kamolrat ko

[post-views]

kamolrat ko
kamolrat ko

คลินิกต้องมี DPO หรือไม่? เจาะลึกกฎหมาย PDPA มาตรา 41(3) เพื่อความปลอดภัยของข้อมูลคนไข้

คำถามที่เจ้าของคลินิกและผู้ประกอบการทางการแพทย์สงสัยมากที่สุดคือ “คลินิกต้องมี DPO หรือไม่?” คำตอบสั้นๆ คือ “จำเป็นต้องมี” หากกิจกรรมหลักของคลินิกมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลสุขภาพของคนไข้เป็นปกติธุระ ซึ่งถือเป็นข้อมูลส่วนบุคคลลักษณะพิเศษ (Sensitive Personal Data) ตามมาตรา 26 แห่ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)

การมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer หรือ DPO) ไม่ใช่เพียงแค่การทำตามกฎหมาย แต่คือการสร้างเกราะป้องกันความน่าเชื่อถือให้กับคลินิกของคุณ

ทำไมกฎหมายจึงบังคับให้คลินิกต้องมี DPO?

ภายใต้ PDPA มาตรา 41(3) ได้ระบุเงื่อนไขที่องค์กรต้องจัดให้มี DPO ไว้ว่า หากองค์กรนั้นมีกิจกรรมหลักในการประมวลผลข้อมูลส่วนบุคคลลักษณะพิเศษ เช่น ข้อมูลสุขภาพ ความพิการเป็นประจำ คลินิกจึงเข้าข่ายเงื่อนไขนี้โดยตรง เนื่องจาก:

  • ข้อมูลสุขภาพคือหัวใจของธุรกิจ การรักษาพยาบาลไม่สามารถเกิดขึ้นได้หากไม่มีการจัดเก็บประวัติการรักษา ผลตรวจเลือด ข้อมูลการแพ้ยา และบันทึกอาการ
  • ข้อมูลมีความอ่อนไหวสูง ข้อมูลเหล่านี้ได้รับความคุ้มครองระดับสูงสุดตามกฎหมาย หากเกิดการรั่วไหลจะสร้างความเสียหายต่อคนไข้อย่างประเมินค่าไม่ได้
  • กฎหมายไม่แยกขนาดธุรกิจ ไม่ว่าจะเป็นคลินิกขนาดเล็กหรือโรงพยาบาลใหญ่ กฎหมายพิจารณาที่ “ลักษณะของกิจกรรม” ไม่ใช่ขนาดขององค์กร

ตารางสรุป: ความเข้าใจผิด vs ความจริงเรื่อง DPO

ความเข้าใจผิด

ความจริงตามหลัก PDPA

DPO มีไว้สำหรับโรงพยาบาลใหญ่เท่านั้น

กฎหมายดูที่ “ลักษณะข้อมูล” และ “กิจกรรมหลัก”

การเก็บข้อมูลสุขภาพเป็นเรื่องปกติ เลยไม่ต้องมี DPO

ยิ่งเก็บข้อมูลสุขภาพเป็นปกติ ยิ่งยืนยันว่าเป็น “กิจกรรมหลัก” ขององค์กร ซึ่งต้องมีการแต่งตั้ง DPO

มีแบบฟอร์มยินยอมคนไข้ (Consent Form) ก็พอแล้ว

PDPA ต้องการการกำกับดูแลเชิงระบบและตรวจสอบภายใน ซึ่งเป็นบทบาทของ DPO

แต่งตั้งพนักงานใครก็ได้ในคลินิก

DPO ต้องไม่มี “ความขัดแย้งแห่งหน้าที่” (Conflict of Interest)

ใครสามารถเป็น DPO ของคลินิกได้บ้าง?

การเลือก DPO ที่เหมาะสมเป็นกลยุทธ์สำคัญในการจัดการข้อมูล คลินิกสามารถพิจารณาได้ 2 รูปแบบหลัก

  1. Outsourced DPO (ผู้เชี่ยวชาญจากภายนอก) เป็นทางเลือกยอดนิยมสำหรับคลินิก เนื่องจากมีความเชี่ยวชาญเฉพาะด้าน ลดความเสี่ยงเรื่องความขัดแย้งทางผลประโยชน์ และไม่ต้องเพิ่มภาระให้พนักงานประจำ
  2. บุคลากรภายใน หากคลินิกมีเจ้าหน้าที่ฝ่าย Compliance หรือกฎหมายที่ได้รับความรู้ด้าน PDPA ก็สามารถทำหน้าที่นี้ได้ แต่ต้องระวังไม่ให้ตำแหน่งนั้นทับซ้อนกับผู้กำหนดนโยบายการใช้ข้อมูลส่วนบุคคล

     

ข้อควรระวัง ไม่แนะนำให้เจ้าของคลินิกหรือหัวหน้าฝ่ายการตลาดรับหน้าที่นี้ เนื่องจากต้องตัดสินใจในเชิงธุรกิจ ซึ่งอาจทำให้การทำหน้าที่ “ตรวจสอบ” การใช้ข้อมูลของ DPO ไม่มีความเป็นกลาง

FAQ: คำถามที่พบบ่อยเกี่ยวกับ DPO คลินิก

หากคลินิกไม่แต่งตั้ง DPO จะเกิดผลกระทบอย่างไร?

เสี่ยงต่อโทษปรับทางปกครองตามมาตรา 82 สูงสุดไม่เกิน 1,000,000 บาท

เจ้าหน้าที่ไอที (IT) สามารถเป็น DPO ได้หรือไม่?

ได้ แต่อาจมีความเสี่ยงสูง เพราะ DPO ต้องทำหน้าที่ตรวจสอบระบบประมวลผล หาก IT เป็นผู้ดูแลระบบเองด้วย อาจเกิดความขัดแย้งของหน้าที่ได้ (Self-review)

คลินิกต้องแจ้งชื่อ DPO ต่อ สคส. หรือไม่?

คลินิกต้องประกาศช่องทางการติดต่อ DPO ให้เจ้าของข้อมูลทราบ และควรแจ้งชื่อ-ช่องทางติดต่อต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เพื่อความโปร่งใสตามหลักธรรมาภิบาลข้อมูล

การมี DPO สำหรับคลินิกทางการแพทย์ไม่ใช่ภาระ แต่คือการวางรากฐานความปลอดภัยและมาตรฐานความโปร่งใส การจัดการข้อมูลอย่างถูกต้องจะช่วยยกระดับความเชื่อมั่น และปกป้องธุรกิจของคุณให้เติบโตได้อย่างยั่งยืนในยุคดิจิทัล

ผู้เขียน: Jinnapada Si – นักสร้างสรรค์คอนเทนต์การตลาดด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล

ผู้ตรวจ: Pimpachok Poosiri – ที่ปรึกษาและวิทยากรผู้เชี่ยวชาญด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล

เผยแพร่: 19 เมษายน 2569

อัปเดตล่าสุด: 19 เมษายน 2569

dpo in action อบรม pdpa dpo
DPOinActionรุ่น19 1200x300