สิทธิของเจ้าของข้อมูล PDPA ในคลินิก: บทบาทสำคัญของ DPO ที่ต้องรู้
การบริหารจัดการสิทธิของเจ้าของข้อมูล PDPA ในคลินิก ถือเป็นเรื่องที่ส่งผลกระทบต่อกระบวนการปฏิบัติงานประจำวันอย่างหลีกเลี่ยงไม่ได้ เมื่อใดก็ตามที่คนไข้มีความประสงค์ที่จะเข้าถึงประวัติการรักษาพยาบาล ขอแก้ไขข้อมูลส่วนตัว หรือขอลบทำลายข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) คือผู้ที่ต้องทำหน้าที่เป็นคนกลางในการประสานงานและตรวจสอบ เพื่อให้มั่นใจว่าการตอบสนองต่อคำขอเหล่านั้นถูกต้อง แม่นยำ และเป็นไปตามที่กฎหมายกำหนด ซึ่งจะช่วยป้องกันความผิดพลาดที่อาจนำไปสู่ข้อร้องเรียนและความเสียหายต่อชื่อเสียงของสถานพยาบาล
สิทธิหลักของเจ้าของข้อมูลที่คลินิกต้องเตรียมรับมือ
ภายใต้กฎหมาย PDPA มาตรา 30–36 คลินิกทางการแพทย์จำเป็นต้องจัดให้มีระบบและช่องทางรองรับคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Access Request หรือ DSAR) โดยสิทธิที่สอดคล้องกับธุรกิจสถานพยาบาลและมักพบเจอเป็นประจำ มีดังนี้:
- สิทธิขอเข้าถึงและขอรับสำเนา (มาตรา 30) : คนไข้มีสิทธิขอตรวจดูประวัติการรักษาพยาบาล หรือขอคัดลอกสำเนาเวชระเบียนเพื่อนำไปใช้ในการรักษาต่อเนื่องกับสถานพยาบาลแห่งอื่น คลินิกมีหน้าที่ต้องจัดเตรียมข้อมูลให้ถูกต้อง ครบถ้วน และปลอดภัยตามที่ร้องขอ
- สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง (มาตรา 35) : มักเกี่ยวข้องกับข้อมูลระบุตัวตนพื้นฐาน เช่น ชื่อ-นามสกุล เบอร์โทรศัพท์ หรือที่อยู่ แต่หากคนไข้ร้องขอแก้ไขข้อมูลทางการแพทย์หรือผลการวินิจฉัยโรค DPO และแพทย์ผู้ทำการรักษาต้องร่วมกันพิจารณาอย่างรอบคอบ เพื่อไม่ให้กระทบต่อความสมบูรณ์และความถูกต้องทางวิชาชีพของเวชระเบียน
- สิทธิขอให้ลบหรือทำลายข้อมูล (มาตรา 33) : สิทธินี้มีความละเอียดอ่อนและต้องพิจารณาอย่างระมัดระวัง คลินิกต้องทำการชั่งน้ำหนักระหว่างสิทธิความเป็นส่วนตัวของคนไข้ กับหน้าที่ตามกฎหมายเฉพาะ เช่น กฎหมายสถานพยาบาลที่บังคับให้ต้องจัดเก็บเวชระเบียนไว้ตามระยะเวลาที่กำหนด
- สิทธิคัดค้าน (มาตรา 32) และสิทธิถอนความยินยอม (มาตรา 19) : ส่วนใหญ่จะเกิดขึ้นเมื่อคนไข้ไม่ประสงค์จะรับข้อมูลข่าวสาร ประชาสัมพันธ์ หรือไม่ยินยอมให้คลินิกนำภาพถ่ายการรักษาไปใช้ในสื่อโฆษณาและการตลาดออนไลน์
4 บทบาทหลักของ DPO ในการรองรับการใช้สิทธิของคนไข้
DPO ในธุรกิจคลินิกไม่ใช่ตำแหน่งที่มีไว้เพียงเพื่อให้เป็นไปตามที่กฎหมายกำหนด แต่เป็นผู้วางระบบและกำกับดูแลกลไกการใช้สิทธิของคนไข้ให้มีประสิทธิภาพ ผ่านบทบาทหน้าที่ 4 ด้านหลัก ดังนี้:
1. การให้คำแนะนำด้านข้อกฎหมายและปฏิบัติการ
DPO ต้องทำหน้าที่วิเคราะห์คำขอใช้สิทธิของคนไข้ว่าเข้าข่ายสิทธิประเภทใด มีข้อยกเว้นตามกฎหมายรองรับหรือไม่ เพื่อให้คำแนะนำแก่ทีมงานหน้าร้านในการตอบกลับอย่างถูกต้อง เหมาะสม และป้องกันการพลั้งเผลอเปิดเผยข้อมูลส่วนบุคคลลักษณะพิเศษเกินความจำเป็น
2. การตรวจสอบกระบวนการทำงานภายใน
ทำหน้าที่ตรวจสอบว่าช่องทางการรับเรื่องที่คลินิกประกาศไว้นั้นสามารถใช้งานได้จริง มีมาตรการยืนยันตัวตนของคนไข้ผู้ยื่นคำขอที่รัดกุมเพียงพอ เพื่อป้องกันการสวมรอยจากบุคคลอื่น และกำกับดูแลให้มีการจัดเก็บบันทึกประวัติ (Log) การดำเนินงานอย่างถูกต้อง
3. การประสานงานระหว่างฝ่ายภายในคลินิก
เนื่องจากกระบวนการดึงข้อมูลเพื่อตอบสนองต่อสิทธิของคนไข้ต้องอาศัยการทำงานร่วมกันจากหลายส่วนงาน ทั้งเจ้าหน้าที่ต้อนรับหน้าเคาน์เตอร์ ฝ่ายเวชระเบียน แพทย์ผู้ทำการรักษา และฝ่ายไอที DPO จึงต้องรับบทบาทเป็นตัวกลางประสานงานเพื่อให้ได้ข้อมูลที่ครบถ้วนและเสร็จสิ้นทันตามกรอบเวลาที่กฎหมายกำหนด
4. การรักษาความลับข้อมูลขั้นสูงสุด
ในการพิจารณาอนุมัติหรือปฏิเสธคำขอ DPO จำเป็นต้องเข้าถึงข้อมูลสุขภาพและประวัติการรักษาพยาบาลอันละเอียดอ่อนของคนไข้ DPO จึงต้องปฏิบัติตามกฎหมายมาตรา 42 อย่างเคร่งครัด ในการรักษาความลับของข้อมูลส่วนบุคคลลักษณะพิเศษทั้งหมดที่ได้ล่วงรู้จากการปฏิบัติหน้าที่
5 ขั้นตอนปฏิบัติการ (Workflow) มาตรฐานสำหรับคลินิก
เพื่อความรวดเร็วและลดความผิดพลาดหน้างาน คลินิกควรมีการกำหนดขั้นตอนการทำงานในการจัดการคำขอใช้สิทธิของคนไข้ไว้เป็นมาตรฐานเดียวกัน ดังนี้ :
- การรับคำขอ (Receive) : รับเรื่องผ่านช่องทางอย่างเป็นทางการที่คลินิกได้ประกาศไว้ เช่น แบบฟอร์มคำร้องออนไลน์ หรืออีเมลส่วนกลางของ DPO
- การตรวจสอบตัวตน (Verify) : ดำเนินการตรวจสอบและยืนยันตัวตนของผู้ยื่นคำขออย่างรัดกุม (เช่น ตรวจสอบบัตรประชาชน หรือหนังสือมอบอำนาจกรณีเป็นตัวแทน) เพื่อป้องกันเหตุข้อมูลรั่วไหลไปยังบุคคลที่สาม
- การคัดแยกและวิเคราะห์สิทธิ (Analyze) : DPO ดำเนินการตรวจสอบประเภทของสิทธิที่ร้องขอ ประเมินฐานกฎหมาย และพิจารณาข้อจำกัดหรือข้อยกเว้นทางกฎหมายทางการแพทย์
- การประสานงานจัดเตรียมข้อมูล (Process) : ประสานงานไปยังฝ่ายไอทีหรือฝ่ายเวชระเบียนเพื่อรวบรวมไฟล์ข้อมูล คัดแยก หรือทำการลบทำลายตามคำร้องที่ผ่านการอนุมัติ
- การตอบกลับและบันทึกหลักฐาน (Respond & Record): ส่งมอบผลการดำเนินงานหรือเอกสารชี้แจงให้แก่คนไข้ พร้อมทั้งจัดเก็บหลักฐานและประวัติการทำรายการไว้ในระบบส่วนกลางเพื่อรองรับการตรวจสอบย้อนหลัง
A : สามารถปฏิเสธได้ หากคลินิกมีความจำเป็นตามกฎหมายเฉพาะที่ต้องจัดเก็บรักษาข้อมูลนั้นไว้ เช่น พ.ร.บ. สถานพยาบาล ที่กำหนดให้ต้องเก็บรักษาเวชระเบียนของผู้ป่วยไว้ไม่น้อยกว่า 5 ปีนับแต่วันที่มารับการรักษาครั้งสุดท้าย หรือข้อมูลนั้นจำเป็นต้องใช้สำหรับการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การใช้สิทธิ หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมายของคลินิกเอง โดย DPO ต้องทำหนังสือชี้แจงเหตุผลและฐานกฎหมายดังกล่าวให้คนไข้ทราบ
A : มีความจำเป็นอย่างยิ่ง เนื่องจากบันทึกรายการดังกล่าว (DSAR Log) จะเป็นหลักฐานเชิงประจักษ์ชิ้นสำคัญที่คลินิกสามารถนำไปแสดงต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) เพื่อยืนยันว่าสถานพยาบาลได้ปฏิบัติตามขั้นตอน มีกระบวนการพิจารณาอ้างอิงฐานกฎหมายที่ถูกต้อง และตอบสนองต่อคำขอของคนไข้เสร็จสิ้นภายในกรอบเวลาที่กฎหมายกำหนด
A : แม้ว่า DPO จะเป็นผู้มีหน้าที่กำกับดูแล ให้คำแนะนำ และตรวจสอบความถูกต้องตามกฎหมาย แต่ในภาคปฏิบัติ ทีมงานส่วนต่าง ๆ ของคลินิก เช่น เจ้าหน้าที่ต้อนรับหน้าเคาน์เตอร์ ฝ่ายเวชระเบียน และฝ่ายไอที ต้องร่วมมือกันปฏิบัติตามขั้นตอน (Workflow) ที่กำหนดไว้ เพื่อให้กระบวนการรวบรวมหรือจัดการข้อมูลคนไข้เป็นไปอย่างปลอดภัยและถูกต้อง
การบริหารจัดการสิทธิของเจ้าของข้อมูลในธุรกิจสถานพยาบาล ถือเป็นจุดสำคัญที่กฎหมาย PDPA เชื่อมโยงและสัมผัสกับประสบการณ์ของผู้รับบริการโดยตรง การจัดให้มี DPO ที่มีความเข้าใจในธรรมชาติของการรักษาพยาบาล มีบทบาทหน้าที่ชัดเจน และมี Workflow รองรับหน้างานที่รัดกุม จะเป็นตัวชี้วัดสำคัญที่ยืนยันว่าคลินิกของคุณมีการกำกับดูแลข้อมูลอย่างมีธรรมาภิบาล ปลอดภัย และสามารถปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างแท้จริง ไม่ใช่เป็นเพียงการจัดทำเอกสารนโยบายทิ้งไว้บนกระดาษเท่านั้น
เผยแพร่: 16 มิถุนายน 2569
อัปเดตล่าสุด: 16 มิถุนายน 2569
ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com
