นโยบายและแนวทางปฏิบัติ

นโยบายการคุ้มครองข้อมูลส่วนบุคคลและธรรมาภิบาลข้อมูลวิจัย

(Privacy and Research Data Governance Policy)

โครงการ Thai Integrated Falls and Hip fractures Care (TIFHC)

วันประกาศใช้: 27 มีนาคม 2569

สถาบันเจ้าของสิทธิ์: คณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล

1. บทนำและขอบเขตการบังคับใช้

โครงการ TIFHC ยึดถือหลักการคุ้มครองข้อมูลส่วนบุคคลของผู้ป่วยและบุคคลที่เกี่ยวข้องเป็นสิ่งสำคัญสูงสุด โดยตระหนักถึงภาระหน้าที่ในการรักษาความลับทางการแพทย์และมาตรฐานความปลอดภัยของข้อมูล นโยบายฉบับนี้มีวัตถุประสงค์เพื่อสถาปนาเกณฑ์มาตรฐานในการจัดเก็บ การประมวลผล และการเปิดเผยข้อมูลให้สอดคล้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ตลอดจน หลักจริยธรรมการวิจัยในมนุษย์ (Research Ethics)ตามปฏิญญาเฮลซิงกิ (Declaration of Helsinki) และมาตรฐานสากลอื่นที่เกี่ยวข้อง

2. บทนิยามทางการ

  • ข้อมูลส่วนบุคคล (Personal Data): ข้อมูลที่เกี่ยวข้องกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวตนของเจ้าของข้อมูลได้ ไม่ว่าโดยทางตรงหรือทางอ้อม
  • ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Data): ข้อมูลด้านสุขภาพ ประวัติการรักษา พยาธิสภาพ และผลการวินิจฉัยทางการแพทย์ ซึ่งเป็นข้อมูลที่ต้องได้รับความคุ้มครองภายใต้มาตรการความปลอดภัยขั้นสูง
  • กระบวนการทำให้เป็นข้อมูลนิรนาม (Data Anonymization): กระบวนการทางเทคนิคในการจัดการข้อมูลเพื่อขจัดความเชื่อมโยงที่สามารถใช้ระบุตัวตนบุคคลได้โดยถาวร ส่งผลให้ข้อมูลนั้นไม่ตกอยู่ภายใต้บังคับของกฎหมายคุ้มครองข้อมูลส่วนบุคคลในสถานะข้อมูลระบุตัวตน

3. ฐานทางกฎหมายในการประมวลผลข้อมูล

โครงการ TIFHC ดำเนินการรวบรวมข้อมูลจากสถาบันเครือข่ายทางการแพทย์ผ่านระบบทะเบียนระดับชาติ (National Registry) โดยอาศัยฐานทางกฎหมาย (Legal Basis) ดังต่อไปนี้:

  • ฐานการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ (Public Task): เพื่อส่งเสริมความมั่นคงทางสาธารณสุขและการพัฒนานโยบายด้านสุขภาพระดับประเทศ
  • ฐานการศึกษาวิจัยหรือสถิติ (Scientific or Historical Research): เพื่อการวิเคราะห์ผลสัมฤทธิ์ทางการรักษาในเชิงวิชาการ โดยมุ่งเน้นการคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลอย่างเหมาะสม
  • ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest): เพื่อวัตถุประสงค์ในการป้องกัน ค้นคว้า หรือระงับอันตรายต่อชีวิตและสุขภาพของผู้สูงอายุในภาพรวมของสังคม

4. พิธีสารการทำข้อมูลนิรนาม (Data Anonymization Protocol)

ในการเผยแพร่ข้อมูลผ่านแดชบอร์ดสาธารณะหรือการส่งมอบชุดข้อมูลให้แก่นักวิจัย ข้อมูลจะต้องผ่านกระบวนการจัดการตามลำดับขั้นตอนดังนี้:

  • การกำจัดข้อมูลระบุตัวตนโดยตรง (Direct Identifiers) อาทิ นามชื่อ เลขประจำตัวประชาชน หมายเลขโทรศัพท์ และหมายเลขประวัติผู้ป่วย (Hospital Number)
  • การแทนที่ข้อมูลระบุตัวตนด้วยรหัสสุ่มเฉพาะสำหรับการวิจัย (Unique Study ID) เพื่อวัตถุประสงค์ในการวิเคราะห์เชิงสถิติเท่านั้น
  • การจัดการข้อมูลเชิงพื้นที่ (Geographic Data Manipulation) โดยปรับลดรายละเอียดของตำแหน่งที่ตั้งให้อยู่ในระดับมหาภาค (อาทิ เขตสุขภาพหรือระดับจังหวัด) เพื่อจำกัดความเป็นไปได้ในการระบุตัวตนรายบุคคล

5. ข้อกำหนดและเงื่อนไขการเข้าถึงข้อมูลสำหรับนักวิจัย

บุคคลากรวิจัยผู้มีความประสงค์ในการเข้าถึงและใช้ประโยชน์จากฐานข้อมูล TIFHC จักต้องปฏิบัติตามหลักเกณฑ์และระเบียบวิจัยอย่างเคร่งครัด:

  • การอนุมัติทางจริยธรรม (Ethics Approval): ต้องแสดงหลักฐานการรับรองโครงการจากคณะกรรมการจริยธรรมการวิจัยในมนุษย์ (Institutional Review Board – IRB) จากสถาบันต้นสังกัดที่เป็นที่ยอมรับ
  • ข้อตกลงการใช้ข้อมูล (Data Use Agreement – DUA): ต้องลงนามในสัญญาผูกพันทางกฎหมาย โดยระบุข้อห้ามมิให้ดำเนินการเชื่อมโยงข้อมูลกลับเพื่อระบุตัวตน (Re-identification) และห้ามมิให้ส่งมอบหรือเผยแพร่ชุดข้อมูลดิบแก่บุคคลภายนอกโดยไม่ได้รับอนุญาต
  • ขอบเขตของข้อมูล (Data Minimization): โครงการจะพิจารณาส่งมอบข้อมูลเฉพาะตัวแปรที่มีความจำเป็นและสอดคล้องกับวัตถุประสงค์ของโครงการวิจัยที่ได้รับอนุมัติเท่านั้น
 

6. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล

วิทยาการเข้ารหัส (Encryption)

ข้อมูลในระดับฐานข้อมูลหลักจะได้รับการปกป้องด้วยการเข้ารหัสตามมาตรฐานขั้นสูง (AES-256) ทั้งในขณะจัดเก็บและระหว่างการรับส่ง

การควบคุมสิทธิ์การเข้าถึง

จำกัดการเข้าถึงเฉพาะบุคลากรที่ได้รับมอบหมายอย่างเป็นทางการ ผ่านระบบการยืนยันตัวตนหลายปัจจัย (Multi-factor Authentication)

การตรวจสอบบันทึกกิจกรรม (Audit Trail)

ระบบจะจัดเก็บบันทึกประวัติการเข้าใช้งานและกิจกรรมที่เกี่ยวข้องกับข้อมูลอย่างละเอียด เพื่อใช้ในการตรวจสอบและรักษาความโปร่งใสของกระบวนการจัดการข้อมูล

7. สิทธิของเจ้าของข้อมูลตามกฎหมาย

เจ้าของข้อมูลหรือผู้มีอำนาจกระทำการแทนตามกฎหมาย มีสิทธิในการดำเนินการดังต่อไปนี้:

  • สิทธิในการได้รับแจ้งรายละเอียดการประมวลผลข้อมูล (Right to be Informed)
  • สิทธิในการเข้าถึงหรือขอรับสำเนาข้อมูลส่วนบุคคล (Right of Access)
  • สิทธิในการคัดค้านการประมวลผลข้อมูล (Right to Object) ในกรณีที่การดำเนินการดังกล่าวไม่เข้าข่ายข้อยกเว้นตามกฎหมาย

หมายเหตุ: การใช้สิทธิดังกล่าวอาจถูกจำกัดตามบทบัญญัติแห่งกฎหมาย โดยเฉพาะในกรณีที่ข้อมูลถูกใช้เพื่อวัตถุประสงค์ในการศึกษาวิจัยทางสถิติหรือประโยชน์สาธารณะตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

8. ข้อมูลการติดต่อประสานงาน

หากมีข้อสงสัยเกี่ยวกับนโยบายฉบับนี้ หรือมีความประสงค์ในการใช้สิทธิตามกฎหมาย โปรดติดต่อ:

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer - DPO)

หน่วยข้อมูลวิจัย TIFHC, ศูนย์วิจัยการแพทย์ศิริราช (SiMR)

เลขที่ 2 ถนนวังหลัง แขวงศิริราช เขตบางกอกน้อย กรุงเทพมหานคร 10700

research@tifhc.org

099-998-4465

ผู้สนับสนุนและภาคีเครือข่ายโครงการ

มุ่งมั่นยกระดับการดูแลผู้ป่วยด้วยการบริหารจัดการข้อมูลที่แม่นยำและงานวิจัยที่ได้มาตรฐาน เพื่อสร้างผลลัพธ์เชิงประจักษ์อย่างยั่งยืน

เมนูหลัก

แหล่งข้อมูล

ติดต่อเรา

ที่ตั้งสำนักงาน

อาคารเฉลิมพระเกียรติ 80 พรรษา 5 ธันวาคม 2550 (SiMR) ชั้น 2 ห้อง 212

เบอร์ติดต่อ / อีเมล

02 419 2632-35
sihp@mahidol.ac.th

© 2026 TIFHC Research Data Unit. สงวนลิขสิทธิ์

นโยบายส่วนตัว
ข้อกำหนดการใช้งาน
Facebook Youtube Envelope

© 2026 TIFHC Research Data Unit