DPO คลินิก มีหน้าที่อะไร? สรุปบทบาทสำคัญตามมาตรา 42 ของ PDPA
บทบาทหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ในธุรกิจคลินิกทางการแพทย์ตามกฎหมาย PDPA (มาตรา 42) ไม่ได้เป็นเพียงการลงนามในเอกสารนโยบายเพื่อให้ผ่านการตรวจสอบเท่านั้น แต่คือการเป็น “กลไกสำคัญ” ที่ช่วยให้คลินิกดำเนินงานได้อย่างถูกต้องตั้งแต่ต้นทาง ทั้งในด้านการให้คำแนะนำ การตรวจสอบระบบจัดเก็บข้อมูลการรักษา การประสานงานกับหน่วยงานกำกับดูแล และการรักษาความลับของคนไข้ โดยตัวองค์กรหรือผู้บริหารคลินิกเองก็มีหน้าที่ตามกฎหมายที่จะต้องสนับสนุนเพื่อให้ DPO สามารถทำงานได้อย่างอิสระและเกิดประสิทธิภาพสูงสุด
หน้าที่ 4 ด้านหลักของ DPO ในคลินิกตามมาตรา 42
กฎหมาย PDPA มาตรา 42 ได้กำหนดหน้าที่หลักของ DPO ไว้ 4 ประการสำคัญ ซึ่งเป็นแนวทางปฏิบัติที่คลินิกต้องนำมาปรับใช้กับการบริหารจัดการข้อมูลคนไข้ ดังนี้:
1. การให้คำแนะนำ (Advisory Role)
DPO ต้องทำหน้าที่ให้คำแนะนำเชิงรุกแก่ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) พนักงาน และผู้รับจ้างภายนอก เกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในบริบทของงานการแพทย์ เช่น:
- การนำภาพถ่ายเปรียบเทียบก่อน-หลังเข้ารับบริการ (Before & After) ของคนไข้ไปใช้ในสื่อโฆษณา
- การออกแบบจัดทำแบบฟอร์มเก็บข้อมูลประวัติสุขภาพที่หน้าร้านหรือผ่านระบบออนไลน์
- ขั้นตอนการจัดส่งข้อมูลคนไข้หรือผลแล็บให้แก่โรงพยาบาลหรือ Vendor ภายนอกอย่างปลอดภัย
- การสื่อสารและแจ้งนัดหมายคนไข้ผ่านแอปพลิเคชัน เช่น LINE Official Account ให้ปลอดภัยและไม่เก็บข้อมูลเกินความจำเป็น
2. การตรวจสอบการดำเนินงาน (Monitoring & Auditing)
DPO เปรียบเสมือนผู้ตรวจสอบภายใน (Internal Auditor) ด้านการคุ้มครองข้อมูลส่วนบุคคล โดยมีหน้าที่ทบทวน ตรวจสอบ และประเมินว่าการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลภายในคลินิกเป็นไปตามกฎหมายหรือไม่ เช่น:
- ตรวจสอบว่าประกาศความเป็นส่วนตัว (Privacy Notice) สอดคล้องกับขั้นตอนการทำงานจริงหน้าร้านหรือไม่
- ตรวจสอบการจำกัดสิทธิ์การเข้าถึงระบบเวชระเบียนคอมพิวเตอร์ (Access Control) ของพนักงานแต่ละตำแหน่ง
- ประเมินมาตรการความปลอดภัยขั้นสูงของช่องทางจัดเก็บข้อมูลสุขภาพและการส่งต่อไฟล์ประวัติการรักษา
3. การประสานงานกับสำนักงาน (Liaison Officer)
ในกรณีที่เกิดเหตุการณ์วิกฤต เช่น ข้อมูลคนไข้รั่วไหล (Data Breach) หรือเมื่อมีคนไข้มายื่นเรื่องร้องเรียนเกี่ยวกับการถูกละเมิดสิทธิ์ DPO จะเป็นผู้นำในการรวบรวมข้อเท็จจริง ประเมินผลกระทบทางกฎหมาย และทำหน้าที่ประสานงานร่วมกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เพื่อให้การจัดการปัญหาและการรายงานเหตุเป็นไปอย่างรวดเร็วและถูกต้องตามกรอบเวลา 72 ชั่วโมง
4. การรักษาความลับ (Confidentiality)
เนื่องจากภาระหน้าที่ทำให้ DPO จำเป็นต้องเข้าถึงข้อมูลที่ละเอียดอ่อนขององค์กร เช่น โครงสร้างระบบไอที ประวัติสุขภาพ ผลการตรวจของคนไข้ หรือเหตุการณ์ร้องเรียนภายใน คดีความต่าง ๆ กฎหมายจึงกำหนดให้ DPO มีหน้าที่สำคัญที่สุดในการรักษาความลับของข้อมูลเหล่านั้นอย่างเคร่งครัด ห้ามนำไปเปิดเผยหรือใช้ประโยชน์ส่วนตัวโดยเด็ดขาด
หน้าที่ขององค์กรในการสนับสนุน DPO ให้ทำงานได้จริง
กฎหมายไม่ได้วางภาระการคุ้มครองข้อมูลไว้ที่ตัว DPO เพียงลำพัง แต่ในมาตรา 42 ยังได้ระบุข้อผูกพันที่ผู้บริหารคลินิกต้องปฏิบัติเพื่อสนับสนุนการทำงานของ DPO ให้มีประสิทธิภาพ ดังต่อไปนี้:
- จัดหาเครื่องมือและเปิดสิทธิ์การเข้าถึงข้อมูล: คลินิกต้องสนับสนุนทรัพยากร งบประมาณ และอนุญาตให้ DPO สามารถเข้าถึงข้อเท็จจริง ฐานข้อมูล หรือระบบไอทีที่จำเป็นต่อการตรวจสอบได้ หากขาดการสนับสนุนนี้ จะถือว่าองค์กรปฏิบัติไม่สอดคล้องกับเจตนารมณ์ของกฎหมาย
- รายงานตรงต่อผู้บริหารสูงสุด: DPO ต้องมีสิทธิ์และอิสระในการรายงานประเด็นปัญหา ความเสี่ยง หรือเหตุข้อมูลรั่วไหลตรงต่อผู้บริหารระดับสูงสุดของคลินิกทันที เพื่อให้เกิดการแก้ไขปัญหาอย่างทันท่วงที โดยไม่ถูกปิดกั้นหรือกลั่นกรองจากสายงานปฏิบัติการอื่น ๆ
- คุ้มครองความเป็นอิสระในการทำงาน: กฎหมายกำหนดห้ามไม่ให้คลินิกเลิกจ้าง ลงโทษ หรือตัดสิทธิ์ประโยชน์ของ DPO เนื่องจากการที่ DPO ปฏิบัติหน้าที่ตรวจสอบหรือชี้ข้อบกพร่องตามกฎหมายโดยเด็ดขาด
ข้อผิดพลาดที่พบบ่อยในการตั้ง DPO ของธุรกิจคลินิก
- คิดว่าเป็นแค่คนนั่งรับเรื่องร้องเรียน: ในความเป็นจริง หน้าที่ของ DPO ครอบคลุมไปถึงการร่วมวางนโยบายความปลอดภัย การประเมินความเสี่ยง และการตรวจสอบเชิงรุกเพื่อไม่ให้เกิดเหตุการรั่วไหลของข้อมูลส่วนบุคคล
- แต่งตั้งบังหน้าแต่ไม่ให้สิทธิ์เข้าถึงข้อมูล: การใส่ชื่อพนักงานเป็น DPO เพื่อให้มีเอกสารครบ แต่ไม่ยอมให้พนักงานคนนั้นเข้าตรวจเช็กระบบจัดเก็บข้อมูลสุขภาพหรือระบบหลังบ้านของคลินิก ถือเป็นการทำผิดเงื่อนไขการสนับสนุนตามกฎหมาย
- ตำแหน่งงานทับซ้อนจนเกิดผลประโยชน์ขัดกัน: การให้ DPO ไปอยู่ภายใต้สายงานการตลาดหรือฝ่ายไอทีที่มีหน้าที่ตัดสินใจชี้ขาดเรื่องการนำข้อมูลคนไข้ไปใช้ประโยชน์โดยตรง อาจก่อให้เกิดผลประโยชน์ทับซ้อน (Conflict of Interest) และทำให้ไม่สามารถตรวจสอบระบบได้อย่างเป็นกลาง
FAQ
A: จำเป็น หากพิจารณาตามกฎหมาย PDPA การดำเนินธุรกิจของคลินิกทางการแพทย์มีกิจกรรมหลักที่ต้องเก็บรวบรวมและประมวลผลข้อมูลสุขภาพ ข้อมูลการรักษาพยาบาล ซึ่งจัดเป็นข้อมูลส่วนบุคคลลักษณะพิเศษเป็นประจำและเป็นกิจวัตรต่อเนื่อง จึงเข้าข่ายข้อบังคับตามมาตรา 41(3) ที่ต้องแต่งตั้ง DPO โดยไม่ได้ยกเว้นให้กับคลินิกขนาดเล็ก
A: สามารถทำได้ กฎหมายอนุญาตให้ DPO ควบตำแหน่งงานอื่นภายในองค์กรได้ เช่น เจ้าหน้าที่ฝ่ายบุคคล หรือที่ปรึกษากฎหมาย แต่มีเงื่อนไขสำคัญคือ หน้าที่ประจำอื่น ๆ นั้นต้องไม่ขัดหรือแย้งกับบทบาทการกำกับดูแลและตรวจสอบข้อมูล (ต้องไม่มีลักษณะของ Conflict of Interest) เช่น ไม่ควรเป็นผู้บริหารสูงสุด ฝ่ายการตลาดที่ต้องใช้ข้อมูลเพื่อการโฆษณา หรือหัวหน้าฝ่ายไอทีที่เป็นคนวางระบบจัดเก็บข้อมูลเอง
A: เมื่อ DPO ลาออก คลินิกควรรีบดำเนินการสรรหาและแต่งตั้ง DPO คนใหม่แทนที่โดยเร็วที่สุด เพื่อไม่ให้เกิดช่องว่างในการกำกับดูแลข้อมูลส่วนบุคคลภายในสถานพยาบาล และเมื่อแต่งตั้งคนใหม่เรียบร้อยแล้ว คลินิกมีหน้าที่ต้องอัปเดตข้อมูลติดต่อของ DPO คนใหม่ในนโยบายความเป็นส่วนตัวและประกาศความเป็นส่วนตัว รวมถึงแจ้งเปลี่ยนแปลงข้อมูลไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลด้วย
การแต่งตั้ง DPO ในธุรกิจคลินิกไม่ใช่เรื่องของขั้นตอนทางเอกสารเพียงอย่างเดียว แต่คือการสร้างมาตรฐานระบบรักษาความปลอดภัยให้กับข้อมูลส่วนบุคคลลักษณะพิเศษของคนไข้ การเข้าใจบทบาทหน้าที่ตามมาตรา 42 อย่างถูกต้อง ควบคู่ไปกับการสนับสนุนที่จริงจังจากผู้บริหาร จะช่วยให้คลินิกยกระดับความปลอดภัยทางดิจิทัล เพิ่มความน่าเชื่อถือในสายตาผู้รับบริการ และลดความเสี่ยงจากการถูกฟ้องร้องหรือลงโทษทางกฎหมายได้อย่างยั่งยืน
เผยแพร่: 10 มิถุนายน 2569
อัปเดตล่าสุด: 10 มิถุนายน 2569
ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com
