ใช้รูปถ่ายคนไข้อย่างไรไม่ให้ละเมิดสิทธิคนไข้
เนื่องจากปัจจุบันเทคโนโลยีมีความก้าวไกลไปมากทำให้การดำเนินการต่าง ๆเป็นไปอย่างสะดวกมากขึ้น ตั้งแต่การเดินทางรวมถึงกระบวนการทำงานต่าง ๆ ซึ่งหนึ่งในองค์กรที่มีการนำวิทยาการนำมาใช้ ได้แก่ สถานพยาบาลนั่นเอง ซึ่งปัจจุบันนั้นมีนำเทคโนโลยีมาใช้เพื่อความสะดวกสบาย เช่น ใช้หุ่นยนต์ในการส่งแฟ้มเอกสารระหว่างแผนก หรือการใช้ระบบต่างเพื่อรวบรวมข้อมูลคนไข้ไว้ที่เดียวกันเพื่อสะดวกต่อการค้นหา ซึ่งกระบวนการหนึ่งที่มีการใช้งานได้แก่ การส่งต่อรูปถ่าย ซึ่งปัจจุบันนั้นวัตถุประสงค์หลัก ๆในการส่งรูปถ่ายจะเป็นไปเพื่อประโยชน์ทางการรักษาหรือติดตามอาการของผู้ป่วย ทั้งนี้ มันมีข้อสังเกตว่า ข้อมูลรูปถ่ายคนไข้เป็นข้อมูลอ่อนไหวหรือไม่ และหากจำเป็นต้องมีการใข้ข้อมูลภาพถ่ายจะต้องใช้อย่างไรเพื่อให้สอดคล้องตามหลักของ PDPA ข้อมูลรูปถ่ายคนไข้ถือว่าเป็นข้อมูลอ่อนไหวหรือไม่ จากที่เราทราบกับข้อมูลอ่อนไหว ได้แก่ข้อมูลเกี่ยวกับ เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ เป็นต้น ซึ่งข้อมูลภาพถ่ายคนไข้นั้นถือได้ว่าเป็นข้อมูลสุขภาพ ตามระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 ที่นี้เมื่อทราบว่าเป็นข้อมูลส่วนบุคคลที่อ่อนไหว จึงจำเป็นต้องมีแนวหรือหลักการเพื่อให้การใช้ข้อมูลรูปถ่ายเป็นไปตามหลักของ PDPA หากจำเป็นต้องใช้ ต้องทำอย่างไร โดยหลักการของการคุ้มครองข้อมูลส่วนบุคคล การใช้ข้อมูลส่วนบุคคลควรใช้ข้อมูลตราบเท่าที่จำเป็น เช่นกัน การใช้ข้อมูลรูปถ่ายคนไข้ก็ควรจะต้องมีการใช้ข้อมูลเท่าที่จำเป็นเช่นกัน โดยเมื่อจำเป็นต้องมีการเก็บมูล จำเป็นต้องมีการขอความยินยอมก่อน รวมถึงมีการแจ้งวัตถุประสงค์ในการเก็บข้อมูลภาพถ่ายคนไข้ ซึ่งการแจ้งประกาศนั้นอาจจะมีเป็นการแจ้งเป็นประกาศความเป็นส่วนตัวของ คนไข้หรือลูกค้าตามแต่กรณี ต่อมาในการใช้งานหรือประมวลผลควรใช้เท่าที่จำเป็นซึ่งได้แก่ใช้เพื่อรักษาหรือติดตามอาการเท่านั้น ไม่ควรใช้เพื่อเหตุอื่น ถามว่าการเอารูปถ่ายคนไข้ให้หมอท่านอื่นดูได้หรือไม่ เพราะบางครั้งหมอที่เป็นเจ้าของไข้นั้นอาจจำเป็นต้องมีการนำภาพคนไข้ เพื่อปรึกษากับหมอท่านอื่น ตัวอย่างเช่น […]
Outsource DPO: Hero พันธุ์ใหม่ของคุณ
หลังจากที่ PDPA เลื่อนกำหนดการซ้ำแล้วซ้ำเล่า จนออกการบังคับใช้อย่างเต็มที่ในวันที่ 1 มิถุนายน 2565 หลายองค์กรเริ่มมีความตระหนักถึงการทำให้องค์กรปกิบัติตาม PDPA ตัวอย่างเช่น การจัดทำขั้นตอนการทำ PDPA หรือจัดทำเอกสารต่าง ๆ เพื่อให้สอดคล้อง โดยแต่ละธุรกิจนั้นก็อาจจะมีความแตกต่างกันไป เช่น โรงพยาบาลหรือสถานศึกษาย่อมมีขั้นตอนการทำ PDPA ที่ไม่เหมือนกัน เป็นต้น แต่สิ่งหนึ่งที่มีความจำเป็น คือ การหาบุคคลหรือคณะบุคคลที่จะเข้ามาทำหน้าที่ในการดำเนินการด้านข้อมูลส่วนบุคคล ซึ่งตามหลัก PDPA ได้มีการกำหนดตำแหน่งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ Data Protection Officer: DPO ขึ้นเพื่อดำเนินการคุ้มครองข้อมูลส่วนบุคคลขององค์กร Data Protection Officer เป็นคนนอกได้หรือไม่? ท่านเคยสงสัยกันหรือไม่ว่า DPO หรือเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลนั้นเป็นคนนอก หรือเป็น Outsource ได้หรือไม่หลักของ PDPA ไม่ได้มีการกำหนดไว้ว่าคนที่จะเป็น DPO จำเป็นต้องเป็นคนนอกหรือสามารถจ้าง Outsource ได้ ดังนั้นแปลว่าสามารถจัดจ้างคนนอกเพื่อมาเป็น DPO ได้ Data Protection Officer […]
รูปแบบ และประเภทของ DPO รวมถึงตามหลักของการคุ้มครองข้อมูลส่วนบุคคล
จากบทความ Link ได้พูดถึง DPO พอสังเขปแล้วว่าคือใคร มีความจำเป็นแค่ไหนที่ต้องมี ทั้งโทษทางปกครองหาก ฝ่าฝืน หากเราคิดต่อว่าแล้วถ้าองค์กรต้องตั้ง DPO ควรตั้งรูปแบบไหนดี? จ้างคนนอกทำแทนได้หรือไม่? บทความนี้จะเป็นแนวทางเบื้องต้นในการตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลขององค์กร ซึ่งอาจจะมีการเปลี่ยนแปลงได้หากว่ามีกฎหมายลูกออกตามมาในภายหลัง บุคคลเดียว หรือ คณะบุคคลดี? ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลไม่ได้มีการระบุไว้อย่างชัดเจน ว่าจะต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นบุคคลเดียวหรือเป็นคณะบุคคล ดังนั้น การที่จะแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจึงสามารถแต่งตั้งเป็นบุคคลเดียวหรือเป็นคณะบุคคลได้ตามแต่ความเหมาะสมขององค์กร ซึ่งทั้งสองรูปแบบมีข้อดีและข้อเสียตามตารางข้างล่าง DPO คนเดียว DPO เป็นคณะทำงาน ข้อดี บุคคลเดี่ยวสามารถดำเนินการตัดสินใจเกี่ยวกับการดำเนินการเรื่องข้อมูลส่วนบุคคลได้อย่างรวดเร็ว การตัดสินใจนั้นมีความแม่นยำและเป็นประโยชน์ต่อองค์กรเนื่องจากมีบุคลกรจากหลายแผนกที่มีความชำนาญมาช่วยให้ข้อมูลในการตัดสินใจ เนื่องจากมีผุ้เชี่ยวชาญหลาย ๆด้านมาช่วยพิจารณาให้สอดคล้องกับธุรกิจขององค์กร ข้อด้อย เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจำเป็นต้องมีความรู้เกี่ยวกับข้อมูลส่วนบุคคลหลากหลายด้าน การดำเนินการที่อาจจะมีความล่าช้ากว่าการมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นบุคคลเดียวเนื่องจากจำเป็นต้องผ่านการพิจารณาจากคณะกรรมการหลาย ๆด้าน ก่อนถึงการตัดสินใจ จากข้อเปรียบเทียบเห็นได้ว่า DPO ที่เป็นบุคคลคนเดียว ค่อนข้างจะเหมาะสมกับองค์กรที่มีขนาดเล็ก หรือองค์กรที่ไม่มีความซับซ้อนในเชิงโครงสร้าง หรือกระบวนการ ซึ่งการดำเนินการบุคคลเดียวจะดีกว่า แต่ถ้าองค์กรนั้นมีลักษณะที่มีความซับซ้อนในเชิงโครงสร้างหรือ องค์กรมีขนาดใหญ่ จำเป็นต้องใช้ความเชี่ยวชาญหลาย ๆด้านในการขับเคลื่อนองค์กร การที่ DPO เป็นคณะบุคคลย่อมมีความเหมาะสมกับธุรกิจและรูปแบบขององค์กรมากกว่า แม้จะมีข้อด้อยในการดำเนินการด้านการตอบสนองค่อนข้างล่าช้ากว่ารูปแบบคนเดียวก็ตาม คนนอกได้หรือไม่? […]
