โทษทางปกครอง PDPA คลินิก: เจาะลึกความเสี่ยงและวิธีรับมือให้รอด
หากพูดถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) สำหรับธุรกิจสถานพยาบาล หลายท่านอาจมองว่าเป็นเพียงเรื่องของการจัดทำแผ่นกระดาษหรือนโยบายทางเอกสาร แต่ในความเป็นจริง โทษทางปกครอง PDPA คลินิก นั้นเป็นผลลัพธ์โดยตรงจาก “ระบบกำกับดูแลข้อมูล” (Data Governance) หลังบ้านที่ล้มเหลว โดยกฎหมายกำหนดโทษปรับทางปกครองไว้สูงถึง 3 ระดับ คือ ไม่เกิน 1,000,000 บาท, 3,000,000 บาท และ 5,000,000 บาท
ทั้งนี้ ธุรกิจคลินิกจัดเป็นกลุ่มที่มีความเสี่ยงสูงกว่าธุรกิจอื่น เนื่องจากกิจกรรมหลักเกี่ยวข้องกับการจัดเก็บและประมวลผล “ข้อมูลส่วนบุคคลลักษณะพิเศษ” (Sensitive Personal Data) เช่น ประวัติการรักษาพยาบาล โรคประจำตัว หรือภาพถ่ายร่างกายของผู้ป่วยอยู่เป็นประจำ
3 ระดับโทษทางปกครอง PDPA ที่ผู้บริหารคลินิกต้องระวัง
กฎหมาย PDPA ได้แบ่งระดับบทลงโทษทางปกครองตามสถานการณ์และความร้ายแรงของการฝ่าฝืนหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคล ดังนี้:
1. โทษปรับทางปกครองไม่เกิน 1,000,000 บาท (ตามมาตรา 82)
บทลงโทษในระดับนี้มักเกิดขึ้นจาก “ความบกพร่องในการจัดโครงสร้างพื้นฐานและการบริหารจัดการ” ภายในสถานพยาบาล ตัวอย่างเช่น:
- ละเลยไม่แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ทั้งที่กิจกรรมหลักของคลินิกเข้าข่ายบังคับตามมาตรา 41(3)
- ไม่มีระบบ ช่องทาง หรือขั้นตอน (Workflow) ในการจัดการคำขอใช้สิทธิของคนไข้ที่ชัดเจน
- ไม่จัดทำประกาศความเป็นส่วนตัว (Privacy Notice) หรือไม่มีกระบวนการแจ้งผลกระทบให้คนไข้ทราบเมื่อมีการขอถอนความยินยอม
2. โทษปรับทางปกครองไม่เกิน 3,000,000 บาท (ตามมาตรา 83)
บทลงโทษในระดับนี้มักมีสาเหตุมาจาก “การฝ่าฝืนหลักการสำคัญและข้อจำกัดทางกฎหมาย” เช่น:
- ละเลยไม่แจ้งเหตุละเมิดข้อมูลส่วนบุคคล (Data Breach) หรือกรณีข้อมูลคนไข้รั่วไหล ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ภายใน 72 ชั่วโมง
- ประมวลผลข้อมูลคนไข้โดยอ้างอิงฐานกฎหมาย (Lawful Basis) ไม่ถูกต้องหรือไม่สอดคล้องกับกิจกรรมจริง
- ส่งต่อข้อมูลคนไข้ให้แก่คู่ค้าภายนอก (Vendor) หรือโอนข้อมูลระบบคลาวด์ข้ามพรมแดนโดยไม่มีข้อตกลงประมวลผลข้อมูล (Data Processing Agreement) รองรับตามมาตรฐาน
- ปล่อยให้สายการไหลเวียนของข้อมูล (Data Flow) กระจัดกระจายและไร้การควบคุม เช่น พนักงานส่งประวัติการรักษาพยาบาลของคนไข้ผ่าน LINE, Facebook หรือระบบ CRM โดยไม่มีมาตรการควบคุมสิทธิ์การเข้าถึง
3. โทษปรับทางปกครองไม่เกิน 5,000,000 บาท (ตามมาตรา 84)
นี่คือระดับบทลงโทษทางปกครองที่รุนแรงที่สุด ซึ่งพุ่งเป้าไปที่ “การประมวลผลข้อมูลส่วนบุคคลลักษณะพิเศษโดยมิชอบ” * เนื่องด้วยข้อมูลสุขภาพ ประวัติยา หรือภาพถ่ายหัตถการ คือหัวใจสำคัญของธุรกิจคลินิก การเก็บรวบรวม การนำไปใช้ หรือการเปิดเผยข้อมูลลักษณะพิเศษเหล่านี้โดยไม่มีข้อยกเว้นตามกฎหมายรองรับ (ตามมาตรา 26) ถือเป็นความเสี่ยงสูงสุด
- การอ้างว่า “เป็นการเก็บข้อมูลคนไข้ตามปกติของวิชาชีพ” ไม่สามารถใช้เป็นข้อต่อสู้ทางกฎหมายได้ หากกระบวนการจัดเก็บและการนำไปใช้ (เช่น นำภาพคนไข้ไปโพสต์รีวิวการตลาด) ไม่ได้ทำตามเงื่อนไขการขอความยินยอมที่ถูกต้องและแยกวัตถุประสงค์อย่างชัดเจน
ทำไมธุรกิจคลินิกจึงมีความเสี่ยงสูงกว่าธุรกิจทั่วไป
คลินิกทางการแพทย์ไม่ได้ครอบครองเพียงแค่ชื่อ นามสกุล หรือเบอร์โทรศัพท์ของลูกค้าเหมือนธุรกิจค้าปลีก แต่จัดเก็บข้อมูลสุขภาพซึ่งเชื่อมโยงกับสถานะทางกายภาพและสวัสดิภาพของคนไข้โดยตรง การขาดที่ปรึกษากฎหมาย ขาด DPO หรือระบบกำกับดูแลข้อมูลที่อ่อนแอ มักนำไปสู่ปัญหาลูกโซ่ร้ายแรง 3 ด้าน:
- การละเลยหน้าที่: ไม่มีเจ้าภาพหลักในการตรวจสอบ ทำให้สิทธิความเป็นส่วนตัวของคนไข้ถูกมองข้ามและนำไปสู่การร้องเรียน
- วิกฤตการณ์ที่คุมไม่ได้: เมื่อเกิดเหตุระบบไอทีโดนแฮ็กหรือข้อมูลรั่วไหล องค์กรจะขาดผู้ประสานงานและระงับเหตุอย่างเป็นระบบ ทำให้ความเสียหายขยายวงกว้าง
- ช่องโหว่ทางการตลาด: นำข้อมูลประวัติหรือภาพถ่ายการรักษาของคนไข้ไปใช้โฆษณาประชาสัมพันธ์โดยไม่ได้คัดกรองฐานกฎหมายให้ถูกต้อง ซึ่งเป็นจุดเสี่ยงที่สุดในการถูกฟ้องร้อง
4 วิธีรับมือเชิงรุกเพื่อลดความเสี่ยงทางกฎหมายสำหรับคลินิก
- แต่งตั้ง DPO ที่ปราศจากความขัดแย้งทางผลประโยชน์: จัดตั้งเจ้าหน้าที่ DPO ที่มีความเป็นอิสระในการตรวจสอบระบบ หรือเลือกใช้บริการผู้เชี่ยวชาญจากภายนอก (Outsourced DPO) เพื่อเข้ามาวางโครงสร้างและให้คำแนะนำอย่างตรงไปตรงมา
- จัดทำทะเบียน ROPA และประเมินวิเคราะห์ข้อมูล: บันทึกรายการประมวลผลข้อมูลส่วนบุคคล (ROPA) ทุกกิจกรรมภายในคลินิก เพื่อคัดแยกข้อมูลสุขภาพ (ข้อมูลลักษณะพิเศษ) ออกจากฐานข้อมูลทั่วไป และจำกัดสิทธิการเข้าถึงของพนักงานเฉพาะผู้ที่เกี่ยวข้องจริง ๆ เท่านั้น
- วางขั้นตอนปฏิบัติงานมาตรฐาน (SOP) ในยามวิกฤต: จัดทำคู่มือ Workflow สำหรับรองรับการใช้สิทธิของคนไข้ (DSAR) และแผนเผชิญเหตุละเมิดข้อมูลรั่วไหลเพื่อควบคุมสถานการณ์และรายงานต่อภาครัฐได้ทันภายใน 72 ชั่วโมง
- ทำสัญญาจัดจ้างคู่ค้าให้รัดกุม: ทุกครั้งที่มีการส่งข้อมูลคนไข้ให้แก่ศูนย์แล็บวิเคราะห์โรค บริษัทซอฟต์แวร์ระบบคลาวด์ หรือเอเจนซีการตลาด คลินิกต้องจัดทำข้อตกลงประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) ร่วมด้วยเสมอเพื่อจำกัดขอบเขตความรับผิดชอบ
A: จำเป็น เนื่องจากพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ไม่ได้ยกเว้นความรับผิดตามขนาดธุรกิจ แต่พิจารณาจาก "กิจกรรมหลัก" เป็นสำคัญ เมื่อคลินิกมีกิจกรรมหลักที่ต้องประมวลผลข้อมูลสุขภาพ ซึ่งเป็นข้อมูลส่วนบุคคลลักษณะพิเศษเป็นประจำและต่อเนื่อง ย่อมเข้าเกณฑ์ภาคบังคับตามมาตรา 41(3) ที่ต้องแต่งตั้ง DPO เพื่อควบคุมความปลอดภัย
A: ยังไม่เพียงพอ การมีเอกสารยินยอมที่ถูกต้องเป็นเพียงจุดเริ่มต้นในการจัดเก็บข้อมูลอย่างถูกกฎหมาย แต่บทลงโทษทางปกครองของ PDPA จะพิจารณาไปถึง "ภาคปฏิบัติการจริง" ภายในองค์กรด้วย เช่น หากมีเอกสารครบถ้วน แต่ระบบไอทีหลังบ้านหละหลวมจนทำข้อมูลรั่วไหล หรือไม่มีช่องทางให้คนไข้ติดต่อ DPO คลินิกก็ยังคงต้องระวางโทษปรับทางปกครองอยู่ดี
A: คลินิกยังคงต้องรับผิดชอบหลักในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เนื่องจากคลินิกเป็นผู้เก็บรวบรวมข้อมูลจากคนไข้และเป็นผู้เลือกใช้บริการระบบภายนอกนั้น DPO จึงต้องตรวจสอบให้มีการจัดทำข้อตกลงประมวลผลข้อมูล (DPA) กับ Vendor ทุกราย เพื่อเป็นหลักฐานยืนยันว่าคลินิกได้ทำหน้าที่คัดเลือกและกำกับดูแลคู่ค้าตามมาตรฐานกฎหมายอย่างถี่ถ้วนแล้ว
การทำความเข้าใจเรื่องโทษปรับทางปกครองของกฎหมาย PDPA ในธุรกิจสถานพยาบาล ไม่ได้มีวัตถุประสงค์เพื่อสร้างความตื่นตระหนก แต่เพื่อช่วยให้ผู้บริหารตระหนักถึงความสำคัญของการสร้าง “เกราะป้องกันความเสี่ยงเชิงกลยุทธ์” ทางธุรกิจ การจัดโครงสร้างระบบข้อมูลให้ชัดเจน การแยกแยะระดับความเสี่ยงในแต่ละมาตรา และการสนับสนุนบทบาทหน้าที่ของ DPO อย่างแท้จริง จะช่วยให้คลินิกสามารถยกระดับความปลอดภัย ปกป้องสิทธิของคนไข้ และขับเคลื่อนธุรกิจการแพทย์ได้อย่างมั่นคง มั่งคั่ง และยั่งยืนในระยะยาว
เผยแพร่: 25 มิถุนายน 2569
อัปเดตล่าสุด: 25 มิถุนายน 2569
ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com
