“เวชระเบียน” เอกสารทางการแพทย์ทุกประเภทที่ใช้บันทึก และเก็บรวบรวมประวัติของผู้ป่วยทั้งประวัติการรักษาที่เกิดขึ้นในอดีตและปัจจุบัน การแพ้ยา ค่ารักษา ไทม์ไลน์ของผู้ป่วยติดเชื้อโรคติดเชื้อไวรัสโคโรนา (COVID-19) ตลอดจนข้อมูลส่วนตัว ครอบครัว และข้อมูลต่าง ๆ ที่มีการบันทึกซึ่งเกี่ยวข้องกับผู้ป่วย นับเป็นข้อมูลที่สามารถบ่งชี้ตัวบุคคลได้ทั้งทางตรงและทางอ้อม ถือเป็น ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) การจะเก็บ รวบรวมใช้ หรือเปิดเผยได้ก็ต่อเมื่อ ได้รับความยินยอม จากเจ้าของข้อมูลส่วนบุคคลตามบทบัญญัติในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA 

ยกตัวอย่างกรณีที่เห็นกันบ่อยครั้ง คือการจัดเก็บ รวบรวมและเปิดเผยข้อมูลผู้ติดเชื้อโควิด-19 ไทม์ไลน์ก่อนติดเชื้อ ซึ่งหากตอบแบบกำปั้นทุบดินก็นับว่าผิดกฎหมาย PDPA หากการกระทำดังกล่าวไม่ได้รับความยินยอมจากเจ้าของข้อมูลตามสิทธิขั้นพื้นฐานของกฎหมายฉบับนี้  

ซึ่งเป็นที่ทราบดีว่า ‘เวชระเบียน’ ถือเป็นข้อมูลสุขภาพ และเป็นข้อมูลส่วนบุคคลอ่อนไหว หากบุคคลหรือนิติบุคคลนำไปเปิดเผยอาจนำไปสู่การละเมิดร้ายแรงทั้งด้านร่างกาย และจิตใจ เช่น กรณีตัวอย่างการเปิดเผยไทม์ไลน์ หรือประวัติการรักษาผู้ป่วยติดเชื้อโควิด-19 ด้วยเหตุนี้สถานพยาบาล โรงงานพยาบาล หน่วยงาน และเจ้าหน้าที่ด้านสาธารณสุขต่าง ๆ หากจะนำข้อมูลผู้ป่วยไปเก็บรวบรวม หรือประมวลผลจะต้องดำเนินการตาม ฐานความยินยอม ของเจ้าของข้อมูล เนื่องจากข้อมูลสุขภาพไม่อาจจะใช้ฐานสัญญาแบบทั่วไปได้ 

ขณะที่ฐานกฎหมาย และฐานประโยชน์โดยชอบในการปฏิบัติงามตามหน้าที่ของเจ้าหน้าที่รัฐ ก็ยังดู ‘ก้ำกึ่ง’ หากการดำเนินการเปิดเผยข้อมูลผู้ป่วยนำไปสู่การละเมิด ทั้งด้านร่างกาย อาทิ การเลือกปฏิบัติ หรือได้รับการปฏิบัติอย่างไม่เป็นธรรม และด้านจิตใจ เช่น สร้างความเกลียดชัง เสียชื่อเสียง ถูกดูหมิ่น หรือการกระทำใด ๆ ที่ส่งผลกระทบกระทบต่อเจ้าของข้อมูล อันเป็นผลมาจากการเปิดเผยข้อมูลสุขภาพ หรือเวชระเบียนของผู้ป่วยและสถานพยาบาล หน่วยงานและเจ้าหน้าที่ด้านสาธารณสุข อาจจะถูกฟ้องร้องเรียกค่าเสียหายจากการกระทำดังกล่าวได้เช่นกัน

โดยเรื่องทำนองนี้เคยเกิดขึ้นในต่างประเทศ เช่น ประเทศในยุโรป และสหรัฐอเมริกา ซึ่งบังคับกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้ในสหภาพยุโรป หรือ GDPR (General Data Protection Regulation) มาตั้งแต่ปี พ.ศ.2561

เปิดเผยข้อมูล ‘เวชระเบียน’ ผู้ป่วยโควิด-19 อย่างไร จึงจะไม่ผิดกฎหมาย PDPA

เนื่องจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เป็นกฎหมายใหม่ที่มีวัตถุประสงค์เพื่อคุ้มครองสิทธิข้อมูลส่วนบุคคล และยังถือเป็นกฎเกณฑ์ใหม่มาก ๆ สำหรับทุกองค์กร ขณะเดียวกันข้อกฎหมายในบางมาตรายังต้องอาศัยการวิเคราะห์และตีความ เนื่องจากยังต้องรอการออก ‘กฎหมายลูก’ เพื่อบัญญัติข้อบังคับตามกฎหมายให้ละเอียดและครอบคลุมมากขึ้น ดังเช่นกรณีที่ระบุไว้ในข้างต้น ซึ่งการดำเนินการบางอย่าง ‘สุ่มเสี่ยง’ ต่อการละเมิดข้อมูลส่วนบุคคลของผู้ป่วยและอาจนำไปสู่การฟ้องร้องเรียกค่าสินไหมได้

อย่างไรก็ตาม กระทรวงสาธารณสุขได้ประกาศ เรื่องการเปิดเผยข้อมูลส่วนบุคคลตามพระราชบัญญัติควบคุมโรคจากการประกอบอาชีพ และโรคจากสิ่งแวดล้อม พ.ศ. 2562 พ.ศ. 2565 ซึ่งออกมาเพื่อ กำจัดจุดอ่อน หรือความสุ่มเสี่ยงในการละเมิดข้อมูลส่วนบุคคลของผู้ป่วย และผู้ติดเชื้อโรคติดต่อร้ายแรงอย่าง โควิด-19 โดยเฉพาะ 

โดยประกาศกระทรวงฯ ดังกล่าวได้มีการกำหนดให้มีหลักเกณฑ์ วิธีการ และเงื่อนไขในการเปิดเผยข้อมูลส่วนบุคคล จากการเฝ้าระวัง การสอบสวนโรค การแจ้ง หรือการรายงาน ตาม พ.ร.บ. ควบคุมโรคฯ เพื่อให้การเก็บหรือประมวลผลข้อมวลส่วนบุคคลจากการประกอบอาชีพและโรคจากสิ่งแวดล้อมที่มีความจำเป็น เป็นประโยชน์แก่สังคม หรือสาธารณชนทั่วไป ทำให้สามารถเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ป่วยได้ใน 2 กรณี ดังนี้ 

1. ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ต้องทำโดยชัดแจ้งเป็นหนังสือหรือทำโดยผ่านระบบ อิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ โดยรายละเอียดส่วนนี้ก็ไม่แตกต่างจากการขอความยินยอมตามกฎหมาย PDPA แต่จากประกาศกระทรวงฯ ได้มีส่วนที่เพิ่มเติมขึ้นมา คือ ให้ผู้ซึ่งมีหน้าที่สามารถขอความยินยอมด้วยวาจา หรือการสื่อความหมายในรูปแบบอื่นก็ได้ ถ้าเจ้าของข้อมูลส่วนบุคคลได้ร้องขอ และการร้องขอต้องกระทำภายใน 7 วัน นับแต่วันที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม ผู้ซึ่งมีหน้าที่ปฏิบัติการตาม พ.ร.บ. ต้องยืนยันคำขอนั้นเป็นหนังสือให้แก่เจ้าของข้อมูลส่วนบุคคล โดยในหนังสือขอความยินยอมจะต้องประกอบด้วย 

• วัน เดือน และปีที่ทำคำขอ
• ข้อมูลส่วนบุคคลที่จะขอเปิดเผย และวิธีการในการเปิดเผยข้อมูลส่วนบุคคล
• วัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล
• ข้อกฎหมายที่อ้างอิง
• ชื่อและลายมือชื่อของผู้ซึ่งมีหน้าที่ปฏิบัติการตาม พ.ร.บ.ที่ทำคำขอ

ทั้งนี้หากเจ้าของข้อมูลเป็นผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ จะต้องขอความยินยอมจากผู้ปกครองที่มีอำนาจกระทำแทน รวมทั้งกรณีบุคคลไร้ความสามารถ หรือเสมือนไร้ความสามารถ จะต้องขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำแทน หรือผู้สืบสันดานซึ่งบรรลุนิติภาวะแล้ว 

2. ไม่ต้องขอความยินยอมจากเจ้าของข้อมูล หากการดำเนินการดังกล่าวมีความจำเป็นเพื่อประโยชน์สาธารณะ โดยผู้มีหน้าที่ปฏิบัติการตามกฎหมาย อาจเปิดเผยข้อมูลส่วนบุคคล โดยอาศัย ฐานกฎหมาย ตาม พ.ร.บ.ควบคุมโรคฯ ทำได้โดยมีเงื่อนไข ดังนี้  

–   เปิดเผยข้อมูลส่วนบุคคลต่อหน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐ โดยอาศัยอำนาจเพื่อรักษาความมั่นคงของรัฐ หรือเพื่อรักษาความสงบเรียบร้อย หรือศีลธรรมอันดีของประชาชน 

–   เปิดเผยข้อมูลส่วนบุคคลต่อเจ้าหน้าที่ของรัฐเพื่อการป้องกันการฝ่าฝืนหรือไม่ปฏิบัติ ตาม พ.ร.บ.ควบคุมโรคฯ

–   เพื่อป้องกันหรือระงับอันตรายอย่างร้ายแรงต่อชีวิต ร่างกาย หรือสุขภาพอนามัยของประชาชน

–   เพื่อประโยชน์สาธารณะในการเฝ้าระวัง การป้องกัน และ การควบคุมโรค

–   มีความจำเป็นเร่งด่วนหากปล่อยเนิ่นช้าไป จะก่อหรืออาจก่อให้เกิดความเสียหายแก่ชีวิตหรือร่างกายของประชาชน หรือก่อหรืออาจก่อให้เกิดความเสียหาย ต่อความปลอดภัยสาธารณะหรือประโยชน์สาธารณะ

โดยประกาศกระทรวงฯ ฉบับล่าสุดนี้ ให้อำนาจแก่อธิบดีกรมควบคุมโรครักษาการตามประกาศนี้ ในกรณีที่มีปัญหาเกี่ยวกับการดำเนินการ ให้อธิบดีกรมควบคุมโรคเป็นผู้วินิจฉัยชี้ขาด และให้คำสั่งหรือข้อวินิจฉัย ของอธิบดีกรมควบคุมโรคถือเป็นที่สุด

ทั้งนี้ สิ่งที่ควรทราบอีกประการ คือประกาศดังกล่าวไม่ได้มีผลต่อเอกชนที่ดำเนินธุรกิจด้านการแพทย์และสถานพยาบาล ดังนั้นกิจกรรมทางการค้า การบริการที่เป็นลักษณะหารายได้หรือแบ่งปันผลกำไร จึงไม่เข้าข่ายความจำเป็น หรือประโยชน์สาธารณะ สถานพยาบาลและรักษาของเอกชนจึงไม่สามารถนำประกาศกระทรวงฯ มาเป็นฐานโดยชอบธรรมเพื่อเก็บข้อมูลส่วนบุคคลผู้ป่วยโดยไม่ได้รับความยินยอมได้ เว้นแต่เป็นการปฏิบัติตามคำขอให้ดำเนินการโดยหน่วยงานหรือเจ้าหน้าที่รัฐเท่านั้น