สรุปวิธีปฏิบัติของ DPO คลินิกให้ถูกต้องตามกฎหมาย PDPA ต้องแจ้งใคร?

Clinic, PDPA for Healthcare, บทความ ใหม่

Home / PDPA for Healthcare / Clinic / DPO คลินิก ต้องแจ้งใคร อย่างไร? สรุปวิธีปฏิบัติให้ถูกต้องตามกฎหมาย PDPA

9 มิถุนายน 2026
16:22

jinnapada si

[post-views]

jinnapada si

Clinic, PDPA for Healthcare, บทความ ใหม่

9 มิถุนายน 2026
4:22 pm

9 มิถุนายน 2026
16:22

DPO คลินิก ต้องแจ้งข้อมูลให้ใคร? อย่างไร? สรุปวิธีปฏิบัติให้ถูกต้องตามกฎหมาย PDPA

เมื่อคลินิกพิจารณาแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ตามที่กฎหมาย PDPA มาตรา 41 กำหนดไว้แล้ว การดำเนินการเพียงแค่มีชื่อระบุไว้ภายในองค์กรนั้นยังไม่เพียงพอ หัวใจสำคัญที่กฎหมายกำหนดเพิ่มเติมไว้ในมาตรา 41 วรรคห้า คือการเปิดเผยและแจ้งข้อมูลเพื่อให้ “เจ้าของข้อมูลส่วนบุคคล” และ “สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)” สามารถติดต่อ DPO ได้อย่างสะดวกและใช้งานได้จริง

บทความนี้จะสรุปขั้นตอนและช่องทางการแจ้งข้อมูล DPO ที่บริหารงานคลินิกต้องทราบ เพื่อให้ระบบกำกับดูแลข้อมูลส่วนบุคคลของสถานพยาบาลถูกต้องครบถ้วนตามกฎหมายและลดความเสี่ยงจากการถูกร้องเรียน

ใครคือกลุ่มเป้าหมายที่คลินิกต้องแจ้งข้อมูล DPO ให้ทราบ

ตามตัวบทกฎหมายมาตรา 41 วรรคห้า ระบุชัดเจนว่าคลินิกมีหน้าที่ต้องเปิดเผยข้อมูลของ DPO สถานที่ติดต่อ และวิธีการติดต่อให้แก่บุคคล 2 กลุ่มหลัก ดังนี้:

1. เจ้าของข้อมูลส่วนบุคคล (Data Subjects)

กลุ่มคนสำคัญที่มีสิทธิตามกฎหมายในการเข้าถึง ตรวจสอบ หรือขอให้จัดการข้อมูลของตนเอง ซึ่งในบริบทของธุรกิจคลินิกจะประกอบด้วย:

คนไข้และผู้ใช้บริการ: กลุ่มเป้าหมายหลักที่มีการเก็บรวบรวมข้อมูลสุขภาพ ประวัติการรักษา ซึ่งเป็นข้อมูลส่วนบุคคลลักษณะพิเศษ (Sensitive Data)
พนักงานและผู้สมัครงาน: บุคลากรภายในองค์กร แพทย์ พยาบาล หรือเจ้าหน้าที่ส่วนต่าง ๆ ที่คลินิกมีการประมวลผลข้อมูลส่วนบุคคล
คู่ค้าหรือผู้ติดต่อภายนอก: บริษัทคู่ค้า ผู้จัดจำหน่ายเวชภัณฑ์ หรือบุคคลอื่นใดที่คลินิกมีการเก็บข้อมูลเพื่อดำเนินธุรกิจ

2. สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

คลินิกต้องแจ้งรายละเอียดเกี่ยวกับ DPO ให้หน่วยงานกำกับดูแลภาครัฐทราบตามช่องทาง รูปแบบ และวิธีการที่สำนักงานกำหนด เพื่อให้ภาครัฐมีฐานข้อมูลในการตรวจสอบและประสานงานได้อย่างถูกต้อง

รายละเอียดข้อมูล DPO ที่คลินิกต้องจัดเตรียมและแจ้งให้ทราบ

ช่องทางการติดต่อที่คลินิกต้องประกาศและแจ้งต่อหน่วยงานกำกับดูแล ควรมีองค์ประกอบขั้นต่ำ 3 ส่วนสำคัญดังต่อไปนี้ เพื่อให้ใช้งานได้จริงทางปฏิบัติ:

ข้อมูลระบุตัวตน: ชื่อ-นามสกุล หรือตำแหน่งหน้าที่ของ DPO (ในกรณีที่แต่งตั้งในนามตำแหน่งหรือหน่วยงาน)
สถานที่ติดต่อ: ที่อยู่หรือที่ตั้งของคลินิกที่สามารถจัดส่งเอกสารทางไปรษณีย์และติดต่อได้จริง
วิธีการติดต่อทางอิเล็กทรอนิกส์: ช่องทางที่เปิดรับสม่ำเสมอ เช่น อีเมลเฉพาะสำหรับงาน DPO เบอร์โทรศัพท์สำหรับติดต่อโดยตรง หรือลิงก์แบบฟอร์มออนไลน์

แนวทางปฏิบัติในการ “แจ้งให้ทราบ” เพื่อให้สอดคล้องกับกฎหมาย

การแจ้งข้อมูล DPO ไม่ใช่เพียงการพิมพ์เก็บไว้ในแฟ้มเอกสารภายในคลินิก แต่หมายถึงการสื่อสารสู่ภายนอกให้เข้าถึงได้อย่างง่ายดาย คลินิกจึงควรนำข้อมูลติดต่อ DPO ไปปรากฏในจุดต่าง ๆ ดังนี้:

ประกาศความเป็นส่วนตัว (Privacy Notice): ต้องระบุช่องทางติดต่อ DPO ไว้ที่ท้ายประกาศความเป็นส่วนตัวอย่างชัดเจนทุกครั้ง ทั้งรูปแบบเอกสารที่หน้าร้านและรูปแบบดิจิทัล
หน้าเว็บไซต์ของคลินิก: ควรจัดวางข้อมูลติดต่อ DPO ไว้ในตำแหน่งที่ผู้ใช้บริการสามารถค้นหาได้ง่าย เช่น หน้า “ติดต่อเรา” หรือแถบเมนูล่างสุดของเว็บไซต์ (Footer)
แบบฟอร์มการใช้สิทธิ (Data Subject Request Form): ระบุไว้ในแบบฟอร์มเพื่อให้คนไข้ทราบว่าจะต้องส่งคำร้องเรียนหรือคำขอใช้สิทธิไปยังช่องทางใด
การอบรมพนักงานหน้าร้าน: พนักงานเคาน์เตอร์และฝ่ายบริการลูกค้าต้องทราบว่า DPO คือใครและมีช่องทางติดต่ออย่างไร เพื่อให้สามารถแนะนำคนไข้ได้อย่างถูกต้องเมื่อมีการสอบถาม

ข้อผิดพลาดสำคัญที่คลินิกควรระวังและหลีกเลี่ยง

มีชื่อ DPO แต่ไม่มีช่องทางติดต่อ: การแจ้งเฉพาะชื่อบุคคลโดยไม่มีเบอร์โทรศัพท์หรืออีเมลที่ติดต่อได้จริง ถือว่าขัดต่อเจตนาของกฎหมายและมีความเสี่ยงที่จะถูกปรับ
ใช้อีเมลส่วนกลางที่ไม่มีผู้ดูแล: การใช้อีเมลทั่วไปของคลินิกที่มีข้อความเข้าจำนวนมาก อาจทำให้คำร้องขอใช้สิทธิของคนไข้ตกหล่น และส่งผลให้ตอบกลับล่าช้ากว่ากำหนดเวลาทางกฎหมาย
ปล่อยให้ข้อมูลล้าสมัย: เมื่อมีการเปลี่ยนตัวบุคคลผู้รับหน้าที่ DPO หรือเปลี่ยนเบอร์โทรศัพท์และอีเมล คลินิกต้องรีบอัปเดตข้อมูลในทุกช่องทางทันที รวมถึงต้องแจ้งเปลี่ยนแปลงต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลด้วย
พนักงานไม่ทราบข้อมูล: หากคนไข้สอบถามเกี่ยวกับผู้ดูแลข้อมูลส่วนบุคคลแล้วพนักงานหน้าร้านไม่สามารถให้คำตอบหรือแนะนำช่องทางติดต่อได้ อาจทำให้คนไข้เกิดความไม่ไว้วางใจและนำไปสู่การร้องเรียนต่อหน่วยงานกำกับดูแลได้ง่ายขึ้น

FAQ

Q:คลินิกขนาดเล็กต้องแต่งตั้งและแจ้งข้อมูล DPO หรือไม่?

A:ต้องแต่งตั้งและแจ้งข้อมูล หากกิจกรรมหลักของคลินิกคือการให้บริการตรวจรักษาโรค ซึ่งจำเป็นต้องจัดเก็บและประมวลผลข้อมูลสุขภาพ ข้อมูลพฤติกรรมการรักษา หรือข้อมูลชีวภาพ (Sensitive Data) ของคนไข้เป็นปกติและสม่ำเสมอ คลินิกย่อมมีหน้าที่ต้องแต่งตั้ง DPO ตามมาตรา 41(3) และต้องแจ้งข้อมูลติดต่อให้คนไข้รวมถึงสำนักงานทราบโดยไม่มีข้อยกเว้นเรื่องขนาดธุรกิจ

Q:หากคลินิกเลือกใช้บริการ Outsource DPO ต้องแจ้งข้อมูลอย่างไร?

A:คลินิกสามารถระบุชื่อบริษัทหรือชื่อผู้เชี่ยวชาญภายนอกที่จ้างมาดำรงตำแหน่ง DPO ได้ โดยต้องกำหนดกระบวนการรับเรื่องระหว่างคลินิกและ Outsource DPO ให้ชัดเจน เพื่อให้มั่นใจว่าเมื่อคนไข้ส่งคำร้องมายังช่องทางของคลินิกแล้ว ข้อมูลจะถูกส่งต่อไปยัง DPO ภายนอกเพื่อดำเนินการตรวจสอบและตอบกลับภายในระยะเวลาที่กฎหมายกำหนด

Q:คลินิกต้องอัปเดตข้อมูล DPO กับสำนักงานบ่อยแค่ไหน?

A:คลินิกต้องแจ้งข้อมูล DPO ให้สำนักงานทราบตั้งแต่เริ่มแต่งตั้งครั้งแรก และหลังจากนั้นควรแจ้งปรับปรุงข้อมูลทุกครั้งที่มีการเปลี่ยนแปลงตัวบุคคลที่รับหน้าที่ ข้อมูลสถานที่ติดต่อ หรือวิธีการติดต่อ เพื่อให้ฐานข้อมูลของสำนักงานและของคลินิกตรงกันและเป็นปัจจุบันอยู่เสมอ

การแจ้งและเปิดเผยข้อมูลติดต่อ DPO ไม่ใช่เพียงหน้าที่ตามขั้นตอนทางเอกสาร แต่เป็นสะพานเชื่อมโยงในการสร้าง “ช่องทางสื่อสารที่โปร่งใสและใช้งานได้จริง” ระหว่างสถานพยาบาล คนไข้ และหน่วยงานกำกับดูแล คลินิกที่จัดระบบให้คนไข้สามารถเข้าถึง DPO ได้สะดวก จะช่วยเพิ่มความน่าเชื่อถือ ลดความขัดแย้ง และป้องกันความเสี่ยงจากการฟ้องร้องทางกฎหมายได้อย่างมีประสิทธิภาพ

เผยแพร่: 9 มิถุนายน 2569
อัปเดตล่าสุด: 9 มิถุนายน 2569

ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com