หน้าหลัก

ข้อหารือที่ 6/2568 — สดช. + สป.สธ. (ข้อตกลงประมวลผลข้อมูล โครงการคลาวด์กลางสาธารณสุข)

4 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

(ไม่ปรากฏหัวข้อข้อกฎหมายในเอกสารต้นฉบับ — ฐานทางกฎหมายที่อ้างถึงใน "ความเห็น" ประกอบด้วย มาตรา 5 วรรคหนึ่ง, มาตรา 6, มาตรา 37 (1) และ (4) และ มาตรา 40 วรรคสอง/วรรคสาม/(1)/(2)/(3) แห่ง PDPA + ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยฯ พ.ศ. 2565 + ประกาศ เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดฯ พ.ศ. 2565)

ข้อหารือ

(ไม่ปรากฏหัวข้อข้อหารือในเอกสารต้นฉบับ — ประเด็นที่หารือมี 3 ประเด็นของทั้ง สดช. และ สป.สธ.: (1) การพิจารณาฐานะผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูลในโครงการคลาวด์กลางสาธารณสุข; (2) หน้าที่จัดทำข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement) และผู้ลงนาม; (3) นิติสัมพันธ์ของกิจการค้าร่วม A ในฐานะคู่สัญญาของ สดช. กับหน้าที่ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล)

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล พิจารณาเรื่องหารือดังกล่าวประกอบคำชี้แจงจากผู้แทน สดช. และผู้แทน สป.สธ. แล้ว มีความเห็นดังนี้

ประเด็นข้อหารือที่ 1 (ฐานะผู้ควบคุมข้อมูล/ผู้ประมวลผลข้อมูล)

ประเด็นข้อหารือที่ 1 ของ สดช. และประเด็นข้อหารือที่ 1 ของ สป.สธ. เห็นว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับแก่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ในราชอาณาจักร ไม่ว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ได้กระทำในหรือนอกราชอาณาจักรก็ตาม ตาม มาตรา 5 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยการจะพิจารณาว่าบุคคลหรือนิติบุคคลใดมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล หรือมีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลนั้น จะต้องพิจารณาจากอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามบทนิยามใน มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ไม่ว่าจะเป็นกรณีที่เป็นบุคคลธรรมดาหรือนิติบุคคลก็ตาม ทั้งนี้ สำหรับกรณีของนิติบุคคล บทนิยามดังกล่าวมิได้แบ่งแยกระหว่างนิติบุคคลที่เป็นเอกชนกับหน่วยงานของรัฐ ดังนั้น หน่วยงานของรัฐจึงอาจทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล หรือทำหน้าที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคลให้แก่บุคคลหรือนิติบุคคลอื่น (ไม่ว่าจะเป็นหน่วยงานของรัฐหน่วยงานอื่นหรือเอกชน) ก็ได้ ตราบเท่าที่ความสัมพันธ์ดังกล่าวเป็นไปตามหลักการของความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคล โดยจะต้องพิจารณาวัตถุประสงค์และการดำเนินงานที่เกิดขึ้นจริงเป็นสำคัญ ซึ่งสำหรับเรื่องที่หารือนั้น บันทึกข้อตกลงความร่วมมือ เรื่อง การพัฒนาคลาวด์ข้อมูลสุขภาพ กระทรวงสาธารณสุข ระหว่างกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และกระทรวงสาธารณสุข กำหนดไว้ว่า กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมยินดีที่จะพัฒนาและให้บริการระบบคลาวด์ข้อมูลสุขภาพแก่กระทรวงสาธารณสุข โดยจัดให้มีการเข้าถึงข้อมูลสุขภาพ ดูแลระบบรักษาความปลอดภัย และความพร้อมใช้งาน ตามแนวทางที่กระทรวงสาธารณสุขกำหนด ประกอบกับคณะรัฐมนตรีได้มีมติเมื่อวันที่ 24 มกราคม 2566 เห็นชอบและอนุมัติให้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม โดย สดช. ดำเนินโครงการดังกล่าว ซึ่ง สดช. ได้ทำหน้าที่เป็นผู้ว่าจ้างและบริหารสัญญาในการพัฒนาระบบคลาวด์กลางด้านสาธารณสุขของประเทศไทย การจะพิจารณาว่า สดช. มีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (data controller) หรือผู้ประมวลผลข้อมูลส่วนบุคคล (data processor) นั้น จึงต้องพิจารณาจากวัตถุประสงค์และการดำเนินงานที่เกิดขึ้นจริง กล่าวคือ สดช. มีบทบาทร่วมกับ สป.สธ. ในการกำหนดวัตถุประสงค์และร่วมพิจารณาในขั้นตอนสำคัญของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในระบบคลาวด์ข้อมูลสุขภาพหรือไม่ เพียงใด ประกอบด้วย

เมื่อพิจารณาข้อเท็จจริงของเรื่องที่หารือและข้อกฎหมายที่เกี่ยวข้องประกอบกันแล้ว คณะอนุกรรมการตอบข้อหารือฯ มีความเห็นว่า หลักการที่สำคัญในการพิจารณาฐานะความเป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลของบุคคลหรือนิติบุคคลหนึ่ง ๆ คือ การมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยการพิจารณาว่าบุคคลหรือนิติบุคคลใดมี “อำนาจหน้าที่ตัดสินใจ” จะต้องนำข้อเท็จจริงทั้งหมดที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มาพิจารณาร่วมกันว่า บุคคลหรือนิติบุคคลนั้นมีอำนาจหน้าที่ในการกำหนดวัตถุประสงค์ (purposes) และวิธีการ (means) ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีดังกล่าวหรือไม่ เพียงใด หากในความเป็นจริงนิติบุคคลหนึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล นิติบุคคลนั้นย่อมถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล แม้สัญญาจะระบุไว้เป็นอย่างอื่น เช่น ระบุว่านิติบุคคลดังกล่าวเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ก็ตาม ดังนั้น ในบางกรณี เนื้อหาของสัญญาหรือข้อตกลงต่าง ๆ จึงไม่ถือเป็นข้อชี้ขาดเสมอไป และผู้เกี่ยวข้องไม่สามารถกำหนดหรือหลีกเลี่ยงหน้าที่และความรับผิดในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้โดยอาศัยเพียงการกำหนดเงื่อนไขไว้ในสัญญาหรือข้อตกลง หากไม่สอดคล้องกับข้อเท็จจริงตามบทนิยามในกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

ในการดำเนินโครงการพัฒนาระบบคลาวด์กลางด้านสาธารณสุขของประเทศไทยของ สดช. ดังกล่าว บันทึกข้อตกลงความร่วมมือ เรื่อง การพัฒนาคลาวด์ข้อมูลสุขภาพ กระทรวงสาธารณสุข ระหว่างกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมและกระทรวงสาธารณสุข ลงวันที่ 27 มิถุนายน 2565 ได้กำหนดขอบเขตของความร่วมมือและหน้าที่ความรับผิดชอบไว้ ดังนี้ (1) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมดำเนินการจัดหา และพัฒนาระบบคลาวด์สำหรับข้อมูลสุขภาพ เพื่อให้บริการระบบคลาวด์ข้อมูลสุขภาพ กระทรวงสาธารณสุข (2) กระทรวงสาธารณสุข ดำเนินการระบุชุดข้อมูลและมาตรฐานข้อมูลที่จะจัดเก็บ/แลกเปลี่ยน รวมทั้งควบคุมกำกับการเข้าใช้งานระบบร่วมกับนิติบุคคลต่าง ๆ ที่เกี่ยวข้อง นอกจากนี้ บันทึกข้อตกลงความร่วมมือดังกล่าวกำหนดแนวทางการดำเนินงานและกิจกรรมความร่วมมือไว้ ดังนี้ (1) กระทรวงสาธารณสุข ยินดีที่จะให้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมดำเนินการจัดหา พัฒนา และให้บริการระบบคลาวด์ข้อมูลสุขภาพ กระทรวงสาธารณสุข (2) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ยินดีที่จะพัฒนาและให้บริการระบบคลาวด์ข้อมูลสุขภาพแก่กระทรวงสาธารณสุข โดยจัดให้มีการเข้าถึงข้อมูลสุขภาพ ดูแลระบบรักษาความปลอดภัย และความพร้อมใช้งาน ตามแนวทางที่กระทรวงสาธารณสุขกำหนด (3) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมและกระทรวงสาธารณสุข ยินดีที่จะสนับสนุนการดำเนินการเพื่อศึกษา วิเคราะห์ และประเมินความต้องการเพื่อระบุปริมาณระบบคลาวด์ที่แม่นยำ และร่วมออกแบบ ระบบเชื่อมโยงข้อมูลที่เหมาะสม คุ้มค่า (4) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมและกระทรวงสาธารณสุข ยินดีที่จะสนับสนุนการดำเนินการเพื่อโอนย้ายข้อมูลและระบบซอฟต์แวร์ที่จำเป็นเข้าสู่ระบบคลาวด์ข้อมูลสุขภาพ กระทรวงสาธารณสุข ฯลฯ

ดังนั้น เมื่อพิจารณาจากขอบเขตของความร่วมมือ หน้าที่ความรับผิดชอบ และแนวทางการดำเนินงานและกิจกรรมความร่วมมือ ตามบันทึกข้อตกลงความร่วมมือดังกล่าว กระทรวงสาธารณสุข โดย สป.สธ. จึงมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่จะเกิดขึ้นบนระบบคลาวด์ข้อมูลสุขภาพดังกล่าว เนื่องจากมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับวัตถุประสงค์ (purposes) และวิธีการ (means) ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ดังนี้ (1) ระบุชุดข้อมูลและมาตรฐานข้อมูลที่จะจัดเก็บหรือแลกเปลี่ยน รวมทั้งมีอำนาจควบคุมกำกับการเข้าถึงข้อมูลและการเข้าใช้งานระบบร่วมกับนิติบุคคลต่าง ๆ ที่เกี่ยวข้อง (2) เป็นผู้กำหนดแนวทางการเข้าถึงข้อมูลสุขภาพ และการรักษาความมั่นคงปลอดภัยของระบบคลาวด์ข้อมูลสุขภาพ ซึ่งกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม โดย สดช. ต้องปฏิบัติตาม (3) มีบทบาทสำคัญในคณะกรรมการกำหนดขอบเขตของงาน และเป็นประธานกรรมการและเลขานุการในคณะกรรมการตรวจรับพัสดุ ในกระบวนการจัดซื้อจัดจ้าง

ในขณะที่ สดช. มีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล เนื่องจากต้องปฏิบัติตามคำสั่งของกระทรวงสาธารณสุข โดย สป.สธ. ในส่วนที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับระบบคลาวด์ข้อมูลสุขภาพ ด้วยเหตุผลดังนี้ (1) สดช. จัดหา พัฒนา และให้บริการระบบโครงสร้างพื้นฐานสำหรับระบบคลาวด์ข้อมูลสุขภาพดังกล่าว ตามคำสั่งของกระทรวงสาธารณสุข (2) สดช. ไม่มีสิทธิเข้าถึงข้อมูลส่วนบุคคลโดยอิสระ และไม่สามารถกำหนดวัตถุประสงค์ (purposes) และวิธีการ (means) ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเองได้ (3) สดช. ต้องปฏิบัติตามข้อกำหนดเกี่ยวกับการเข้าถึงข้อมูลสุขภาพ และการรักษาความมั่นคงปลอดภัยของระบบคลาวด์ข้อมูลสุขภาพ ตามที่กระทรวงสาธารณสุขเป็นผู้กำหนด

โดยหาก สดช. ได้จัดหาหรือว่าจ้างบุคคลหรือนิติบุคคลอื่นเป็นผู้พัฒนาและ/หรือให้บริการระบบโครงสร้างพื้นฐานสำหรับระบบคลาวด์ข้อมูลสุขภาพดังกล่าว ตามคำสั่งหรือในนามของ สดช. ซึ่งเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของ สป.สธ. ไม่ว่าจะเป็นการกระทำแทน สดช. หรือร่วมกับ สดช. ก็ตาม บุคคลหรือนิติบุคคลอื่นดังกล่าวจะมีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลช่วง (sub-processor) ของ สดช. โดย สดช. มีหน้าที่รับผิดชอบต่อ สป.สธ. ซึ่งเป็นผู้ควบคุมข้อมูลส่วนบุคคล ในการกระทำของผู้ประมวลผลข้อมูลส่วนบุคคลช่วงดังกล่าวด้วย

ทั้งนี้ ในการพิจารณาจากข้อเท็จจริง นิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ควรหมายความถึงหน่วยงานที่มีอิทธิพลอย่างเด็ดขาด (decisive influence) ต่อวัตถุประสงค์และวิธีการในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น ซึ่งแม้ว่าผู้ประมวลผลข้อมูลส่วนบุคคลอาจเป็นผู้นำเสนอบริการที่ได้มีการกำหนดรายละเอียดเบื้องต้นไว้แล้วก็ตาม แต่ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องได้รับทราบรายละเอียดเกี่ยวกับบริการนั้น และเป็นผู้ตัดสินใจขั้นสุดท้ายในการอนุมัติวิธีการในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว และสามารถร้องขอหรือเจรจาให้มีการเปลี่ยนแปลงวิธีการดังกล่าวได้หากจำเป็น นอกจากนี้ ผู้ประมวลผลข้อมูลส่วนบุคคลจะไม่สามารถเปลี่ยนแปลงองค์ประกอบที่สำคัญ (essential elements) ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวในภายหลังได้ หากไม่ได้รับความเห็นชอบจากผู้ควบคุมข้อมูลส่วนบุคคล ด้วยเหตุนี้ ผู้ให้บริการจัดเก็บข้อมูลบนคลาวด์แบบมาตรฐาน (standard cloud storage service provider) ที่ผู้ให้บริการไม่ได้เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ของตนเอง แต่จัดเก็บข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ใช้บริการเท่านั้น ย่อมถือเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ดังนั้น การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลในระบบคลาวด์ข้อมูลสุขภาพ โดยกำหนดสิทธิและวิธีการเข้าถึงข้อมูลส่วนบุคคลเพื่อป้องกันการเข้าถึงของ สดช. หรือหน่วยงานอื่น ๆ จึงไม่มีผลเป็นการเปลี่ยนแปลงฐานะของ สดช. ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ความสัมพันธ์ระหว่างกระทรวงสาธารณสุข โดย สป.สธ. และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม โดย สดช. ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในระบบคลาวด์ข้อมูลสุขภาพ จึงเป็นความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลส่วนบุคคลกับผู้ประมวลผลข้อมูลส่วนบุคคล

อย่างไรก็ตาม หากข้อเท็จจริงปรากฏว่า สดช. ไม่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามบันทึกข้อตกลงความร่วมมือดังกล่าวโดยตรงเลย แต่ได้จัดหาหรือว่าจ้างบุคคลหรือนิติบุคคลอื่นเป็นผู้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของกระทรวงสาธารณสุขเพื่อให้บรรลุข้อตกลงตามบันทึกข้อตกลงความร่วมมือดังกล่าว ในกรณีเช่นนี้ กระทรวงสาธารณสุข โดย สป.สธ. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล กับ สดช. และบุคคลหรือนิติบุคคลอื่นดังกล่าว อาจพิจารณาหารือร่วมกัน เพื่อตกลงความสัมพันธ์ให้ชัดเจนว่า บุคคลหรือนิติบุคคลอื่นนั้นมีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของกระทรวงสาธารณสุข โดย สป.สธ. โดยตรง และ สดช. ไม่มีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของกระทรวงสาธารณสุขก็ได้ โดยหากหน่วยงานที่เกี่ยวข้องมีข้อสรุปร่วมกัน และข้อสรุปดังกล่าวไม่สอดคล้องกับบันทึกข้อตกลงความร่วมมือที่จัดทำขึ้นก่อนหน้านั้น ก็อาจพิจารณาปรับปรุง แก้ไข หรือเพิ่มเติมบันทึกข้อตกลงความร่วมมือดังกล่าวให้เหมาะสมต่อไป

อนึ่ง กระทรวงสาธารณสุข โดย สป.สธ. และกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม โดย สดช. ต่างเป็นหน่วยงานของรัฐที่มีอำนาจหน้าที่ตามกฎหมายที่เกี่ยวข้อง โดยหน่วยงานของรัฐอาจมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลได้เมื่อเป็นการปฏิบัติหน้าที่ตามกฎหมาย ดังนั้น หากมีกรณีใดที่ สดช. จำเป็นต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในระบบคลาวด์ข้อมูลสุขภาพ เพื่อบรรลุหน้าที่ตามกฎหมายของตน โดยไม่ใช่การปฏิบัติตามคำสั่งหรือในนามของกระทรวงสาธารณสุข โดย สป.สธ. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล สดช. จะมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในกรณีดังกล่าว ตามนัย มาตรา 40 วรรคสอง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ประเด็นข้อหารือที่ 2 (หน้าที่จัดทำข้อตกลงการประมวลผลข้อมูล DPA + ผู้ลงนาม)

ประเด็นข้อหารือที่ 2 ของ สดช. และประเด็นข้อหารือที่ 2 ของ สป.สธ. เห็นว่า มาตรา 40 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจากผู้ควบคุมข้อมูลส่วนบุคคล ให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งข้อตกลงดังกล่าวจะเรียกว่าข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement: DPA) และผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ตาม มาตรา 40 (1) ในการดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น (เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัตินี้) นอกจากนี้ยังมีหน้าที่ตาม มาตรา 40 (2) ที่จะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น และ มาตรา 40 (3) ในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้

ดังนั้น เมื่อคณะอนุกรรมการตอบข้อหารือฯ ได้พิจารณาแล้วว่า สดช. มีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของ สป.สธ. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล สป.สธ. จึงมีหน้าที่ต้องจัดให้มีข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement) กับ สดช. และ สดช. สามารถลงนามในข้อตกลงดังกล่าวได้ แม้ว่า สดช. จะมีฐานะเป็นผู้กำกับโครงการและบริหารสัญญาก็ตาม เนื่องจากในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล สดช. มีหน้าที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เพราะ สดช. ไม่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งเป็นคนละประเด็นกันกับอำนาจหน้าที่ตัดสินใจในการกำกับโครงการและบริหารสัญญา ส่วนรายละเอียดและเงื่อนไขของข้อตกลงดังกล่าว สป.สธ. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และ สดช. ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล อาจพิจารณาหารือเพื่อให้ได้ข้อสรุปร่วมกันได้

อย่างไรก็ตาม หากข้อเท็จจริงปรากฏว่า สดช. ไม่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามบันทึกข้อตกลงความร่วมมือดังกล่าวโดยตรงเลย แต่ได้จัดหาหรือว่าจ้างบุคคลหรือนิติบุคคลอื่นเป็นผู้ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของกระทรวงสาธารณสุขเพื่อให้บรรลุข้อตกลงตามบันทึกข้อตกลงความร่วมมือดังกล่าว และได้มีข้อสรุปร่วมกันระหว่างกระทรวงสาธารณสุข โดย สป.สธ. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล กับ สดช. และบุคคลหรือนิติบุคคลอื่นดังกล่าว ที่ยอมรับร่วมกันว่า สดช. ไม่มีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของกระทรวงสาธารณสุข และบุคคลหรือนิติบุคคลอื่นนั้นมีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลของกระทรวงสาธารณสุข โดย สป.สธ. โดยตรง แล้ว สป.สธ. ย่อมสามารถจัดให้มีข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement) กับบุคคลหรือนิติบุคคลอื่นนั้นโดยตรงได้ และในกรณีดังกล่าว สป.สธ. จึงไม่มีหน้าที่ต้องจัดให้มีข้อตกลงร่วมกับ สดช. ซึ่งไม่มีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลแต่อย่างใด แต่หากเห็นสมควร สป.สธ. อาจหารือกับ สดช. และ สดช. จะพิจารณาลงนามในข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement) ดังกล่าวร่วมกับ สป.สธ. และผู้ประมวลผลข้อมูลส่วนบุคคลอื่นด้วยก็ได้ โดยคำนึงถึงประโยชน์ของแต่ละฝ่ายและประโยชน์ในการดำเนินงานร่วมกันประกอบกัน และหาก สดช. พิจารณาแล้วประสงค์จะลงนาม ก็จะต้องพิจารณาข้อกำหนดในข้อตกลงดังกล่าวว่ามีความสอดคล้องกับบทบาทหน้าที่และความรับผิดชอบของ สดช. และเป็นไปตามบันทึกข้อตกลงความร่วมมือและมติคณะรัฐมนตรีที่เกี่ยวข้องหรือไม่ เพียงใด

คณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตเพิ่มเติมว่า ในการจัดให้มีข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement) ตาม มาตรา 40 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องกำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น โดยมาตรการรักษาความมั่นคงปลอดภัยดังกล่าว จะต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนดตาม มาตรา 37 (1) โดยคำนึงถึงระดับความเสี่ยงตามลักษณะและวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ตลอดจนโอกาสเกิดและผลกระทบจากเหตุการละเมิดข้อมูลส่วนบุคคล ทั้งนี้ เพื่อให้เป็นไปตาม มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบข้อ 6 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 ด้วย นอกจากนี้ ข้อตกลงดังกล่าวจะต้องระบุให้ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่ผู้ควบคุมข้อมูลส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ผู้ประมวลผลข้อมูลส่วนบุคคลทราบเหตุเท่าที่จะสามารถกระทำได้ ตาม มาตรา 37 (4) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกอบข้อ 8 ของประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565

ประเด็นข้อหารือที่ 3 (นิติสัมพันธ์กับกิจการค้าร่วม A)

ประเด็นข้อหารือที่ 3 ของ สดช. และประเด็นข้อหารือที่ 3 ของ สป.สธ. เห็นว่า การดำเนินการเกี่ยวกับนิติสัมพันธ์ของกิจการค้าร่วม A ในฐานะคู่สัญญาในสัญญาจ้างของ สดช. ซึ่งเป็นหน่วยงานของรัฐ ย่อมเป็นไปตามกฎหมายว่าด้วยการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ ส่วนการดำเนินการที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น แม้ สป.สธ. กับกิจการค้าร่วม A จะไม่มีนิติสัมพันธ์กันในฐานะคู่สัญญาในสัญญาจ้าง แต่หากข้อเท็จจริงปรากฏว่า สป.สธ. มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และกิจการค้าร่วม A ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของ สป.สธ. ในส่วนที่เกี่ยวข้องกับระบบคลาวด์ข้อมูลสุขภาพ ก็ย่อมถือได้ว่า สป.สธ. มีความสัมพันธ์ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล กับกิจการค้าร่วม A ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลแล้ว ดังนั้น สป.สธ. จึงมีหน้าที่ตาม มาตรา 40 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่จะต้องจัดให้มีข้อตกลงระหว่างกันกับกิจการค้าร่วม A เพื่อควบคุมการดำเนินงานตามหน้าที่ของกิจการค้าร่วม A ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัตินี้ เพื่อให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของกิจการค้าร่วม A ตามสัญญาจ้างกับ สดช. เพื่อให้เป็นไปตามบันทึกข้อตกลงความร่วมมือ เรื่อง การพัฒนาคลาวด์ข้อมูลสุขภาพ กระทรวงสาธารณสุข ระหว่างกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมและกระทรวงสาธารณสุข บรรลุผล โดย สป.สธ. อาจพิจารณาจัดทำข้อตกลงดังกล่าวกับกิจการค้าร่วม A โดยตรง หรือจัดทำผ่าน สดช. ในกรณีที่ สดช. มีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลที่มีหน้าที่จัดหา พัฒนา และให้บริการระบบโครงสร้างพื้นฐานสำหรับระบบคลาวด์ข้อมูลสุขภาพ โดยกำหนดให้ สดช. จัดทำข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement) กับกิจการค้าร่วม A ซึ่งมีฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลช่วง (sub-processor) ของ สดช. ตามเงื่อนไขที่ สป.สธ. กำหนด ก็ได้ ตามความเหมาะสมและการหารือร่วมกันของผู้เกี่ยวข้อง

เอกสารต้นฉบับ