PDPA คลินิก: หลักการเลือกแต่งตั้ง DPO ให้ถูกต้องและปลอดภัยตามกฎหมาย
การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) สำหรับสถานพยาบาลและคลินิกทางการแพทย์ ไม่ใช่เพียงแค่การเลือกใครสักคนมาใส่ชื่อลงในเอกสารนโยบายความเป็นส่วนตัวหรือประกาศความเป็นส่วนตัว แต่ตามกฎหมาย PDPA คือการคัดเลือกบุคคลที่มีคุณสมบัติเหมาะสม มีความเข้าใจในวงจรข้อมูลสุขภาพ และที่สำคัญที่สุดคือต้องมีความเป็นอิสระในการปฏิบัติหน้าที่ เพื่อทำหน้าที่กำกับดูแลความปลอดภัยของข้อมูลคนไข้ได้อย่างแท้จริง
4 ข้อผิดพลาดที่พบบ่อยในการแต่งตั้ง DPO ของธุรกิจคลินิก
ผู้บริหารคลินิกส่วนใหญ่มักประสบปัญหาในการคัดเลือกบุคลากรมาทำหน้าที่ DPO จนนำไปสู่ข้อผิดพลาดทางกฎหมายและการบริหารจัดการ ดังนี้:
1. เลือกแต่งตั้งเพียงเพราะเป็นผู้บริหารตำแหน่งสูง
การเลือกผู้ที่มีตำแหน่งงานหรืออาวุโสสูงสุดในคลินิก เช่น กรรมการผู้จัดการ หรือผู้บริหารฝ่ายปฏิบัติการ มักนำไปสู่ภาวะ “ความขัดกันแห่งหน้าที่” (Conflict of Interest) เนื่องจากบุคคลกลุ่มนี้เป็นผู้กำหนดวัตถุประสงค์และทิศทางการใช้ข้อมูลคนไข้เพื่อสร้างรายได้ให้ธุรกิจ จึงไม่สามารถทำหน้าที่เป็นผู้ตรวจสอบความถูกต้องและถ่วงดุลอำนาจได้อย่างเป็นกลาง
2. เลือกคนที่คลุกคลีและใกล้ชิดกับข้อมูลมากที่สุด
คลินิกหลายแห่งมักแต่งตั้งหัวหน้าฝ่ายไอที (IT Manager) หรือหัวหน้าฝ่ายเวชระเบียนมาเป็น DPO โดยคิดว่าจะเข้าใจระบบดีที่สุด แต่ในทางกฎหมาย ยิ่งบุคคลนั้นใกล้ชิดและเป็นผู้รับผิดชอบหลักในการประมวลผลข้อมูลหรือวางระบบจัดเก็บข้อมูล ยิ่งต้องระวังเรื่องผลประโยชน์ทับซ้อน เพราะเสี่ยงต่อการ “ตรวจทานและประเมินความผิดพลาดของงานตนเอง”
3. แต่งตั้งแล้วแต่ขาดแคลนทรัพยากรในการทำงาน
ต่อให้คลินิกจะเลือกบุคคลที่มีคุณสมบัติถูกต้องและเป็นกลางมาทำหน้าที่ แต่หากไม่มีการจัดสรรเวลาทำงานให้ชาร์จภาระหน้าที่ DPO อย่างชัดเจน ไม่มีงบประมาณสนับสนุนในการพัฒนาระบบความปลอดภัย หรือไม่มีอำนาจในการเข้าถึงผู้บริหารระดับสูงเพื่อรายงานปัญหา บทบาทของ DPO ก็จะเป็นเพียงแค่ชื่อเรียกในนามที่ไม่มีประสิทธิภาพเมื่อเกิดเหตุข้อมูลรั่วไหล
4. ไม่กำหนดขอบเขตการทำงานที่ชัดเจน (Scope of Work)
ปัญหานี้มักเกิดขึ้นบ่อยครั้งเมื่อคลินิกเลือกใช้บริการผู้เชี่ยวชาญจากภายนอก (Outsourced DPO) หากไม่มีการระบุช่องทางการติดต่อรับส่งข้อมูล ข้อจำกัดความรับผิดชอบ และหน้าที่ในการประสานงานระหว่างทีมงานภายในคลินิกกับ DPO ภายนอกให้ชัดเจน จะทำให้เกิดความสับสน ล่าช้า และไม่สามารถระงับเหตุได้ทันท่วงทีเมื่อเกิดวิกฤตการณ์ข้อมูลคนไข้รั่วไหล
FAQ
การคัดเลือกและแต่งตั้ง DPO สำหรับธุรกิจคลินิก ไม่ได้ขึ้นอยู่กับว่าพนักงานคนไหนว่างหรือใครสะดวกที่สุด แต่ขึ้นอยู่กับว่าบุคคลนั้นสามารถทำหน้าที่ “กำกับดูแลความเป็นกลาง” และกล้าที่จะชี้จุดบกพร่องในระบบการจัดการข้อมูลสุขภาพของคนไข้ได้อย่างตรงไปตรงมาหรือไม่ หากคลินิกประเมินแล้วว่าพนักงานประจำภายในยังไม่พร้อมหรืออาจเกิดข้อจำกัดทางกฎหมาย การเลือกใช้บริการผู้เชี่ยวชาญภายนอก (Outsourced DPO) ที่เข้าใจกฎหมายคุ้มครองข้อมูลและธรรมชาติของธุรกิจการแพทย์ จึงเป็นกลยุทธ์ที่ปลอดภัย บริหารจัดการง่าย และสร้างความยั่งยืนให้กับคลินิกได้ดีที่สุด
เผยแพร่: 9 มิถุนายน 2569
อัปเดตล่าสุด: 9 มิถุนายน 2569
ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com
