คลินิก สถานให้บริการสุขภาพ การดูแลตกแต่ง และการรักษาโรคที่ดำเนินการโดยนิติบุคคล ซึ่งตามข้อบัญญัติของกฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ที่ต้องมีการดำเนินการหลายๆ ด้านตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
ขณะเดียวกัน คลินิกยังมีจุดที่ต้องระมัดระวัง เนื่องจากมีการเก็บข้อมูลส่วนบุคคลทั่วไป (Personal Data) ที่เป็นข้อมูลประวัติส่วนตัวของลูกค้า เช่น ชื่อ นามสกุล เบอร์โทร อีเมล ที่อยู่ ทะเบียนรถ ธุรกรรมการเงิน และมีการเก็บข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) เช่น ข้อมูลสุขภาพ ข้อมูลพันธุกรรม และข้อมูลชีวภาพ ‘เป็นจำนวนมาก’ ซึ่งตามกฎหมาย การจะเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ก็ต่อเมื่อ ‘ได้รับความยินยอม’ จากเจ้าของข้อมูล เนื่องจากอาจส่งผลกระทบต่อร่างกายและจิตใจของบุคคลนั้นได้ง่าย หรือเกิดการละเมิดข้อมูลส่วนบุคคล
ด้วยเหตุนี้ การดำเนินกิจการภายใต้กฎหมาย PDPA ของคลินิกจึงมีหลายแง่มุมที่น่าสนใจในการวิเคราะห์เพื่อหาทางออกที่ถูกต้อง ภายใต้ในการดำเนินธุรกิจให้ถูกต้องตามกฎหมายฉบับใหม่ที่บังคับใช้เมื่อวันที่ 1 มิถุนายน 2565
ข้อมูลส่วนบุคคลอ่อนไหวที่ ‘คลินิก’ มักเก็บใช้ มีอะไรบ้าง
1.ข้อมูลสุขภาพ (Health Information) คือ ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสุขภาพร่างกาย หรือจิตใจของบุคคล รวมถึงการเข้ารับบริการด้านสุขภาพ ซึ่งบางครั้งอาจมีความจำเป็นต้องเก็บใช้หรือเปิดเผยข้อมูลเกี่ยวกับสถานะสุขภาพของแต่ละบุคคล เช่น เวชระเบียนผู้ป่วย หรือประวัติด้านการรักษา ข้อมูลการแพ้ยา ผลตรวจเลือด ภาพอัลตร้าซาวด์ รวมถึงความพิการ
2.ข้อมูลทางพันธุกรรม (Genetic Information) คือ ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับลักษณะทางพันธุกรรมที่สืบทอดกันมา เช่น ปัจจุบันมีการเก็บข้อมูล DNA ข้อมูลยีนส์ (Gene) เพื่อประโยชน์ในการตรวจสอบป้องกันและรักษาโรคของผู้ให้บริการทางการแพทย์ การปฏิสนธิภายนอกร่างกาย หรือการทำเด็กหลอดแก้ว รวมถึงข้อมูลชาติพันธุ์ เป็นต้น
3.ข้อมูลชีวภาพ (Biometrics) คือ คือข้อมูลที่ผ่านการใช้เทคโนโลยีนำลักษณะเด่นทางกายภาพหรือทางพฤติกรรมมาใช้ระบุตัวตน เช่น โครงสร้างกระดูก พิมพ์ฟัน ลายนิ้วมือ ม่านตา เสียงพูด
โดยจะเห็นว่า ข้อมูลส่วนบุคคลอ่อนไหวที่ยกตัวอย่างมาอาจเป็นข้อมูลที่คลินิกที่มักเก็บข้อมูลลูกค้าอยู่เสมอ ซึ่งตามข้อมูลที่ระบุในข้างต้นว่าต้องได้รับความยินยอมจากเจ้าของข้อมูล หรือหากเป็นผู้เยาว์ที่ยังไม่บรรลุนิติภาวะจะต้องขอความยินยอมจากผู้ปกครองตามกฎหมาย แต่หากเป็นบุคคลไร้ความสามารถหรือเสมือนไร้ความสามารถจะต้องได้รับความยินยอมจากผู้อนุบาลหรือผู้พิทักษ์ตามกฎหมาย
กรณีไหนบ้างที่ ‘คลินิก’ สามารถเก็บใช้ข้อมูลส่วนบุคคลอ่อนไหวได้โดยไม่ต้องขอความยินยอม
หากว่าตามข้อบังคับแพทยสภาว่าด้วยการรักษาจริยธรรมแห่งวิชาชีพเวชกรรม พ.ศ. 2549 ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรงของผู้ป่วยหรือตามกฎหมาย
ขณะที่ พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล จะนำไปเปิดเผยจนทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การ เปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือชอบด้วยกฎหมาย แต่อย่างไรก็ตามจะอาศัยสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้ ยกเว้นว่าเจ้าของข้อมูลได้ยินยอม
ทั้งนี้ ‘ความยินยอม’ ในการเก็บข้อมูลสุขภาพตามกฎหมายหรือข้อบังคับต่างๆ ก่อนมีกฎหมาย PDPA ยังเป็นขอบเขตกว้างๆ แต่ยังไม่ได้กำหนดหลักเกณฑ์การจัดเก็บ ประมวลผล หรือเงื่อนไขในการปฏิบัติงานไว้ชัดเจน รวมทั้งยังไม่ได้ระบุถึงข้อมูลส่วนบุคคลอ่อนไหวบางข้อเช่น ข้อมูลสรีรวิทยา ข้อมูล DNA ลักษณะเฉพาะบุคคล ซึ่งตามกฎหมาย PDPA ระบุว่าหากเก็บใช้จะต้องได้รับความยินยอมอย่างชัดเจน หรือเป็นการดำเนินการโดยชอบตามกฎหมายเท่านั้น เว้นแต่จะมีเหตุจำเป็นในการปกป้องหรือระงับอันตรายอย่างร้ายแรงต่อชีวิต ร่างกาย หรือสุขภาพอนามัยของบุคคลนั้นๆ
อย่างไรก็ตาม ล่าสุดได้มี ประกาศกระทรวงสาธารณสุข เรื่อง การเปิดเผยข้อมูลส่วนบุคคลตามพระราชบัญญัติควบคุมโรค จากการประกอบอาชีพและโรคจากสิ่งแวดล้อม พ.ศ. 2562 พ.ศ. 2565 โดยมีการกำหนดหลักเกณฑ์ วิธีการ และเงื่อนไขในการเปิดเผยข้อมูลส่วนบุคคล จากการเฝ้าระวัง การสอบสวนโรค การแจ้ง หรือการรายงาน ตาม พ.ร.บ. ควบคุมโรคฯ เพื่อให้การเก็บหรือประมวลผลข้อมวลส่วนบุคคลจากการประกอบอาชีพและโรคจากสิ่งแวดล้อม สามารถเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ป่วยได้ใน 2 กรณี ซึ่งคลินิกและสถานบริการทางการแพทย์ที่เป็นนิติบุคคลสามารถดำเนินการตามนี้ได้เช่นกัน ดังนี้
- ดำเนินการขอความยินยอมจากเจ้าของข้อมูล ต้องทำโดยชัดแจ้งเป็นหนังสือหรือทำโดยผ่านระบบ อิเล็กทรอนิกส์ แต่หากมีการ ‘ขอความยินยอมด้วยวาจา’ ถ้าเจ้าของข้อมูลส่วนบุคคลได้ร้องขอ คลินิกต้องปฏิบัติการตาม พ.ร.บ. ต้องยืนยันคำขอนั้นเป็นหนังสือแจ้งให้แก่เจ้าของข้อมูลส่วนบุคคลและต้องดำเนินการ ภายใน 7 วัน โดยในหนังสือขอความยินยอมจะต้องประกอบด้วย
- วัน เดือน และปีที่ทำคำขอ
- ข้อมูลส่วนบุคคลที่จะขอเปิดเผย และวิธีการในการเปิดเผยข้อมูลส่วนบุคคล
- วัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล
- ข้อกฎหมายที่อ้างอิง
- ชื่อและลายมือชื่อของผู้ซึ่งมีหน้าที่ปฏิบัติการตาม พ.ร.บ.ที่ทำคำขอ
- ไม่ต้องขอความยินยอมจากเจ้าของข้อมูล หากการดำเนินการดังกล่าวมีความจำเป็นเพื่อประโยชน์สาธารณะ เป็นการปฏิบัติการตามกฎหมาย หรือเป็นเหตุจำเป็น เช่น เพื่อป้องกันหรือระงับอันตรายอย่างร้ายแรงต่อชีวิต ร่างกาย สุขภาพอนามัย หรือประโยชน์สาธารณะในการเฝ้าระวัง การป้องกัน และ การควบคุมโรค เป็นต้น
ด้วยเหตุนี้ จะเห็นว่าสถานบริการทางการแพทย์ และคลินิกเฉพาะทางต่างๆ ที่มีการเก็บข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหวเป็นจำนวนมาก เนื่องจากมีความเสี่ยงสูงที่จะก่อให้เกิดผลกระทบต่อร่างกายและจิตใจของบุคคลนั้น และอาจนำไปสู่เหตุการณ์ฟ้องร้องคลินิกจะต้องโดนโทษทั้งทางแพ่ง โทษอาญาและโทษทางปกครองหากไม่ดำเนินการตามที่กฎหมายกำหนด
กระนั้น ในบางกรณี การเก็บข้อมูลอาจจะทำได้โดยใช้ฐานกฎหมายที่ระบุว่าเป็นการดำเนินการโดยชอบ หรือเป็นเหตุจำเป็นเพื่อปกป้องชีวิต ป้องกันโรคติดต่อ หรือประโยชน์สาธารณะส่วนรวม
แต่อย่างไรก็ตาม ด้วยสถานะที่คลินิก เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมาย รวมทั้งอาจเป็นผู้ประมวลผลข้อมูลส่วนบุคคลในบางกรณี ทั้งมีการเก็บข้อมูลเป็นจำนวนมาก คือ มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหวของเจ้าของข้อมูล 5,000 ราย จะต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ซึ่งกฎหมายบังคับหากคุณสมบัติตรงตามหลักเกณฑ์นี้ เพื่อให้การดำเนินการต่างๆ ถูกต้องตามที่กฎหมายกำหนด และยังช่วยให้ลดความเสี่ยงกรณีละเมิดข้อมูลส่วนบุคคลของลูกค้าได้อีกด้วย
