หน้าหลัก

ข้อหารือที่ 7/2568 — มหาวิทยาลัยนวมินทราธิราช (ส่งผลตรวจสุขภาพให้ กทม. โครงการตรวจสุขภาพ 1 ล้านคน)

11 มาตราอ้างอิง
สารบัญในมาตรานี้
  1. ข้อกฎหมาย
  2. ข้อหารือ
  3. ความเห็น
  4. เอกสารต้นฉบับ

ข้อกฎหมาย

  1. พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 — มาตรา 3 มาตรา 6 มาตรา 19 วรรคหนึ่ง มาตรา 22 มาตรา 23 (1) และ (4) มาตรา 24 (4) มาตรา 25 วรรคหนึ่ง (2) มาตรา 26 (5) (ก) และ (ข) มาตรา 27 มาตรา 37 (1) และ (2) และ มาตรา 39
  2. พระราชบัญญัติมหาวิทยาลัยนวมินทราธิราช พ.ศ. 2553 — มาตรา 4 มาตรา 6 และมาตรา 7 (3) (4) และ (8)
  3. พระราชบัญญัติระเบียบบริหารราชการกรุงเทพมหานคร พ.ศ. 2528 และที่แก้ไขเพิ่มเติม — มาตรา 6 และมาตรา 89 (16)
  4. พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 — มาตรา 4
  5. ประกาศกรุงเทพมหานคร เรื่อง การแบ่งส่วนราชการภายในหน่วยงานและการกำหนดอำนาจหน้าที่ของส่วนราชการกรุงเทพมหานคร ลงวันที่ 31 ตุลาคม พ.ศ. 2528 และที่แก้ไขเพิ่มเติม — ข้อ 10 และข้อ 11 (2)
  6. ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

ข้อหารือ

มหาวิทยาลัยนวมินทราธิราช แจ้งว่า กรุงเทพมหานคร (กทม.) ขอให้มหาวิทยาลัยนวมินทราธิราชดำเนินการตรวจสุขภาพข้าราชการ บุคลากร กทม. และประชาชนทั่วไป ตามนโยบายตรวจสุขภาพ 1 ล้านคน และให้ส่งข้อมูลผลการตรวจสุขภาพที่ได้ดำเนินการ ในรูปแบบที่ปิดบังตัวตนของผู้รับการตรวจ ภายใต้มาตรฐานการคุ้มครองข้อมูลส่วนบุคคล และส่งต่อภายใต้ช่องทางที่ปลอดภัย ต่อมาทาง กทม. โดยสำนักการแพทย์ได้มีการเปลี่ยนแปลงการส่งข้อมูล ในการประชุมชี้แจงขั้นตอนการบันทึกผลการตรวจสุขภาพเมื่อวันที่ 28 มิถุนายน 2567 โดยให้มหาวิทยาลัยนวมินทราธิราชส่งข้อมูลผลการตรวจสุขภาพจากระบบ Hospital Information System ของโรงพยาบาลวชิรพยาบาล ไปยังระบบ BMA Portal โดยระบุชื่อ เลขประจำตัวประชาชน ที่อยู่ ข้อมูลด้านความเสี่ยงสุขภาพ เช่น การสูบบุหรี่/ดื่มสุรา ผลการวัดสัญญาณชีพ (vital signs) ผลการคัดกรองสุขภาพ ผลการตรวจทางห้องปฏิบัติการต่าง ๆ ฯลฯ ของผู้มารับบริการ

เนื่องจากมหาวิทยาลัยนวมินทราธิราชเป็นสถาบันอุดมศึกษาที่เป็นหน่วยงานของรัฐอยู่ในกำกับของกรุงเทพมหานคร มีฐานะเป็นนิติบุคคล มีวัตถุประสงค์เพื่อให้การศึกษา ส่งเสริมวิชาการ การวิจัย สร้างและพัฒนาวิชาการและวิชาชีพชั้นสูง รวมตลอดทั้งเผยแพร่ความรู้และส่งเสริมการแพทย์ การสาธารณสุข การบริหารจัดการเขตเมือง การปกครองส่วนท้องถิ่น การพัฒนามหานคร การทะนุบำรุงศาสนา ศิลปะ วัฒนธรรม จารีตประเพณี ภูมิปัญญาท้องถิ่น สิ่งแวดล้อม และกีฬา โดยคำนึงถึงประสบการณ์และความพร้อมในด้านต่าง ๆ ที่เป็นเอกลักษณ์ของ กทม. เพื่อตอบสนองความต้องการของประชาชนและเพื่อประโยชน์ของประเทศชาติ ตามมาตรา 4 และมาตรา 6 แห่งพระราชบัญญัติมหาวิทยาลัยนวมินทราธิราช พ.ศ. 2553 ซึ่งมีการให้บริการด้านการแพทย์และสาธารณสุข โดยโรงพยาบาลวชิรพยาบาลซึ่งเป็นหน่วยงานในสังกัดของคณะแพทยศาสตร์วชิรพยาบาล มหาวิทยาลัยนวมินทราธิราช และมีการจัดเก็บข้อมูลของผู้มารับบริการในโรงพยาบาล ซึ่งมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงขอหารือในประเด็นดังนี้

  1. การขอให้ส่งข้อมูลผลการตรวจสุขภาพจากระบบ Hospital Information System ของโรงพยาบาลวชิรพยาบาล ไปยังระบบ BMA Portal โดยระบุชื่อ เลขประจำตัวประชาชน ที่อยู่ ข้อมูลด้านความเสี่ยงสุขภาพ เช่น การสูบบุหรี่/ดื่มสุรา ผลการวัดสัญญาณชีพ (vital signs) ผลการคัดกรองสุขภาพ ผลการตรวจทางห้องปฏิบัติการต่าง ๆ ฯลฯ ของผู้มารับบริการ กทม. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลสามารถทำการเก็บรวบรวมข้อมูลส่วนบุคคลจากมหาวิทยาลัยนวมินทราธิราชที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง โดยอาศัยอำนาจตาม มาตรา 25 (2) ประกอบ มาตรา 24 หรือ มาตรา 26 ได้หรือไม่

  2. มหาวิทยาลัยนวมินทราธิราชสามารถส่งข้อมูลส่วนบุคคล ตามข้อ 1 ซึ่งรวมถึงข้อมูลสุขภาพของผู้ป่วยที่มารับบริการในสถานพยาบาลในสังกัดของมหาวิทยาลัยฯ ตามที่ กทม. ร้องขอ เพื่อการนำไปใช้ในวัตถุประสงค์ตามคำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) ของระบบเก็บข้อมูลโครงการตรวจสุขภาพล้านคนของ กทม. ข้อ 2.1 ถึง 2.4 โดยเป็นความจำเป็นในการปฏิบัติตามกฎหมายภายใต้พระราชบัญญัติระเบียบบริหารราชการกรุงเทพมหานคร พ.ศ. 2528 มาตรา 89 และตามบันทึกข้อตกลงความร่วมมือ เรื่อง การพัฒนาเพิ่มคุณภาพการบริการด้านการแพทย์และสาธารณสุขผ่านเทคโนโลยีดิจิทัล ข้อ 1.2 ซึ่งถือเป็นข้อยกเว้นที่ไม่จำเป็นต้องขอคำยินยอม (Consent) สำหรับข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตาม มาตรา 27 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้หรือไม่

ความเห็น

คณะอนุกรรมการตอบข้อหารือและให้คำแนะนำในการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ได้พิจารณาข้อหารือ โดยมีผู้แทนมหาวิทยาลัยนวมินทราธิราชเป็นผู้ชี้แจงข้อเท็จจริงแล้วมีความเห็น ดังนี้

มหาวิทยาลัยนวมินทราธิราชต้องดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลโดยพิจารณาหลักเกณฑ์การคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยในขณะเดียวกันมหาวิทยาลัยนวมินทราธิราช มีฐานะเป็นหน่วยงานของรัฐตามบทนิยามในมาตรา 4 แห่งพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 การบริหารจัดการข้อมูลข่าวสารที่อยู่ในความครอบครองหรือควบคุมดูแลของมหาวิทยาลัยนวมินทราธิราช จึงต้องถือปฏิบัติตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการด้วย ซึ่งเป็นไปตาม มาตรา 3 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่บัญญัติว่า “ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการนั้น เว้นแต่ (1) บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล รวมทั้งบทกำหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่งพระราชบัญญัตินี้เป็นการเพิ่มเติม ไม่ว่าจะซ้ำกับบทบัญญัติแห่งกฎหมายว่าด้วยการนั้นหรือไม่ก็ตาม ฯลฯ” มหาวิทยาลัยนวมินทราธิราชจึงควรดำเนินการให้เป็นไปตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการที่ได้กำหนดเรื่องการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลข่าวสารของราชการของหน่วยงานของรัฐ รวมถึงข้อมูลข่าวสารส่วนบุคคลที่อยู่ในความครอบครองหรือควบคุมดูแลของหน่วยงานของรัฐไว้โดยเฉพาะแล้วก่อน และให้พิจารณาบทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นการเพิ่มเติม ในการดำเนินการต่อไป โดยในแต่ละประเด็นที่หารือมานั้น คณะอนุกรรมการตอบข้อหารือฯ มีความเห็นดังนี้

ประเด็นข้อหารือที่ 1 (กทม. เก็บรวบรวมข้อมูลจากแหล่งอื่นโดยอาศัยฐานภารกิจรัฐ)

ประเด็นข้อหารือที่ 1 เห็นว่า กทม. เป็นราชการบริหารส่วนท้องถิ่น มีฐานะเป็นนิติบุคคล ตามมาตรา 6 แห่งพระราชบัญญัติระเบียบบริหารราชการกรุงเทพมหานคร พ.ศ. 2528 และมีอำนาจหน้าที่ดำเนินกิจการในเขตกรุงเทพมหานครในเรื่องต่าง ๆ ที่กฎหมายกำหนด ซึ่งรวมถึงการดำเนินกิจการในเรื่องการสาธารณสุข การอนามัยครอบครัว และการรักษาพยาบาลตามมาตรา 89 (16) แห่งพระราชบัญญัติดังกล่าว โดยมีสำนักการแพทย์เป็นส่วนราชการในสังกัดที่มีอำนาจหน้าที่จัดให้มีบริการโรงพยาบาลในการตรวจรักษาพยาบาล ส่งเสริมสุขภาพ ป้องกันโรค ฟื้นฟูสุขภาพและสมรรถภาพ บริหารและจัดบริการการแพทย์ฉุกเฉินและส่งต่อผู้ป่วย เพื่อลดการบาดเจ็บและการตายจากการเจ็บป่วยของผู้ป่วย จัดการศึกษา ฝึกอบรม พัฒนาทางวิชาการด้านการแพทย์และสาธารณสุข และปฏิบัติหน้าที่อื่นที่เกี่ยวข้องหรือได้รับมอบหมาย ตามข้อ 10 ของประกาศกรุงเทพมหานคร เรื่อง การแบ่งส่วนราชการภายในหน่วยงานและการกำหนดอำนาจหน้าที่ของส่วนราชการกรุงเทพมหานคร ลงวันที่ 31 ตุลาคม พ.ศ. 2528 ซึ่งแก้ไขเพิ่มเติมโดยประกาศกรุงเทพมหานคร เรื่อง การแบ่งส่วนราชการภายในหน่วยงานและการกำหนดอำนาจหน้าที่ของส่วนราชการกรุงเทพมหานคร (ฉบับที่ 94) ลงวันที่ 11 เมษายน พ.ศ. 2560 นอกจากนี้ สำนักการแพทย์ ยังมีสำนักงานพัฒนาระบบบริการทางการแพทย์เป็นส่วนราชการในสังกัด มีอำนาจหน้าที่วางแผน กำกับ ติดตาม วิเคราะห์และประเมินผลแผนยุทธศาสตร์ ด้านการแพทย์และสาธารณสุข พัฒนาระบบบริการสุขภาพ คุณภาพบริการ และสร้างเครือข่ายทางการแพทย์และสาธารณสุข รวมทั้งเป็นศูนย์ข้อมูลสารสนเทศทางการแพทย์ ตามข้อ 11 (2) ของประกาศกรุงเทพมหานคร เรื่อง การแบ่งส่วนราชการภายในหน่วยงานและการกำหนดอำนาจหน้าที่ของส่วนราชการกรุงเทพมหานคร ลงวันที่ 31 ตุลาคม พ.ศ. 2528 ซึ่งแก้ไขเพิ่มเติมโดยประกาศกรุงเทพมหานคร เรื่อง การแบ่งส่วนราชการภายในหน่วยงานและการกำหนดอำนาจหน้าที่ของส่วนราชการกรุงเทพมหานคร (ฉบับที่ 97) ลงวันที่ 6 กันยายน พ.ศ. 2560 ดังนั้น กทม. จึงมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ในการดำเนินงานตามอำนาจหน้าที่ของตน ตามประเด็นที่หารือมานี้ จึงถือเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามนัย มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การเก็บรวบรวมข้อมูลส่วนบุคคลจากมหาวิทยาลัยนวมินทราธิราชซึ่งเป็นอีกนิติบุคคลหนึ่งดังกล่าว ย่อมถือเป็นการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรงตามนัย มาตรา 25 ซึ่งตามบทบัญญัติ มาตรา 19 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่งพระราชบัญญัตินี้หรือกฎหมายอื่นบัญญัติให้กระทำได้ กรณีนี้จึงมีประเด็นต้องพิจารณาก่อนว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามที่หารือดังกล่าวเป็นกรณีที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 24 หรือ มาตรา 26 แล้วแต่กรณี หรือไม่

เนื่องจาก กทม. โดยสำนักการแพทย์ มีความจำเป็นในการวิเคราะห์ข้อมูลในเขตพื้นที่ กทม. ซึ่งรวมถึงการประเมินสถานการณ์ อุบัติการณ์ หรือความชุกของการเกิดโรค เพื่อการวางแผนในการดำเนินการโครงการส่งเสริมสุขภาพและป้องกันโรคอย่างตรงเป้าหมายที่เหมาะสมตามพื้นที่ รวมทั้งเพื่อการจัดบริการทางการแพทย์และสาธารณสุขให้สอดคล้องกับความชุกและข้อมูลสุขภาพที่ปรากฏ (ตามที่ระบุในคำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) ของระบบเก็บข้อมูล โครงการตรวจสุขภาพล้านคนของกรุงเทพมหานคร สุขภาพดี ปี 2) อันเป็นส่วนหนึ่งของอำนาจหน้าที่ของ กทม. รวมถึงสำนักการแพทย์ และส่วนราชการในสังกัด ในการดำเนินกิจการในเขต กทม. ในเรื่องการสาธารณสุข การอนามัยครอบครัว และการรักษาพยาบาลตามมาตรา 89 (16) แห่งพระราชบัญญัติระเบียบบริหารราชการกรุงเทพมหานคร พ.ศ. 2528 ดังนั้น หาก กทม. เห็นว่า การเก็บรวบรวมข้อมูลจากระบบ Hospital Information System ของโรงพยาบาลวชิรพยาบาล ซึ่งเป็นสถานพยาบาลในสังกัดมหาวิทยาลัยนวมินทราธิราช ไปยังระบบ BMA Portal โดยระบุชื่อ เลขประจำตัวประชาชน ที่อยู่ ข้อมูลด้านความเสี่ยงสุขภาพ ผลการวัดสัญญาณชีพ (vital signs) ผลการคัดกรองสุขภาพ และผลการตรวจทางห้องปฏิบัติการต่าง ๆ เป็นต้น เป็นการจำเป็นเพื่อการดำเนินภารกิจตามอำนาจหน้าที่ตามกฎหมายของ กทม. ดังกล่าว กทม. ก็สามารถเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวได้โดยไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เนื่องจากเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของ กทม. หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ กทม. ตาม มาตรา 24 (4) ประกอบ มาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือเป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การให้บริการด้านสุขภาพหรือสังคม หรือการจัดการด้านสุขภาพ หรือเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะด้านการสาธารณสุข ตาม มาตรา 26 (5) (ก) และ/หรือ (ข) ประกอบ มาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติดังกล่าว แล้วแต่กรณี รวมทั้งสามารถทำการเก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เช่น จากมหาวิทยาลัยนวมินทราธิราช ได้ ตามนัย มาตรา 25 วรรคหนึ่ง (2) แต่ กทม. จะต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ซึ่งต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ตาม มาตรา 37 (1) ประกอบประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565 รวมทั้งจะต้องจัดให้มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตามจริยธรรมแห่งวิชาชีพ สำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตาม มาตรา 26 ตามนัย มาตรา 26 (5) (ข) ด้วย นอกจากนี้ จะต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างจำกัดเพียงเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของ กทม. ตาม มาตรา 22 รวมถึงจะต้องไม่ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับมหาวิทยาลัยนวมินทราธิราชในการขอรับข้อมูลส่วนบุคคลนั้นเท่านั้น ตาม มาตรา 27 วรรคสอง เว้นแต่จะเป็นกรณีที่กฎหมายบัญญัติให้กระทำได้

ประเด็นข้อหารือที่ 2 (มหาวิทยาลัยฯ เปิดเผยข้อมูลสุขภาพให้ กทม.)

ประเด็นข้อหารือที่ 2 เห็นว่า มหาวิทยาลัยนวมินทราธิราชเป็นสถาบันอุดมศึกษาที่เป็นหน่วยงานของรัฐอยู่ในกำกับของกรุงเทพมหานคร มีฐานะเป็นนิติบุคคล ตามมาตรา 4 แห่งพระราชบัญญัติมหาวิทยาลัยนวมินทราธิราช พ.ศ. 2553 ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มหาวิทยาลัยนวมินทราธิราชจึงมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลตาม มาตรา 6 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมหาวิทยาลัยนวมินทราธิราชมีวัตถุประสงค์ส่วนหนึ่งตามมาตรา 6 แห่งพระราชบัญญัติมหาวิทยาลัยนวมินทราธิราช พ.ศ. 2553 ในการให้การศึกษา ส่งเสริมวิชาการ การวิจัย สร้างและพัฒนาวิชาการและวิชาชีพชั้นสูง รวมตลอดทั้งเผยแพร่ความรู้และส่งเสริมการแพทย์ การสาธารณสุข การบริหารจัดการเขตเมือง การปกครองส่วนท้องถิ่น และการพัฒนามหานคร โดยคำนึงถึงประสบการณ์และความพร้อมในด้านต่าง ๆ ที่เป็นเอกลักษณ์ของ กทม. เพื่อตอบสนองความต้องการของประชาชนและเพื่อประโยชน์ของประเทศชาติ และมหาวิทยาลัยนวมินทราธิราชมีภาระหน้าที่ในการพัฒนาองค์ความรู้ด้านการแพทย์และการสาธารณสุขทุกสาขา โดยเน้นทางด้านเวชศาสตร์เขตเมือง การพัฒนาองค์ความรู้ด้านการบริหารจัดการเขตเมือง ด้านการปกครองส่วนท้องถิ่นและพัฒนามหานคร และการให้บริการทางการแพทย์ การพยาบาล การสาธารณสุข และการบริการทางวิชาการและวิชาชีพให้เป็นที่ยอมรับในระดับประเทศและนานาชาติ ตามมาตรา 7 (3) (4) และ (8) แห่งพระราชบัญญัติมหาวิทยาลัยนวมินทราธิราช พ.ศ. 2553 ซึ่งเป็นอำนาจหน้าที่ตามที่กฎหมายกำหนดและเป็นภารกิจที่เกี่ยวข้องกับภารกิจเพื่อประโยชน์สาธารณะ เมื่อมหาวิทยาลัยนวมินทราธิราชได้รับการขอข้อมูลจาก กทม. ให้ส่งข้อมูลส่วนบุคคลซึ่งรวมถึงข้อมูลสุขภาพของผู้ที่มารับบริการตรวจสุขภาพ ให้แก่ กทม. เนื่องจาก กทม. มีความจำเป็นในการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ ตามประเด็นข้อหารือที่ 1 ที่ได้กล่าวมาแล้วข้างต้น มหาวิทยาลัยนวมินทราธิราชจึงอาจเปิดเผยข้อมูลส่วนบุคคลดังกล่าวให้แก่ กทม. เพื่อให้บรรลุวัตถุประสงค์ดังกล่าวได้ โดยอาจพิจารณาได้ว่าการเปิดเผยข้อมูลส่วนบุคคลดังกล่าวเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของมหาวิทยาลัยนวมินทราธิราช หรือการปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่มหาวิทยาลัย รวมถึงเป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การให้บริการด้านสุขภาพหรือด้านสังคม หรือการจัดการด้านสุขภาพ หรือเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะด้านการสาธารณสุข ตาม มาตรา 24 (4) หรือ มาตรา 26 (5) (ก) และ/หรือ (ข) แล้วแต่กรณี ประกอบ มาตรา 27 วรรคหนึ่ง แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ทั้งนี้ มหาวิทยาลัยนวมินทราธิราชจะต้องบันทึกการใช้หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวไว้ในรายการตาม มาตรา 39 ตามนัย มาตรา 27 วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ถึงรายละเอียดตาม มาตรา 23 ซึ่งรวมถึงวัตถุประสงค์ของการเก็บรวบรวมเพื่อการนำข้อมูลส่วนบุคคลไปใช้หรือเปิดเผยตาม (1) และประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูกเปิดเผย เช่น กทม. ตาม (4) ด้วย โดย กทม. จะต้องใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับจากมหาวิทยาลัยนวมินทราธิราช ตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบตามที่ระบุไว้ในข้อ 2.1 ถึง 2.4 ของคำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) ของระบบเก็บข้อมูล โครงการตรวจสุขภาพล้านคนของกรุงเทพมหานคร สุขภาพดี ปี 2 เท่านั้น นอกจากนี้ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าว จะต้องดำเนินการเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายตาม มาตรา 22 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ด้วย

คณะอนุกรรมการตอบข้อหารือฯ มีข้อสังเกตเพิ่มเติมว่า มหาวิทยาลัยนวมินทราธิราช และ กทม. ในฐานะที่ต่างฝ่ายต่างเป็นผู้ควบคุมข้อมูลส่วนบุคคล จะต้องปฏิบัติหน้าที่ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นกำหนด ในส่วนที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้ครบถ้วนด้วย โดยเฉพาะในเรื่องการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ตาม มาตรา 37 (1) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยต้องเป็นไปตามมาตรฐานขั้นต่ำที่กำหนดไว้ในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. 2565 นอกจากนี้ มาตรา 37 (2) ได้กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการเพื่อป้องกันมิให้บุคคลหรือนิติบุคคลอื่นซึ่งได้รับข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ โดยมหาวิทยาลัยนวมินทราธิราช และ กทม. อาจพิจารณาจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Data Sharing Agreement) ซึ่งเป็นมาตรการเชิงองค์กร (organizational measures) อย่างหนึ่งที่กำหนดวัตถุประสงค์ วิธีการ เงื่อนไข และหน้าที่ความรับผิดชอบของแต่ละฝ่ายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลระหว่างกัน ไม่ว่าจะเป็นการรับและส่งข้อมูลที่เป็นเอกสารหรือเป็นการแลกเปลี่ยนข้อมูลโดยวิธีการทางอิเล็กทรอนิกส์ก็ตาม อันจะเป็นส่วนหนึ่งของมาตรการรักษาความมั่นคงปลอดภัยและคุ้มครองข้อมูลส่วนบุคคลที่เปิดเผยให้กับหน่วยงานอื่น ซึ่งทั้งสองฝ่ายย่อมสามารถหารือและตกลงร่วมกันเพื่อพิจารณาจัดทำข้อตกลงการแบ่งปันข้อมูลส่วนบุคคลระหว่างกันได้ตามความเหมาะสม

เอกสารต้นฉบับ