หน้าหลัก

ข้อหารือที่ 5/2569 — สำนักงานหลักประกันสุขภาพแห่งชาติ (DSA ฝั่ง สปสช., คู่กับ ข้อหารือ 4/2569)

9 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 6 มาตรา 22 มาตรา 23 (4) มาตรา 24 (4) และ (6) มาตรา 25 วรรคหนึ่งและ วรรคสอง มาตรา 26 (5) (ค) มาตรา 27 วรรคหนึ่งและวรรคสอง มาตรา 37 (1) (2) และ (3) และมาตรา 40 วรรคหนึ่ง (1) และวรรคสาม
  2. พระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 มาตรา 24 วรรคหนึ่ง มาตรา 26 มาตรา 45 และมาตรา 46
  3. พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 มาตรา 13 มาตรา 14 และมาตรา 16
  4. พระราชบัญญัติปรับปรุงกระทรวง ทบวง กรม พ.ศ. 2545 และที่แก้ไขเพิ่มเติม มาตรา 43 (2)
  5. พระราชบัญญัติระเบียบบริหารราชการแผ่นดิน พ.ศ. 2534 และที่แก้ไขเพิ่มเติม มาตรา 7 วรรคสาม และมาตรา 18 วรรคสอง
  6. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคง ปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2565 ข้อ 4
  7. ประกาศคณะกรรมการหลักประกันสุขภาพแห่งชาติและคณะกรรมการควบคุมคุณภาพ และมาตรฐานบริการสาธารณสุข เรื่อง หลักเกณฑ์การให้บริการสาธารณสุขแก่ผู้รับบริการ และการจัดทำระบบข้อมูลการให้บริการสาธารณสุขของหน่วยบริการ พ.ศ. 2565
  8. ประกาศสำนักงานหลักประกันสุขภาพแห่งชาติ เรื่อง การจัดทำระบบข้อมูลการให้บริการ สาธารณสุข เพื่อขอรับค่าใช้จ่ายเพื่อบริการสาธารณสุข กรณีการจ่ายตามรายการบริการ พ.ศ. 2567
  9. ประกาศสำนักงานหลักประกันสุขภาพแห่งชาติ เรื่อง โครงสร้างชุดข้อมูลเพื่อการเรียกเก็บ ค่าใช้จ่ายเพื่อบริการสาธารณสุข (e-Claim) พ.ศ. 2564
  10. ประกาศสำนักงานหลักประกันสุขภาพแห่งชาติ เรื่อง โครงสร้างชุดข้อมูลการขอบริการ ยืนยันและพิสูจน์ตัวตน พ.ศ. 2564

ข้อหารือ

สำนักงานหลักประกันสุขภาพแห่งชาติ (สปสช.) แจ้งว่า สปสช. เป็นหน่วยงานของรัฐ มีฐานะเป็นนิติบุคคล อยู่ภายใต้การกำกับดูแลของรัฐมนตรีว่าการกระทรวงสาธารณสุข มีอำนาจหน้าที่ตาม มาตรา 26 แห่งพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 ซึ่งรวมถึงการเก็บ รวบรวม วิเคราะห์ ข้อมูลเกี่ยวกับการดำเนินงานการบริการสาธารณสุข การจ่ายค่าใช้จ่ายเพื่อบริการสาธารณสุขตามที่ คณะกรรมการหลักประกันสุขภาพแห่งชาติกำหนดให้แก่หน่วยบริการและเครือข่ายหน่วยบริการ ตรวจสอบเอกสารหลักฐานการเรียกเก็บค่าใช้จ่ายเพื่อบริการสาธารณสุขของหน่วยบริการ และกำกับดูแล หน่วยบริการและเครือข่ายหน่วยบริการในการให้บริการสาธารณสุขให้เป็นไปตามมาตรฐานที่คณะกรรมการ หลักประกันสุขภาพแห่งชาติกำหนด ในการให้บริการสาธารณสุขนั้น พระราชบัญญัติหลักประกันสุขภาพ แห่งชาติ พ.ศ. 2545 กำหนดให้มี “หน่วยบริการ” เพื่อให้มีหน้าที่ให้บริการสาธารณสุข ให้ข้อมูลการบริการ สาธารณสุขของผู้รับบริการ ให้ข้อมูลที่เกี่ยวกับชื่อแพทย์ เจ้าหน้าที่สาธารณสุข หรือผู้รับผิดชอบในการดูแล รักษาความลับของผู้รับบริการ และจัดทำระบบข้อมูลการให้บริการสาธารณสุขเพื่อสะดวกต่อการตรวจสอบ คุณภาพและบริการ รวมทั้งการขอรับค่าใช้จ่ายเพื่อบริการสาธารณสุข โดยในการให้บริการสาธารณสุขและ การจัดทำระบบข้อมูลการให้บริการสาธารณสุขดังกล่าว มาตรา 45 วรรคสอง แห่งพระราชบัญญัติหลักประกัน สุขภาพแห่งชาติ พ.ศ. 2545 กำหนดให้หน่วยบริการปฏิบัติตามหลักเกณฑ์ที่คณะกรรมการหลักประกัน สุขภาพแห่งชาติและคณะกรรมการควบคุมคุณภาพและมาตรฐานบริการสาธารณสุขกำหนด

ทั้งนี้ หน่วยบริการ เครือข่ายหน่วยบริการ และหน่วยบริการที่รับการส่งต่อผู้รับบริการมีสิทธิได้รับค่าใช้จ่ายเพื่อบริการสาธารณสุข จากกองทุนตามหลักเกณฑ์ วิธีการ และเงื่อนไขที่คณะกรรมการหลักประกันสุขภาพแห่งชาติกำหนด เพื่อประโยชน์ในการเก็บ รวบรวม วิเคราะห์ข้อมูลเกี่ยวกับการดำเนินงานการบริการสาธารณสุข การจ่ายค่าใช้จ่าย เพื่อบริการสาธารณสุขให้แก่หน่วยบริการและเครือข่ายหน่วยบริการ การตรวจสอบเอกสารหลักฐานการเรียกเก็บ ค่าใช้จ่ายเพื่อบริการสาธารณสุขของหน่วยบริการ และเพื่อกำกับดูแลหน่วยบริการและเครือข่ายหน่วยบริการ ในการให้บริการสาธารณสุขให้เป็นไปตามมาตรฐาน สปสช. จึงอาศัยอำนาจตามพระราชบัญญัติหลักประกัน สุขภาพแห่งชาติ พ.ศ. 2545 และประกาศคณะกรรมการหลักประกันสุขภาพแห่งชาติและคณะกรรมการ ควบคุมคุณภาพและมาตรฐานบริการสาธารณสุข เรื่อง หลักเกณฑ์การให้บริการสาธารณสุขแก่ผู้รับบริการ และการจัดทำระบบข้อมูลการให้บริการสาธารณสุขของหน่วยบริการ พ.ศ. 2565 ออกประกาศที่เกี่ยวข้องกับ ระบบข้อมูลการให้บริการสาธารณสุขและการจ่ายค่าใช้จ่ายเพื่อบริการสาธารณสุข เพื่อให้หน่วยบริการและ หน่วยงานที่เกี่ยวข้องปฏิบัติให้เป็นไปตามหน้าที่ตามกฎหมาย สำนักงานปลัดกระทรวงสาธารณสุขและ สปสช. ได้มีการประชุมหารือร่างข้อตกลง การเปิดเผยข้อมูลส่วนบุคคลระหว่างกัน เมื่อวันที่ 10 กันยายน 2567 และต่อมาสำนักงานปลัดกระทรวง สาธารณสุขได้มีหนังสือมายัง สปสช. เพื่อขอความร่วมมือให้แจ้งผลความก้าวหน้าในการพิจารณาร่างข้อตกลง การเปิดเผยข้อมูลส่วนบุคคลระหว่างกัน เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งในประเด็นนี้ สปสช. พิจารณาแล้วเห็นว่า สปสช. เป็นหน่วยงานของรัฐที่มีอำนาจและหน้าที่ ตามมาตรา 26 แห่งพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 โดยมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการดำเนินงานตามกฎหมาย จึงถือเป็น “ผู้ควบคุม ข้อมูลส่วนบุคคล” ตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สำหรับ หน่วยบริการในสังกัดสำนักงานปลัดกระทรวงสาธารณสุขมีหน้าที่ต้องส่งข้อมูลส่วนบุคคลให้แก่ สปสช. เพื่อให้เป็นไปตามมาตรา 45 และมาตรา 46 แห่งพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545

ทั้งนี้ ตามหลักเกณฑ์ที่คณะกรรมการหลักประกันสุขภาพแห่งชาติและคณะกรรมการควบคุมคุณภาพ และมาตรฐานบริการสาธารณสุขกำหนด ได้แก่ ประกาศคณะกรรมการหลักประกันสุขภาพแห่งชาติ และคณะกรรมการควบคุมคุณภาพและมาตรฐานบริการสาธารณสุข เรื่อง หลักเกณฑ์การให้บริการสาธารณสุข แก่ผู้รับบริการและการจัดทำระบบข้อมูลการให้บริการสาธารณสุขของหน่วยบริการ พ.ศ. 2565 หรือประกาศ ของ สปสช. เช่น ประกาศสำนักงานหลักประกันสุขภาพแห่งชาติ เรื่อง การจัดทำระบบข้อมูลการให้บริการ สาธารณสุข เพื่อขอรับค่าใช้จ่ายเพื่อบริการสาธารณสุข กรณีการจ่ายตามรายการบริการ พ.ศ. 2567 ประกาศสำนักงานหลักประกันสุขภาพแห่งชาติ เรื่อง โครงสร้างชุดข้อมูลเพื่อการเรียกเก็บค่าใช้จ่ายเพื่อบริการ สาธารณสุข (e-Claim) พ.ศ. 2564 หรือประกาศสำนักงานหลักประกันสุขภาพแห่งชาติ เรื่อง โครงสร้างชุดข้อมูล การขอบริการยืนยันและพิสูจน์ตัวตน พ.ศ. 2564 ข้อมูลที่หน่วยบริการส่งมาให้ สปสช. เพื่อใช้ในการเบิกจ่าย ค่าใช้จ่ายเพื่อบริการสาธารณสุขเป็นการจัดส่งข้อมูลตามพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 จึงเป็นข้อมูลที่อยู่ในความควบคุมของ สปสช. ซึ่งสำนักงานปลัดกระทรวงสาธารณสุขมีความเห็นว่า ข้อมูลการให้บริการสาธารณสุขเป็นข้อมูลที่อยู่ในความควบคุมของสำนักงานปลัดกระทรวงสาธารณสุข สำนักงานปลัดกระทรวงสาธารณสุขจึงอยู่ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” ตามมาตรา 6 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กรณีดังกล่าวจึงมีปัญหาข้อกฎหมายเกี่ยวกับผู้ที่มีหน้าที่ในการควบคุม ข้อมูลและมีประเด็นปัญหาเกี่ยวกับการจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Personal Data Sharing Agreement) ระหว่างสำนักงานปลัดกระทรวงสาธารณสุขกับ สปสช.

ดังนั้น เพื่อให้การเก็บ รวบรวม วิเคราะห์ข้อมูลเกี่ยวกับการดำเนินงานการบริการสาธารณสุข การจ่ายค่าใช้จ่ายเพื่อบริการสาธารณสุขให้แก่หน่วยบริการและเครือข่ายหน่วยบริการ และการตรวจสอบ เอกสารหลักฐานการเรียกเก็บค่าใช้จ่ายเพื่อบริการสาธารณสุขของหน่วยบริการ ตามอำนาจหน้าที่ของ สปสช. ที่กำหนดในพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 เป็นไปอย่างมีประสิทธิภาพ บรรลุวัตถุประสงค์ของกฎหมาย และสอดคล้องกับหลักเกณฑ์ กลไก หรือมาตรการกำกับดูแลเกี่ยวกับการให้ ความคุ้มครองข้อมูลส่วนบุคคลที่กำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 สปสช. จึงขอหารือในประเด็น ดังต่อไปนี้

  1. สปสช. จำเป็นที่จะต้องลงนามในข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Personal Data Sharing Agreement) ตามที่สำนักงานปลัดกระทรวงสาธารณสุขเสนอมาหรือไม่ อย่างไร
  2. หาก สปสช. พิจารณาแล้วเห็นว่า การลงนามในข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Personal Data Sharing Agreement) กับสำนักงานปลัดกระทรวงสาธารณสุขจะมีผลทำให้การบังคับใช้ พระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 เสื่อมประสิทธิภาพ หรือไม่อาจสำเร็จตาม วัตถุประสงค์ได้ ในกรณีนี้ จะมีมาตรการดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือไม่ อย่างไร

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้พิจารณาข้อหารือดังกล่าวแล้ว มีความเห็นว่า สำนักงานหลักประกันสุขภาพแห่งชาติ (สปสช.) เป็นหน่วยงานของรัฐมีฐานะเป็นนิติบุคคลตามมาตรา 24 วรรคหนึ่ง แห่งพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 ซึ่งเป็นกฎหมายที่บัญญัติขึ้นเพื่อจัดระบบการให้บริการ สาธารณสุขที่จำเป็นต่อสุขภาพและการดำรงชีวิตให้มีการรักษาพยาบาลที่มีมาตรฐาน โดยมีองค์กรกำกับดูแล ซึ่งจะดำเนินการโดยการมีส่วนร่วมกันระหว่างภาครัฐและภาคประชาชนเพื่อจัดการให้มีระบบการรักษาพยาบาล ที่มีประสิทธิภาพทั้งประเทศ และให้ประชาชนชาวไทยมีสิทธิได้รับการบริการสาธารณสุขที่มีมาตรฐานด้วยกันทุกคน อันเป็นไปตามบทบัญญัติแห่งรัฐธรรมนูญที่บัญญัติให้ชนชาวไทยย่อมมีสิทธิเสมอกันในการรับบริการสาธารณสุข ที่ได้มาตรฐาน และผู้ยากไร้มีสิทธิได้รับการรักษาพยาบาลจากสถานบริการสาธารณสุขของรัฐโดยไม่เสียค่าใช้จ่าย ตามที่กฎหมายบัญญัติ และการให้บริการสาธารณสุขของรัฐต้องเป็นไปอย่างทั่วถึงและมีประสิทธิภาพ โดยจะต้อง ส่งเสริมให้องค์กรปกครองส่วนท้องถิ่นและเอกชนมีส่วนร่วมเท่าที่จะกระทำได้ และรัฐต้องจัดและส่งเสริม การสาธารณสุขให้ประชาชนได้รับบริการที่ได้มาตรฐานและมีประสิทธิภาพอย่างทั่วถึง สปสช. จึงมีอำนาจหน้าที่ ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการดำเนินงานตามอำนาจหน้าที่

ดังนั้น สปสช. จึงถือเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในขณะที่สำนักงานปลัดกระทรวง กระทรวงสาธารณสุข (สป.สธ.) เป็นส่วนราชการที่สังกัด กระทรวงสาธารณสุขตามมาตรา 43 (2) แห่งพระราชบัญญัติปรับปรุงกระทรวง ทบวง กรม พ.ศ. 2545 มีฐานะ เป็นกรมตามมาตรา 18 วรรคสอง แห่งพระราชบัญญัติระเบียบบริหารราชการแผ่นดิน พ.ศ. 2534 และมีฐานะ เป็นนิติบุคคลตามมาตรา 7 วรรคสาม แห่งพระราชบัญญัติเดียวกัน สถานบริการสาธารณสุขของรัฐที่สังกัด สป.สธ. ซึ่งเป็นหน่วยบริการตามพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 มีหน้าที่ตามมาตรา 45 แห่งพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 ในการให้บริการสาธารณสุข รวมทั้งการใช้วัคซีน ยา เวชภัณฑ์ อุปกรณ์ในการรักษาที่ได้มาตรฐานและมีคุณภาพ ให้ข้อมูลการบริการสาธารณสุขของผู้รับบริการ ตามที่ผู้รับบริการร้องขอและตามประกาศที่มีการกำหนดเกี่ยวกับสิทธิของผู้ป่วยและผู้รับบริการ เพื่อให้ผู้รับบริการ ตัดสินใจในการเลือกรับบริการหรือถูกส่งต่อ รักษาความลับของผู้รับบริการจากการปฏิบัติหน้าที่ และจัดทำระบบ ข้อมูลการให้บริการสาธารณสุข เพื่อสะดวกต่อการตรวจสอบคุณภาพและบริการ รวมทั้งการขอรับค่าใช้จ่ายเพื่อบริการ สาธารณสุข เป็นต้น โดยในการให้บริการสาธารณสุขแก่ผู้รับบริการและการจัดทำระบบข้อมูลการให้บริการสาธารณสุข ให้หน่วยบริการปฏิบัติตามหลักเกณฑ์ที่คณะกรรมการหลักประกันสุขภาพแห่งชาติและคณะกรรมการควบคุมคุณภาพ และมาตรฐานบริการสาธารณสุขกำหนด และหน่วยบริการดังกล่าวมีสิทธิได้รับค่าใช้จ่ายเพื่อบริการสาธารณสุข จากกองทุนหลักประกันสุขภาพแห่งชาติตามหลักเกณฑ์ วิธีการ และเงื่อนไขที่คณะกรรมการหลักประกันสุขภาพ แห่งชาติกำหนด ตามมาตรา 46 วรรคหนึ่ง แห่งพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 ซึ่งในการดำเนินงานของหน่วยบริการที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หน่วยบริการ ดังกล่าว (และ/หรือหน่วยงานต้นสังกัดที่เป็นนิติบุคคล) ย่อมมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามหน้าที่และอำนาจที่กฎหมายกำหนด รวมถึงการดำเนินการตามภารกิจ ที่เกี่ยวข้อง

ดังนั้น ในการดำเนินงานของหน่วยบริการที่สังกัด สป.สธ. ดังกล่าว ที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล สป.สธ. ในฐานะส่วนราชการต้นสังกัดที่มีฐานะเป็นนิติบุคคลของหน่วยบริการดังกล่าว จะอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วยเหตุนี้ การที่หน่วยบริการที่สังกัด สป.สธ. ส่งข้อมูลส่วนบุคคลของผู้ป่วยหรือผู้รับบริการ ให้แก่ สปสช. เพื่อขอรับค่าใช้จ่ายเพื่อบริการสาธารณสุข ตามมาตรา 45 และมาตรา 46 แห่งพระราชบัญญัติ หลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 จึงถือเป็นการเปิดเผยข้อมูลส่วนบุคคลที่เป็นการปฏิบัติตามกฎหมาย ของผู้ควบคุมข้อมูลส่วนบุคคล ตามนัยมาตรา 24 (6) ประกอบมาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือในกรณีที่เป็นข้อมูลส่วนบุคคลตามมาตรา 26 ก็ถือเป็นการเปิดเผย ข้อมูลส่วนบุคคลที่เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับหลักประกันสุขภาพ แห่งชาติ ตามมาตรา 26 (5) (ค) ประกอบมาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติดังกล่าว ซึ่งได้รับยกเว้น ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

คณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตว่า การที่ สปสช. เก็บรวบรวมข้อมูลส่วนบุคคล ดังกล่าว เพื่อใช้ในการดำเนินงานตามอำนาจหน้าที่ตามมาตรา 26 แห่งพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. 2545 ซึ่งรวมถึงอำนาจหน้าที่ในการเก็บ รวบรวม วิเคราะห์ข้อมูลเกี่ยวกับการดำเนินงานการบริการ สาธารณสุข การจัดให้มีทะเบียนผู้รับบริการ หน่วยบริการ และเครือข่ายหน่วยบริการ การบริหารกองทุน หลักประกันสุขภาพแห่งชาติ การจ่ายค่าใช้จ่ายเพื่อบริการสาธารณสุขให้แก่หน่วยบริการและเครือข่าย หน่วยบริการ การตรวจสอบเอกสารหลักฐานการเรียกเก็บค่าใช้จ่ายเพื่อบริการสาธารณสุขของหน่วยบริการ การดำเนินการเพื่อให้ประชาชนมีหน่วยบริการประจำ และการขอเปลี่ยนหน่วยบริการประจำ รวมทั้ง ประชาสัมพันธ์เพื่อให้ประชาชนทราบข้อมูลของหน่วยบริการ การกำกับดูแลหน่วยบริการและเครือข่าย หน่วยบริการในการให้บริการสาธารณสุขให้เป็นไปตามมาตรฐานที่คณะกรรมการหลักประกันสุขภาพแห่งชาติ กำหนด และอำนวยความสะดวกในการเสนอเรื่องร้องเรียน ตลอดจนการปฏิบัติหน้าที่อื่น ๆ ของ สปสช. ยังถือเป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล ตามมาตรา 24 (6) หรือเป็นการจำเป็นเพื่อ การปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล ตามมาตรา 24 (4) แห่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 และในกรณีที่เป็นข้อมูลส่วนบุคคลตามมาตรา 26 ก็ถือเป็นการจำเป็นในการปฏิบัติตาม กฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับหลักประกันสุขภาพแห่งชาติ ตามมาตรา 26 (5) (ค) แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่ง สปสช. สามารถทำการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวจาก แหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรงได้ตามมาตรา 25 วรรคหนึ่ง (2) และไม่ต้องแจ้งรายละเอียด ในการเก็บรวบรวมข้อมูลส่วนบุคคลตามมาตรา 23 เนื่องจากไม่ใช่กรณีที่ทำการเก็บรวบรวมข้อมูลส่วนบุคคล จากแหล่งอื่นที่ต้องได้รับความยินยอมตามมาตรา 25 วรรคหนึ่ง (1)

ทั้งนี้ ตามนัยมาตรา 25 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

อย่างไรก็ตาม หน่วยบริการที่ให้บริการสาธารณสุข แก่ผู้ป่วยหรือผู้รับบริการ และจะต้องเปิดเผยข้อมูลส่วนบุคคลของผู้นั้นให้แก่ สปสช. ควรระบุประเภทของบุคคล หรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย ซึ่งเป็นส่วนหนึ่งของรายละเอียดใน การเก็บรวบรวมข้อมูลส่วนบุคคลที่หน่วยบริการต้องแจ้งให้ผู้ป่วยหรือผู้รับบริการในฐานะเจ้าของข้อมูลส่วนบุคคลทราบ (privacy notice) ตามมาตรา 23 (4) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้ครอบคลุม การเปิดเผยข้อมูลส่วนบุคคลให้แก่ สปสช. และ/หรือกองทุนประกันสุขภาพต่าง ๆ ด้วย เนื่องจากกระทรวงสาธารณสุข โดย สป.สธ. ได้พัฒนาระบบศูนย์กลางข้อมูลด้านการเงิน (Financial Data Hub) ซึ่งมีการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับการให้บริการสาธารณสุขแก่ผู้ป่วยของ หน่วยบริการในสังกัดกระทรวงสาธารณสุข เพื่อประโยชน์ในการขอรับค่าใช้จ่ายเพื่อบริการสาธารณสุข รวมทั้ง เพื่อการวิเคราะห์ วางแผน กำกับดูแล ติดตาม ประเมินผล และบริหารจัดการในภารกิจตามหน้าที่และอำนาจ ของตน

ดังนั้น หาก สปสช. หรือหน่วยงานที่เกี่ยวข้อง ประสงค์จะใช้ข้อมูลส่วนบุคคลในรูปแบบข้อมูลดิจิทัล จากระบบดังกล่าวที่กระทรวงสาธารณสุข โดย สป.สธ. ได้มาหรือมีอยู่ในความครอบครอง เพื่อประโยชน์ ในการบริหารราชการแผ่นดินและการให้บริการประชาชน กระทรวงสาธารณสุข โดย สป.สธ. ก็สามารถจัดให้มี การเชื่อมโยงและแลกเปลี่ยนข้อมูลดิจิทัลที่มีการจัดทำและครอบครองตามที่หน่วยงานของรัฐแห่งอื่นร้องขอ ที่จะเกิดการบูรณาการร่วมกันได้ ตามมาตรา 13 แห่งพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐ ผ่านระบบดิจิทัล พ.ศ. 2562 โดยจะต้องปฏิบัติให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ด้วย ตามนัยมาตรา 16 แห่งพระราชบัญญัติดังกล่าว

ทั้งนี้ สปสช. ในฐานะหน่วยงานของรัฐผู้รับข้อมูลดิจิทัล ดังกล่าวต้องใช้ข้อมูลตามวัตถุประสงค์ในหน้าที่และอำนาจของตนเท่านั้น และต้องดูแลรักษาข้อมูลให้มี ความมั่นคงปลอดภัย ไม่มีการเปิดเผยหรือโอนข้อมูลไปยังบุคคลที่ไม่มีสิทธิเข้าถึงข้อมูล ตามมาตรา 14 แห่งพระราชบัญญัติเดียวกัน

ประเด็นข้อหารือที่ 1 เห็นว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มิได้กำหนดหน้าที่เกี่ยวกับการจัดให้มีข้อตกลงการแบ่งปันข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูลส่วนบุคคล กับผู้ควบคุมข้อมูลส่วนบุคคลไว้อย่างชัดเจน แต่ผู้ควบคุมข้อมูลส่วนบุคคลที่จะเปิดเผยข้อมูลส่วนบุคคลระหว่างกัน มีหน้าที่ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ตามมาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งต้องเป็นไปตามมาตรฐานขั้นต่ำที่กำหนดไว้ ในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล ส่วนบุคคล พ.ศ. 2565 โดยข้อ 4 ของประกาศดังกล่าวกำหนดว่า มาตรการดังกล่าวจะต้องประกอบด้วย มาตรการเชิงองค์กร (organizational measures) และมาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย โดยคำนึงถึงระดับ ความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาส เกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล ซึ่งการจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (data sharing agreement: DSA) ถือเป็นมาตรการเชิงองค์กรอย่างหนึ่งเพื่อกำหนดวัตถุประสงค์ วิธีการ เงื่อนไข และหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลแต่ละฝ่ายในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ไม่ว่าจะส่งและรับข้อมูลที่เป็นเอกสารหรือโดยวิธีการทางอิเล็กทรอนิกส์ก็ตาม อันจะเป็น การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่จะเปิดเผยให้แก่กัน และควบคุมดูแลให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลระหว่างกันสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งยังเป็นมาตรการเพื่อป้องกันมิให้หน่วยงานที่ได้รับข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูล ส่วนบุคคลนั้น ตามมาตรา 27 วรรคสอง หรือเพื่อป้องกันมิให้หน่วยงานดังกล่าวใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยปราศจากอำนาจหรือโดยมิชอบ ตามมาตรา 37 (2) อีกด้วย

นอกจากนี้ ในการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลของ สปสช. ที่เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ หลักประกันสุขภาพแห่งชาติ ตามมาตรา 26 (5) (ค) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นั้น สปสช. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บรวบรวมข้อมูลส่วนบุคคล และ สป.สธ. (รวมถึงหน่วยบริการ ในสังกัด) ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่เปิดเผยข้อมูลส่วนบุคคลให้ สปสช. มีหน้าที่ต้องจัดให้มีมาตรการ ที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล ตามความในมาตรา 26 (5) (ค) อีกด้วย

ดังนั้น สปสช. และ สป.สธ. อาจพิจารณาหารือร่วมกันตามอำนาจหน้าที่ที่เกี่ยวข้องเพื่อให้ ได้ข้อสรุปเกี่ยวกับมาตรการเชิงองค์กรและมาตรการเชิงเทคนิคที่เหมาะสมกับระดับความเสี่ยงตามลักษณะ และวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบ จากเหตุการละเมิดข้อมูลส่วนบุคคลที่อาจเกิดขึ้นจากการเปิดเผยและเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวได้ ซึ่งหาก สปสช. และ สป.สธ. เห็นสมควร ก็ย่อมสามารถหารือและตกลงร่วมกันเพื่อจัดทำข้อตกลงการแบ่งปัน ข้อมูลส่วนบุคคลระหว่างกันได้

ทั้งนี้ ไม่ว่าจะมีการจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคลระหว่างกัน หรือไม่ก็ตาม สปสช. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวย่อมมีหน้าที่ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งรวมถึงการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล ส่วนบุคคลเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายตามมาตรา 22 การจัดให้มีมาตรการรักษา ความมั่นคงปลอดภัยที่เหมาะสมตามมาตรา 37 (1) การจัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือ ทำลายข้อมูลส่วนบุคคลตามเงื่อนไขในมาตรา 37 (3) และการดำเนินการที่เหมาะสมในกรณีที่เจ้าของข้อมูล ส่วนบุคคลขอใช้สิทธิตามหมวด 3 แห่งพระราชบัญญัตินี้ ตลอดจนมีความรับผิดตามกฎหมายที่เกี่ยวข้องอยู่แล้ว การที่ สปสช. จะพิจารณาว่าควรลงนามในข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล ของ สป.สธ. หรือไม่นั้น จึงเป็นกรณีที่ สปสช. สามารถพิจารณาดำเนินการได้ตามที่เห็นสมควร โดยควรคำนึงถึงความจำเป็นในการปฏิบัติหน้าที่ ตามกฎหมายอื่นที่เกี่ยวข้องประกอบด้วย

อนึ่ง มาตรา 27 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บัญญัติว่า บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยของผู้ควบคุมข้อมูลส่วนบุคคลอื่น จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับ ผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น ซึ่ง สปสช. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล ที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผยของ สป.สธ. จะต้องดำเนินการให้เป็นไปตามบทบัญญัติดังกล่าวด้วย

ดังนั้น หาก สปสช. มีความจำเป็นต้องใช้ข้อมูลส่วนบุคคลที่ได้รับจาก สป.สธ. เพื่อวัตถุประสงค์อื่นใดนอกเหนือจาก เพื่อการจ่ายค่าใช้จ่ายเพื่อบริการสาธารณสุขให้แก่หน่วยบริการและเครือข่ายหน่วยบริการ สปสช. ก็ควรแจ้ง วัตถุประสงค์เหล่านั้นให้ สป.สธ. หรือหน่วยบริการในสังกัดทราบในการขอรับข้อมูลส่วนบุคคลดังกล่าวไว้ด้วย

ประเด็นข้อหารือที่ 2 เห็นว่า ดังที่ได้กล่าวข้างต้นแล้วว่า การจัดทำข้อตกลงการแบ่งปันข้อมูล ส่วนบุคคล (data sharing agreement: DSA) นั้น ถือเป็นมาตรการเชิงองค์กร (organizational measure) อย่างหนึ่งเพื่อกำหนดวัตถุประสงค์ วิธีการ เงื่อนไข และหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล แต่ละฝ่ายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล อันจะเป็นการรักษาความมั่นคงปลอดภัยของ ข้อมูลส่วนบุคคลที่จะเปิดเผยให้แก่กัน และควบคุมดูแลให้การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ระหว่างกันสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งหาก สปสช. และ สป.สธ. เห็นสมควร ก็ย่อมสามารถหารือและตกลงร่วมกันเพื่อจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคลระหว่างกันได้ โดยเพื่อให้เป็นไปตามเจตนารมณ์ของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล รายละเอียดของข้อตกลง ดังกล่าว ควรมีเนื้อหาที่ครอบคลุมวัตถุประสงค์ วิธีการ เงื่อนไข และหน้าที่ความรับผิดชอบในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของแต่ละฝ่าย (รวมทั้งอาจมีข้อกำหนดเกี่ยวกับระยะเวลาการเก็บรักษา หรือเงื่อนไขในการลบหรือทำลายข้อมูลส่วนบุคคล) ที่ทำให้แต่ละฝ่ายสามารถดำเนินงานของตนในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคลที่มีอำนาจหน้าที่ตัดสินใจในการกำหนดวัตถุประสงค์ (purposes) และวิธีการ (means) ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแยกจากกันได้ โดยไม่เป็นอุปสรรคต่อ การดำเนินงานของกันและกัน โดยเฉพาะในกรณีที่เป็นการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์ สาธารณะหรือเป็นการปฏิบัติตามกฎหมาย และไม่ขัดหรือแย้งกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

อย่างไรก็ดี เนื่องจากพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ได้บัญญัติ ให้ต้องมีการจัดให้มีข้อตกลงการแบ่งปันข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูลส่วนบุคคลด้วยกันตั้งแต่ต้น

ดังนั้น หาก สปสช. เห็นว่า การจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคลจะทำให้การดำเนินการตามอำนาจ หน้าที่ของ สปสช. ตามกฎหมายว่าด้วยหลักประกันสุขภาพแห่งชาติหรือกฎหมายอื่นขาดประสิทธิภาพ หรือไม่อาจสำเร็จตามวัตถุประสงค์ได้ หรือมีปัญหาอุปสรรคที่ทำให้ไม่สามารถหาข้อสรุปที่เป็นประโยชน์กับ ทั้งสองฝ่ายและเป็นที่ยอมรับร่วมกันได้ ก็อาจพิจารณาไม่จัดทำข้อตกลงดังกล่าวได้ แต่ในกรณีเช่นนี้ แต่ละฝ่ายจะต้องจัดให้มีมาตรการอื่นใดที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของ เจ้าของข้อมูลส่วนบุคคลได้ในทำนองเดียวกัน ตามความในมาตรา 26 (5) (ค) แห่งพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย เช่น ผู้ควบคุมข้อมูลส่วนบุคคลที่เปิดเผยข้อมูลส่วนบุคคลให้แก่อีกฝ่ายหนึ่ง อาจแจ้งวัตถุประสงค์ในการใช้หรือเปิดเผยข้อมูลส่วนบุคคลของฝ่ายที่รับข้อมูลส่วนบุคคลให้ฝ่ายนั้นทราบฝ่ายเดียว แทนการจัดให้มีข้อตกลงระหว่างกัน ส่วนผู้ควบคุมข้อมูลส่วนบุคคลที่ได้รับข้อมูลส่วนบุคคลมาจากการเปิดเผย ดังกล่าวก็อาจดำเนินการฝ่ายเดียวในการกำหนดมาตรการเชิงองค์กร (organizational measures) และ มาตรการเชิงเทคนิค (technical measures) ที่เหมาะสม ซึ่งอาจรวมถึงมาตรการทางกายภาพ (physical measures) ที่จำเป็นด้วย เพื่อจำกัดหรือควบคุมการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับมาดังกล่าวให้ เป็นไปเท่าที่จำเป็นภายใต้วัตถุประสงค์ที่ฝ่ายที่เปิดเผยข้อมูลส่วนบุคคลได้แจ้งไว้ หรือวัตถุประสงค์อื่นใดอันชอบ ด้วยกฎหมายของตน รวมทั้งอาจกำหนดมาตรการอื่นใดเพิ่มเติมเพื่อให้มีการคุ้มครองข้อมูลส่วนบุคคล ที่เหมาะสมและสอดคล้องกับพระราชบัญญัตินี้

คณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตเพิ่มเติมว่า กรณีการเปิดเผยข้อมูลส่วนบุคคล ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ควบคุมข้อมูลส่วนบุคคลดังกล่าว ซึ่งพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 ไม่ได้บัญญัติให้ต้องมีการจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (data sharing agreement: DSA) ระหว่างกันนั้น มีความแตกต่างจากการเปิดเผยข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูล ส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคลนั้น ซึ่งผู้ควบคุมข้อมูลส่วนบุคคลจะต้องจัดให้มี ข้อตกลงระหว่างกัน กล่าวคือ ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (data processing agreement: DPA) เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 ตามมาตรา 40 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมาย หรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้ ตามมาตรา 40 วรรคหนึ่ง (1)

เอกสารต้นฉบับ