PDPA คลินิก: DPO ควรรายงานตรงต่อใคร? สรุปอำนาจหน้าที่และโครงสร้างองค์กรที่ถูกต้อง
สำหรับคลินิกทางการแพทย์ คลินิกความงาม หรือสถานพยาบาลที่มีกิจกรรมหลักในการประมวลผลข้อมูลสุขภาพและประวัติการรักษาพยาบาล ซึ่งจัดเป็นข้อมูลส่วนบุคคลลักษณะพิเศษ คำถามเชิงโครงสร้างที่สำคัญที่สุดคือ “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ควรจัดวางตำแหน่งไว้ตรงไหนและรายงานตรงต่อใคร?”
คำตอบตามหลักกฎหมายที่ถูกต้องคือ DPO ต้องรายงานตรงต่อผู้บริหารระดับสูงสุด (Highest Management Level) ของคลินิก เพื่อให้มั่นใจว่า DPO จะมีอิสระ มีอำนาจในการตรวจสอบ และสามารถยกระดับรายงานความเสี่ยงได้อย่างมีประสิทธิภาพ โดยไม่ถูกแทรกแซงจากสายงานปฏิบัติการอื่น
การจัดวางตำแหน่ง DPO ในโครงสร้างองค์กรคลินิกที่ถูกต้อง
เพื่อให้ DPO สามารถปฏิบัติหน้าที่ได้จริงตามมาตรฐานกฎหมาย PDPA ของไทย คลินิกควรจัดโครงสร้างสายการรายงาน (Reporting Line) ตามรูปแบบธุรกิจดังนี้:
- กรณีคลินิกเดี่ยว (Single Clinic) DPO ต้องรายงานตรงต่อเจ้าของคลินิก ผู้อำนวยการแพทย์ หรือผู้บริหารสูงสุดที่มีอำนาจตัดสินใจเด็ดขาดของสถานพยาบาล โดยห้ามจัดวางตำแหน่ง DPO อยู่ภายใต้การบังคับบัญชาของหัวหน้าฝ่ายการตลาด ฝ่ายไอที หรือฝ่ายบริหารหน้าร้าน เนื่องจากจะทำให้การทักท้วงหรือตรวจสอบความเสี่ยงทางกฎหมายทำได้ยากและขาดความเป็นอิสระ
- กรณีเครือคลินิก (Clinic Chains) DPO ควรจัดวางตำแหน่งไว้ที่สำนักงานใหญ่และรายงานตรงต่อผู้บริหารระดับสูงส่วนกลาง (เช่น ประธานเจ้าหน้าที่บริหาร หรือ CEO) เพื่อให้มีอำนาจในการกำกับดูแลมาตรฐานความปลอดภัยข้อมูลของทุกสาขาได้อย่างสอดคล้องกัน ทั้งในมิติการบริหารการจัดการสิทธิของคนไข้ การควบคุมเหตุข้อมูลรั่วไหล และการทำสัญญาจ้างผู้ประมวลผลข้อมูลร่วมกับคู่ค้าภายนอก
4 อำนาจหน้าที่หลักที่ DPO คลินิกต้องได้รับเพื่อใช้ปฏิบัติงาน
เพื่อให้การทำหน้าที่กำกับดูแลธรรมาภิบาลข้อมูลเกิดขึ้นจริง ไม่ใช่เป็นเพียงตำแหน่งในนาม DPO ของคลินิกจำเป็นต้องได้รับสิทธิและอำนาจในการดำเนินงาน 4 ด้านหลัก ดังต่อไปนี้
- อำนาจในการเข้าถึงข้อมูล (Right of Access) สามารถเข้าถึงฐานข้อมูล ระบบสารสนเทศ และพื้นที่จัดเก็บเอกสารเวชระเบียนที่จำเป็นต่อการประเมินความเสี่ยงด้านความปลอดภัยได้โดยไม่ถูกปิดกั้นจากแผนกอื่น
- อำนาจในการเรียกขอพยานหลักฐาน มีอำนาจตรวจสอบและเรียกขอข้อเท็จจริง เอกสารสัญญา หนังสือให้ความยินยอม (Consent Form) หรือไฟล์บันทึกประวัติการเข้าถึงระบบ (Log) จากแผนกที่เกี่ยวข้องได้ทันทีเพื่อใช้ประกอบการตรวจประเมิน
- อำนาจในการยกระดับรายงานความเสี่ยง (Escalation Power) เมื่อตรวจพบช่องโหว่ร้ายแรงทางระบบ หรือเกิดอุบัติการณ์ข้อมูลคนไข้รั่วไหล DPO ต้องมีสิทธิเข้าพบและรายงานสถานการณ์ตรงต่อผู้บริหารสูงสุดได้ทันทีเพื่อขอกระบวนการตัดสินใจเชิงกลยุทธ์
- อำนาจในการมีส่วนร่วมตั้งแต่เริ่มต้น (Privacy by Design) คลินิกต้องดึง DPO เข้าไปมีส่วนร่วมในกระบวนการวางแผนงาน แคมเปญ หรือระบบงานใหม่ ๆ ตั้งแต่แกะกล่อง เช่น การออกแบบระบบลงทะเบียนออนไลน์ (Lead Form) การเลือกซอฟต์แวร์ CRM มาใช้งาน หรือการปรับเปลี่ยนขั้นตอนการถ่ายภาพรีวิวของคนไข้ เพื่อป้องกันช่องโหว่ทางกฎหมายตั้งแต่ขั้นตอนการออกแบบระบบ
สิ่งที่ DPO ไม่ควรมี เพื่อป้องกันภาวะความขัดกันแห่งหน้าที่
แม้ DPO จะต้องเป็นผู้มีอำนาจตรวจสอบ แต่กฎหมายกำหนดข้อยกเว้นสำคัญไว้ว่า DPO ต้องไม่มีอำนาจหน้าที่ในการอนุมัติหรือกำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลของคลินิก เนื่องจากหาก DPO เป็นผู้สั่งการให้นำข้อมูลคนไข้ไปใช้งานเชิงธุรกิจเอง แล้วต้องมาทำหน้าที่ตรวจสอบความถูกต้องของระบบนั้นด้วยตนเอง จะเกิดภาวะผลประโยชน์ทับซ้อน (Conflict of Interest) และทำให้ระบบการตรวจสอบความเป็นส่วนตัวล้มเหลวทันที
ข้อผิดพลาดที่พบบ่อยในการจัดวางตำแหน่ง DPO ของคลินิก
- การแต่งตั้ง DPO เชิงพิธีการ มีการลงนามแต่งตั้งพนักงานเป็น DPO เพื่อให้มีเอกสารครบถ้วน แต่ในความเป็นจริงพนักงานคนนั้นไม่มีสิทธิเข้าถึงฐานข้อมูลหลังบ้าน และไม่มีช่องทางในการเข้าพบผู้บริหารระดับสูงเพื่อรายงานปัญหา
- การมอบบทบาทงานปฏิบัติการ (Operational Role) ผู้บริหารผลักภาระให้ DPO เป็นผู้นั่งเซ็นอนุมัติใบคำร้องหรือแคมเปญการตลาดทุกชิ้น จน DPO กลายเป็นผู้ควบคุมข้อมูล (Data Controller) ร่วมตัดสินใจเชิงธุรกิจ เสี่ยงต่อการผิดหลักเกณฑ์เรื่องความขัดกันแห่งหน้าที่
- การจำกัดทรัพยากรและเวลาทำงาน มอบหมายหน้าที่ DPO ควบคู่ไปกับตำแหน่งงานประจำอื่นที่มีภาระงานหนักหน่วงอยู่แล้ว เช่น หัวหน้าพยาบาล หรือผู้จัดการฝ่ายบุคคล ทำให้พนักงานไม่มีชั่วโมงทำงานเพียงพอสำหรับมาโฟกัสงานตรวจสอบระบบความปลอดภัยข้อมูล
A: ต้องรายงานตรงต่อผู้บริหารสูงสุดเช่นเดียวกัน ในสัญญาจัดจ้างบริการคุ้มครองข้อมูลส่วนบุคคล คลินิกต้องระบุเงื่อนไขให้ชัดเจนว่า ทีมที่ปรึกษาภายนอกหรือ Outsourced DPO มีสิทธิ์ในการส่งรายงานประเมินความเสี่ยง และมีช่องทางด่วนในการติดต่อประสานงานโดยตรงกับเจ้าของคลินิกหรือผู้บริหารสูงสุดได้ทันที โดยไม่จำเป็นต้องผ่านขั้นตอนการกลั่นกรองของฝ่ายบริหารจัดการหน้าสาขา
A: ควรหลีกเลี่ยงอย่างยิ่ง เนื่องจากหัวหน้าฝ่ายไอทีคือผู้รับผิดชอบหลักในการวางโครงสร้างระบบ กำหนดมาตรการรักษาความปลอดภัย และบริหารจัดการโครงข่ายคอมพิวเตอร์ ซึ่งเป็นผู้กำหนดวิธีการประมวลผลข้อมูลโดยตรง หากแต่งตั้งให้ทำหน้าที่ DPO ด้วย จะเกิดสภาวะตรวจสอบและประเมินความผิดพลาดในระบบงานของตนเอง ขัดต่อหลักความเป็นอิสระตามกฎหมาย PDPA
A: เพื่อให้กลไกการคุ้มครองข้อมูลส่วนบุคคลลักษณะพิเศษของคนไข้มีความโปร่งใสและเป็นธรรม หาก DPO สังกัดอยู่ใต้ฝ่ายการตลาดหรือฝ่ายปฏิบัติการทั่วไป DPO อาจถูกกดดันให้ยอมรับความเสี่ยงทางกฎหมายเพื่อแลกกับผลประโยชน์เชิงพาณิชย์ของคลินิก สายการรายงานตรงต่อผู้บริหารสูงสุดจะช่วยทลายกำแพงสายบังคับบัญชา และทำให้ผู้บริหารได้รับทราบข้อเท็จจริงเพื่อระงับเหตุวิกฤตข้อมูลรั่วไหลได้อย่างทันท่วงที
การวางโครงสร้างองค์กรให้ DPO มี “สายการรายงานตรงถึงผู้บริหารสูงสุด” ควบคู่กับการมอบ “อำนาจในการเข้าถึงข้อมูลอย่างโปร่งใส” คือหัวใจสำคัญของการปฏิบัติตามกฎหมาย PDPA ในธุรกิจสถานพยาบาล การจัดสรรโครงสร้างที่สมดุลนี้จะช่วยให้ DPO สามารถปฏิบัติหน้าที่เป็นทั้งที่ปรึกษาเชิงกลยุทธ์และผู้ตรวจสอบภายในได้อย่างมีประสิทธิภาพ ปิดช่องโหว่ภัยคุกคามทางไซเบอร์ ลดความเสี่ยงจากบทลงโทษทางคดีความ และยกระดับความไว้วางใจขั้นสูงสุดให้แก่คนไข้ผู้มาใช้บริการในระยะยาว
เผยแพร่: 25 มิถุนายน 2569
อัปเดตล่าสุด: 25 มิถุนายน 2569
ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com
