานที่ได้รับข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูล ส่วนบุคคลนั้น ตามมาตรา 27 วรรคสอง หรือเพื่อป้องกันมิให้หน่วยงานดังกล่าวใช้หรือเปิดเผยข้อมูล ส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ตามมาตรา 37 (2) อีกด้วย

นอกจากนี้ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของ สปสช. ที่เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ เกี่ยวกับหลักประกันสุขภาพแห่งชาติ ตามมาตรา 26 (5) (ค) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั้น สปสช. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บรวบรวมข้อมูลส่วนบุคคล และ สป.สธ. (รวมถึงหน่วยบริการในสังกัด) ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่เปิดเผยข้อมูลส่วนบุคคลให้ สปสช. มีหน้าที่ต้องจัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ตามความในมาตรา 26 (5) (ค) อีกด้วย

ดังนั้น สป.สธ. และ สปสช. อาจพิจารณาหารือร่วมกันตามอำนาจหน้าที่ที่เกี่ยวข้องเพื่อให้ได้ ข้อสรุปเกี่ยวกับมาตรการเชิงองค์กรและมาตรการเชิงเทคนิคที่เหมาะสมกับระดับความเสี่ยงตามลักษณะและ วัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจาก เหตุการละเมิดข้อมูลส่วนบุคคลที่อาจเกิดขึ้นจากการเปิดเผยและเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวได้ ซึ่งหาก สป.สธ. และ สปสช. เห็นสมควร ก็ย่อมสามารถหารือและตกลงร่วมกันเพื่อจัดทำข้อตกลงการแบ่งปัน ข้อมูลส่วนบุคคลระหว่างกันได้ โดยเพื่อให้เป็นไปตามเจตนารมณ์ของกฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคล รายละเอียดของข้อตกลงดังกล่าว ควรมีเนื้อหาที่ครอบคลุมวัตถุประสงค์ วิธีการ เงื่อนไข และหน้าที่ ความรับผิดชอบในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของแต่ละฝ่าย (รวมทั้งอาจมีข้อกำหนด เกี่ยวกับระยะเวลาการเก็บรักษาหรือเงื่อนไขในการลบหรือทำลายข้อมูลส่วนบุคคล) ที่ทำให้แต่ละฝ่ายสามารถ ดำเนินงานของตนในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่มีอำนาจหน้าที่ตัดสินใจในการกำหนดวัตถุประสงค์ (purposes) และวิธีการ (means) ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแยกจากกันได้ โดยไม่เป็นอุปสรรคต่อการดำเนินงานของกันและกัน โดยเฉพาะในกรณีที่เป็นการปฏิบัติหน้าที่ในการดำเนิน ภารกิจเพื่อประโยชน์สาธารณะหรือเป็นการปฏิบัติตามกฎหมาย และไม่ขัดหรือแย้งกับกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล

ทั้งนี้ ไม่ว่าจะมีการจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคลระหว่างกันหรือไม่ ก็ตาม สปสช. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวย่อมมีหน้าที่ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งรวมถึงการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล ส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายตามมาตรา 22 การจัดให้มีมาตรการรักษา ความมั่นคงปลอดภัยที่เหมาะสมตามมาตรา 37 (1) การจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลาย ข้อมูลส่วนบุคคลตามเงื่อนไขในมาตรา 37 (3) และการดำเนินการที่เหมาะสมในกรณีที่เจ้าของข้อมูลส่วนบุคคล ขอใช้สิทธิตามหมวด 3 แห่งพระราชบัญญัตินี้ ตลอดจนมีความรับผิดตามกฎหมายที่เกี่ยวข้องอยู่แล้ว การที่หน่วยงานที่เกี่ยวข้องจะพิจารณาว่าควรลงนามในข้อตกลงการแบ่งปันข้อมูลส่วนบุคคลระหว่างกันหรือไม่นั้น จึงเป็นกรณีที่แต่ละฝ่ายสามารถพิจารณาดำเนินการได้ตามที่เห็นสมควร โดยควรคำนึงถึงความจำเป็นในการปฏิบัติ หน้าที่ตามกฎหมายอื่นที่เกี่ยวข้องประกอบด้วย

อนึ่ง มาตรา 27 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บัญญัติว่า บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยของผู้ควบคุมข้อมูลส่วนบุคคลอื่น จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุม ข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น ซึ่ง สปสช. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับข้อมูล ส่วนบุคคลมาจากการเปิดเผยของ สป.สธ. จะต้องดำเนินการให้เป็นไปตามบทบัญญัติดังกล่าวด้วย

ดังนั้น หาก สปสช. มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคลที่ได้รับจาก สป.สธ. เพื่อวัตถุประสงค์อื่นใดนอกเหนือจาก เพื่อการจ่ายค่าใช้จ่ายเพื่อบริการสาธารณสุขให้แก่หน่วยบริการและเครือข่ายหน่วยบริการ สปสช. ก็ควรแจ้ง วัตถุประสงค์เหล่านั้นให้ สป.สธ. หรือหน่วยบริการในสังกัดทราบในการขอรับข้อมูลส่วนบุคคลดังกล่าวไว้ด้วย

อย่างไรก็ดี เนื่องจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ได้บัญญัติให้ ต้องมีการจัดให้มีข้อตกลงการแบ่งปันข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูลส่วนบุคคลด้วยกันตั้งแต่ต้น

ดังนั้น หากฝ่ายใดฝ่ายหนึ่งเห็นว่า การจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคลจะทำให้การดำเนินการตามอำนาจหน้าที่ ของฝ่ายตนตามกฎหมายว่าด้วยหลักประกันสุขภาพแห่งชาติหรือกฎหมายอื่นขาดประสิทธิภาพ หรือไม่อาจสำเร็จ ตามวัตถุประสงค์ได้ หรือมีปัญหาอุปสรรคที่ทำให้ไม่สามารถหาข้อสรุปที่เป็นประโยชน์กับทั้งสองฝ่ายและ เป็นที่ยอมรับร่วมกันได้ ก็อาจพิจารณาไม่จัดทำข้อตกลงดังกล่าวได้ แต่ในกรณีเช่นนี้ แต่ละฝ่ายจะต้องจัดให้มี มาตรการอื่นใดที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคลได้ในทำนอง เดียวกัน ตามความในมาตรา 26 (5) (ค) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย เช่น ผู้ควบคุมข้อมูลส่วนบุคคลที่เปิดเผยข้อมูลส่วนบุคคลให้แก่อีกฝ่ายหนึ่ง อาจแจ้งวัตถุประสงค์ในการใช้หรือ เปิดเผยข้อมูลส่วนบุคคลของฝ่ายที่รับข้อมูลส่วนบุคคลให้ฝ่ายนั้นทราบฝ่ายเดียวแทนการจัดให้มีข้อตกลง ระหว่างกัน ส่วนผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยดังกล่าวก็อาจดำเนินการ ฝ่ายเดียวในการกำหนดมาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย เพื่อจำกัด หรือควบคุมการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับมาดังกล่าวให้เป็นไปเท่าที่จำเป็นภายใต้วัตถุประสงค์ ที่ฝ่ายที่เปิดเผยข้อมูลส่วนบุคคลได้แจ้งไว้ หรือวัตถุประสงค์อื่นใดอันชอบด้วยกฎหมายของตน รวมทั้งอาจกำหนด มาตรการอื่นใดเพิ่มเติมเพื่อให้มีการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและสอดคล้องกับพระราชบัญญัตินี้

คณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตเพิ่มเติมว่า กรณีการเปิดเผยข้อมูลส่วนบุคคล ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าว ซึ่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 ไม่ได้บัญญัติให้ต้องมีการจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (data sharing agreement: DSA) ระหว่างกันนั้น มีความแตกต่างจากการเปิดเผยข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูล ส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลนั้น ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มี ข้อตกลงระหว่างกัน กล่าวคือ ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (data processing agreement: DPA) เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ตามมาตรา 40 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือ บทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ ตามมาตรา 40 วรรคหนึ่ง (1)

ประเด็นข้อหารือที่ 2 เห็นว่า ตามที่ได้กล่าวมาแล้วข้างต้นว่า ในการดำเนินงานของ หน่วยบริการตามกฎหมายว่าด้วยหลักประกันสุขภาพแห่งชาติที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคล หน่วยบริการดังกล่าว (และ/หรือหน่วยงานต้นสังกัดที่เป็นนิติบุคคล) ย่อมมีอำนาจหน้าที่ตัดสินใจ ในการกำหนดวัตถุประสงค์ (purposes) และวิธีการ (means) ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลตามหน้าที่และอำนาจที่กฎหมายกำหนด รวมถึงการดำเนินการตามภารกิจที่เกี่ยวข้อง

ดังนั้น ในการดำเนินงานของหน่วยบริการที่สังกัด สป.สธ. ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล สป.สธ. ในฐานะส่วนราชการต้นสังกัดที่มีฐานะเป็นนิติบุคคลของหน่วยบริการดังกล่าว จะอยู่ในฐานะผู้ควบคุมข้อมูล ส่วนบุคคลตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งอำนาจหน้าที่เช่นว่านั้น ของหน่วยบริการหรือหน่วยงานในสังกัด สป.สธ. ลักษณะใด ประเภทใด หรือระดับใด จะมีได้เพียงใดนั้น ย่อมขึ้นอยู่กับกฎหมายว่าด้วยระเบียบบริหารราชการแผ่นดิน กฎหมายว่าด้วยการปรับปรุงกระทรวง ทบวง กรม กฎกระทรวงแบ่งส่วนราชการ กฎหมายและกฎระเบียบเกี่ยวกับการมอบอำนาจหรือการมอบหมายหน้าที่ รวมทั้ง กฎหมายว่าด้วยหลักประกันสุขภาพแห่งชาติและกฎหมายอื่น ตลอดจนกฎ ระเบียบ มติ คำสั่ง และข้อสั่งการอื่น ที่เกี่ยวข้อง

ดังนั้น ในกรณีที่มีบุคคลหรือนิติบุคคลใดมีความประสงค์จะขอให้หน่วยบริการหรือหน่วยงานที่สังกัด สป.สธ. เปิดเผยข้อมูลส่วนบุคคล อำนาจหน้าที่ในการตัดสินใจเกี่ยวกับการเปิดเผยข้อมูลส่วนบุคคลดังกล่าว ย่อมเป็นไปตามอำนาจหน้าที่ของหน่วยบริการหรือหน่วยงานในสังกัดแต่ละลักษณะ ประเภท และระดับ ตามกฎหมายและกฎ ระเบียบ มติ คำสั่ง และข้อสั่งการที่เกี่ยวข้อง ซึ่ง สป.สธ. ในฐานะผู้ควบคุมข้อมูล ส่วนบุคคล ย่อมสามารถมอบอำนาจ มอบหมาย สั่งการ และกำกับดูแลให้หน่วยบริการและหน่วยงานในสังกัด ตัดสินใจและดำเนินการตามอำนาจหน้าที่ของตนได้ตามที่เห็นสมควร โดยจะต้องไม่ขัดกับกฎหมายหรือ กฎระเบียบที่เกี่ยวข้อง

ทั้งนี้ สป.สธ. ควรพิจารณากำหนดอำนาจหน้าที่ในการตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของหน่วยบริการและหน่วยงานในสังกัด โดยคำนึงถึงความคล่องตัวและ ประสิทธิภาพในการดำเนินงาน และระดับความเสี่ยงที่อาจเกิดขึ้นประกอบกัน โดยควรพิจารณาดำเนินการ ให้สอดคล้องกับพระราชกฤษฎีกาว่าด้วยหลักเกณฑ์และวิธีการบริหารกิจการบ้านเมืองที่ดี พ.ศ. 2546 และ ที่แก้ไขเพิ่มเติมด้วย โดยเฉพาะการลดขั้นตอนการปฏิบัติงานตามมาตรา 27 ที่กำหนดให้ส่วนราชการจัดให้มี การกระจายอำนาจการตัดสินใจเกี่ยวกับการสั่ง การอนุญาต การอนุมัติ การปฏิบัติราชการ หรือการดำเนินการ อื่นใดของผู้ดำรงตำแหน่งใดให้แก่ผู้ดำรงตำแหน่งที่มีหน้าที่รับผิดชอบในการดำเนินการในเรื่องนั้นโดยตรง เพื่อให้เกิดความรวดเร็วและลดขั้นตอนการปฏิบัติราชการ

ทั้งนี้ ในการกระจายอำนาจการตัดสินใจดังกล่าว ต้องมุ่งผลให้เกิดความสะดวกและรวดเร็วในการบริการประชาชน และเมื่อได้มีการกระจายอำนาจการตัดสินใจแล้ว ให้ส่วนราชการกำหนดหลักเกณฑ์การควบคุม ติดตาม และกำกับดูแลการใช้อำนาจและความรับผิดชอบของ ผู้รับมอบอำนาจและผู้มอบอำนาจไว้ด้วย แต่หลักเกณฑ์ดังกล่าวต้องไม่สร้างขั้นตอนหรือการกลั่นกรองงาน ที่ไม่จำเป็นในการปฏิบัติงานของข้าราชการ

ประเด็นข้อหารือที่ 3 เห็นว่า การละเมิดข้อมูลส่วนบุคคลตามมาตรา 37 (4) แห่ง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 นั้น หมายความว่า การละเมิดมาตรการรักษาความมั่นคงปลอดภัยที่ทำให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย ข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ไม่ว่าจะเกิดจากเจตนา ความจงใจ ความประมาทเลินเล่อ การกระทำโดยปราศจากอำนาจหรือโดยมิชอบ การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ภัยคุกคามทางไซเบอร์ ข้อผิดพลาดบกพร่องหรืออุบัติเหตุ หรือเหตุอื่นใด โดยเหตุการละเมิดข้อมูลส่วนบุคคลแต่ละเหตุอาจเกี่ยวข้อง กับการละเมิดประเภทใดประเภทหนึ่ง หรือหลายประเภท ดังต่อไปนี้

1. การละเมิดความลับของข้อมูลส่วนบุคคล (confidentiality breach) ซึ่งมีการเข้าถึง หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ หรือเกิดจากข้อผิดพลาดบกพร่อง หรืออุบัติเหตุ
2. การละเมิดความถูกต้องครบถ้วนของข้อมูลส่วนบุคคล (integrity breach) ซึ่งมี การเปลี่ยนแปลง แก้ไขข้อมูลส่วนบุคคลให้ไม่ถูกต้อง ไม่สมบูรณ์ หรือไม่ครบถ้วน โดยปราศจากอำนาจ หรือโดยมิชอบ หรือเกิดจากข้อผิดพลาดบกพร่องหรืออุบัติเหตุ
3. การละเมิดความพร้อมใช้งานของข้อมูลส่วนบุคคล (availability breach) ซึ่งทำให้ ไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ หรือมีการทำลายข้อมูลส่วนบุคคล ทำให้ข้อมูลส่วนบุคคลไม่อยู่ในสภาพ ที่พร้อมใช้งานได้ตามปกติ

สำหรับประเด็นที่ว่า ในกรณีที่หน่วยบริการในสังกัด สป.สธ. ได้เปิดเผยข้อมูลส่วนบุคคล ให้แก่บุคคลหรือนิติบุคคลอื่น โดยไม่ได้จัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (data sharing agreement: DSA) ระหว่างกัน และต่อมาเกิดการรั่วไหลของข้อมูลส่วนบุคคลหรือเหตุการละเมิดข้อมูลส่วนบุคคลขึ้น หน่วยงานใด จะต้องมีความรับผิดตามกฎหมายนั้น เห็นว่า การพิจารณาหน้าที่ โดยเฉพาะหน้าที่ในการจัดให้มีมาตรการรักษา ความมั่นคงปลอดภัยและการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล และความรับผิดไม่ว่าจะในทางอาญา ทางแพ่ง หรือทางปกครองก็ตาม จะต้องพิจารณาตามข้อเท็จจริงว่าฝ่ายใดได้กระทำการฝ่าฝืนหรือไม่ปฏิบัติตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยไม่ได้จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย ที่เหมาะสมตามมาตรา 37 (1) ซึ่งต้องเป็นไปตามมาตรฐานขั้นต่ำตามประกาศคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 อันเป็นเหตุ ให้เกิดการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือ โดยมิชอบหรือไม่ เช่น หากมีเหตุการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นกับข้อมูลส่วนบุคคลที่อยู่ในความครอบครอง หรือควบคุมดูแลของ สป.สธ. ก่อนที่จะเปิดเผยให้กับอีกฝ่ายหนึ่ง หรือมีเหตุการละเมิดข้อมูลส่วนบุคคล เกิดขึ้นในระหว่างการเปิดเผยหรือแลกเปลี่ยนข้อมูลส่วนบุคคล อันเป็นผลมาจากมาตรการรักษาความมั่นคง ปลอดภัยของ สป.สธ. ที่ไม่เหมาะสมหรือไม่เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ประกาศกำหนด สป.สธ. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่เปิดเผยข้อมูลส่วนบุคคลย่อมต้องมีความรับผิด ต่อเหตุการละเมิดข้อมูลส่วนบุคคลนั้น แต่หากเป็นกรณีที่ สป.สธ. ได้เปิดเผยข้อมูลส่วนบุคคลไปยังบุคคลหรือ นิติบุคคลอื่นที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลแล้ว ต่อมามีเหตุการละเมิดข้อมูลส่วนบุคคลเกิดขึ้นกับข้อมูล ส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลรายดังกล่าวได้รับมาและเก็บรวบรวมไว้ อันเป็นผลมาจากมาตรการรักษา ความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับข้อมูลส่วนบุคคลนั้นที่ไม่เหมาะสมหรือไม่เป็นไป ตามมาตรฐานขั้นต่ำ หน้าที่และความรับผิดต่าง ๆ ก็ย่อมตกแก่ผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับข้อมูล ส่วนบุคคลนั้น

อย่างไรก็ดี ในบางกรณี เหตุการละเมิดข้อมูลส่วนบุคคลอาจเกิดขึ้นในการเปิดเผยหรือแลกเปลี่ยน ข้อมูลส่วนบุคคลระหว่างกัน อันเป็นผลมาจากมาตรการรักษาความมั่นคงปลอดภัยที่ไม่เหมาะสมหรือไม่เป็นไป ตามมาตรฐานขั้นต่ำของทั้งสองฝ่ายร่วมกัน ซึ่งแต่ละฝ่ายย่อมมีหน้าที่และความรับผิดเฉพาะในส่วนที่เกี่ยวข้อง กับตน การพิจารณาหน้าที่และความรับผิดเกี่ยวกับเหตุการละเมิดข้อมูลส่วนบุคคลจึงต้องพิจารณาข้อเท็จจริง เป็นรายกรณี

ประเด็นข้อหารือที่ 4 ในประเด็นที่ สป.สธ. ขอหารือว่า ในการดำเนินการของ สป.สธ. เกี่ยวกับการบริหารจัดการและแลกเปลี่ยนข้อมูลสุขภาพ หากได้มีการปฏิบัติตามกฎหมายที่เกี่ยวข้องอย่างครบถ้วน ทั้งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นที่เกี่ยวข้องแล้ว จะถือว่าเป็นการดำเนินการ ที่แสดงถึงความรับผิดชอบ (accountability) ตามหลักการคุ้มครองข้อมูลส่วนบุคคลและเป็นการปฏิบัติหน้าที่ ตามกฎหมายซึ่งไม่เข้าข่ายความผิดตามมาตรา 157 แห่งประมวลกฎหมายอาญา ว่าด้วยการปฏิบัติหรือละเว้น การปฏิบัติหน้าที่โดยมิชอบของเจ้าพนักงานหรือไม่ นั้น เห็นว่า หลักภาระรับผิดชอบและสามารถตรวจสอบได้ (accountability) ของผู้ควบคุมข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เป็นหลักการพื้นฐานที่มุ่งหวังให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ความรับผิดชอบต่อการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลของตน และจะต้องสามารถแสดงถึง การปฏิบัติตามกฎหมายของตนได้ (able to demonstrate compliance) ซึ่งหน้าที่ของผู้ควบคุมข้อมูล ส่วนบุคคลในการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมตามมาตรา 37 (1) การแจ้งเหตุการละเมิด ข้อมูลส่วนบุคคลตามมาตรา 37 (4) การบันทึกรายการ (record of processing activities: ROPA) ตามมาตรา 39 การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (data protection officer: DPO) ของตนตามมาตรา 41 และการสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 42 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นตัวอย่างของหน้าที่ตามพระราชบัญญัตินี้ ที่สอดคล้องกับหลักการดังกล่าว ส่วนในกรณีที่พบว่าผู้ควบคุมข้อมูลส่วนบุคคลมีการกระทำที่เป็นการฝ่าฝืน หรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หากเป็นความรับผิดทางแพ่งหรือ โทษทางปกครองตามพระราชบัญญัตินี้ ย่อมเป็นความรับผิดของนิติบุคคลที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ที่กระทำการดังกล่าวโดยตรง ไม่ใช่ความรับผิดของกรรมการหรือผู้จัดการ หรือบุคคลใดของนิติบุคคลนั้น แต่อย่างใด สำหรับความผิดอาญาตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตามมาตรา 79 และมาตรา 80 ในกรณีที่ผู้กระทำความผิดเป็นนิติบุคคล ถ้าการกระทำความผิดของนิติบุคคลนั้นเกิดจาก การสั่งการหรือการกระทำของกรรมการหรือผู้จัดการ หรือบุคคลใดซึ่งรับผิดชอบในการดำเนินงานของนิติบุคคลนั้น หรือในกรณีที่บุคคลดังกล่าวมีหน้าที่ต้องสั่งการหรือกระทำการและละเว้นไม่สั่งการหรือไม่กระทำการ จนเป็นเหตุให้นิติบุคคลนั้นกระทำความผิด ผู้นั้นต้องรับโทษตามที่บัญญัติไว้สำหรับความผิดนั้น ๆ ด้วย ตามมาตรา 81 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ทั้งนี้ หากกรรมการหรือผู้จัดการ หรือบุคคลดังกล่าว ได้ดำเนินการตามบทบาทหน้าที่ของตนเพื่อจัดให้มีมาตรการเชิงองค์กรและมาตรการ เชิงเทคนิคที่เหมาะสม เช่น การกำหนดนโยบายและระเบียบปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล การบริหารจัดการความเสี่ยง และการควบคุม ติดตาม กำกับดูแล และประเมินผลการดำเนินการเกี่ยวกับ การคุ้มครองข้อมูลส่วนบุคคลแล้ว ก็ย่อมเป็นข้อเท็จจริงที่ควรรับฟังประกอบการพิจารณาร่วมกับข้อกฎหมาย ตามองค์ประกอบความผิดนั้น ๆ ส่วนกรรมการหรือผู้จัดการ หรือผู้บริหารและบุคลากรที่เกี่ยวข้องของ นิติบุคคลที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าว จะมีความรับผิดทางอาญา (รวมทั้งความผิดตามมาตรา 157 แห่งประมวลกฎหมายอาญา) หรือมีความรับผิดทางแพ่งหรือทางวินัยต่อนิติบุคคลที่เป็นผู้ควบคุมข้อมูล ส่วนบุคคล หรือมีความรับผิดทางแพ่งต่อบุคคลอื่น จากการกระทำของตนหรือการกระทำของหน่วยงานที่เป็น ผู้ควบคุมข้อมูลส่วนบุคคลที่ตนสังกัดอยู่ที่เป็นการฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 หรือไม่ เพียงใดนั้น ย่อมขึ้นอยู่กับข้อเท็จจริง ข้อกฎหมาย และกระบวนการ ทางกฎหมายในแต่ละกรณี ซึ่งไม่อยู่ในหน้าที่และอำนาจของคณะอนุกรรมการตอบข้อหารือฯ และ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ที่จะพิจารณาให้ความเห็นได้ เนื่องจากมิใช่การขอคำแนะนำหรือ คำปรึกษาเกี่ยวกับการดำเนินการใด ๆ เพื่อให้ความคุ้มครองข้อมูลส่วนบุคคลในการปฏิบัติตามพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือการขอให้ตีความและวินิจฉัยชี้ขาดปัญหาที่เกิดจากการบังคับใช้ พระราชบัญญัติดังกล่าว

เอกสารต้นฉบับ

• PDF ต้นฉบับ (local)
• ที่มา: pdpc.or.th