มหาวิทยาลัยเชียงใหม่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล
ตระหนักถึงความสำคัญในการคุ้มครองข้อมูลส่วนบุคคลของท่าน นโยบายนี้อธิบายวิธีที่เราเก็บรวบรวม ใช้ และปกป้องข้อมูลของท่านในระบบ eDENT-ELDER ซึ่งดำเนินการภายใต้โครงการวิจัยที่ได้รับทุนอุดหนุนการวิจัยและนวัตกรรมจาก สำนักงานการวิจัยแห่งชาติ (วช.) และ มหาวิทยาลัยเชียงใหม่
สารบัญ
1
นิยาม
| คำ | ความหมาย |
|---|---|
| eDENT-ELDER | ระบบแพลตฟอร์มปัญญาประดิษฐ์คัดกรองรอยโรคช่องปากที่มีความเสี่ยงสูงในผู้สูงอายุไทย บนเครือข่ายบริการทันตสาธารณสุขระดับชาติ |
| ผู้ควบคุมข้อมูลส่วนบุคคล | มหาวิทยาลัยเชียงใหม่ (ในฐานะนิติบุคคล) — รศ.ดร.ปฏิเวธ วุฒิสารวัฒนา ทำหน้าที่เป็นตัวแทนผู้ควบคุมข้อมูลและหัวหน้าโครงการ |
| ผู้ประมวลผลข้อมูลส่วนบุคคล | ศูนย์ทันตสาธารณสุขระหว่างประเทศ กรมอนามัย กระทรวงสาธารณสุข ซึ่งประมวลผลข้อมูลตามคำสั่งของผู้ควบคุมข้อมูล |
| ผู้ใช้งาน | ผู้สูงอายุที่เข้ารับการคัดกรอง ผู้บันทึกข้อมูลภาคสนาม ผู้ทบทวนเคส และทันตแพทย์ |
| ข้อมูลส่วนบุคคล | ข้อมูลที่ทำให้สามารถระบุตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม ไม่รวมข้อมูลของผู้ถึงแก่กรรม |
| ข้อมูลส่วนบุคคลอ่อนไหว | ข้อมูลสุขภาพ ภาพถ่ายช่องปาก และข้อมูลอื่นตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 |
2
แหล่งที่มาของข้อมูลส่วนบุคคล
- ข้อมูลที่ท่านให้โดยตรงผ่านระบบ eDENT-ELDER เช่น การลงทะเบียน การกรอกแบบสอบถาม RiskOCA และ OHIP-14 การยืนยันความยินยอม
- ข้อมูลที่ได้รับจากผู้บันทึกข้อมูลภาคสนาม ได้แก่ ผลการประเมิน OHAT และภาพถ่ายช่องปากที่บันทึกระหว่างการคัดกรอง
- ข้อมูลที่ระบบสร้างขึ้นโดยอัตโนมัติ ได้แก่ ผลการวิเคราะห์ของ AI ข้อมูลการใช้งาน timestamp และ session log
- ข้อมูลที่ได้รับจากทันตแพทย์ผู้เชี่ยวชาญ ได้แก่ ผลการยืนยันทางคลินิกและ clinical decision
3
ประเภทข้อมูลส่วนบุคคลที่เก็บรวบรวม
3.1 ผู้สูงอายุที่เข้ารับการคัดกรอง
- ข้อมูลระบุตัวตน: ชื่อ นามสกุล เลขบัตรประชาชน เบอร์โทรศัพท์ วันเกิด เพศ ที่อยู่
- ข้อมูลสุขภาพช่องปาก: ผลการประเมิน OHAT ผลการวิเคราะห์ของ AI ผลการยืนยันจากทันตแพทย์
- ภาพถ่ายช่องปาก: ภาพดิจิทัล 6–16 มุมมอง พร้อม metadata (วันที่ เวลา ตำแหน่ง รหัสอุปกรณ์)
- แบบสอบถาม: ผลการตอบ RiskOCA (ปัจจัยเสี่ยง) และ OHIP-14 (ผลกระทบต่อคุณภาพชีวิต)
- OralReg ID: รหัสประจำตัวในระบบสำหรับแสดงผลแทนเลขบัตรประชาชน
3.2 ผู้บันทึกข้อมูลภาคสนาม
- ข้อมูลระบุตัวตน: ชื่อ นามสกุล เบอร์โทรศัพท์ที่ใช้ลงทะเบียน
- ข้อมูลการใช้งาน: จำนวนเคส pass rate ของภาพ เวลาที่ใช้ต่อ session
- ผลแบบสอบถามวิจัย: Self-efficacy, Role Identity, SUS, Knowledge Quiz (ในฐานะกลุ่มตัวอย่าง)
3.3 ทันตแพทย์และบุคลากรทางการแพทย์
- ข้อมูลวิชาชีพ: ชื่อ นามสกุล ตำแหน่ง สังกัด เลขที่ใบอนุญาตวิชาชีพ (ถ้ามี)
- ข้อมูลการใช้งาน: ผล Knowledge Quiz และ clinical decision ที่บันทึกในระบบ
3.4 ข้อมูลเทคนิคที่ระบบเก็บโดยอัตโนมัติ
- IP address หมายเลขอุปกรณ์ ประเภทเบราว์เซอร์ ระบบปฏิบัติการ
- Log การเข้าออกระบบ เวลา และ session ID ตาม พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2550 (แก้ไข พ.ศ. 2560)
4
วัตถุประสงค์และฐานทางกฎหมายในการประมวลผล
ฐานทางกฎหมายหลัก
การประมวลผลข้อมูลส่วนบุคคลอ่อนไหว (ข้อมูลสุขภาพและภาพถ่ายช่องปาก) อาศัยฐาน "การวิจัยทางวิทยาศาสตร์" ตามมาตรา 24(5) และมาตรา 26 วรรคสอง (5) แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ภายใต้การกำกับของคณะกรรมการจริยธรรมการวิจัยในมนุษย์ กรมอนามัย รหัสโครงการวิจัย 830/2568 และคณะกรรมการพิทักษ์สิทธิ์สวัสดิภาพและป้องกันภยันตรายของผู้ถูกวิจัย คณะทันตแพทยศาสตร์ มหาวิทยาลัยเชียงใหม่ เอกสารเลขที่ 65/2566
| # | วัตถุประสงค์ | รายละเอียด | ฐานกฎหมาย |
|---|---|---|---|
| 1 | คัดกรองสุขภาพช่องปาก | ตรวจหารอยโรคก่อนมะเร็งและมะเร็งช่องปากและส่งต่อรักษาอย่างทันท่วงที | มาตรา 24(1), 24(5) |
| 2 | การวิจัยทางวิทยาศาสตร์ | พัฒนาระบบ AI คัดกรองรอยโรคช่องปากและศึกษาประสิทธิผลในกลุ่มประชากรไทย | มาตรา 24(5), 26(5) |
| 3 | พัฒนา AI | ใช้ภาพช่องปากและผลการวินิจฉัยในการฝึกและประเมินโมเดล AI | มาตรา 24(5) |
| 4 | ติดตามผู้ป่วย | ติดต่อผู้ที่พบรอยโรคเสี่ยงสูงให้เข้ารับการตรวจยืนยันและรักษา | มาตรา 24(2) |
| 5 | บริหารจัดการระบบ | ตรวจสอบความถูกต้อง ป้องกันการใช้งานโดยไม่ได้รับอนุญาต บำรุงรักษาระบบ | มาตรา 24(6) |
| 6 | รายงานต่อ วช. | รายงานผลดำเนินงานต่อสำนักงานการวิจัยแห่งชาติ ในรูปแบบที่ไม่ระบุตัวตน | มาตรา 24(1) |
5
การเปิดเผยข้อมูลส่วนบุคคล
eDENT-ELDER อาจเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่บุคคลหรือหน่วยงานต่อไปนี้เพื่อบรรลุวัตถุประสงค์ที่ระบุในข้อ 4
- ทีมวิจัยหลักและผู้ช่วยวิจัยที่ผ่านการอบรมและลงนามรักษาความลับแล้ว
- ทันตแพทย์ผู้เชี่ยวชาญที่รับผิดชอบการยืนยันผล โดยเปิดเผยเฉพาะข้อมูลที่จำเป็น
- ศูนย์ทันตสาธารณสุขระหว่างประเทศ กรมอนามัย ในฐานะผู้ประมวลผลข้อมูล ภายใต้ Data Processing Agreement ที่ลงนามระหว่าง มช. และกรมอนามัย
- คณะกรรมการจริยธรรมการวิจัย มช. และเจ้าหน้าที่ที่มีอำนาจตรวจสอบ
- สำนักงานการวิจัยแห่งชาติ (วช.) เฉพาะข้อมูลสรุปผลที่ไม่ระบุตัวตน
- เจ้าหน้าที่ของรัฐหรือหน่วยงานที่มีอำนาจตามกฎหมาย กรณีมีคำสั่งหรือหมายศาล
eDENT-ELDER จะไม่ขาย โอน หรือเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่บุคคลภายนอกเพื่อวัตถุประสงค์ทางการค้าเด็ดขาด
6
มาตรการรักษาความมั่นคงปลอดภัย
- เข้ารหัสข้อมูลด้วยมาตรฐาน AES-256 ทั้งขณะจัดเก็บและขณะส่งผ่านเครือข่าย (TLS 1.3)
- ควบคุมการเข้าถึงด้วยระบบ Role-Based Access Control (RBAC) แต่ละ role เห็นเฉพาะข้อมูลที่จำเป็น
- ยืนยันตัวตนด้วย OTP ผ่าน SMS สำหรับผู้ใช้งานทุกกลุ่ม
- ระบบ audit log บันทึกการเข้าถึงและการแก้ไขข้อมูลทุกรายการ
- สำรองข้อมูลอัตโนมัติ จัดเก็บในเซิร์ฟเวอร์ที่ตั้งอยู่ในประเทศไทย
- ตรวจสอบความปลอดภัยและทบทวนนโยบายอย่างสม่ำเสมอ
7
ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
| ประเภทข้อมูล | ระยะเวลา | การดำเนินการหลังครบกำหนด |
|---|---|---|
| ข้อมูลสุขภาพช่องปากและภาพถ่าย | 5 ปี หลังสิ้นสุดโครงการ ภายใน 22 มีนาคม 2575 |
ลบอย่างปลอดภัย (DoD 5220.22-M) |
| ข้อมูลระบุตัวตนผู้สูงอายุ | 5 ปี หลังสิ้นสุดโครงการ | ลบอย่างปลอดภัย |
| ผลแบบสอบถามวิจัย (อสม.) | 5 ปี หลังสิ้นสุดโครงการ | ลบอย่างปลอดภัย |
| Log การใช้งานระบบ | ไม่น้อยกว่า 90 วัน | ลบโดยอัตโนมัติ |
| ข้อมูลที่ผ่านการ Anonymize | ไม่จำกัด | อาจใช้วิจัยต่อเนื่องโดยไม่ต้องขอ consent ใหม่ |
8
การใช้คุกกี้ (Cookies)
eDENT-ELDER ใช้คุกกี้เฉพาะที่จำเป็นสำหรับการทำงานของระบบ ไม่มีการใช้ tracking cookies หรือ advertising cookies
- Session cookie — เก็บชั่วคราวระหว่างการใช้งาน จะถูกลบเมื่อปิดเบราว์เซอร์
- Authentication token — ใช้รักษาสถานะการเข้าสู่ระบบ มีอายุไม่เกิน 24 ชั่วโมง
9
สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล
ท่านมีสิทธิ์ต่อไปนี้ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
รับทราบ
รับทราบวัตถุประสงค์การเก็บข้อมูลก่อนหรือขณะเก็บ
เข้าถึง
ขอเข้าถึงและรับสำเนาข้อมูลของท่านที่เราเก็บไว้
แก้ไข
ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่ครบถ้วน
ลบ
ขอลบข้อมูลเมื่อหมดความจำเป็น ภายใต้เงื่อนไขกฎหมาย
ระงับ
ขอระงับการใช้ข้อมูลในกรณีที่กฎหมายกำหนด
คัดค้าน
คัดค้านการประมวลผลในกรณีที่กฎหมายกำหนด
โอนย้าย
ขอรับข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่องมืออัตโนมัติ
ถอนความยินยอม
ถอนความยินยอมได้ทุกเมื่อ โดยไม่กระทบการประมวลผลก่อนหน้า อย่างไรก็ตาม ข้อมูลที่ถูก incorporate เข้าโมเดล AI แล้วอาจไม่สามารถถอนออกได้ทางเทคนิค
eDENT-ELDER จะดำเนินการตามคำขอใช้สิทธิ์ภายใน 30 วัน นับจากวันที่รับคำขอ ติดต่อได้ที่ช่องทางในข้อ 12
10
การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
eDENT-ELDER ไม่มีนโยบายส่งหรือโอนข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ไปยังต่างประเทศ อย่างไรก็ตาม ข้อมูลที่ผ่านการ anonymize แล้วอาจถูกนำเสนอในการประชุมวิชาการนานาชาติหรือตีพิมพ์ในวารสารวิชาการต่างประเทศ ซึ่งไม่ถือเป็นการส่งข้อมูลส่วนบุคคลตามความหมายของกฎหมาย
11
การปรับปรุงนโยบายความเป็นส่วนตัว
eDENT-ELDER อาจปรับปรุงนโยบายนี้เป็นระยะ โดยจะแจ้งให้ผู้ใช้งานทราบผ่านระบบอย่างน้อย 30 วัน ก่อนการมีผลบังคับใช้ สำหรับการเปลี่ยนแปลงที่มีนัยสำคัญต่อสิทธิ์ของท่าน จะขอความยินยอมใหม่ก่อนดำเนินการ
12
ช่องทางการติดต่อและการร้องเรียน
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
มหาวิทยาลัยเชียงใหม่ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ติดต่อได้ที่ ccarc@cmu.ac.th หรือสำนักงานกฎหมาย มหาวิทยาลัยเชียงใหม่
Data Controller · หัวหน้าโครงการ
รศ.ดร.ปฏิเวธ วุฒิสารวัฒนา
ภาควิชาวิศวกรรมคอมพิวเตอร์
คณะวิศวกรรมศาสตร์ มช.
คณะวิศวกรรมศาสตร์ มช.
Data Processor · ผู้ประสานงาน
ทพ.ดร.แมนสรวง วงศ์อภัย
ศูนย์ทันตสาธารณสุขระหว่างประเทศ
กรมอนามัย กระทรวงสาธารณสุข
กรมอนามัย กระทรวงสาธารณสุข
IRB · ข้อร้องเรียนจริยธรรม
คณะกรรมการจริยธรรมการวิจัยฯ มช.
คณะสังคมศาสตร์ มช.
239 ถ.ห้วยแก้ว ต.สุเทพ เชียงใหม่ 50200
239 ถ.ห้วยแก้ว ต.สุเทพ เชียงใหม่ 50200
PDPC · ข้อร้องเรียน PDPA
สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม