PDPA วงการแพทย์ โรงพยาบาลต้องเตรียมพร้อมเรื่องอะไรบ้าง

Share

Loading

เราอาจจะได้ยินคำว่า PDPA กันมาหลายครั้ง อย่างน้อยเราก็รู้สิทธิขั้นต้นว่าคือการที่กฎหมายช่วยปกป้องข้อมูลสิทธิส่วนบุคคล หากช่วงนี้ใครไปพบแพทย์จะต้องเจอการเซ็นเอกสารเพื่อขออนุญาต PDPA เช่นกัน

วันนี้ เรามาดูรายละเอียดกันว่า กฎหมาย PDPA ที่วงการแพทย์ขออนุญาตเราทุกครั้งก่อนเข้าพบหมอนั้น มีความคุ้มครองในเรื่องอะไรบ้าง แล้วข้อควรระวังก่อนเซ็นเอกสารที่ผู้ป่วยควรรู้

PDPA หรือ Personal Data Protection Act B.E 2562 เป็น พ.ร.บ ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคลถูกร่างขึ้น เพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

คำว่าข้อมูลส่วนบุคคลนั้น จะถูกแบ่งออกเป็น 2 ประเภท คือ ข้อมูลส่วนบุคคล กับ ข้อมูลส่วนบุคคลที่อ่อนไหว

สำหรับผู้ที่มีส่วนเกี่ยวข้องกับกฎหมาย PDPA จะแบ่งเป็น 3 ประเภท

  • เจ้าของข้อมูลส่วนบุคคล คือ บุคคลที่ข้อมูลสามารถระบุไปถึงได้ ทั้งทางตรงและทางอ้อม
  • ผู้ควบคุมข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
  • ผู้ประมวลผลข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามคำสั่งหรือในนามของผู้ควบคุม แต่บุคคลหรือนิติบุคคลที่ดำเนินการไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
การขอความยินยอม

การขออนุญาตหรือคำยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลหรือนำข้อมูลส่วนบุคคลไปใช้ หรือนำไปเปิดเผยไม่ว่าจะใช้ในวัตถุประสงค์ใดก็ตาม

RoPA หรือ Record of Processing Activity

การบันทึกกิจกรรมการประมวลผลขององค์กร ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

โรงพยาบาล ต้องเข้าใจ PDPA ให้มากขึ้น

ในช่วงชีวิตของทุกคนจะต้องเคยเข้าโรงพยาบาลตั้งแต่เกิดจนตาย ดังนั้นโรงพยาบาลจึงถือว่าเป็นสถานที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของคนมาทุกช่วงชีวิต

รวมทั้งโรงพยาบาลถือว่าเป็นศูนย์กลางของข้อมูลขนาดใหญ่ที่เก็บข้อมูลส่วนบุคคลในเรื่องของการรักษา และยังเก็บข้อมูลที่อ่อนไหว เช่น กรุ๊ปเลือด ประวัติการใช้ยา ประวัติเกี่ยวกับประกัน ซึ่งข้อมูลเหล่านี้ เป็นข้อมูลที่สำคัญเพราะระบุตัวตนของบุคคลทั้งทางตรงและทางอ้อม

ดังนั้น โรงพยาบาลจึงถือว่าเป็นหน่วยงานที่ต้องปกป้องข้อมูลรั่วไหลหรือถูกโจรกรรม

พรบ.สุขภาพแห่งชาติ 2550

ย้อนกลับไปอ้างอิงเรื่องความคุ้มครองข้อมูลของคนไข้ที่เข้ารับบริการในโรงพยาบาล จะได้รับความคุ้มครองด้วยพรบ.สุขภาพแห่งชาติ พ.ศ.2550 ตามมาตรา 7

“ข้อมูลสุขภาพส่วนบุคคลเป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดนตรง หรือมีกฎหมายบัญญัติเฉพาะให้ต้องเปิดเผย”

ความหมายของข้อมูลตามกฎหมาย PDPA จะแบ่งเป็น

  • Data Subject : คนไข้หรือผู้มาใช้บริการ
  • Data Controller : โรงพยาบาล
  • Data Processor : หน่วยงานประกันสังคม หรือ บริษัทประกัน

หากมีการส่งต่อข้อมูลกันระหว่างโรงพยาบาล จะมีการสลับตำแหน่งกัน เช่น โรงพยาบาลที่รับเคสคนไข้เป็น Data Controller โรงพยาบาลที่รับเคสต่อ จะกลายเป็น Data Processor ทันที

สิ่งที่โรงพยาบาลต้องทำตาม PDPA
  • แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO (DATA Protection Officer) เพื่อทำหน้าที่ดูแลเกี่ยวกับข้อมูลส่วนบุคคลทั้งภายในองค์กรและภายนอก (ผู้ใช้บริการ) ของบริษัท
  • จัดทำประกาศนโยบายความเป็นส่วนตัวและประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคลให้คนไข้ หรือผู้มาใช้บริการ รวมถึงบุคลากรภายในองค์กรได้ทราบว่าโรงพยาบาลมีการเก็บข้อมูลส่วนบุคคลอะไรบ้าง นำข้อมูลเหล่านั้นไปทำอะไร มีมาตรการดูแลรักษาข้อมูลอย่างไร  มีระยะเวลาในเก็บข้อมูลเท่าไหร่ หรือส่งต่อข้อมูลให้แก่องค์กรใดบ้าง ฯลฯ
  • จัดทำ Consent Management ระบบบริหารจัดการข้อมูลส่วนบุคคลก่อนที่โรงพยาบาลจะดำเนินกิจกรรมใด ๆ ที่เกี่ยวข้องกับการใช้หรือประมวลข้อมูลส่วนบุคคล
  • ระบบ Consent Management ที่ครอบคลุมการขอความยินยอม ต้องมีการเพิกถอนความยินยอมของเจ้าของข้อมูลหรือ Consent Form ด้วย
  • จัดทำ RoPA (Record of Processing Activities) โดยเริ่มจากการสำรวจข้อมูลส่วนบุคคลที่มีการจัดเก็บโดยองค์กร ระบุวัตถุประสงค์การใช้ข้อมูลส่วนบุคคลอย่างละเอียด พร้อมระบุระยะเวลาในการจัดเก็บข้อมูล
  • การจัดทำ RoPA จะถูกใช้เมื่อเจ้าของข้อมูล (Data Subject) ขอทราบกระบวนการ RoPA หรือในกรณีที่มีการตรวจสอบโดยเจ้าหน้าที่จากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

การทำ PDPA ในส่วนของโรงพยาบาลจำเป็นต้องทำอย่างครอบคลุมและรอบคอบ ทีมที่รับผิดชอบเรื่องข้อมูลจึงต้องใส่ใจและชัดเจนเพื่อป้องกันการรั่วไหลของข้อมูล

แหล่งข้อมูล

https://www.springnews.co.th/digital-tech/technology/834070