Presented at the PDPA for Mahidol University Workshop for Healthcare Faculties by the Division of Information Technology, Office of the President, Mahidol University, Nakhon Pathom, Thailand on January 29, 2021

1. 1
PDPA for Health Care Service
นพ.นวนรรน ธีระอัมพรพันธุ์
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
29 มกราคม 2564
โครงการอบรมเชิงปฏิบัติการหัวข้อ “แนวทางการคุ้มครองข้อมูลส่วนบุคคล สาหรับบุคลากรมหาวิทยาลัยมหิดล
(ส่วนงานที่มีการให้บริการทางการแพทย์)”

2. 2
Disclaimer: เป็นความเห็นทางวิชาการส่วนบุคคล
ไม่ผูกพันการทาหน้าที่ในบทบาทใดในปัจจุบัน
หรืออนาคต

3. 3
Outline
•กฎหมาย Health Information Privacy ก่อนยุค PDPA
•ข้อจากัดของกฎหมาย Health Information Privacy ของ
ไทย ก่อนยุค PDPA
•Overview ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
(PDPA)
•Myths & Truths about PDPA in Healthcare
•Supplemental Slides on PDPA (for Reference Only)

4. 4
กฎหมาย Health Information Privacy
ก่อนยุค PDPA (Existing Laws)

5. 5
Relevant Ethical Principles
Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย)
“First, Do No Harm.”

6. 6
ประมวลกฎหมายอาญา
มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็นเจ้าพนักงาน
ผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจาหน่ายยา นางผดุง
ครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วยในการประกอบอาชีพนั้น แล้ว
เปิดเผยความลับนั้นในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้อง
ระวางโทษจาคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ
ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผยความลับของผู้อื่น
อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความ
เสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษเช่นเดียวกัน

7. 7
ข้อบังคับแพทยสภา ว่าด้วยการรักษาจริยธรรม
แห่งวิชาชีพเวชกรรม พ.ศ. 2549
วิชาชีพอื่นๆ ด้านสุขภาพ และคณะกรรมการประกอบโรคศิลปะ มีข้อบังคับใน
ทานองเดียวกัน

8. 8
คาประกาศสิทธิและข้อพึงปฏิบัติของผู้ปววย
7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่
ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่
ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรง
ของผู้ป่วยหรือตามกฎหมาย

9. 9
พรบ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540
“เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น”
มาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้
หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคาสั่งมิให้เปิดเผยก็ได้ โดยคานึงถึง
การปฏิบัติหน้าที่ตามกฎหมาย...ประกอบกัน...
(5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการ
รุกล้าสิทธิส่วนบุคคลโดยไม่สมควร
(6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย...

10. 10
พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
และที่แก้ไขเพิ่มเติม

11. 11
พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะ
นาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การ
เปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมาย
เฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือ
สิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอ
เอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้

12. 12
ประกาศคณะกรรมการสุขภาพแห่งชาติ เรื่อง แนวทางปฏิบัติในการ
ใช้งานสื่อสังคมออนไลน์ของผู้ปฏิบัติงานด้านสุขภาพ พ.ศ. 2559
http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

13. 13
ประกาศคณะกรรมการสุขภาพแห่งชาติ เรื่อง แนวทางปฏิบัติในการ
ใช้งานสื่อสังคมออนไลน์ของผู้ปฏิบัติงานด้านสุขภาพ พ.ศ. 2559
http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

14. 14
ประกาศคณะกรรมการสุขภาพแห่งชาติ เรื่อง แนวทางปฏิบัติในการ
ใช้งานสื่อสังคมออนไลน์ของผู้ปฏิบัติงานด้านสุขภาพ พ.ศ. 2559
http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

15. 15
กฎหมายเฉพาะ
• พรบ.สถานพยาบาล พ.ศ. 2541 และที่แก้ไขเพิ่มเติม

16. 16
กฎหมายเฉพาะ• พรบ.สถานพยาบาล พ.ศ. 2541 และที่แก้ไขเพิ่มเติม

17. 17
กฎหมายเฉพาะ
• พรบ.โรคติดต่อ พ.ศ. 2558

18. 18
กฎหมายเฉพาะ
• พรบ.สุขภาพจิต พ.ศ. 2551

19. 19
กฎหมายเฉพาะ
• พรบ.สุขภาพจิต พ.ศ. 2551

20. 20
กฎหมายเฉพาะ
• พรบ.สุขภาพจิต (ฉบับที่ 2) พ.ศ. 2562

21. 21
กฎหมายเฉพาะ
• พรบ.หลักประกันสุขภาพแห่งชาติ พ.ศ. 2545

22. 22
กฎหมายเฉพาะ
• พรบ.หลักประกันสุขภาพแห่งชาติ พ.ศ. 2545

23. 23
กฎหมายเฉพาะ
• พรบ.ประกันสังคม พ.ศ. 2533

24. 24
กฎหมายเฉพาะ
• พรฎ.เงินสวัสดิการเกี่ยวกับการรักษาพยาบาล พ.ศ. 2553

25. 25
กฎหมายเฉพาะ
• พรบ.ระบบสุขภาพปฐมภูมิ พ.ศ. 2562

26. 26
กฎหมายเฉพาะ
• พรบ.ระบบสุขภาพปฐมภูมิ พ.ศ. 2562

27. 27
กฎหมายเฉพาะ
• พรบ.ระบบสุขภาพปฐมภูมิ พ.ศ. 2562

28. 28
กฎหมายเฉพาะ
• พรบ.ระบบสุขภาพปฐมภูมิ พ.ศ. 2562

29. 29
ระเบียบกระทรวงสาธารณสุข

30. 30

31. 31
GDPR

32. 32
▪Some permitted uses and disclosures
▪Use of PHI
▪Sharing, application, use, examination or analysis within the entity
that maintains the PHI
▪Disclosure of PHI
▪Release or divulgence of information by an entity to persons or
organizations outside of that entity.
HIPAA Privacy Rule

33. 33
▪A covered entity may not use or disclose PHI, except
▪with individual consent for treatment, payment or healthcare
operations (TPO)
▪with individual authorization for other purposes
▪without consent or authorization for governmental and other
specified purposes
HIPAA Privacy Rule

34. 34
▪Treatment, payment, health care operations (TPO)
▪ Quality improvement
▪ Competency assurance
▪ Medical reviews & audits
▪ Insurance functions
▪ Business planning & administration
▪ General administrative activities
HIPAA Privacy Rule

35. 35
▪ Uses & disclosures without the need for patient authorization permitted in
some circumstances
▪ Required by law
▪ For public health activities
▪ About victims of abuse, neglect, or domestic violence
▪ For health oversight activities
▪ For judicial & administrative proceedings
▪ For law enforcement purposes
▪ About decedents
HIPAA Privacy Rule

36. 36
▪ Uses & disclosures without the need for patient authorization permitted in some
circumstances
▪ For cadaveric organ, eye, or tissue donation purposes
▪ For research purposes
▪ To avert a serious threat to health or safety
▪ For workers’ compensation
▪ For specialized government functions
▪ Military & veterans activities
▪ National security & intelligence activities
▪ Protective services for President & others
▪ Medical suitability determinants
▪ Correctional institutions
▪ CE that are government programs providing public benefits
HIPAA Privacy Rule

37. 37
▪ Control use and disclosure of PHI
▪ Notify patients of information practices (NPP, Notice of Privacy Practices)
▪ Specifies how CE can use and share PHI
▪ Specifies patient’s rights regarding their PHI
▪ Provide means for patients to access their own record
▪ Obtain authorization for non-TPO uses and disclosures
▪ Log disclosures
▪ Restrict use or disclosures
▪ Minimum necessary
▪ Privacy policy and practices
▪ Business Associate agreements
▪ Other applicable statutes
▪ Provide management oversight and response to minimize threats and breaches of privacy
From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
Responsibilities of a Covered Entity

38. 38
▪ Individually identifiable health information collected and used solely for
research IS NOT PHI
▪ Researchers obtaining PHI from a CE must obtain the subject’s authorization
or must justify an exception:
▪ Waiver of authorization (obtain from the IRB)
▪ Limited Data Set (with data use agreement)
▪ De-identified Data Set
▪ HIPAA Privacy supplements the Common Rule and the FDA’s existing
protection for human subjects
From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
HIPAA & Research

39. 39
▪ De-identified Data Set
▪ Remove all 18 personal identifiers of subjects, relatives, employers, or
household members
▪ OR biostatistician confirms that individual cannot be identified with the
available information
▪ Limited Data Set
▪ May include Zip, Birthdate, Date of death, date of service, geographic
subdivision
▪ Remove all other personal identifiers of subject, etc.
▪ Data Use Agreement signed by data recipient that there will be no attempt
to re-identify the subject
From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
Research Datasets

40. 40
▪ Assure the CE that all research-initiated HIPAA requirements have been met
▪ Provide letter of approval to the researcher to conduct research using PHI
▪ OR, Certify and document that waiver of authorization criteria have been
met
▪ Review and approve all authorizations and data use agreements
▪ Retain records documenting HIPAA actions for 6 years
From a teaching slide in UMN’s Spring 2006 Health Informatics II class by Dr. David Pieczkiewicz
IRB’s New Responsibilities

41. 41
ข้อจากัดของกฎหมาย Health Information
Privacy ของไทย ก่อนยุค PDPA

42. 42
ปัญหาของกฎหมาย Health Information
Privacy ไทย ก่อนยุค PDPA
• เป็น sectoral privacy law จึงอาจมีมาตรฐานแตกต่างจาก sector
อื่น
• สถานพยาบาลของรัฐ ถูกกากับโดย พรบ.ข้อมูลข่าวสารของราชการ
ด้วย แต่ไม่รวมสถานพยาบาลของเอกชน ทาให้มีมาตรฐานแตกต่างกัน
รวมทั้งสถานพยาบาลของรัฐเกิดความสับสนเกี่ยวกับกฎหมายหลาย
ฉบับ ที่มีหลักการและบทบัญญัติแตกต่างกัน
• ไม่มีบทบัญญัติบังคับให้สถานพยาบาลมีการจัดการเชิงระบบเพื่อ
คุ้มครอง Privacy อย่างชัดเจน (ยกเว้นตาม พรบ.ข้อมูลข่าวสารของ
ราชการ ซึ่งไม่จาเพาะต่อ Healthcare)

43. 43
ปัญหาของกฎหมาย Health Information
Privacy ไทย ก่อนยุค PDPA
• กฎหมายเกี่ยวกับกองทุนและระบบประกันสุขภาพ เขียน
อานาจหน้าที่ในการต้องเปิดเผยข้อมูลสุขภาพของผู้ป่วยไม่
ชัดเจน
• ในสถานการณ์จริงบางกรณีไม่มีบทบัญญัติทางกฎหมายรองรับ
• การขัดกันของกฎหมายบางฉบับในบางสถานการณ์
(เช่น สถานการณ์ฉุกเฉินที่มีกฎหมายให้อานาจรัฐไว้ค่อนข้าง
กว้างขวาง) ไม่ชัดเจน

44. 44
ปัญหาของกฎหมาย Health Information
Privacy ไทย ก่อนยุค PDPA
• ปัญหาของ พรบ.สุขภาพแห่งชาติ มาตรา 7
• ไม่มีนิยามของ “ข้อมูลด้านสุขภาพของบุคคล” (เช่น Genetics information,
ข้อมูล Dietary Requirements)
• ไม่ชัดเจนว่า “ผู้ใด” ในกรณีหน่วยงาน/สถานพยาบาล (โดยเฉพาะที่อยู่ในสังกัด
กรม/นิติบุคคลเดียวกัน เช่น รพ. ในสังกัดกรมการแพทย์) จะตีความอย่างไร
• “ในประการที่น่าจะทาให้บุคคลนั้นเสียหาย” เป็น Subjective Value
Judgment และขัดกับแนวคิด Privacy ทั่วไปที่มุ่งคุ้มครอง Privacy ของข้อมูล
สุขภาพ โดยไม่สนใจความเสียหาย
• การอ้างถึงกฎหมายว่าด้วยข้อมูลข่าวสารของราชการ สร้างความสับสน
• เงื่อนไขข้อยกเว้นไม่ครอบคลุม (ต่างจาก HIPAA ที่ระบุไว้ชัดมาก)
• ไม่ให้อานาจในการออกข้อยกเว้น
• ไม่สอดคล้องกับบริบทของ Healthcare เช่น กรณีฉุกเฉิน หรือเพื่อประโยชน์ใน
การรักษาผู้ป่วย

45. 45
ปัญหาของกฎหมาย Health Information
Privacy ไทย ก่อนยุค PDPA
• ปัญหาของ พรบ.สุขภาพแห่งชาติ มาตรา 7
• ไม่รวมข้อมูลของผู้เสียชีวิต
• การให้ความยินยอมแทนโดยญาติ ไม่ชัดเจน และมีปัญหาในทางปฏิบัติ
• ไม่ให้อานาจในการออกหลักเกณฑ์ วิธีการ และเงื่อนไขในทางปฏิบัติ (เช่น การขอความ
ยินยอมของผู้ป่วย)
• มุ่งเน้นเรื่องการเปิดเผยข้อมูล แต่ไม่รวมเรื่องการเก็บรวบรวมและการใช้ข้อมูล
• ไม่ได้กาหนดหลักการของ Sensitive Information
• มุ่งเน้นเพียงด้าน Privacy แต่ไม่ได้กาหนดหลักเกณฑ์ วิธีการ และเงื่อนไขด้าน Security
• ไม่ได้ Balance กับความเสี่ยงอีกด้าน คือ ให้ข้อมูลผู้ป่วยไม่ครบ เกิดความเสี่ยงในการวินิจฉัย
รักษาโรค
• ขาดเรื่อง Breach Notification

46. 46
Overview ของ พ.ร.บ.คุ้มครองข้อมูลส่วน
บุคคล พ.ศ. 2562 (PDPA)

47. 47
TDPG 1.0
TDPG 2.0
TDPG 3.0 (Just Released)
https://www.law.chula.ac.th/wp-content/
uploads/2020/12/TDPG3.0-C5-20201208.pdf
คณะนิติศาสตร์
จุฬาลงกรณ์มหาวิทยาลัย

48. 48
Timeline พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• 6 ม.ค. 2558 ครม. อนุมัติหลักการร่างกฎหมายเพื่อรองรับการพัฒนาเศรษฐกิจดิจิทัลของ
ประเทศ จานวน 8 ฉบับ
• ก.ค. 2558 สานักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาร่างเสร็จแล้ว
(เรื่องเสร็จที่ 1135/2558)
• 16 พ.ย. 2559 กระทรวง DE รับฟังความคิดเห็นเป็นการทั่วไป ณ โรงแรมเอทัส ลุมพินี
• 15-17 ส.ค. 2560 กระทรวง DE รับฟังความคิดเห็นโดยการจัดประชุม Focus Group ร่วมกับ
หน่วยงานภาครัฐ ภาคเอกชน ภาควิชาการ และภาคประชาสังคมที่เกี่ยวข้อง
ณ กระทรวง DE
• 24-30 ม.ค. 2561 กระทรวง DE รับฟังความคิดเห็นจากตัวแทนผู้มีส่วนได้เสีย ณ กระทรวง DE
• 22 ม.ค. - 6 ก.พ. 2561 กระทรวง DE รับฟังความคิดเห็นผ่านเว็บไซต์และ e-mail
• 22 พ.ค. 2561 ครม. อนุมัติหลักการร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• 5-20 ก.ย. 2561 กระทรวง DE รับฟังความคิดเห็นผ่านเว็บไซต์ (ประชุม 11 ก.ย. 2651)
• 28 ธ.ค. 2561 สนช. รับหลักการในวาระที่ 1
• 27-28 ก.พ. 2562 สนช. เห็นชอบในวาระที่ 2-3
• 27 พ.ค. 2562 ประกาศในราชกิจจานุเบกษา
• 27 พ.ค. 2563 บทบัญญัติเรื่องสิทธิและหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลมีผลใช้บังคับ
(ยกเว้นการบังคับใช้จนถึง 1 มิ.ย. 2564)

49. 49
เหตุผลในการประกาศใช้
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

50. 50
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• หมวด 1 คณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคล
• หมวด 2 การคุ้มครองข้อมูลส่วน
บุคคล
• ส่วนที่ 1 บททั่วไป
• ส่วนที่ 2 การเก็บรวบรวมข้อมูล
ส่วนบุคคล
• ส่วนที่ 3 การใช้หรือเปิดเผย
ข้อมูลส่วนบุคคล
• หมวด 3 สิทธิของเจ้าของข้อมูล
ส่วนบุคคล
• หมวด 4 สานักงานคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคล
• หมวด 5 การร้องเรียน
• หมวด 6 ความรับผิดทางแพ่ง
• หมวด 7 บทกาหนดโทษ
• ส่วนที่ 1 โทษอาญา
• ส่วนที่ 2 โทษทางปกครอง
• บทเฉพาะกาล

51. 51
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ตั้งแต่วันถัดจากวันประกาศใน
ราชกิจจานุเบกษา
• หมวด 1 คณะกรรมการคุ้มครองข้อมูล
ส่วนบุคคล
• หมวด 4 สานักงานคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคล
• บทเฉพาะกาล (ยกเว้นมาตรา 95, 96)
เมื่อพ้นกาหนดหนึ่งปีนับแต่วัน
ประกาศในราชกิจจานุเบกษา
• หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล
• หมวด 3 สิทธิของเจ้าของข้อมูลส่วน
บุคคล
• หมวด 5 การร้องเรียน
• หมวด 6 ความรับผิดทางแพ่ง
• หมวด 7 บทกาหนดโทษ
• บทเฉพาะกาล เฉพาะมาตรา 95 (การ
เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลที่
เก็บรวบรวมไว้ก่อนวันที่ พ.ร.บ. นี้ใช้
บังคับ), มาตรา 96 (ระยะเวลาในการ
ดาเนินการออกระเบียบ และประกาศ
ตาม พ.ร.บ. นี้)
ตั้งแต่ 27 พ.ค. 2563 แต่ยกเว้น
การบังคับใช้จนถึง 1 มิ.ย. 2564
ตั้งแต่ 28 พ.ค. 2562

52. 52
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
เก็บรวบรวม
(Collection)
ใช้ (Use)
เปิดเผย
(Disclosure)
กระบวนการเกี่ยวกับข้อมูลส่วนบุคคล
ประมวลผล (Process) = เก็บรวบรวม + ใช้ + เปิดเผย
(+ จัดเก็บ + วิเคราะห์ + ทาลาย + แสดงผล ฯลฯ)

53. 53

54. 54

55. 55

56. 56

57. 57

58. 58

59. 59

60. 60

61. 61
Lawful Basis in PDPA

62. 62

63. 63

64. 64

65. 65

66. 66

67. 67

68. 68

69. 69

70. 70

71. 71

72. 72

73. 73

74. 74
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
สิทธิขอเข้าถึงและขอรับสาเนาข้อมูล
สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตน
สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
สิทธิร้องขอให้ดาเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

75. 75

76. 76

77. 77

78. 78
พ.ร.ฎ.กาหนดหน่วยงานและกิจการที่...ไม่อยู่ภายใต้
บังคับแห่ง PDPA พ.ศ. 2563

79. 79
พ.ร.ฎ.กาหนดหน่วยงานและกิจการที่...ไม่อยู่ภายใต้
บังคับแห่ง PDPA พ.ศ. 2563

80. 80
พ.ร.ฎ.กาหนดหน่วยงานและกิจการที่...ไม่อยู่ภายใต้
บังคับแห่ง PDPA พ.ศ. 2563

81. 81
พ.ร.ฎ.กาหนดหน่วยงานและกิจการที่...ไม่อยู่ภายใต้
บังคับแห่ง PDPA พ.ศ. 2563

82. 82
สรุปการบ้าน พ.ร.บ. PDPA
•Identify ข้อมูลส่วนบุคคลต่างๆ ที่คณะฯ เก็บรวบรวม ใช้ หรือ
เปิดเผย ทั้งข้อมูลทั่วไป (มาตรา 24) และข้อมูล Sensitive Data
(มาตรา 26) เช่น
• ข้อมูลผู้ป่วย
• ข้อมูลบุคลากร
• ข้อมูล Research Subjects (ถ้ามี)
• ข้อมูลนักศึกษา/Trainees
• ผู้เข้าร่วมการประชุมวิชาการ/ฝึกอบรมระยะสั้น
• วิทยากร/ที่ปรึกษาภายนอก
• Website Visitors

83. 83
สรุปการบ้าน พ.ร.บ. PDPA
•สาหรับข้อมูลส่วนบุคคลต่างๆ ตามข้างต้น ให้ระบุ
• แหล่งที่มา
• วัตถุประสงค์การใช้งานทั้งหมด (Primary Uses & Secondary Uses)
• Consent และ/หรืออานาจหน้าที่ตามกฎหมายในการใช้งานข้อมูลนั้น
• กระบวนการทางาน เอกสาร และระบบสารสนเทศ ที่เก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลนั้นๆ
• Data Processor ที่ใช้บริการ/เกี่ยวข้องกับข้อมูลนั้นๆ และเงื่อนไข/
มาตรฐาน Security & Privacy
• สถานที่เก็บข้อมูล (ใน/นอกประเทศ) และมาตรฐานการคุ้มครองข้อมูล
ส่วนบุคคล

84. 84
สรุปการบ้าน พ.ร.บ. PDPA
•สาหรับข้อมูลส่วนบุคคลต่างๆ ตามข้างต้น ให้พิจารณาว่า
• ยังมีความจาเป็นต้องเก็บรวบรวม ใช้ และเปิดเผยข้อมูลเหล่านั้นหรือไม่
• ถ้าจาเป็น ให้พิจารณาว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ม. 24 & ม. 26
(และ/หรือกฎหมายอื่น) ให้อานาจเก็บรวบรวม ใช้ และเปิดเผย โดยไม่
ต้องขอ Consent จากเจ้าของข้อมูลส่วนบุคคลหรือไม่ อ้างอิงบทใด
• หากไม่มี ให้ทบทวน Consent Form และ Consent Process ให้เป็นไป
ตาม พ.ร.บ. PDPA (ม.19)
• จัดทา Privacy Notice (ม. 23)
• Make sure ว่า เป็นไปตามวัตถุประสงค์และเท่าที่จาเป็น (ม.21-22)
• หากเก็บรวบรวมจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคล ให้พิจารณา
ว่าสอดคล้องกับ ม. 25 หรือไม่

85. 85
สรุปการบ้าน พ.ร.บ. PDPA
•สาหรับข้อมูลส่วนบุคคลต่างๆ ตามข้างต้น ให้พิจารณาว่า
• กรณีเฉพาะ
• มีข้อมูลใดที่ต้องขอ Consent แต่เป็นข้อมูลของผู้เยาว์ ผู้ไร้ความสามารถ ผู้
เสมือนไร้ความสามารถ ให้ทบทวนกระบวนการและเอกสาร Consent (ม.20)
• ข้อมูลที่ส่งหรือโอนไปยังต่างประเทศ สอดคล้องกับ ม.28
• ข้อมูลที่ได้เก็บรวบรวมไว้ก่อนวันที่ พ.ร.บ. นี้ใช้บังคับ สอดคล้องกับ ม.95
•Set ระบบการดาเนินการตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ
• กระบวนการและเอกสารการถอน Consent (ม.19)
• สิทธิของเจ้าของข้อมูลส่วนบุคคล (ม.30-36)
• การปรับกระบวนการทางานและระบบสารสนเทศให้บันทึกข้อมูลการใช้
และเปิดเผยข้อมูล

86. 86
สรุปการบ้าน พ.ร.บ. PDPA
• Set ระบบที่เป็นหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล
• หากเจ้าของข้อมูลส่วนบุคคลใช้สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็น
ข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ มีเงื่อนไขข้อยกเว้นที่ไม่
ต้องปฏิบัติหรือไม่ (ม.33)
• การดาเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความ
เข้าใจผิด (ม.35-36)
• การปรับกระบวนการทางานและระบบสารสนเทศให้บันทึกรายการเพื่อให้เจ้าของข้อมูล
ส่วนบุคคลและสานักงานสามารถตรวจสอบได้ (ม. 39)
• หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลตาม ม.37
• ย้า: ทบทวนมาตรการดูแล Cybersecurity ตาม ม.37 (1)
• การจัดทาข้อตกลง การทาหน้าที่ & Compliance ของผู้ประมวลผลข้อมูลส่วนบุคคล
ตาม ม.40 (Data Processor Agreement: DPA)

87. 87
สรุปการบ้าน พ.ร.บ. PDPA
•Set ระบบที่เป็นหน้าที่ความรับผิดชอบของผู้ประมวลผลข้อมูลส่วนบุคคล
• หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตาม ม.40
• ย้า: ทบทวนมาตรการดูแล Cybersecurity ตาม ม.40 (2)
• การจัดทาข้อตกลง การทาหน้าที่ และความรับผิดชอบ (Liability &
Indemnification) ระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูล
ส่วนบุคคล (Data Processor Agreement: DPA)
• การปรับกระบวนการทางานและระบบสารสนเทศให้บันทึกรายการสามารถ
ตรวจสอบได้ (ม. 40)

88. 88
สรุปการบ้าน พ.ร.บ. PDPA
• แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
(ม.41) และกากับให้ทาหน้าที่ตาม ม.42
• แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สานักงานคณะกรรมการคุ้มครองข้อมูล
ส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถ
กระทาได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิ
และเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อ
สิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคล
ทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย (ม.37(4))
• ทบทวนการดาเนินการให้ Comply ตาม พ.ร.บ. ทั้งฉบับ (รวมทั้ง
Compliance ตาม พ.ร.บ. อื่นๆ)

89. 89
Common Healthcare Use Cases
• Patient Care (Including Referrals)
• Emergency/Life-Saving
• Non-Emergency
• Occupational Health & Medicine / Welfare
• Healthcare Service Required by Law
• Elective
• Claims & Reimbursements / Public & Private Health Insurance
• Disease Control
• Disaster Management
• Public Health / Health Systems Management
• Health Professionals Training
• Quality Improvement/Audit/Quality Survey/Accreditation
• Human Subjects Research
• Medico-Legal & Ethical/Disciplinary/Investigative Uses
• Public Safety & National Security

90. 90
PDPA กับการวิจัย
• Research Not Involving Personally Identifiable Information (PII)
• Human Subject Research Involving Personally Identifiable
Information (PII)
• Authorized by Law (Legal Obligation, Public Task, Legitimate Interst vs.
Requiring Informed Consent)
• Prospective Research
• Informed Consent Feasible
• Informed Consent Not Feasible
• Retrospective Research
• De-identification Feasible
• De-identification Not Feasible

91. 91
Myths & Truths about PDPA in
Healthcare

92. 92
Myth #1
Myth: จะทา PDPA Compliance ไปทาไม
ในเมื่อทุกวันนี้ก็ถูกผู้ป่วยฟ้องตลอดอยู่แล้ว

93. 93
Myth #1
Myth: จะทา PDPA Compliance ไปทาไม
ในเมื่อทุกวันนี้ก็ถูกผู้ป่วยฟ้องตลอดอยู่แล้ว
Truth: PDPA มีบทลงโทษทั้งทางแพ่ง อาญา
และโทษทางปกครอง และหากเป็นข้อมูล
sensitive data ตามมาตรา 26 มีโทษทาง
อาญา ซึ่งรวมโทษจาคุกด้วย

94. 94

95. 95

96. 96

97. 97
Myth #2
Myth: Healthcare มีกฎหมาย
เฉพาะเรื่อง Privacy อยู่แล้ว ไม่ต้อง
ทาอะไรเพิ่มเติม

98. 98
Myth #2
Myth: Healthcare มีกฎหมายเฉพาะเรื่อง
Privacy อยู่แล้ว ไม่ต้องทาอะไรเพิ่มเติม
Truth: PDPA มีบทบัญญัติเรื่องการคุ้มครอง
ข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วน
บุคคล การร้องเรียน และกลไกต่างๆ เพิ่มเติม
จากกฎหมายใน Healthcare ที่ไม่ได้ลง
รายละเอียด แต่เนื้อหาไม่ได้ขัดแย้งกัน

99. 99
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ความสัมพันธ์กับกฎหมายอื่น (มาตรา 3)
• ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครอง
ข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้
โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการ
นั้น เว้นแต่
• (1) บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคล และบทบัญญัติเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล
รวมทั้งบทกาหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่ง
พ.ร.บ. นี้เป็นการเพิ่มเติม ไม่ว่าจะซ้ากับบทบัญญัติแห่งกฎหมายว่า
ด้วยการนั้นหรือไม่ก็ตาม
• (2) ฯลฯ

100. 100
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ความสัมพันธ์กับกฎหมายอื่น (มาตรา 3)
• ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลใน
ลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติ
แห่งกฎหมายว่าด้วยการนั้น เว้นแต่
• (1) ฯลฯ
• (2) บทบัญญัติเกี่ยวกับการร้องเรียน บทบัญญัติที่ให้อานาจแก่คณะกรรมการผู้เชี่ยวชาญ
ออกคาสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับอานาจหน้าที่ของ
พนักงานเจ้าหน้าที่ รวมทั้งบทกาหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่ง พ.ร.บ.
นี้ ในกรณีดังต่อไปนี้
• (ก) ในกรณีที่กฎหมายว่าด้วยการนั้นไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน
• (ข) ในกรณีที่กฎหมายว่าด้วยการนั้นมีบทบัญญัติที่ให้อานาจแก่เจ้าหน้าที่ผู้มีอานาจพิจารณาเรื่อง
ร้องเรียนตามกฎหมายดังกล่าวออกคาสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล แต่ไม่เพียงพอเท่ากับ
อานาจของคณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ. นี้และเจ้าหน้าที่ผู้มีอานาจตามกฎหมายดังกล่าว
ร้องขอต่อคณะกรรมการผู้เชี่ยวชาญหรือเจ้าของข้อมูลส่วนบุคคลผู้เสียหายยื่นคาร้องเรียนต่อ
คณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ. นี้ แล้วแต่กรณี

101. 101
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการใช้บังคับ (มาตรา 4)
• พ.ร.บ.นี้ไม่ใช้บังคับแก่
• (1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทาการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อ
ประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
• (2) การดาเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคง
ทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและ
ปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
• (3) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทาการเก็บรวบรวมไว้เฉพาะเพื่อกิจการ
สื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็น
ประโยชน์สาธารณะเท่านั้น
• (4) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอานาจ...
• (5) การพิจารณาพิพากษาคดีของศาลและการดาเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การ
บังคับคดี และการวางทรัพย์ รวมทั้งการดาเนินงานตามกระบวนการยุติธรรมทางอาญา
• (6) การดาเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูล
เครดิต

102. 102
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการใช้บังคับ (มาตรา 4)
• การยกเว้นไม่ให้นาบทบัญญัติแห่ง พ.ร.บ. นี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่
ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทานอง
เดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่น
ใด ให้ตราเป็นพระราชกฤษฎีกา
• ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง (2) (3) (4) (5) และ (6) และผู้ควบคุม
ข้อมูลส่วนบุคคลของหน่วยงานที่ได้รับยกเว้นตามที่กาหนดในพระราชกฤษฎีกา
ตามวรรคสอง ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้
เป็นไปตามมาตรฐานด้วย

103. 103
Myth #3
Myth: รพ. เราดูแลเรื่อง
cybersecurity ดีอยู่แล้ว
ไม่ต้องทาอะไรเพิ่มเติม

104. 104
Myth #3
Myth: รพ. เราดูแลเรื่อง cybersecurity ดีอยู่แล้ว
ไม่ต้องทาอะไรเพิ่มเติม
Truth: security กับ privacy เป็นการมองคนละ
มุมกัน แต่สัมพันธ์กัน แม้มีมาตรการ security ดีแล้ว
แต่เรื่องการเคารพ privacy & protect personal
data โดยเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล
อย่างเหมาะสม ก็ยังสาคัญ

105. 105
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House

106. 106
▪Privacy: “The ability of an individual or group to seclude
themselves or information about themselves and thereby
reveal themselves selectively.” (Wikipedia)
▪Security: “The degree of protection to safeguard ... person
against danger, damage, loss, and crime.” (Wikipedia)
▪Information Security: “Protecting information and information
systems from unauthorized access, use, disclosure, disruption,
modification, perusal, inspection, recording or destruction”
(Wikipedia)
Security & Privacy

107. 107
Confidentiality
•การรักษาความลับของข้อมูล
Integrity
•การรักษาความครบถ้วนและ
ความถูกต้องของข้อมูล
•ปราศจากการเปลี่ยนแปลงแก้ไข
ทาให้สูญหาย ทาให้เสียหาย
หรือถูกทาลายโดยมิชอบ
Availability
•การรักษาสภาพพร้อมใช้งาน
หลักการสาคัญของ Information Security

108. 108
Myth #4
Myth: ก็แค่จับคนไข้ที่
non-emergency มาเซ็น consent
ให้หมด ก็จบแล้ว

109. 109
Myth #4
Myth: ก็แค่จับคนไข้ที่ non-emergency
มาเซ็น consent ให้หมด ก็จบแล้ว
Truth: Consent ต้องทาโดยอิสระ ไม่มีผลต่อ
การให้บริการ ต้องถอนความยินยอมได้ และ
เมื่อถอนความยินยอม สามารถขอลบข้อมูลได้
“Consent ควรเป็น Last Resort
เมื่อใช้ฐานทางกฎหมายอื่นไม่ได้”

110. 110
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ความยินยอม (มาตรา 19)
• ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หาก
เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่ง พ.ร.บ.นี้
หรือกฎหมายอื่นบัญญัติให้กระทาได้
• การขอความยินยอมต้องทาโดยชัดแจ้ง เป็นหนังสือหรือทาโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดย
สภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
• ในการขอความยินยอม... ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือ
ข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทาให้
เข้าใจผิดในวัตถุประสงค์ดังกล่าว...
• ในการขอความยินยอม...ผู้ควบคุมข้อมูลส่วนบุคคลต้องคานึงอย่างถึงที่สุดในความเป็นอิสระของ
เจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทาสัญญาซึ่งรวมถึงการให้บริการใด ๆ
ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความ
จาเป็นหรือเกี่ยวข้องสาหรับการเข้าทาสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ

111. 111
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ความยินยอม (มาตรา 19)
• เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความ
ยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การ
ถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กาหนดไว้ใน
หมวดนี้
• ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้
ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการ
ถอนความยินยอมนั้น
• การขอความยินยอมที่ไม่เป็นไปตามที่กาหนด ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคค
และไม่ทาให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทาการเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลส่วนบุคคลได้

112. 112
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่
เป็นเจ้าของข้อมูลส่วนบุคคลได้ (มาตรา 33)
• (1) เมื่อข้อมูลส่วนบุคคลหมดความจาเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• (2) เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอานาจตามกฎหมายที่จะเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
• (3) เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ตามมาตรา 32 (1) และผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคาขอตามมาตรา 32 (1)
(ก) หรือ (ข) ได้ หรือเป็นการคัดค้านตามมาตรา 32 (2)
• (4) เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่
กาหนดไว้ในหมวดนี้

113. 113
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถ
ระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (มาตรา 33)
• ความในวรรคหนึ่งมิให้นามาใช้บังคับกับการเก็บรักษาไว้เพื่อวัตถุประสงค์ใน
การใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตาม
มาตรา 24 (1) หรือ (4) หรือมาตรา 26 (5) (ก) หรือ (ข) การใช้เพื่อการก่อตั้ง
สิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตาม
กฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติ
ตามกฎหมาย
• ฯลฯ

114. 114
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม (มาตรา 24)
• (1) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทาเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์
สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครอง
สิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกาหนด
• (2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
• (3) เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการ
ดาเนินการตามคาขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทาสัญญานั้น
• (4) เป็นการจาเป็นเพื่อการปฏิบัติหน้าที่ในการดาเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล
ส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อานาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
• (5) เป็นการจาเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือ
นิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสาคัญน้อยกว่าสิทธิขั้น
พื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
• (6) เป็นการปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล

115. 115
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ
ยินยอมโดยชัดแจ้ง (มาตรา 26)
• ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความ
เชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม
ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูล
ชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทานอง
เดียวกันตามที่คณะกรรมการประกาศกาหนด

116. 116
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
ซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใด
ก็ตาม
• (2) เป็นการดาเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม
ของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรที่มีวัตถุประสงค์เกี่ยวกับ
การเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานให้แก่สมาชิก ผู้ซึ่งเคยเป็น
สมาชิก หรือผู้ซึ่งมีการติดต่ออย่างสม่าเสมอกับมูลนิธิ สมาคม หรือองค์กรที่ไม่
แสวงหากาไรตามวัตถุประสงค์ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้น
ออกไปภายนอกมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรนั้น

117. 117
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของ
ข้อมูลส่วนบุคคล
• (4) เป็นการจาเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตาม
หรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตาม
กฎหมาย

118. 118
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทางาน
ของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม
การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้าน
สังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคล
นั้นอยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูล
ส่วนบุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่าง
เจ้าของข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์

119. 119
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ข) ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจาก
โรคติดต่ออันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือ
การควบคุมมาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้
มีมาตรการที่เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูล
ส่วนบุคคลโดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตาม
จริยธรรมแห่งวิชาชีพ

120. 120
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการ
เกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจาก
รถ หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจาเป็นใน
การปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วน
บุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์
ของเจ้าของข้อมูลส่วนบุคคล

121. 121
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์
สาธารณะอื่น ทั้งนี้ ต้องกระทาเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จาเป็น
เท่านั้น และได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและ
ประโยชน์ของเจ้าของข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกาหนด
• (จ) ประโยชน์สาธารณะที่สาคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครอง
สิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

122. 122
Myth #5
Myth: ถ้าเขาจะลบ
อยู่เฉยๆ ก็ต้องลบ

123. 123
Myth #5
Myth: ถ้าเขาจะลบ
อยู่เฉยๆ ก็ต้องลบ
Truth: หากเจ้าของข้อมูลส่วนบุคคลขอให้ลบ
ข้อมูล จะต้องพิจารณาตามข้อยกเว้นใน PDPA
หากไม่เข้าข้อยกเว้นที่อาจปฏิเสธได้ ก็ต้องลบ

124. 124
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่
เป็นเจ้าของข้อมูลส่วนบุคคลได้ (มาตรา 33)
• (1) เมื่อข้อมูลส่วนบุคคลหมดความจาเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• (2) เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอานาจตามกฎหมายที่จะเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
• (3) เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ตามมาตรา 32 (1) และผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคาขอตามมาตรา 32 (1)
(ก) หรือ (ข) ได้ หรือเป็นการคัดค้านตามมาตรา 32 (2)
• (4) เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่
กาหนดไว้ในหมวดนี้

125. 125
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถ
ระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (มาตรา 33)
• ความในวรรคหนึ่งมิให้นามาใช้บังคับกับการเก็บรักษาไว้เพื่อวัตถุประสงค์ใน
การใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตาม
มาตรา 24 (1) หรือ (4) หรือมาตรา 26 (5) (ก) หรือ (ข) การใช้เพื่อการก่อตั้ง
สิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตาม
กฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติ
ตามกฎหมาย
• ฯลฯ

126. 126
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

127. 127
Myth #6
Myth: เดี๋ยวไปเขียน Privacy Policy
เป็นนโยบายภายในของ รพ. ก็จบละ

128. 128
Myth #6
Myth: เดี๋ยวไปเขียน Privacy Policy เป็นนโยบาย
ภายในของ รพ. ก็จบละ
Truth: PDPA ไม่ได้กาหนดว่าต้องเขียน
“Privacy Policy” ซึ่งเป็นนโยบายภายในองค์กร
แต่กาหนดเงื่อนไขอื่นๆ ซึ่งรวมถึง Privacy Notice
ที่ต้องแจ้งเจ้าของข้อมูลส่วนบุคคลตามมาตรา 23
(คหสต.: ไม่แนะนาให้เรียก Privacy Notice ที่แจ้ง
เจ้าของข้อมูลส่วนบุคคล ว่า “Privacy Policy”)

129. 129
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การเก็บรวบรวมข้อมูลส่วนบุคคล
• การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จาเป็นภายใต้วัตถุประสงค์อัน
ชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 22)
• ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของ
ข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด
ดังต่อไปนี้ เว้นแต่ได้ทราบอยู่แล้ว (มาตรา 23) (Privacy Notice)
• (1) วัตถุประสงค์ของการเก็บรวบรวมเพื่อการนาข้อมูลส่วนบุคคลไปใช้หรือเปิดเผย
ซึ่งรวมถึงวัตถุประสงค์ตามที่มาตรา 24 ให้อานาจในการเก็บรวบรวมได้โดยไม่ได้
รับความยินยอม
• (2) แจ้งให้ทราบถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลต้องให้ข้อมูลส่วนบุคคลเพื่อ
ปฏิบัติตามกฎหมายหรือสัญญาหรือมีความจาเป็นต้องให้ข้อมูลส่วนบุคคลเพื่อเข้า
ทาสัญญา รวมทั้งแจ้งถึงผลกระทบที่เป็นไปได้จากการไม่ให้ข้อมูลส่วนบุคคล
• (3) ฯลฯ

130. 130
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การเก็บรวบรวมข้อมูลส่วนบุคคล
• ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องแจ้งให้เจ้าของ
ข้อมูลส่วนบุคคลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลถึงรายละเอียด
ดังต่อไปนี้ เว้นแต่ได้ทราบอยู่แล้ว (มาตรา 23) (Privacy Notice)
• (3) ข้อมูลส่วนบุคคลที่จะมีการเก็บรวบรวมและระยะเวลาในการเก็บรวบรวมไว้
ทั้งนี้ ในกรณีที่ไม่สามารถกาหนดระยะเวลาดังกล่าวได้ชัดเจน ให้กาหนด
ระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม
• (4) ประเภทของบุคคลหรือหน่วยงานซึ่งข้อมูลส่วนบุคคลที่เก็บรวบรวมอาจจะถูก
เปิดเผย
• (5) ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อ ใน
กรณีที่มีตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ให้แจ้งด้วย
• (6) สิทธิของเจ้าของข้อมูลส่วนบุคคลตามมาตรา 19 วรรคห้า, 30-34, 36, 73

131. 131
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล (มาตรา 37)
• (1) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม...ทั้งนี้ ให้เป็นไปตาม
มาตรฐานขั้นต่าที่คณะกรรมการประกาศกาหนด
• (2) ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วน
บุคคล ต้องดาเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจาก
อานาจหรือโดยมิชอบ
• (3) จัดให้มีระบบการตรวจสอบเพื่อดาเนินการลบหรือทาลายข้อมูลส่วนบุคคลเมื่อพ้น
กาหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจาเป็นตามวัตถุประสงค์
... หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือได้ถอนความยินยอม เว้นแต่ ฯลฯ
• (4) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สานักงานโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่
ทราบเหตุเท่าที่จะสามารถกระทาได้ เว้นแต่ ฯลฯ
• (5) ในกรณีที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามมาตรา 5 วรรคสอง ต้องแต่งตั้งตัวแทน
ของผู้ควบคุมข้อมูลส่วนบุคคลเป็นหนังสือซึ่งต้องอยู่ในราชอาณาจักร...

132. 132
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล (มาตรา 40)
• (1) ดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคาสั่งที่ได้รับ
จากผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่คาสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติใน
การคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ. นี้
• (2) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย
เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอานาจหรือโดย
มิชอบ รวมทั้งแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่
เกิดขึ้น
• (3) จัดทาและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลไว้
ตามหลักเกณฑ์และวิธีการที่คณะกรรมการประกาศกาหนด
• ...การดาเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามที่ได้รับมอบหมายจาก
ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มีข้อตกลง
ระหว่างกันเพื่อควบคุมการดาเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล...

133. 133
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) (มาตรา 41)
• ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มีเจ้าหน้าที่
คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้
• (1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐ
ตามที่คณะกรรมการประกาศกาหนด
• (2) การดาเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล
ในการเก็บรวบรวม ใช้ หรือเปิดเผย จาเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบ
อย่างสม่าเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจานวนมากตามที่คณะกรรมการประกาศ
กาหนด
• (3) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็น
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26
• ฯลฯ

134. 134
Myth #7
Myth: ต่อไปนี้ ปฏิเสธการส่งข้อมูลให้กับ
กองทุนประกันสุขภาพต่าง ๆ ได้แล้วสินะ

135. 135
Myth #7
Myth: ต่อไปนี้ ปฏิเสธการส่งข้อมูลให้กับ
กองทุนประกันสุขภาพต่าง ๆ ได้แล้วสินะ
Truth: PDPA และกฎหมายของกองทุน
รองรับการส่งข้อมูลเพื่อการเบิกจ่ายการ
รักษาพยาบาลโดยถูกต้องตามกฎหมาย

136. 136
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• การเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ
ยินยอมโดยชัดแจ้ง (มาตรา 26)
• ข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความ
เชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม
ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูล
ชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทานอง
เดียวกันตามที่คณะกรรมการประกาศกาหนด

137. 137
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้
รับความยินยอมโดยชัดแจ้ง (มาตรา 26)
• (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์
เกี่ยวกับ
• (ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการ
เกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจาก
รถ หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจาเป็นใน
การปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วน
บุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์
ของเจ้าของข้อมูลส่วนบุคคล