ใช้รูปถ่ายคนไข้อย่างไรไม่ให้ละเมิดสิทธิคนไข้

เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น […]

Hotel limousine กับ PDPA สิ่งที่ต้องกังวลเมื่อส่งข้อมูลไปนอกโรงแรม

จากบทความครั้งที่แล้ว เรื่อง Hotel reservation ไม่เกี่ยวกับ PDPA จริงหรือ ? ที่ได้มีการกล่าวถึงกระบวนการการจองที่พักในหลายรูปแบบ เช่น เว็บไซต์ เอเย่น walk-in ในวันนี้เราจะมากล่าวถึงกระบวนการที่ต่อเนื่องกันคือ กระบวนการการรับส่งจากสนามบินหรือสถานที่ต่างๆ ไปยังโรงแรม ในบางกรณีผู้เข้าพักบางท่านอาจมีความต้องการใช้บริการรถรับส่งเพื่อให้รับจากสนามบินมายังโรงแรมเพื่อความสะดวกของผู้เข้าพัก รูปแบบการรับส่งที่สนามบินโดยทั่วไปสามารถแบ่งออกได้เป็น 2 รูปแบบ ได้แก่ Inhouse limousine คือ กรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง Outsource limousine คือ กรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม ในกรณีที่โรงแรมมีบริการรับส่งด้วยตัวเอง (Inhouse limousine)  โดยทั่วไปข้อมูลของผู้เข้าพักจะถูกโรงแรมเก็บมาแล้วจากขั้นตอนการจองห้องพัก แต่อาจมีการนำข้อมูลดังกล่าวมาใช้เพื่อเป็นการยืนยันตัวผู้เข้าพักอีกครั้ง การนำข้อมูลมาใช้ในกระบวนการนี้ โรงแรมต้องมีการระบุวัตถุประสงค์นี้เข้าไปในประกาศความเป็นส่วนตัวของผู้เข้าพัก (Privacy notice) และแจ้งให้ผู้เข้าพักทราบในขั้นตอนการรับจองห้องพัก หรือจะแจ้งอีกครั้งเพื่อเป็นการแจ้งย้ำให้ผู้เข้าพักทราบก็ย่อมทำได้ นอกจากนี้ การที่โรงแรมนำข้อมูลมาใช้ประมวลผลในกระบวนการนี้สามารถใช้ฐานสัญญา ตามมาตรา 24(3) ในการจัดเก็บข้อมูลส่วนบุคคลได้ เนื่องจากเป็นการจำเป็นเพื่อใช้ในการดำเนินการตามคำขอก่อนการเข้าทำสัญญาใช้บริการ ในกรณีที่โรงแรมมีการจ้างบริษัทรับส่งภายนอก ให้ดำเนินการรับส่งผู้เข้าพักแทนโรงแรม หรือ Outsource limousine ทางโรงแรมอาจจะมีการส่งรายชื่อของผู้ที่จะเข้าพักให้กับบริษัท Outsource limousine ซึ่งเป็นนิติบุคคลภายนอก เช่น […]

รู้หรือไม่ Data Governance ทำให้การดำเนินงานของ PDPA ง่ายขึ้น

ข้อมูลเป็นกลไกสำคัญในการขับเคลื่อนการดําเนินงานของหน่วยงาน เพื่อนําไปสู่เป้าหมายที่กําหนดไว้ ทั้งยังเป็นหนึ่งในทรัพย์สินที่สําคัญที่องค์กรต้องให้ความสำคัญ การจัดเก็บและควบคุมไม่ให้เกิดการใช้ข้อมูลอย่างไม่ถูกต้องตามวัตถุประสงค์และเป้าหมายขององค์กร จึงมีความสำคัญอย่างยิ่งที่องค์กรจะต้องดำเนินการ โดยการจัดให้มีการกำกับดูแลข้อมูลภายในองค์กรให้เป็นไปตามเป้าหมายที่กำหนดไว้ ทั้งเป็นการดำเนินการให้ข้อมูลมีความพร้อมใช้งาน ความสมบูรณ์ และความปลอดภัย ยิ่งข้อมูลดังกล่าวเป็นข้อมูลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลองค์กรยิ่งมีความจำเป็นอย่างยิ่งในการที่จะต้องจัดการให้มีความพร้อมใช้งานและมีความปลอดภัยมากยิ่งขึ้นเพื่อป้องกันมิให้เกิดเหตุการละเมิดข้อมูลส่วนบุคคล เนื่องจากในปัจจุบันนี้การเก็บข้อมูลของแต่ละองค์กรมีเป็นจำนวนมาก ซึ่งข้อมูลที่เก็บรวบรวมไว้นั้นอาจนำมาใช้หรือไม่นำมาใช้เพื่อให้บรรลุวัตถุประสงค์หรือเป้าหมายที่แท้จริงได้ อีกทั้งปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลจากการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นจำนวนมากจนสร้างความเดือดร้อนรำคาญหรือความเสียหาย ให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม เปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ความเสียหายต่อเศรษฐกิจโดยรวม ทำได้โดยง่าย สะดวก ละรวกดเร็ว ก่อให้เกิดความเสียหายต่อเศรษฐกิจโดยรวม ดังนั้นจึงมีความจำเป็นอย่างยิ่งที่ต้องให้ความสำคัญในการจัดการข้อมูลและสร้างมาตราการในการคุ้มคุ้มครองข้อมูลส่วนบุคคลไปพร้อม ๆ กัน Data Governance หรือธรรมภิบาลข้อมูล คือ การกําหนดสิทธิในการตัดสินใจและความรับผิดชอบ ในการส่งเสริมให้เกิดกระบวนการจัดทํา การใช้งาน และ การบริหารจัดการข้อมูล รวมถึงกระบวนการที่กําหนดบทบาท นโยบาย และมาตรฐาน ที่ช่วยสนับสนุนให้การ ดําเนินงานเกี่ยวกับข้อมูลมีประสิทธิภาพมากยิ่งขึ้น ซึ่งส่งผลให้หน่วยงานหรือองค์กรทั้งภาครัฐและเอกชนสามารถบรรลุเป้าหมายได้ ในการจัดทำ Data Governance หรือธรรมาภิบาลข้อมูลขององค์นั้น ได้มีการกำหนดองค์ประกอบหลักสำคัญของการจัดการข้อมูลที่ดี โดยหน่วยงาน Intra-governmental Group on Geographic Information (IGGI, 2005) ซึ่งต้องประกอบไปด้วย 1) มีความมั่นคงปลอดภัยและรักษาความเป็นส่วนบุคคลโดยมีมาตรการในการรักษาความมั่นคงปลอดภัย […]

PDPA กับ PIPL ต่างกันอย่างไร ไปดูกัน!!!

กฎหมายคุ้มครองข้อมูลส่วนบุคคลแห่งสาธารณรัฐประชาชนจีน (Personal Information Protection Law) หรือ PIPL เป็นกฎหมายความเป็นส่วนตัวของข้อมูลที่รัฐบาลจีนออกในเดือนสิงหาคม 2021 โดยมีวัตถุประสงค์เพื่อเสริมสร้างการปกป้องข้อมูลส่วนบุคคลและความเป็นส่วนตัวของประชาชนจีน กฎหมายนี้ใช้กับองค์กรและธุรกิจที่รวบรวม ใช้ ประมวลผล และจัดเก็บข้อมูลส่วนบุคคลของพลเมืองจีนไม่ว่าจะตั้งอยู่ที่ใด กำหนดข้อกำหนดในการขอความยินยอม การปกป้องข้อมูลส่วนบุคคล และการให้สิทธิแก่บุคคลในการเข้าถึง แก้ไข และลบข้อมูลส่วนบุคคลของตน กฎหมายยังมีบทลงโทษสำหรับการฝ่าฝืน ทั้งปรับ พักใช้ หรือเพิกถอนใบอนุญาตประกอบกิจการ PIPL คาดว่าจะมีผลกระทบอย่างมีนัยสำคัญต่อวิธีการดำเนินงานของธุรกิจในประเทศจีนและวิธีการประมวลผลข้อมูลส่วนบุคคล ทั้ง PDPA และ PIPL ต่างก็เป็นกฎหมายที่มุ่งเน้นคุ้มครองสิทธิความเป็นส่วนตัวของบุคคลในประเทศของตน แม้ว่ากฎหมายทั้งสองจะมีความคล้ายคลึงกันอยู่บ้าง แต่ก็มีข้อแตกต่างที่สำคัญบางประการเช่นกัน ข้อแตกต่างบางประการระหว่าง PDPA ของไทยกับ PIPL ของจีน มีดังนี้ ขอบเขตการบังคับใช้(Scope) : PDPA แบ่งแยกกันระหว่างผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล ในขณะที่ PIPL รวมทุกอย่างเป็นผู้ประมวลผลข้อมูล คำจำกัดความ(Definition) : กฎหมายทั้งสองฉบับใช้คําจํากัดความที่เกี่ยวข้องกับข้อมูลส่วนบุคคลแตกต่างกันบางคํา ตัวอย่างเช่น PDPA นิยามข้อมูลส่วนบุคคลว่า “ข้อมูลใด ๆ ที่สามารถระบุตัวบุคคลนั้นเกี่ยวกับบุคคลนั้น” ในขณะที่ PIPL นิยามข้อมูลส่วนบุคคลว่า “ข้อมูลทั้งหมดที่บันทึกทางอิเล็กทรอนิกส์หรือวิธีการอื่น […]