Health IT Laws and PDPA (October 12, 2021)

1
กฎหมายเกี่ยวกับ IT ทางการแพทย์และ PDPA
นพ.นวนรรน ธีระอัมพรพันธุ์
คณะแพทยศาสตร์
โรงพยาบาลรามาธิบดี
12 ตุลาคม 2564 www.SlideShare.net/Nawanan

2
กฎหมายที่เกี่ยวข้องกับ IT ด้านสุขภาพ
▪ กฎหมาย ICT
▪ กฎหมายทรัพย์สินทางปัญญา
▪ กฎหมายเกี่ยวกับข้อมูลข่าวสาร
▪ กฎหมายสุขภาพ/กฎหมายการแพทย์

3
▪ Computer Crimes
▪ Electronic Transactions & Electronic Signatures
▪ E-commerce, Cyber Law
▪ Personal Data Protection Law (Generic)
▪ Cybersecurity Law
▪ Digital Government Law
กฎหมาย ICT

4
▪ พ.ร.บ.การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ
พ.ร.บ.การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560
▪ กาหนดการกระทาที่ถือเป็นความผิด และหน้าที่ของผู้
ให้บริการ (เช่น การบันทึกข้อมูลจราจรทางคอมพิวเตอร์)

5
▪ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และที่แก้ไขเพิ่มเติม
▪ รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์ การรับส่งข้อมูล
อิเล็กทรอนิกส์ การใช้ลายมือชื่ออิเล็กทรอนิกส์ (electronic signature)
และกาหนดหลักเกณฑ์ต่างๆ ที่เกี่ยวข้องกับการทาธุรกรรมทาง
อิเล็กทรอนิกส์ (electronic transaction)

6
▪ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
▪ พ.ร.บ.การบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ.
2562

7
▪ กฎหมายลิขสิทธิ์
▪ กฎหมายสิทธิบัตร
▪ กฎหมายเครื่องหมายการค้า
▪ กฎหมายความลับทางการค้า
▪ etc.
กฎหมายทรัพย์สินทางปัญญา

8
Examples
▪ Freedom of Information Act (U.S.)
▪ พรบ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 (Thailand)
กฎหมายเกี่ยวกับข้อมูลข่าวสาร

9
▪ กฎหมายเกี่ยวกับสถานพยาบาล
▪ กฎหมายเกี่ยวกับผู้ประกอบวิชาชีพด้านสุขภาพ
▪ กฎหมายอื่นๆ ที่เกี่ยวข้องกับสุขภาพ
▪กฎหมายเกี่ยวกับอาหาร ยา และเครื่องมือแพทย์
▪กฎหมายเกี่ยวกับระบบสุขภาพ และหลักประกันสุขภาพ
▪กฎหมายเกี่ยวกับการแพทย์ฉุกเฉิน
กฎหมายสุขภาพ/กฎหมายการแพทย์

10
▪ พรบ.สถานพยาบาล พ.ศ. 2541 และ (ฉบับที่ 2) พ.ศ. 2547
▪ พรบ.วิชาชีพเวชกรรม พ.ศ. 2525
▪ พรบ.วิชาชีพการพยาบาลและการผดุงครรภ์ พ.ศ. 2528 และฉบับที่ 2)
พ.ศ. 2540
▪ พรบ.ของวิชาชีพอื่นๆ ด้านสุขภาพ
▪ พรบ.หลักประกันสุขภาพแห่งชาติ พ.ศ. 2545
▪ พรบ.สุขภาพแห่งชาติ พ.ศ. 2550 และ (ฉบับที่ 2) พ.ศ. 2553
▪ พรบ.การแพทย์ฉุกเฉิน พ.ศ. 2551
▪ พรบ.เครื่องมือแพทย์ พ.ศ. 2551
กฎหมายสุขภาพ/กฎหมายการแพทย์ของไทย

12
Malware
Case #1: ภัยคุกคามด้าน Security

13
▪ Confidentiality (ข้อมูลความลับ)
▪ Integrity (การแก้ไข/ลบ/เพิ่มข้อมูลโดยมิชอบ)
▪ Availability (ระบบล่ม ใช้การไม่ได้)
สิ่งที่เป็นเป้าหมายการโจมตี: CIA Triad

14
ผลกระทบ/ความเสียหาย
• ความลับถูกเปิดเผย
• ความเสี่ยงต่อชีวิต สุขภาพ จิตใจ การเงิน และ
การงานของบุคคล
• ระบบล่ม การให้บริการมีปัญหา
• ภาพลักษณ์ขององค์กรเสียหาย

15
แหล่งที่มาของการโจมตี
• Hackers
• Viruses & Malware
• ระบบที่มีปัญหาข้อผิดพลาด/ช่องโหว่
• Insiders (บุคลากรที่มีเจตนาร้าย)
• การขาดความตระหนักของบุคลากร
• ภัยพิบัติ

16
กฎหมาย IT Security

17
พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ (Computer-Related Crimes)
ตัวอย่าง?
–อาชญากรรมทางคอมพิวเตอร์ (Computer Crimes)
• เช่น Hacking, การเปิดเผยข้อมูลที่เป็นความลับ, การดักฟัง
ข้อมูล
–การกระทาความผิดที่มีคอมพิวเตอร์เป็นเครื่องมือ (Crimes Using
Computers as Tools)
• เช่น การเผยแพร่ภาพลามก
• การโพสต์ข้อความที่เป็นภัยต่อความมั่นคง
• การตัดต่อภาพเพื่อให้ผู้อื่นเสียหาย

18
ผู้ให้บริการ หมายรวมถึง
1. ผู้ประกอบกิจการโทรคมนาคมและกิจการกระจายภาพและ
เสียง (Telecommunication and Broadcast Carriers)
2. ผู้ให้บริการการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ (Access
Service Provider)
3. ผู้ให้บริการเช่าระบบคอมพิวเตอร์เพื่อให้บริการโปรแกรม
ประยุกต์ต่างๆ (Hosting Service Provider
4. ผู้ให้บริการร้านอินเทอร์เน็ต
5. ผู้ให้บริการข้อมูลคอมพิวเตอร์ผ่าน Application ต่างๆ เช่น ผู้
ให้บริการเว็บบอร์ด, Blog, e-Commerce ฯลฯ

19
หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์
• มาตรา 5 การเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มี
มาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้น
มิได้มีไว้สาหรับตน (Unauthorized access)
– เช่น การเจาะระบบ (hacking), การ hack รหัสผ่านคนอื่น
– การเข้าถึงทางกายภาพ หรือทางเครือข่ายก็ได้
• มาตรา 6 การเปิดเผยโดยมิชอบซึ่งมาตรการป้องกันการ
เข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทาขึ้นเป็นการเฉพาะที่
ได้ล่วงรู้มา ในประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น
– เช่น เปิดเผยรหัสผ่านของผู้อื่นโดยไม่ได้รับอนุญาต

20
• มาตรา 7 การเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกัน
การเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สาหรับตน
(Unauthorized access)
– เช่น การนาข้อมูลคอมพิวเตอร์ของผู้อื่นไปพยายามถอดรหัสเพื่ออ่านเนื้อความ
• มาตรา 8 การกระทาโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับ
ไว้ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบ
คอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะ
หรือเพื่อให้บุคคลทั่วไปใช้ประโยชน์ได้
– เช่น การดักฟังข้อมูลผ่านเครือข่าย
• มาตรา 9 การทาให้เสียหาย ทาลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่
ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ
– เช่น การลบหรือแก้ไขข้อมูลของผู้อื่น โดยมีเจตนาร้าย

21
• มาตรา 10 การกระทาโดยมิชอบ เพื่อให้การทางานของระบบคอมพิวเตอร์
ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทางาน
ตามปกติได้
– เช่น Denial of Service (DoS) Attack = การโจมตีให้เว็บล่ม
• มาตรา 11 การส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคล
อื่นโดยปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็น
การรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข
– เช่น ส่ง spam e-mail
• มาตรา 13 การจาหน่ายหรือเผยแพร่ชุดคาสั่งเพื่อนาไปใช้เป็นเครื่องมือใน
การกระทาความผิดตาม พรบ. นี้
– เช่น การเผยแพร่ซอฟต์แวร์เจาะระบบ
แก้ไขโดย (ฉบับที่ 2) พ.ศ. 2560

22
• มาตรา 14
(1) โดยทุจริต หรือโดยหลอกลวง นาเข้าสู่ระบบคอมพิวเตอร์ซึ่ง
ข้อมูลคอมพิวเตอร์ที่บิดเบือนหรือปลอมไม่ว่าทั้งหมดหรือบางส่วน
หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความ
เสียหายแก่ประชาชน อันมิใช่การกระทาความผิดฐานหมิ่นประมาท
(2) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดย
ประการที่น่าจะเกิดความเสียหายต่อการรักษาความมั่นคงปลอดภัย
ของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจ
ของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะของ
ประเทศ หรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน
(3) ...

23
• มาตรา 14
(1) ...
(2) ...
(3) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ อันเป็น
ความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิด
เกี่ยวกับการก่อการร้าย
(4) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ ที่มีลักษณะอัน
ลามกและข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้
(5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ตาม (1)-(4)

24
• มาตรา 15 ความรับผิดกรณีผู้ให้บริการให้ความร่วมมือ ยินยอม
หรือรู้เห็นเป็นใจให้มีการกระทาความผิดตามมาตรา 14 ในระบบ
คอมพิวเตอร์ที่อยู่ในความควบคุมของตน
• มาตรา 16 ผู้ใดนาเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจ
เข้าถึงได้ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และ
ภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติม หรือดัดแปลง
ด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด โดยประการที่
น่าจะทาให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับ
ความอับอาย (รวมทั้งการกระทาต่อภาพของผู้ตาย)

25
หมวด 2 พนักงานเจ้าหน้าที่
• มาตรา 18 อานาจของพนักงานเจ้าหน้าที่
(1) มีหนังสือสอบถามหรือเรียกบุคคลมาให้ถ้อยคา ส่งคาชี้แจง หรือส่งหลักฐาน
(2) เรียกข้อมูลจราจรทางคอมพิวเตอร์จากผู้ให้บริการ
(3) สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการที่ต้องเก็บ
(4) ทาสาเนาข้อมูลคอมพิวเตอร์ ข้อมูลจราจรทางคอมพิวเตอร์
(5) สั่งให้บุคคลซึ่งครอบครองหรือควบคุมข้อมูลคอมพิวเตอร์ ส่งมอบข้อมูลหรืออุปกรณ์
(6) ตรวจสอบหรือเข้าถึงระบบคอมพิวเตอร์ ข้อมูล หรืออุปกรณ์ที่เป็นหลักฐาน
(7) ถอดรหัสลับของข้อมูล หรือสั่งให้บุคคลทาการถอดรหัสลับ หรือให้ความร่วมมือ
(8) ยึดหรืออายัดระบบคอมพิวเตอร์เท่าที่จาเป็น

26
• มาตรา 19-21 การยื่นคาร้องต่อศาลของพนักงานเจ้าหน้าที่
เกี่ยวกับการปฏิบัติหน้าที่ตาม พรบ. นี้ โดยกาหนดอานาจหน้าที่
ของคณะกรรมการกลั่นกรองข้อมูลคอมพิวเตอร์
• มาตรา 26 ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทาง
คอมพิวเตอร์ไว้ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่
ระบบคอมพิวเตอร์...
• ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการเท่าที่จาเป็น
เพื่อให้สามารถระบุตัวผู้ใช้บริการนับตั้งแต่เริ่มใช้บริการและต้อง
เก็บรักษาไว้เป็นเวลาไม่น้อยกว่า 90 วัน นับตั้งแต่การใช้บริการ
สิ้นสุดลง (พนักงานเจ้าหน้าที่อาจขอขยายได้ไม่เกิน 2 ปี)

27
กฎหมายว่าด้วย
ธุรกรรมทางอิเล็กทรอนิกส์

28
• ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ
ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล
อิเล็กทรอนิกส์ (มาตรา 7)
• ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้
วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้
(มาตรา 9)
• ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทาตามวิธีการแบบปลอดภัยที่
กาหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25)
• คาขอ การอนุญาต การจดทะเบียน คาสั่งทางปกครอง การชาระเงิน
การประกาศ หรือการดาเนินการใดๆ ตามกฎหมายกับหน่วยงานของ
รัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทาในรูปของข้อมูล
อิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กาหนดโดย พรฎ.
• ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35)
ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

29
• พรฎ.กาหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนา
กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549
• ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
– เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555
• กาหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูล
อิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทน
ต้นฉบับได้
– เรื่อง หลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความให้
อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553
• กาหนดหลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความที่ได้มี
การจัดทาหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง
– เรื่อง แนวทางการจัดทาแนวนโยบาย (Certificate Policy) และแนว
ปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออก
ใบรับรองอิเล็กทรอนิกส์ (Certificate Authority) พ.ศ. 2552
• ว่าด้วยการให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certificate)
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

30
• พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรม
ทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษา
ความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ
พ.ศ. 2553
• กาหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มี
การทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ พ.ศ.
2553
• กาหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มี
การทาธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ

31
• พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชาระเงิน
ทางอิเล็กทรอนิกส์ พ.ศ. 2551
• ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทาง
ปกครองสาหรับผู้ประกอบธุรกิจให้บริการการชาระเงิน
ทางอิเล็กทรอนิกส์ พ.ศ. 2554
• ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการ
ประกอบธุรกิจบริการการชาระเงินทางอิเล็กทรอนิกส์
พ.ศ. 2552
• ประกาศ ธปท. ที่เกี่ยวข้อง

32
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. 2553
– ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์
และหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรม
ทางอิเล็กทรอนิกส์ตามวิธีการแบบปลอดภัย พ.ศ. 2555
• หลักเกณฑ์การประเมินเพื่อกาหนดระดับวิธีการแบบ
ปลอดภัยขั้นต่า
– ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัย
ของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ.
2555
• กาหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่
ละระดับ

33
• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
• สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
สานักงานปลัดกระทรวง กระทรวงเทคโนโลยี
สารสนเทศและการสื่อสาร
• สานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การ
มหาชน) หรือ สพธอ.
– Electronic Transactions Development Agency
(Public Organization) - ETDA
หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

34
• มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
– “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทาตามวิธีการแบบ
ปลอดภัยที่กาหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็น
วิธีการที่เชื่อถือได้
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. 2553
– วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด)
– จาแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มี
ผลกระทบต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ
หรือต่อสาธารณชน) หรือจาแนกตามหน่วยงาน (ธุรกรรมของ
หน่วยงานหรือองค์กรที่ถือเป็นโครงสร้างพื้นฐานสาคัญของ
ประเทศ หรือ Critical Infrastructure)
“วิธีการแบบปลอดภัย”

35
ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้
• ด้านการชาระเงินทางอิเล็กทรอนิกส์
• ด้านการเงินของธนาคารพาณิชย์
• ด้านประกันภัย
• ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์
• ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของ
บุคคลหรือทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสาร
มหาชนหรือที่เป็นข้อมูลสาธารณะ
• ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการ
สาธารณะที่ต้องดาเนินการอย่างต่อเนื่องตลอดเวลา
วิธีการแบบปลอดภัยในระดับเคร่งครัด

36
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบ
เทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็น
แนวทางในการประเมินระดับผลกระทบ ซึ่งต้อง
ประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก
Worst Case Scenario ใน 1 วัน)
• ผลกระทบด้านมูลค่าความเสียหายทางการเงิน
– ต่า: ≤ 1 ล้านบาท
– ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท
– สูง: > 100 ล้านบาท
ระดับผลกระทบกับวิธีการแบบปลอดภัย

37
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบ
เทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็น
แนวทางในการประเมินระดับผลกระทบ ซึ่งต้องประเมินผล
กระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case
Scenario ใน 1 วัน)
• ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจ
ได้รับอันตรายต่อชีวิต ร่างกาย หรืออนามัย
– ต่า: ไม่มี
– ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน
– สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อ
ชีวิตตั้งแต่ 1 คน

38
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการ
ประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้
ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)
• ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับ
ความเสียหายอื่นใด
– ต่า: ≤ 10,000 คน
– ปานกลาง: 10,000 < จานวนผู้ได้รับผลกระทบ ≤ 100,000 คน
– สูง: > 100,000 คน
• ผลกระทบด้านความมั่นคงของรัฐ
– ต่า: ไม่มีผลกระทบต่อความมั่นคงของรัฐ
– สูง: มีผลกระทบต่อความมั่นคงของรัฐ

39
• พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์
• พิจารณาตามระดับผลกระทบ
– ถ้ามีผลประเมินที่เป็นผลกระทบในระดับสูง 1 ด้าน ให้
ใช้วิธีการแบบปลอดภัยระดับเคร่งครัด
– ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัย
ระดับกลาง
– นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน
สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย

40
• อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology -
Security techniques - Information security management
systems - Requirements
• มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19
ธ.ค. 2555) คือ 14 ธ.ค. 2556
• ไม่มีบทกาหนดโทษ เป็นเพียงมาตรฐานสาหรับ “วิธีการที่เชื่อถือได้” ใน
การพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทาง
อิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้าหนักการนาข้อมูล
อิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการ
ดาเนินการทางกฎหมาย
• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่
รายชื่อหน่วยงานที่มีการจัดทานโยบายและแนวปฏิบัติโดยสอดคล้องกับ
วิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้
ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย

41
• แบ่งเป็น 11 หมวด (Domains)
– Security policy
– Organization of information security
– Asset management
– Human resources security
– Physical and environmental security
– Communications and operations management
– Access control
– Information systems acquisition, development and
maintenance
– Information security incident management
– Business continuity management
– Regulatory compliance
มาตรฐาน Security ตามวิธีการแบบปลอดภัย

42
มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ
หมวด (Domain) ระดับพื้นฐาน ระดับกลาง
(เพิ่มเติมจากระดับพื้นฐาน)
ระดับสูง
(เพิ่มเติมจากระดับกลาง)
Security policy 1 ข้อ 1 ข้อ -
Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ
Asset management 1 ข้อ 4 ข้อ -
Human resources security 6 ข้อ 1 ข้อ 2 ข้อ
Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ
Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ
Access control 9 ข้อ 8 ข้อ 8 ข้อ
Information systems acquisition,
development and maintenance
2 ข้อ 6 ข้อ 8 ข้อ
Information security incident management 1 ข้อ - 3 ข้อ
Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ
Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ
รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)

43
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House

44
แนวทางการคุ้มครอง Privacy
• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations
• Enforcement
• Ongoing privacy & security assessments,
monitoring, and protection

45
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 (PDPA)
นพ.นวนรรน ธีระอัมพรพันธุ์
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล
12 ตุลาคม 2564
www.SlideShare.net/Nawanan
บรรยายให้กับหลักสูตร CEO50 โรงเรียนการบริหารงานโรงพยาบาล

46
Disclaimer: เป็นความเห็นทางวิชาการส่วนบุคคล
ไม่ผูกพันการทาหน้าที่ในบทบาทใดในปัจจุบัน
หรืออนาคต

47
Outline
•ตัวอย่างกฎหมาย Information Privacy ก่อนยุค PDPA
•ข้อจากัดของกฎหมาย Information Privacy ของไทย ก่อนยุค
PDPA
•Overview ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
(PDPA)
•Myths & Truths about PDPA
•PDPA & Enterprise Risk Management
•Supplemental Slides on PDPA (for Reference Only)

48
ตัวอย่างกฎหมาย Information Privacy
ก่อนยุค PDPA (Existing Laws)

49
Relevant Ethical Principles
Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของบุคคล)
Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย)
“First, Do No Harm.”

50
ประมวลกฎหมายอาญา
มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็นเจ้าพนักงาน
ผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจาหน่ายยา นางผดุง
ครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วยในการประกอบอาชีพนั้น แล้ว
เปิดเผยความลับนั้นในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้อง
ระวางโทษจาคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ
ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผยความลับของผู้อื่น
อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความ
เสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษเช่นเดียวกัน

51
ข้อบังคับแพทยสภา ว่าด้วยการรักษาจริยธรรม
แห่งวิชาชีพเวชกรรม พ.ศ. 2549
วิชาชีพอื่นๆ ด้านสุขภาพ และคณะกรรมการประกอบโรคศิลปะ มีข้อบังคับใน
ทานองเดียวกัน

52
คาประกาศสิทธิและข้อพึงปฏิบัติของผู้ปววย
7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่
ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่
ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรง
ของผู้ป่วยหรือตามกฎหมาย

53
พรบ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540
“เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น”
มาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้
หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคาสั่งมิให้เปิดเผยก็ได้ โดยคานึงถึง
การปฏิบัติหน้าที่ตามกฎหมาย...ประกอบกัน...
(5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการ
รุกล้าสิทธิส่วนบุคคลโดยไม่สมควร
(6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย...

54
พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
และที่แก้ไขเพิ่มเติม

55
พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะ
นาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การ
เปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมาย
เฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือ
สิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอ
เอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้

56
ประกาศคณะกรรมการสุขภาพแห่งชาติ เรื่อง แนวทางปฏิบัติในการ
ใช้งานสื่อสังคมออนไลน์ของผู้ปฏิบัติงานด้านสุขภาพ พ.ศ. 2559
http://www.ratchakitcha.soc.go.th/DATA/PDF/2560/E/088/12.PDF

57

58

59
กฎหมายเฉพาะ
• พรบ.สถานพยาบาล พ.ศ. 2541 และที่แก้ไขเพิ่มเติม

60
กฎหมายเฉพาะ • พรบ.สถานพยาบาล พ.ศ. 2541 และที่แก้ไขเพิ่มเติม

61
• พรบ.โรคติดต่อ พ.ศ. 2558

62
• พรบ.สุขภาพจิต พ.ศ. 2551

63
• พรบ.สุขภาพจิต พ.ศ. 2551

64
• พรบ.สุขภาพจิต (ฉบับที่ 2) พ.ศ. 2562

65
• พรบ.หลักประกันสุขภาพแห่งชาติ พ.ศ. 2545

66
• พรบ.หลักประกันสุขภาพแห่งชาติ พ.ศ. 2545

67
• พรบ.ประกันสังคม พ.ศ. 2533

68
• พรฎ.เงินสวัสดิการเกี่ยวกับการรักษาพยาบาล พ.ศ. 2553

69
• พรบ.ระบบสุขภาพปฐมภูมิ พ.ศ. 2562

70

71

72

73
ระเบียบกระทรวงสาธารณสุข

75
ข้อจากัดของกฎหมาย Information Privacy
ของไทย ก่อนยุค PDPA

76
ปัญหาของกฎหมาย Information Privacy
ไทย ก่อนยุค PDPA
• เป็น sectoral privacy law (เช่น healthcare sector) จึงอาจมี
มาตรฐานแตกต่างจาก sector อื่น
• หน่วยงานของรัฐ ถูกกากับโดย พ.ร.บ.ข้อมูลข่าวสารของราชการ ด้วย
แต่ไม่รวมหน่วยงานภาคเอกชน ทาให้มีมาตรฐานแตกต่างกัน
• ไม่มีบทบัญญัติบังคับให้หน่วยงานมีการจัดการเชิงระบบเพื่อคุ้มครอง
Privacy อย่างชัดเจน

77
• กฎหมายในอดีตเขียนอานาจหน้าที่ในการต้องเปิดเผยข้อมูล
สุขภาพของผู้ป่วยไม่ชัดเจน
• ในสถานการณ์จริงบางกรณีไม่มีบทบัญญัติทางกฎหมายรองรับ?

78
• ปัญหาของ พรบ.สุขภาพแห่งชาติ มาตรา 7
• “ในประการที่น่าจะทาให้บุคคลนั้นเสียหาย” เป็น Subjective
Value Judgment และขัดกับแนวคิด Privacy ทั่วไปที่มุ่ง
คุ้มครอง Privacy ของข้อมูลสุขภาพ โดยไม่สนใจความเสียหาย
• เงื่อนไขข้อยกเว้นไม่ครอบคลุม (ต่างจาก HIPAA ที่ระบุไว้ชัด
มาก)
• ไม่ให้อานาจในการออกข้อยกเว้น

79
• ปัญหาของ พรบ.สุขภาพแห่งชาติ มาตรา 7
• การให้ความยินยอมแทนโดยญาติ ไม่ชัดเจน และมีปัญหาในทางปฏิบัติ
• ไม่ให้อานาจในการออกหลักเกณฑ์ วิธีการ และเงื่อนไขในทางปฏิบัติ (เช่น การ
ขอความยินยอมของผู้ป่วย)
• มุ่งเน้นเรื่องการเปิดเผยข้อมูล แต่ไม่รวมเรื่องการเก็บรวบรวมและการใช้ข้อมูล
• ไม่ได้กาหนดหลักการของ Sensitive Personal Information
• มุ่งเน้นเพียงด้าน Privacy แต่ไม่ได้กาหนดหลักเกณฑ์ วิธีการ และเงื่อนไขด้าน
Security
• ไม่ได้ Balance กับความเสี่ยงอีกด้าน คือ ให้ข้อมูลผู้ป่วยไม่ครบ เกิดความเสี่ยง
ในการวินิจฉัยรักษาโรค
• ขาดเรื่อง Breach Notification

81
Overview ของ พ.ร.บ.คุ้มครองข้อมูล
ส่วนบุคคล พ.ศ. 2562 (PDPA)

82
TDPG 1.0
TDPG 2.0
TDPG 3.0
TDPG 3.1 for Investment Banking Activities
https://www.law.chula.ac.th/wp-content/
uploads/2020/12/TDPG3.0-C5-20201208.pdf
คณะนิติศาสตร์
จุฬาลงกรณ์มหาวิทยาลัย

83
Timeline พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• 6 ม.ค. 2558 ครม. อนุมัติหลักการร่างกฎหมายเพื่อรองรับการพัฒนาเศรษฐกิจดิจิทัลของ
ประเทศ จานวน 8 ฉบับ
• ก.ค. 2558 สานักงานคณะกรรมการกฤษฎีกาตรวจพิจารณาร่างเสร็จแล้ว
(เรื่องเสร็จที่ 1135/2558)
• 16 พ.ย. 2559 กระทรวง DE รับฟังความคิดเห็นเป็นการทั่วไป ณ โรงแรมเอทัส ลุมพินี
• 15-17 ส.ค. 2560 กระทรวง DE รับฟังความคิดเห็นโดยการจัดประชุม Focus Group ร่วมกับ
หน่วยงานภาครัฐ ภาคเอกชน ภาควิชาการ และภาคประชาสังคมที่เกี่ยวข้อง
ณ กระทรวง DE
• 24-30 ม.ค. 2561 กระทรวง DE รับฟังความคิดเห็นจากตัวแทนผู้มีส่วนได้เสีย ณ กระทรวง DE
• 22 ม.ค. - 6 ก.พ. 2561 กระทรวง DE รับฟังความคิดเห็นผ่านเว็บไซต์และ e-mail
• 22 พ.ค. 2561 ครม. อนุมัติหลักการร่าง พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ....
• 5-20 ก.ย. 2561 กระทรวง DE รับฟังความคิดเห็นผ่านเว็บไซต์ (ประชุม 11 ก.ย. 2651)
• 28 ธ.ค. 2561 สนช. รับหลักการในวาระที่ 1
• 27-28 ก.พ. 2562 สนช. เห็นชอบในวาระที่ 2-3
• 27 พ.ค. 2562 ประกาศในราชกิจจานุเบกษา
• 27 พ.ค. 2563 บทบัญญัติเรื่องสิทธิและหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลมีผลใช้บังคับ
(แต่ยกเว้นการบังคับใช้จนถึง 31 พ.ค. 2565)

84
เหตุผลในการประกาศใช้
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

85
• หมวด 1 คณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคล
• หมวด 2 การคุ้มครองข้อมูลส่วน
บุคคล
• ส่วนที่ 1 บททั่วไป
• ส่วนที่ 2 การเก็บรวบรวมข้อมูล
ส่วนบุคคล
• ส่วนที่ 3 การใช้หรือเปิดเผย
ข้อมูลส่วนบุคคล
• หมวด 3 สิทธิของเจ้าของข้อมูล
• หมวด 4 สานักงานคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคล
• หมวด 5 การร้องเรียน
• หมวด 6 ความรับผิดทางแพ่ง
• หมวด 7 บทกาหนดโทษ
• ส่วนที่ 1 โทษอาญา
• ส่วนที่ 2 โทษทางปกครอง
• บทเฉพาะกาล

86
กรรมการผู้ทรงคุณวุฒิในคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ตามมติ ครม. 19 พ.ค. 2563 (รอประกาศในราชกิจจานุเบกษา)
https://www.prachachat.net/general/news-466309

87
ตั้งแต่วันถัดจากวันประกาศใน
ราชกิจจานุเบกษา
• หมวด 1 คณะกรรมการคุ้มครองข้อมูล
• หมวด 4 สานักงานคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคล
• บทเฉพาะกาล (ยกเว้นมาตรา 95, 96)
เมื่อพ้นกาหนดหนึ่งปีนับแต่วัน
ประกาศในราชกิจจานุเบกษา
• หมวด 2 การคุ้มครองข้อมูลส่วนบุคคล
• หมวด 3 สิทธิของเจ้าของข้อมูลส่วน
บุคคล
• หมวด 5 การร้องเรียน
• หมวด 6 ความรับผิดทางแพ่ง
• หมวด 7 บทกาหนดโทษ
• บทเฉพาะกาล เฉพาะมาตรา 95 (การ
เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลที่
เก็บรวบรวมไว้ก่อนวันที่ พ.ร.บ. นี้ใช้
บังคับ), มาตรา 96 (ระยะเวลาในการ
ดาเนินการออกระเบียบ และประกาศ
ตาม พ.ร.บ. นี้)
ตั้งแต่ 27 พ.ค. 2563 แต่ยกเว้น
การบังคับใช้จนถึง 31 พ.ค. 2565
ตั้งแต่ 28 พ.ค. 2562

88
เก็บรวบรวม
(Collection)
ใช้ (Use)
เปิดเผย
(Disclosure)
กระบวนการเกี่ยวกับข้อมูลส่วนบุคคล
ประมวลผล (Process) = เก็บรวบรวม + ใช้ + เปิดเผย
(+ จัดเก็บ + วิเคราะห์ + ทาลาย + แสดงผล ฯลฯ)

112
สิทธิขอเข้าถึงและขอรับสาเนาข้อมูล
สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตน
สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลได้
สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล
สิทธิร้องขอให้ดาเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

116
พ.ร.ฎ.กาหนดหน่วยงานและกิจการที่...ไม่อยู่ภายใต้
บังคับแห่ง PDPA พ.ศ. 2563

117

118

119

120
บังคับแห่ง PDPA (ฉบับที่ 2) พ.ศ. 2564

121
สรุปการบ้าน พ.ร.บ. PDPA
• Identify ข้อมูลส่วนบุคคลต่างๆ ที่องค์กรเก็บรวบรวม ใช้ หรือเปิดเผย ทั้ง
ข้อมูลทั่วไป (มาตรา 24) และข้อมูล Sensitive Data (มาตรา 26) เช่น
• ข้อมูลผู้ป่วย/ลูกค้า
• ข้อมูลบุคลากร
• ข้อมูล Research Subjects (ถ้ามี)
• ข้อมูลนักศึกษา/Trainees
• ผู้เข้าร่วมการประชุมวิชาการ/ฝึกอบรมระยะสั้น
• วิทยากร/ที่ปรึกษาภายนอก
• ข้อมูล vendors/suppliers
• Website Visitors

122
•สาหรับข้อมูลส่วนบุคคลต่างๆ ตามข้างต้น ให้ระบุ
• แหล่งที่มา
• วัตถุประสงค์การใช้งานทั้งหมด (Primary Uses & Secondary Uses)
• Consent และ/หรืออานาจหน้าที่ตามกฎหมายในการใช้งานข้อมูลนั้น
• กระบวนการทางาน เอกสาร และระบบสารสนเทศ ที่เก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลนั้นๆ
• Data Processor ที่ใช้บริการ/เกี่ยวข้องกับข้อมูลนั้นๆ และเงื่อนไข/
มาตรฐาน Security & Privacy
• สถานที่เก็บข้อมูล (ใน/นอกประเทศ) และมาตรฐานการคุ้มครองข้อมูล

123
•สาหรับข้อมูลส่วนบุคคลต่างๆ ตามข้างต้น ให้พิจารณาว่า
• ยังมีความจาเป็นต้องเก็บรวบรวม ใช้ และเปิดเผยข้อมูลเหล่านั้นหรือไม่
• ถ้าจาเป็น ให้พิจารณาว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ม. 24 & ม. 26
(และ/หรือกฎหมายอื่น) ให้อานาจเก็บรวบรวม ใช้ และเปิดเผย โดยไม่
ต้องขอ Consent จากเจ้าของข้อมูลส่วนบุคคลหรือไม่ อ้างอิงบทใด
• หากไม่มี ให้ทบทวน Consent Form และ Consent Process ให้เป็นไป
ตาม พ.ร.บ. PDPA (ม.19)
• จัดทา Privacy Notice (ม. 23)
• Make sure ว่า เป็นไปตามวัตถุประสงค์และเท่าที่จาเป็น (ม.21-22)
• หากเก็บรวบรวมจากแหล่งอื่นที่ไม่ใช่เจ้าของข้อมูลส่วนบุคคล ให้พิจารณา
ว่าสอดคล้องกับ ม. 25 หรือไม่

124
•สาหรับข้อมูลส่วนบุคคลต่างๆ ตามข้างต้น ให้พิจารณาว่า
• กรณีเฉพาะ
• มีข้อมูลใดที่ต้องขอ Consent แต่เป็นข้อมูลของผู้เยาว์ ผู้ไร้ความสามารถ ผู้
เสมือนไร้ความสามารถ ให้ทบทวนกระบวนการและเอกสาร Consent (ม.20)
• ข้อมูลที่ส่งหรือโอนไปยังต่างประเทศ สอดคล้องกับ ม.28
• ข้อมูลที่ได้เก็บรวบรวมไว้ก่อนวันที่ พ.ร.บ. นี้ใช้บังคับ สอดคล้องกับ ม.95
•Set ระบบการดาเนินการตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ
• กระบวนการและเอกสารการถอน Consent (ม.19)
• สิทธิของเจ้าของข้อมูลส่วนบุคคล (ม.30-36)
• การจัดทาบันทึกรายการ (Record of Data Processing Activities:
ROPA) ตาม ม.39

125
• Set ระบบที่เป็นหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล
• หากเจ้าของข้อมูลส่วนบุคคลใช้สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็น
ข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ มีเงื่อนไขข้อยกเว้นที่ไม่
ต้องปฏิบัติหรือไม่ (ม.33)
• การดาเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความ
เข้าใจผิด (ม.35-36)
• การจัดทาบันทึกรายการ (Record of Data Processing Activities: ROPA) ตาม ม.39
• หน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลตาม ม.37
• ย้า: ทบทวนมาตรการดูแล Cybersecurity ตาม ม.37 (1)
• การจัดทาข้อตกลง การทาหน้าที่ & Compliance ของผู้ประมวลผลข้อมูลส่วนบุคคล
ตาม ม.40 (Data Processor Agreement: DPA)

126
•Set ระบบที่เป็นหน้าที่ความรับผิดชอบของผู้ประมวลผลข้อมูลส่วนบุคคล
• หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตาม ม.40
• ย้า: ทบทวนมาตรการดูแล Cybersecurity ตาม ม.40 (2)
• การจัดทาข้อตกลง การทาหน้าที่ และความรับผิดชอบ (Liability &
Indemnification) ระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูล
ส่วนบุคคล (Data Processor Agreement: DPA)
• การจัดทาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคล
(ม. 40)

127
• แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
(ม.41) และกากับให้ทาหน้าที่ตาม ม.42
• แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สานักงานคณะกรรมการคุ้มครองข้อมูล
ส่วนบุคคลโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถ
กระทาได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิ
และเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อ
สิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคล
ทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย (ม.37(4))
• ทบทวนการดาเนินการให้ Comply ตาม พ.ร.บ. ทั้งฉบับ (รวมทั้ง
Compliance ตาม พ.ร.บ. อื่นๆ)

128
Common Healthcare Use Cases
• Patient Care (Including Referrals)
• Emergency/Life-Saving
• Non-Emergency
• Occupational Health & Medicine / Welfare
• Healthcare Service Required by Law
• Elective
• Claims & Reimbursements / Public & Private Health Insurance
• Disease Control
• Disaster Management
• Public Health / Health Systems Management
• Health Professionals Training
• Quality Improvement/Audit/Quality Survey/Accreditation
• Human Subjects Research
• Medico-Legal & Ethical/Disciplinary/Investigative Uses
• Public Safety & National Security

129
PDPA กับการวิจัย
• Research Not Involving Personally Identifiable Information (PII)
• Human Subject Research Involving Personally Identifiable
Information (PII)
• Authorized by Law (Legal Obligation, Public Task, Legitimate Interst vs.
Requiring Informed Consent)
• Prospective Research
• Informed Consent Feasible
• Informed Consent Not Feasible
• Retrospective Research
• De-identification Feasible
• De-identification Not Feasible

131
Myth #1
Myth: จะทา PDPA Compliance ไปทาไม ในเมื่อ
ทุกวันนี้ก็ถูกผู้รับบริการฟ้องตลอดอยู่แล้ว

132
Myth #1
Myth: จะทา PDPA Compliance ไปทาไม ในเมื่อ
ทุกวันนี้ก็ถูกผู้รับบริการฟ้องตลอดอยู่แล้ว
Truth: PDPA มีบทลงโทษทั้งทางแพ่ง อาญา และ
โทษทางปกครอง และหากเป็นข้อมูล sensitive
data ตามมาตรา 26 มีโทษทางอาญา ซึ่งรวมโทษ
จาคุกด้วย

136
Myth #2
Myth: บาง Sector เช่น
Healthcare มีกฎหมายเฉพาะเรื่อง
Privacy อยู่แล้ว ไม่ต้องทาอะไร
เพิ่มเติม

137
Myth #2
Myth: บาง Sector เช่น Healthcare มีกฎหมาย
เฉพาะเรื่อง Privacy อยู่แล้ว ไม่ต้องทาอะไรเพิ่มเติม
Truth: PDPA มีบทบัญญัติเรื่องการคุ้มครองข้อมูล
ส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล การ
ร้องเรียน และกลไกต่างๆ เพิ่มเติมจากกฎหมายใน
Healthcare ที่ไม่ได้ลงรายละเอียด แต่เนื้อหาไม่ได้
ขัดแย้งกัน

138
• ความสัมพันธ์กับกฎหมายอื่น (มาตรา 3)
• ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครอง
ข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดไว้
โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติแห่งกฎหมายว่าด้วยการ
นั้น เว้นแต่
• (1) บทบัญญัติเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคล และบทบัญญัติเกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคล
รวมทั้งบทกาหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่ง
พ.ร.บ. นี้เป็นการเพิ่มเติม ไม่ว่าจะซ้ากับบทบัญญัติแห่งกฎหมายว่า
ด้วยการนั้นหรือไม่ก็ตาม
• (2) ฯลฯ

139
• ความสัมพันธ์กับกฎหมายอื่น (มาตรา 3)
• ในกรณีที่มีกฎหมายว่าด้วยการใดบัญญัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลใน
ลักษณะใด กิจการใด หรือหน่วยงานใดไว้โดยเฉพาะแล้ว ให้บังคับตามบทบัญญัติ
แห่งกฎหมายว่าด้วยการนั้น เว้นแต่
• (1) ฯลฯ
• (2) บทบัญญัติเกี่ยวกับการร้องเรียน บทบัญญัติที่ให้อานาจแก่คณะกรรมการผู้เชี่ยวชาญ
ออกคาสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล และบทบัญญัติเกี่ยวกับอานาจหน้าที่ของ
พนักงานเจ้าหน้าที่ รวมทั้งบทกาหนดโทษที่เกี่ยวข้อง ให้บังคับตามบทบัญญัติแห่ง พ.ร.บ.
นี้ ในกรณีดังต่อไปนี้
• (ก) ในกรณีที่กฎหมายว่าด้วยการนั้นไม่มีบทบัญญัติเกี่ยวกับการร้องเรียน
• (ข) ในกรณีที่กฎหมายว่าด้วยการนั้นมีบทบัญญัติที่ให้อานาจแก่เจ้าหน้าที่ผู้มีอานาจพิจารณาเรื่อง
ร้องเรียนตามกฎหมายดังกล่าวออกคาสั่งเพื่อคุ้มครองเจ้าของข้อมูลส่วนบุคคล แต่ไม่เพียงพอเท่ากับ
อานาจของคณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ. นี้และเจ้าหน้าที่ผู้มีอานาจตามกฎหมายดังกล่าว
ร้องขอต่อคณะกรรมการผู้เชี่ยวชาญหรือเจ้าของข้อมูลส่วนบุคคลผู้เสียหายยื่นคาร้องเรียนต่อ
คณะกรรมการผู้เชี่ยวชาญตาม พ.ร.บ. นี้ แล้วแต่กรณี

140
• ข้อยกเว้นการใช้บังคับ (มาตรา 4)
• พ.ร.บ.นี้ไม่ใช้บังคับแก่
• (1) การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลที่ทาการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อ
ประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น
• (2) การดาเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคง
ทางการคลังของรัฐ หรือการรักษาความปลอดภัยของประชาชน รวมทั้งหน้าที่เกี่ยวกับการป้องกันและ
ปราบปรามการฟอกเงิน นิติวิทยาศาสตร์ หรือการรักษาความมั่นคงปลอดภัยไซเบอร์
• (3) บุคคลหรือนิติบุคคลซึ่งใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ทาการเก็บรวบรวมไว้เฉพาะเพื่อกิจการ
สื่อมวลชน งานศิลปกรรม หรืองานวรรณกรรมอันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็น
ประโยชน์สาธารณะเท่านั้น
• (4) สภาผู้แทนราษฎร วุฒิสภา และรัฐสภา รวมถึงคณะกรรมาธิการที่แต่งตั้งโดยสภาดังกล่าว ซึ่งเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการพิจารณาตามหน้าที่และอานาจ...
• (5) การพิจารณาพิพากษาคดีของศาลและการดาเนินงานของเจ้าหน้าที่ในกระบวนการพิจารณาคดี การ
บังคับคดี และการวางทรัพย์ รวมทั้งการดาเนินงานตามกระบวนการยุติธรรมทางอาญา
• (6) การดาเนินการกับข้อมูลของบริษัทข้อมูลเครดิตและสมาชิกตามกฎหมายว่าด้วยการประกอบธุรกิจข้อมูล
เครดิต

141
• ข้อยกเว้นการใช้บังคับ (มาตรา 4)
• การยกเว้นไม่ให้นาบทบัญญัติแห่ง พ.ร.บ. นี้ทั้งหมดหรือแต่บางส่วนมาใช้บังคับแก่
ผู้ควบคุมข้อมูลส่วนบุคคลในลักษณะใด กิจการใด หรือหน่วยงานใดทานอง
เดียวกับผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง หรือเพื่อประโยชน์สาธารณะอื่น
ใด ให้ตราเป็นพระราชกฤษฎีกา
• ผู้ควบคุมข้อมูลส่วนบุคคลตามวรรคหนึ่ง (2) (3) (4) (5) และ (6) และผู้ควบคุม
ข้อมูลส่วนบุคคลของหน่วยงานที่ได้รับยกเว้นตามที่กาหนดในพระราชกฤษฎีกา
ตามวรรคสอง ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้
เป็นไปตามมาตรฐานด้วย

142
Myth #3
Myth: หน่วยงานของเราดูแลเรื่อง
cybersecurity ดีอยู่แล้ว
ไม่ต้องทาอะไรเพิ่มเติม

143
Myth #3
Myth: หน่วยงานของเราดูแลเรื่อง cybersecurity
ดีอยู่แล้ว ไม่ต้องทาอะไรเพิ่มเติม
Truth: security กับ privacy เป็นการมองคนละ
มุมกัน แต่สัมพันธ์กัน แม้มีมาตรการ security ดีแล้ว
แต่เรื่องการเคารพ privacy & protect personal
data โดยเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล
อย่างเหมาะสม ก็ยังสาคัญ

144
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House

145
▪Privacy: “The ability of an individual or group to seclude
themselves or information about themselves and thereby
reveal themselves selectively.” (Wikipedia)
▪Security: “The degree of protection to safeguard ... person
against danger, damage, loss, and crime.” (Wikipedia)
▪Information Security: “Protecting information and information
systems from unauthorized access, use, disclosure, disruption,
modification, perusal, inspection, recording or destruction”
(Wikipedia)
Security & Privacy

146
Confidentiality
•การรักษาความลับของข้อมูล
Integrity
•การรักษาความครบถ้วนและ
ความถูกต้องของข้อมูล
•ปราศจากการเปลี่ยนแปลงแก้ไข
ทาให้สูญหาย ทาให้เสียหาย
หรือถูกทาลายโดยมิชอบ
Availability
•การรักษาสภาพพร้อมใช้งาน
หลักการสาคัญของ Information Security

147
Myth #4
Myth: ก็แค่จับผู้รับบริการ (ยกเว้น
กรณี emergency) มาเซ็น consent
ให้หมด ก็จบแล้ว

148
Myth #4
Myth: ก็แค่จับผู้รับบริการ (ยกเว้นกรณี
emergency) มาเซ็น consent ให้หมด
ก็จบแล้ว
Truth: Consent ต้องทาโดยอิสระ ไม่มีผลต่อการ
ให้บริการ ต้องถอนความยินยอมได้ และเมื่อถอน
ความยินยอม สามารถขอลบข้อมูลได้
“Consent ควรเป็น Last Resort
เมื่อใช้ฐานทางกฎหมายอื่นไม่ได้”

149
• ความยินยอม (มาตรา 19)
• ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หาก
เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่ง พ.ร.บ.นี้
หรือกฎหมายอื่นบัญญัติให้กระทาได้
• การขอความยินยอมต้องทาโดยชัดแจ้ง เป็นหนังสือหรือทาโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดย
สภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
• ในการขอความยินยอม... ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือ
ข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทาให้
เข้าใจผิดในวัตถุประสงค์ดังกล่าว...
• ในการขอความยินยอม...ผู้ควบคุมข้อมูลส่วนบุคคลต้องคานึงอย่างถึงที่สุดในความเป็นอิสระของ
เจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทาสัญญาซึ่งรวมถึงการให้บริการใด ๆ
ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความ
จาเป็นหรือเกี่ยวข้องสาหรับการเข้าทาสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ

150
• ความยินยอม (มาตรา 19)
• เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความ
ยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การ
ถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กาหนดไว้ใน
หมวดนี้
• ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้
ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการ
ถอนความยินยอมนั้น
• การขอความยินยอมที่ไม่เป็นไปตามที่กาหนด ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคค
และไม่ทาให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทาการเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลส่วนบุคคลได้

151
• สิทธิขอให้ลบหรือทาลาย หรือทาให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่
เป็นเจ้าของข้อมูลส่วนบุคคลได้ (มาตรา 33)
• (1) เมื่อข้อมูลส่วนบุคคลหมดความจาเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• (2) เมื่อเจ้าของข้อมูลส่วนบุคคลถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลส่วนบุคคลและผู้ควบคุมข้อมูลส่วนบุคคลไม่มีอานาจตามกฎหมายที่จะเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
• (3) เมื่อเจ้าของข้อมูลส่วนบุคคลคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ตามมาตรา 32 (1) และผู้ควบคุมข้อมูลส่วนบุคคลไม่อาจปฏิเสธคาขอตามมาตรา 32 (1)
(ก) หรือ (ข) ได้ หรือเป็นการคัดค้านตามมาตรา 32 (2)
• (4) เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมายตามที่
กาหนดไว้ในหมวดนี้

Health IT Laws and PDPA (October 12, 2021)

Health IT Laws and PDPA (October 12, 2021)

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Health IT Laws and PDPA (October 12, 2021)

Similar a Health IT Laws and PDPA (October 12, 2021) (20)

Más de Nawanan Theera-Ampornpunt

Más de Nawanan Theera-Ampornpunt (18)

Health IT Laws and PDPA (October 12, 2021)