Data_Gov 21.6.66

ธรรมาภบิ าลขอ มูลภาครัฐ DATA GOVERNANCE สํานักดจิ ิทลั สขุ ภาพ สํานกั งานปลดั กระทรวงสาธารณสขุ

Data Governance for Government ธรรมาภิบาลขอ มลู ภาครฐั





Data Governance นยิ ามของธรรมาภิบาลขอมลู ภาครฐั “การกําหนด สิทธิ หนาท่แี ละความ รับผดิ ชอบ ของผมู สี ว นไดเ สียใน การ บริหารจัดการขอมูลทกุ ขนั้ ตอน เพื่อใหการไดม าและการนําไปใช ขอ มลู ของหนว ยงานภาครฐั ถูกตอ ง ครบถวน เปน ปจ จุบนั รักษาความเปน สวนบคุ คล และ สามารถเชือ่ มโยงกนั ไดอ ยางมีประสิทธิภาพและม่นั คง ปลอดภยั ” “ประกาศคณะกรรมการพฒั นารฐั บาลดิจิทัล เรือ่ ง ธรรมาภบิ าลขอมูลภาครัฐ” http://www.ratchakitcha.soc.go.th/DATA/PDF/2563/E/074/T_0047.PDF

กฎหมายทเี่ กี่ยวของ รัฐธรรมนูญแหงราชอาณาจักรไทย พ.ศ. 2560 01 ม.59 ระบุวา รฐั ตอ งเปดเผยขอมูลหรือขาวสารสาธารณะในครอบครองของหนวยงานของ รัฐทม่ี ิใชข อมลู เกีย่ วกับความมัน่ คงของรฐั หรือเปน ความลับของทางราชการ พระราชบัญญัติขอ มลู ขา วสารของทางราชการ พ.ศ. 2540 02 มผี ลใชบ ังคบั เม่อื วนั ท่ี 9 ธันวาคม 2540 พระราชบัญญตั กิ ารบริหารงานและการใหบ รกิ ารภาครัฐผานระบบดจิ ทิ ัล พ.ศ.2562 03 มผี ลบงั คบั ใชแ ลว ตงั้ แตว ันท่ี 23 พฤษภาคม พ.ศ. 2562 04 พระราชบญั ญตั ขิ า วกรองแหง ชาติ พ.ศ.2562 มีผลใชบ ังคบั เม่อื วันท่ี 15 เมษายน 2562 05 พระราชบัญญัติการรักษาความมน่ั คงปลอดภัยไซเบอร พ.ศ. 2562 มผี ลใชบังคับเมือ่ วนั ท่ี 28 พฤษภาคม 2562 พระราชบัญญัติคมุ ครองขอมูลสว นบคุ คล พ.ศ.2562 06 มผี ลใชบ ังคับเมื่อวันที่ 28 พฤษภาคม 2562 (บางมาตรา) มผี ลบงั คบั ใช 1 มิถนุ ายน 2565

ทําไมตอ งมีธรรมาภิบาลของขอ มลู หรือ Data Governance นโยบาย การไปสกู ารเปน องคกรทข่ี ับเคล่อื นดว ยขอมูล (Data-driven Organization) ปฏิบัติตามกฎหมาย สรา งความเชอื่ มน่ั ใหกบั ขอมลู เพิม่ ประสทิ ธิภาพในการ การใชข อ มลู ทํางานรวมกบั ความโปรง ใสและการสราง ท่ีเผยแพรส สู าธารณะ ดําเนนิ งานภายใน ผทู ี่มีสว นไดเสยี เพอื่ สรา ง การมสี ว นรว ม พรบ.คมุ ครองขอ มลู สวนบคุ คล พ.ศ.2562 ขอ มลู เปดตามบทบาท การไปสูกระบวนงานท่ี นวัตกรรม พรบ.การรักษาความ หนาท่ีความรับผดิ ชอบ ใชข อ มลู ในการ มัน่ คงปลอดภยั ไซเบอร ขับเคล่อื น ขอ มูลเปด สาํ หรับ ประชาชน พ.ศ.2562 กระบวนการท่ีสามารถ พรบ.ปฏิบตั ิราชการ ทาํ ในแบบอตั โนมตั ิ การแลกเปลย่ี นขอ มูล ทางอิเล็กทรอนิกส การใชข อ มลู ทเ่ี กดิ จาก ระหวางหนวยงาน การวิเคราะหเ ชิงลึก การแชรขอมูลระหวาง ภายในองคกร หนวยงาน

ภาพจากเวบ็ ไซต www.dga.go.th

Data Governance Framework Metrics คณะกรรมการกํากับดูแลขอมูล Structure คณะบริกรขอ มลู Data Lifecycle Acceptance & ทมี กํากบั ดแู ลขอมลู การสรา ง Adoption การรวบรวมและการ ผูบ รหิ ารระดบั สูงดานขอ มลู เจา ของขอมูล Roles and Responsibility ผสู รางขอ มลู ผูใชขอมูล จัดเกบ็ รักษาขอมูล Data Quality & Availability บริกรขอมลู เชิงธุรกิจ บริกรขอมลู เชงิ เทคนคิ การรอ งขอ การ Metadata แลกเปลย่ี น และ Data Management Activities การจดั การความเปลี่ยนแปลง การเชือ่ มโยงขอ มูล Data Security • การเชือ่ มโยงกบั โครงการ การประมวลผลและ Data Privacy การจัดการคณุ ภาพขอมูล การคุมครองขอมูล การบริหาร • การฝก อบรมและการส่อื สาร ถกู ตอ ง ครบถว น สอดคลอง • การรักษาความม่ันคงปลอดภัยของขอมูล จัดการความ • การแกไขประเด็นปญ หาดานขอมูล การใชขอมลู Process เปน ปจ จุบนั ตรงความตอ งการ • การรกั ษาความเปนสวนบุคคลของขอ มูล เสี่ยงดานขอมูล • การทบทวนและปรับปรุงการกํากับ การเปดเผยขอมูล Performance พรอ มใช ดูแลขอมลู และการรักษา Return of ความลบั ขอ มูล Investment Metadata and Business Glossary การจดั เกบ็ ถาวร และการทําลาย Data Categories Data Classification ขอมูล Data Standard ขอ มลู มโี ครงสรา ง ขอ มูลไมม ีโครงสรา ง

ประโยชนข องการจดั ทาํ ธรรมาภบิ าลขอ มูล (Data Governance)  ขอ มูลทีถ่ กู ตอ ง สงผลตอความพึงพอใจ เปา หมาย • การตดั สินใจเชงิ นโยบายบนพื้นฐานของขอมูล  ยกระดับการบริหารงานและการใหบ รกิ ารประชาชนหนว ยงาน • บริการทีม่ คี ณุ ภาพ สะดวกรวดเร็ว และม่ันคงปลอดภัย • นวัตกรรมท่ีใชป ระโยชนจากขอมลู ในการวเิ คราะหป ญ หา ของรัฐ นาํ ไปสู • บูรณาการเชื่อมโยงกบั หนว ยงานอนื่ (Data Integration) • เปด เผยขอ มูลสปู ระชาชน (Open Data) • วเิ คราะหเพื่อนําไปใชประโยชนในมิตติ า ง ๆ (Data Analytics) เพือ่ DATA ในหนว ยงาน ผลที่ไดร บั ดําเนนิ งานจัดทําธรรมาภิบาลขอ มูลภาครัฐของหนวยงาน

ขอมูลทีด่ ีตามกรอบธรรมาภิบาลขอ มลู ภาครัฐ Data Security ISO/IEC 27001:2013 (Information Security Management System) Data Privacy พระราชบัญญตั คิ ุมครองขอมูลสวนบุคคล พ.ศ. ๒๕๖๒ Data Quality ขอมลู จะตอ งมีคณุ ภาพ มคี วามถกู ตอ ง ครบถว น เปน ปจ จบุ นั มมี าตรฐานเดียวกนั ตอบสนองความตอ งการของผใู ชง านได (fit-to-purpose)

Data Security ครอบคุมถึงการกําหนดนโยบายการเขาถึงขอมลู หรอื Data Set ทงั้ ในระดบั User, Roles, Group โดยอนญุ าติสทิ ธิ์ ตามจาํ เปน เชน เขา ถงึ เพอ่ื ดไู ดอยา งเดียว หรอื ดแู ละแกไขสว นไหนไดบ าง ในดาน Security น้จี ะครอบคมุ ถงึ ความ ปลอดภัยของการจัดเก็บขอมูลดวย เชน การเขา รหัสขอ มูลบางชนิดเปน ตน  การกาํ หนดหมวดหมูและชนั้ ความลบั ของขอมลู  การกําหนดสิทธิหนาท่ีของผเู ก่ยี วขอ งกับชุดขอ มลู  การกําหนดมาตรการรักษาความมนั่ คงปลอดภัยของระบบท่ีเกย่ี วของกับชุดขอ มลู  กฎหมายทเ่ี กี่ยวของ เชน พระราชบัญญัตขิ อ มลู ขาวสารของราชการ พ.ศ. ๒๕๔๐ และระเบียบวาดวยการ รกั ษาความลับของทางราชการ พ.ศ. ๒๕๔๔ และที่แกไ ขเพม่ิ เติม พระราชบญั ญัติการรักษาความมน่ั คงปลอดภยั Integrity ไซเบอร พ.ศ. 2562 Confidentiality d d Availability

Data Quality ถกู ตอ ง ครบถวน Accuracy Completeness เปน ปจ จบุ นั มีมาตรฐานเดียวกัน Timeliness Standard ควรตรวจสอบขอมูลจากแหลง อา งองิ ตองตอบสนองผูใชง าน (Reference) ทเ่ี ช่อื ถือไดเ ทานนั้ เชน Relevancy กฎหมาย หนงั สอื ราชการ ประกาศ คาํ ส่งั ฯลฯ กระบวนการท่ีเกย่ี วขอ ง เชน Data Cleansing, Data Preparation เพ่อื ลด missing value, duplication value, invalid format ปจจุบันมเี คร่ืองมือท่เี ขามาชวยดูในเรอื่ งน้มี ากมาย โดยสว นใหญจ ะเปน Function เกย่ี วกบั Data Profiling เพราะจะมีรูปแบบการ ตรวจสอบขอมูลในแตละแบบใหเ ราเลยวา ลกั ษณะของขอ มูลเราเปนอยา งไร เพอื่ แกไ ขไดงา ย รวดเรว็ และถกู ตอง

Data Quality ตวั อยา งลกั ษณะขอ มลู ทีม่ ีคณุ ภาพ

Data Privacy พระราชบญั ญัติคมุ ครองขอ มูลสวนบุคคล พ.ศ. ๒๕๖๒  การขอความยนิ ยอม (Consent) จากเจา ของขอมลู สว นบคุ คล (Data Subject) โดยมขี อ ยกเวนตามกฎหมาย การเกบ็ รวบรวม ใช หรือเปดเผยขอมูลสวนบคุ คลจะตองมกี ารดาํ เนนิ การดงั น้ี • เจาของขอมูลสวนบุคคลตอ งใหความยินยอม • ตอ งแจง วตั ถุประสงคของการเก็บรวบรวม ใช หรือเปดเผยขอ มลู สว นบคุ คล  การไมเปดเผยขอมลู โดยไมมีเหตอุ ันสมควร  สามารถแลกเปล่ยี นขอมูลสวนบคุ คลระหวา งหนวยงานของรฐั ได

บคุ คลที่เกี่ยวขอ งกับ พรบ.คมุ ครองขอ มูลสว นบคุ คล พ.ศ.2562 เจา ของขอ มูลสวนบคุ คล Data Subject ผูควบคมุ ขอ มลู สว นบุคคล (Data Controller ) ผปู ระมวลผลขอ มูลสวนบคุ คล (Data Processor) เจา หนา ทคี่ มุ ครองขอ มลู สว นบุคคล DPO บุคคลหรือนติ ิบคุ คลทม่ี อี ํานาจหนาที่ตดั สินใจเกีย่ วกบั คอื บคุ คลหรือนิติบคุ คลซึง่ ดาํ เนินการเกี่ยวกับ การ บุคคลท่เี ปน เจา ของขอ มลู สิทธทิ จ่ี ะไดรับการแจง ให การเก็บรวบรวม ใช หรือเผยแพรขอมูลสวนบคุ คล เก็บรวบรวม ใช หรือเปด เผยขอมูลสวนบุคคล ตาม (Data Protection Officer) ตาม ม.42 ทราบ ถึงรายละเอียดในการเก็บขอ มูล การนาํ ไปใช คาํ สั่งหรอื ในนามของผคู วบคมุ ขอมูลสวนบคุ คล ใหคําแนะนาํ กับ data controller ประสานงานกับ และการเผยแพรข อมูลนัน้ ๆ กอ นหรือขณะเกบ็ รวบรวม สํานักงานฯ ตรวจสอบการดาํ เนนิ งาน Data controller ขอ มูล ไมวาจะเปนเรอ่ื งของวตั ถุประสงค การนาํ ไปใช Data Processor ระยะเวลาในการเก็บขอมลู ไปจนถงึ ผลกระทบที่อาจจะ เกิดขึ้นจากการไมใหข อ มลู อกี ดว ย

หนา ท่ีของผคู วบคุมขอ มูลสวนบุคล (Data Controller) (มาตรา 37 และมาตรา 39) จดั ใหมมี าตรการรักษาความมั่นคง ดาํ เนินการเพ่อื ปอ งกนั มใิ หผอู ื่นใชหรือ จดั ใหม ีระบบการตรวจสอบ เพ่ือ แจงเหตุการละเมดิ ขอมูลสว นบคุ คล แตงต้ังตวั แทนภายในราชอาณาจักร จัดทําบันทึกรายการ ปลอดภยั อยา งเหมาะสม เปด เผยขอ มลู สวนบุคคลโดยปราศจาก ดําเนนิ การลบหรอื ทาํ ลายขอมูลสว น (RECORD OF PROCESSING อาํ นาจหรือโดยชอบดว ยกฎหมาย บุคคล ACTIVITIES) เพ่อื ปองกันการสญู หาย เขา ถึง ใช กรณีท่ีตอ งใหข อมลู สว นบคุ คลแก เม่ือพน กําหนดระยะเวลการเก็บรักษา/ แจงสํานกั งานคณะกรรมการ ผคู วบคุมขอมูลสว นบุคคลอยูนอก เปนหนังสอื หรอื ระบบ เปลย่ี นแปลง แกไข หรือเปดเผย บคุ คลหรือนติ ิบคุ คลอนื่ ทไี่ มเก่ยี วของ/เกินความจําเปน / คมุ ครองขอมลู สว นบุคคลทราบ ราชอาณาจกั รตอ งแตงตงั้ ตัวแทน อิเล็กทรอนกิ สก็ได เจา ของขอมูลสวนบุคคลรองขอหรือ เปน หนังสือ ซ่งึ ตวั แทนตอ งอยใู น ขอมูล ถอนความยนิ ยอม ภายใน 72 ชั่วโมง นบั แตท ราบเหตุ ราชอาณาจักร ผคู วบคมุ ขอมูลสว นบุคคล (DATA CONTROLLER) พนักงาน / ลูกจา ง ทกุ ระดับ ไมว า จะเปนเจา หนาท่ีหรือผูบริหาร แมจ ะมีอํานาจตดั สนิ ใจเกยี่ วกบั การประมวลผลขอ มลู สว นบุคคลก็เปน เพียงตัวแทนหรือผแู ทนที่ กระทาํ การในนามของผคู วบคมุ ขอมูลสว นบุคคลเทานั้น

ผูประมวลขอ มูลสว นบุคล (Data Processor) (มาตรา 6) “ผูประมวลผลขอมูลสวนบุคคล” หมายความวา บคุ คลหรือนติ บิ ุคคลซ่งึ ดาํ เนนิ การเกยี่ วกบั การเก็บรวบรวม ใช หรอื เปดเผย ขอมูลสวนบุคคลตามคําสั่งหรอื ในนามของผคู วบคมุ ขอมูลสวนบคุ คล ทั้งน้ี ตอ งไมใชผูควบคุมขอ มูลสวนบคุ คล และปฏบิ ตั ิหนา ทต่ี ามสญั ญาจางท่มี วี ัตถปุ ระสงคเ พื่อการประมวลผลตามท่ี ไดรบั การวา จา ง โดยมหี นาทต่ี ามมาตรา 40 ดงั น้ี 1 2 3 ดําเนนิ การเก่ียวกับการเก็บรวบรวม ใช หรือ จดั ใหม ีมาตรการรักษาความมัน่ คง จัดทําและเกบ็ รักษาบันทกึ รายการของกิจกรรมการ เปดเผยขอ มลู สว นบุคคลตามคําสัง่ ทไ่ี ดร ับ ปลอดภยั ทเ่ี หมาะสม , แจง ใหผ คู วบคุม ประมวลผลขอ มลู สว นบุคคลไว ตามหลักเกณฑและวิธกี ารท่ี ขอ มลู สวนบุคคลทราบถงึ เหตุการ จากผคู วบคุมขอ มูลสวนบคุ คลเทา นน้ั ละเมดิ ขอมูลสวนบคุ คลทเี่ กดิ ขน้ึ คณะกรรมการประกาศกําหนด หากไมไ ดเปนการดาํ เนนิ การตาม (1) ใหถือวาผูป ระมวลผลขอมลู สว นบคุ คลเปนผูควบคมุ ขอมูลสว นบคุ คล ผคู วบคุมขอ มลู สวนบุคคลตองจดั ใหม ี ขอตกลงระหวางกนั เพ่ือควบคุมการดําเนินงานตามหนาทขี่ องผูประมวลผลขอ มลู สว นบุคคล

สรปุ Data Controller & Data Processor Data controller ใหคําแนะนาํ กบั Data controller ประสานงานกบั สคส. ผปู ระมวลผลขอ มลู สวนบคุ คล ผคู วบคุมขอมูลสว นบคุ คล ตรวจสอบการดาํ เนินงาน Data controller & Data Processor Data Processor เกบ็ รวบรวม ใช เปดเผย Regulator สํานกั งานปลัด กระทรวงสาธารณสขุ Operation ทาํ สญั ญา ผูป ระมวลผลขอ มูลสวนบุคคล NDA&DPA Data Processor Non-Disclosure Agreement & (Data controller) สั่งหรอื จา งบริษัท Data Processing Agreement ใหดําเนนิ การเกยี่ วกับขอมลู สว นบุคคล •ศนู ย/ สํานกั /กอง/กลมุ • โรงพยาบาล บรษิ ทั = Data processor •สาํ นักงานสาธารณสุขจงั หวัด • โรงพยาบาลสงเสริมสขุ ภาพตําบล/ •สํานักงานสาธารณสุขอําเภอ สถานอี นามัย ประสานงานกบั DPO กระทรวง สป.สธ.

เอกสารกฎหมายตาม PDPA Personal Data Protection Privacy Notice Data Protection Officer Job การจดบันทกึ กจิ กรรม Policy/ Privacy Policy (and (หนังสอื แจงการประมวลผล) Description (รายละเอยี ดภาระ (Record of Processing subset policy) GDPR Article PDPA Article 23 GDPR Article งานของ DPO) PDPA Article 41 Activities หรอื RoPA) PDPA 24/1SO/IEC 27701 Clause 12, 13 and 14 ISO/IEC 27701 Article 39 6.2.1.1 Clause 7.3.2 Privacy Policy ตามประกาศ ศทส. ตามประกาศ ศทส. คําส่ังสาํ นกั งานปลัดกระทรวงสาธารณสุข ศทส.ท่ี สธ 0212.07/ ว 2823 ลงวนั ท่ี 3 ที่ สธ.0212/ว 410 แนวปฏบิ ตั ิการคุมครองฯ ท่ี สธ.0212/ว 11424 ท่ี 1189/2565 ลงวันท่ี 25 พฤษภาคม 2565 กุมภาพันธ 2566 เรอื่ งขอความอนเุ คราะห เรอื่ งแตง ตงั้ เจาหนาที่คมุ ครองขอ มลู สว น หนว ยงานจดั ทาํ รายการประมวลผลขอ มลู ลงวนั ท่ี 25 พฤษภาคม 2565 ลงวนั ที่ 25 พฤษภาคม 2565 V.1 ท่ี สธ.0212/ว 14039 บคุ คล (DPO) ระดับกระทรวง สวนบคุ คล (ROPA) คณุ สวุ นั ตน า เสมอเนตร ลงวนั ที่ 24 มถิ นุ ายน 2565 V.2 คาํ สัง่ สาํ นกั งานปลัดกระทรวงสาธารณสุข ท่ี 1480/2565 ลงวันที่ 30 มถิ นุ ายน 2565 เรื่อง แตงตง้ั เจาหนาทีค่ ุมครองขอ มลู สว นบุคคล (DPO) (ระดบั จงั หวดั ) 1.เลขาฯคณะทาํ งานธรรมภิบาลขอ มูลและเทคโนฯ ทกุ จังหวัด 2.ผแู ทนหนว ยงานระดบั กอง

เอกสารกฎหมายตาม PDPA NDA Data Sharing Agreement Data Processing Agreement Data Breach Response and (Non-disclosure Agreement) (ขอตกลงการโอนขอมูลระหวา ง (ขอตกลงการประมวลผล) PDPA Notification Procedure องคก ร) PDPA Article 37(2) สญั ญารักษาความลบั ISO/IEC 27701 Clause 7.2 Article 40 (มาตรการเมอ่ื เกิดเหตลุ ะเมิดและ กระบวนการแจง เหตุกบั DPO PDPA Article 37(4) สญั ญาหรือสญั ญารกั ษาความลบั ซง่ึ เปนอกี ตามประกาศ ศทส. ตามประกาศ ศทส. ประกาศ สนง.คณะกรรมการคมุ ครองขอมูล ชอ งทางหนง่ึ ทีช่ วยรักษาขอมูลใหปลอดภัยอยู สํานักงานปลดั กระทรวงสาธารณสุข สํานักงานปลดั กระทรวงสาธารณสขุ สวนบคุ คล เรอ่ื ง ชอ งทางอเิ ล็กทรอนิกสใ นการ เสมอ โดยฝายหนึง่ เปน ผเู ปดเผยขอมลู และอีก Data Sharing Agreement (ขอตกลงการโอน Data Processing Agreement (ขอตกลง แจง เหตุการณละเมดิ ขอมลู สว นบคุ คลสาํ หรับ ฝา ยเปน ผูรบั ขอ มูล หรือคูสัญญาอาจเปดเผย ขอ มูลระหวา งองคกร) เร่มิ ใช 1 ต.ค. 65 การประมวลผล) เริม่ ใช 1 ต.ค. 65 ขอ มลู ท้งั สองฝา ย โดยทวั่ ไปในสัญญารกั ษา รหัสเอกสาร : F–PA–TP–01.01 Rev.00 รหัสเอกสาร : F–PA–SP–03.02 Rev.00 ผูควบคมุ ขอมลู สว นบคุ คล พ.ศ. 2566 ความลบั จะกาํ หนดระยะเวลาในการเกบ็ รักษา ขอ มลู และมกี ารกาํ หนดวาผรู ับขอมลู นัน้ ตามประกาศ ศทส. สามารถใชข อมูลหรือเปดเผยขอมลู ไดภายใน แนวปฏิบตั ิการคมุ ครองฯ ระยะเวลาใด ที่ สธ.0212/ว 11424 ลงวันที่ 25 พฤษภาคม 2565 V.1 ที่ สธ.0212/ว 14039 ลงวนั ท่ี 24 มถิ นุ ายน 2565 V.2 สวนที่ 16

Data Governance ตองตอบคาํ ถาม หรอื เตรียมอะไรบา ง เรามขี อ มูลอะไร อยทู ีไ่ หน ใครดูแล ? ขอมลู ไหลอยางไร ใครเขามาเกยี่ วของในแตละข้นั ตอนบา ง ? เราใชข อ มลู อา งองิ ชดุ เดียวกันอยใู ชไ หม ? เรากําลงั คุยภาษาเดียวกนั เราเขาใจ (คําศัพท) ตรงกัน ? ระบบไอทีสรางขอมูลข้ึนมาอยา งถกู ตองหรือไม ? ขอ มลู น้นั มี Spec ยงั ไง ? เหมาะกับงานของเราหรอื ไม ?

สรปุ



วเิ คราะหต วั อยางจรงิ ที่หนว ยงานรฐั นํา Data Governance ไปใช

กรอบการดําเนินงาน Data Governance ของระบบหมอพรอม Data user = เจา หนา ท่ี Data Catalog Standardized กาํ หนดสิทธิ คนหาขอมลู กาํ หนดมาตรฐาน เจา ของขอมลู Data warehouse/ อนุมัติ ชน้ั ความลบั Data lake นิยามขอมูล Data Owner ขอ มูลมคี ณุ ภาพ/ไมซ้ําซอน อนมุ ตั นิ โยบาย ดาํ เนนิ การตามมาตรฐาน Technical support ตรวจสอบการดําเนินงาน อนุมตั มิ าตรฐาน IT กํากบั ดูแลขอ มูล Data Steward Data Governance Council

กรอบการเชอ่ื มโยงขอมลู ของ MOPH-IC HIS ของหน่วยบรกิ าร API ตรวจสอบขอ้ มลู หมอพรอ้ ม APP หมอพรอ้ ม LINE OA Web Portal-สสจ. ภายใน สป.สธ. ภายนอก สป.สธ. ผา่ น API Digital Health Pass & EU Digital Certificate รพ.รฐั / เอกชน รพสต./PCU ตรวจสอบ/ MOPH-IC ตรวจสอบขอ้ มลู ThaID - กรมการปกครอง International Certificate – กรม คร. สง่ ขอ้ มลู ผา่ น API (ภายใต้ พรก.ฉุกเฉิน) 1,697 แหง 6,834 แหง สป.สธ. โดย กยผ. API Master DB (On Cloud) Backup + Web Portal & ตรวจสอบ/ Controller กองการต่างประเทศ เลข Passport DB ของศนู ยฉ์ ดี วคั ซนี ขนาดใหญ่ สง่ ขอ้ มลู Processor: INET Backup + Internal use (ภายใต้ พรก.ฉุกเฉิน) Co-Vaccine หน่วยงานอน่ื ๆ กรมอนามยั ไทยรว่ มใจ ศูนยเ์ ทคฯ สป.สธ. API H4U API (สปสช. + NHSO) ประมวลผลการจ่าย สปสช. GBDi ซโิ นฟารม์ (จฬุ าภรณ์) คา่ ฉีดวคั ซนี โควดิ 19 DGA อ่ืนๆ ศนู ยฉ์ ีดวคั ซีน นนท์พรอ้ ม ฯลฯ กรมควบคมุ โรค กรมการแพทย์ (ภายใต้ พรก.ฉุกเฉิน) กลางบางซื่อ รพ.สต. • Dashboard • Dashboard • ขอ้ มลู การฉดี วคั ซนี (ภายใต้ พรก.ฉุกเฉิน) Output อพั เดตเม่ือ 12 มิ.ย 2566 Input

สรุปสาระสาํ คัญของระบบหมอพรอ ม ตามพระราชบญั ญตั ิคุมครองขอ มลู สวนบคุ คล พ.ศ. 2562 Data Subject Data Controller Data Processor Consent NDA&DPA ประชาชน สาํ นกั งานปลดั กระทรวงสาธารณสขุ Vendor โดยกองยทุ ธศาสตรแ์ ละแผนงาน • เจา้ ของขอ้ มลู สว่ นบุคคล ตามกฎหมายไมไ่ ดใ้ ห้ • ผปู้ ระมวลผลขอ้ มลู สว่ นบคุ คล หมายถงึ บุคคลหรอื นติ ิ คาํ นิยามไว้ แต่โดยหลกั การทวั่ ไปแลว้ หมายถงึ บุคคลท่ี • ผคู้ วบคุมขอ้ มลู ส่วนบุคคล หมายถงึ บคุ คลหรอื นิตบิ คุ คล บคุ คลซง่ึ ดาํ เนนิ การเกย่ี วกบั การเกบ็ รวบรวม ใช้ หรอื ขอ้ มลู นนั้ ระบไุ ปถงึ ซง่ึ มอี ํานาจหน้าทต่ี ดั สนิ ใจเกย่ี วกบั การเกบ็ รวบรวม ใช้ เปิดเผยขอ้ มลู สว่ นบุคคลตามคาํ สงั ่ หรอื ในนามของ หรอื เปิดเผยขอ้ มลู ส่วนบคุ คล ผคู้ วบคุมขอ้ มลู สว่ นบคุ คล เชอ่ื มระบบ ผา่ น API NDA&DSA NDA หมายถงึ Non-Disclosure Agreement กรมควบคมุ โรค กรมอนามยั กรมการแพทย์ DPA หมายถงึ Data Processing Agreement DSA หมายถงึ Data Sharing Agreement อา้ งองิ จากขอ้ กฎหมาย โดย PDPA พจิ ารณาการเป็น Data Controller จากอาํ นาจหน้าทใ่ี นการตดั สนิ ใจเกย่ี วกบั การใชข้ อ้ มลู

สรปุ สาระสาํ คัญของระบบหมอพรอ ม ตามพระราชบญั ญัติคมุ ครองขอมลู สว นบคุ คล พ.ศ. 2562 วัตถปุ ระสงคก ารดาํ เนนิ งานของระบบหมอพรอ ม 1.) เปน ไปเพอ่ื ประโยชนตอการปอ งกันและควบคมุ โรค สงเสรมิ สุขภาพ รกั ษาพยาบาล และการฟนฟูสขุ ภาพ 2.) เปนไปเพ่อื ประโยชนตอการศกึ ษาวิจัยและพัฒนาทางการแพทยและสาธารณสุข 3.) เพ่อื ความม่นั คงของสงั คมและประเทศ หนว ยงาน สถานะ วัตถุประสงคการดําเนนิ งาน/กาํ หนด NDA DSA DPA กรมควบคมุ โรค Data Controller วิธีการ √ √ กรมการแพทย √ เพอ่ื การรายงานสถติ ปิ ระจําวัน √ Data Processor Back up √ Data Controller ตรวจสอบ AEFI √√ การนําไปใช (Implementation) จะมองได 2 องคประกอบ หากองคกรใดที่มอี ํานาจหนา ท่ีในการตัดสนิ ใจ ใหพ ิจารณาวา 1. องคกรน้นั มกี ารกําหนดวตั ถปุ ระสงคก ารใชขอมูลหรือไม 2. องคกรนั้นมกี ารกาํ หนดวิธกี ารใชข อมลู หรอื ไม

https://mohpromt.moph.go.th/mpc/mp-condition/pdpa/

THANK YOU